Darktrace
编辑Darktrace
编辑概述
编辑Darktrace 集成允许您监控警报日志。Darktrace 是一种网络解决方案,用于检测和调查逃避传统安全工具的新兴网络威胁。它由企业免疫系统技术提供支持,该技术使用机器学习和数学来监控行为并检测您组织网络中的异常。
使用 Darktrace 集成通过 REST API 或 Syslog 收集和解析数据。然后在 Kibana 中可视化该数据。
例如,您可以使用此集成中的数据来了解哪个模型被破坏并分析模型破坏情况,还可以了解系统运行状况、受监控流量的变化以及 Darktrace 安全模块或探测实例遇到的任何错误。
数据流
编辑Darktrace 集成收集三种事件类型的日志:AI 分析师警报、模型破坏警报和系统状态警报。
AI 分析师警报 由在您的 Darktrace 环境中发现的威胁进行调查、分析和报告生成;作为起点,它会审查和调查系统中发生的所有模型破坏事件。如果检测到网络分析师会感兴趣的行为,则会创建一个事件。请在此处查看示例架构这里。
模型破坏警报 在触发模型破坏时生成。模型用于定义一组条件,当满足这些条件时,会提醒系统发生特定事件或一系列异常行为。Darktrace 模型专注于生活模式异常检测、潜在的恶意行为和合规性问题。请在此处查看示例架构这里。
系统状态警报 使 Darktrace 操作员了解系统运行状况、受监控流量的变化以及 Darktrace 安全模块或探测实例遇到的任何错误。系统状态警报包括原始主机、事件严重性以及可能有助于调查或解决问题的链接的详细信息。系统事件处于活动状态时以及(可选)在事件解决时会发送通知。请在此处查看示例架构这里。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理数据。您可以使用我们在 Elastic Cloud 上的托管 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
允许从 Darktrace 主实例与 Syslog 服务器通信的防火墙例外。
此模块已针对 Darktrace Threat Visualizer v5.2 进行测试。
设置
编辑要从 Darktrace REST API 收集数据,请按照以下步骤操作
编辑- 主机名 URL 将是您的
<appliance-ip>。(威胁可视化器控制台主机名) - 公共和私有令牌将通过以下 链接生成。
REST API 不支持系统状态警报。
要通过 Syslog 从 Darktrace 收集数据,请按照以下步骤操作
编辑用户需要为每个数据流创建具有不同端口的不同 Syslog 转发器。
配置 syslog 格式警报的过程对于 AI 分析师警报、模型破坏警报和系统状态警报是相同的。下面提供了通用配置指南
- 打开 Darktrace 威胁可视化器仪表板并导航到 系统配置 页面。(主菜单 › 管理员)。
- 从左侧菜单中,选择 模块,然后导航到 工作流集成 部分并选择 Syslog。
- 选择 Syslog JSON 选项卡,然后单击 新建 以设置新的 Syslog 转发器。
- 在 服务器 和 服务器端口 字段中分别输入正在运行集成的 Elastic Agent 的 IP 地址 和 端口。
有关更多详细信息,请参阅文档。
注意
- 建议在 显示高级选项 中打开 完整时间戳 开关,以获取完整时间戳而不是 RFC3164 格式的时间戳。
- 还建议在 显示高级选项 中关闭 缩小消息大小 开关,以获取有关警报的更多信息。
按照通用指导步骤操作后,以下是收集所有三个数据流的各个日志的步骤。
编辑对于 AI 分析师警报,以下是收集 AI 分析师警报所有事件的建议配置
编辑- 在 显示高级选项 中配置以下设置
| 字段名称 | 值 |
|---|---|
发送 AI 分析师警报 |
开 |
立即发送 AI 分析师警报 |
开 |
AI 分析师行为筛选器 |
严重、可疑和合规 |
最低 AI 分析师事件事件得分 |
0 |
最低 AI 分析师事件得分 |
0 |
旧版 AI 分析师警报 |
关 |
对于模型破坏警报,以下是收集模型破坏警报所有事件的建议配置
编辑- 在 显示高级选项 中配置以下设置
| 字段名称 | 值 |
|---|---|
发送模型破坏警报 |
开 |
模型破坏行为筛选器 |
严重、可疑、合规和信息性 |
最低破坏得分 |
0 |
最低破坏优先级 |
0 |
模型表达式 |
不适用 |
模型标签表达式 |
不适用 |
设备 IP 地址 |
不适用 |
设备标签地址 |
不适用 |
对于系统状态警报,以下是收集系统状态警报所有事件的建议配置
编辑- 在 显示高级选项 中配置以下设置
| 字段名称 | 值 |
|---|---|
发送系统状态警报 |
开 |
发送已解决的系统状态警报 |
开 |
最低系统状态优先级 |
信息性 |
了解有关 Syslog 筛选器和可选设置的更多信息
编辑注意:必须为 Darktrace 实例配置完全限定域名 (FQDN),才能在外部警报中包含链接。
- 可以在 Darktrace 系统配置 页面的 设置 选项卡的 系统 子部分中配置 FQDN。
日志参考
编辑ai_analyst_alert
编辑这是 ai_analyst_alert 数据集。
示例
ai_analyst_alert 的示例事件如下所示
{
"@timestamp": "2021-08-03T14:48:09.240Z",
"agent": {
"ephemeral_id": "315a1a3f-bc7a-4a11-9540-c316f1ec95ee",
"id": "85270a54-b915-4d11-9305-d004346cb8cf",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.9.0"
},
"darktrace": {
"ai_analyst_alert": {
"activity_id": "abcd1234",
"aia_score": 98,
"attack_phases": [
5
],
"breach_devices": [
{
"did": 10,
"ip": "81.2.69.144",
"sid": 12,
"subnet": "VPN"
}
],
"category": "critical",
"children": [
"eabcdef0-1234-1234-1234-cabcdefghij9"
],
"created_at": "2021-08-03T14:48:09.240Z",
"current_group": "eabc1234-1234-1234-1234-cabcdefg0011",
"details": [
[
{
"contents": [
{
"type": "device",
"values": [
{
"did": 10,
"ip": "175.16.199.1",
"sid": 12,
"subnet": "VPN"
}
]
}
],
"header": "Breaching Device"
}
],
[
{
"contents": [
{
"key": "Time",
"type": "timestampRange",
"values": [
{
"end": 1628000141220,
"start": 1627985298683
}
]
},
{
"key": "Number of unique IPs",
"type": "integer",
"values": [
16
]
},
{
"key": "Targeted IP ranges include",
"type": "device",
"values": [
{
"ip": "81.2.69.192"
},
{
"ip": "175.16.199.1"
},
{
"ip": "175.16.199.3"
}
]
},
{
"key": "Destination port",
"type": "integer",
"values": [
22
]
},
{
"key": "Connection count",
"type": "integer",
"values": [
40
]
},
{
"key": "Percentage successful",
"type": "percentage",
"values": [
100
]
}
],
"header": "SSH Activity"
}
]
],
"group_by_activity": false,
"group_category": "critical",
"group_score": 72.9174234,
"grouping_ids": [
"abcdef12"
],
"id": "eabc0011-1234-1234-1234-cabcdefg0011",
"is_acknowledged": false,
"is_external_triggered": false,
"is_pinned": true,
"is_user_triggered": false,
"periods": [
{
"end": "2021-08-03T14:15:41.220Z",
"start": "2021-08-03T10:08:18.683Z"
}
],
"related_breaches": [
{
"model_name": "Unusual Activity / Unusual Activity from Re-Activated Device",
"pbid": 1234,
"threat_score": 37,
"timestamp": "2021-08-03T13:25:57.000Z"
}
],
"summariser": "AdminConnSummary",
"summary": "The device 175.16.199.1 was observed making unusual internal SSH connections to a wide range of devices.\n\nThough this behaviour could be the result of legitimate remote access or administration, it could also be a sign of attempted lateral movement by a compromised machine.\n\nConsequently, if this activity was not expected, the security team may wish to investigate further.",
"title": "Extensive Unusual SSH Connections"
}
},
"data_stream": {
"dataset": "darktrace.ai_analyst_alert",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "85270a54-b915-4d11-9305-d004346cb8cf",
"snapshot": true,
"version": "8.9.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"threat"
],
"dataset": "darktrace.ai_analyst_alert",
"duration": [
14842537000000
],
"end": [
"2021-08-03T14:15:41.220Z"
],
"id": "eabc0011-1234-1234-1234-cabcdefg0011",
"ingested": "2023-06-14T17:00:35Z",
"kind": "alert",
"original": "{\"summariser\":\"AdminConnSummary\",\"acknowledged\":false,\"pinned\":true,\"createdAt\":1628002089240,\"attackPhases\":[5],\"title\":\"Extensive Unusual SSH Connections\",\"id\":\"eabc0011-1234-1234-1234-cabcdefg0011\",\"children\":[\"eabcdef0-1234-1234-1234-cabcdefghij9\"],\"category\":\"critical\",\"currentGroup\":\"eabc1234-1234-1234-1234-cabcdefg0011\",\"groupCategory\":\"critical\",\"groupScore\":\"72.9174234\",\"groupPreviousGroups\":null,\"activityId\":\"abcd1234\",\"groupingIds\":[\"abcdef12\"],\"groupByActivity\":false,\"userTriggered\":false,\"externalTriggered\":false,\"aiaScore\":98,\"summary\":\"The device 175.16.199.1 was observed making unusual internal SSH connections to a wide range of devices.\\n\\nThough this behaviour could be the result of legitimate remote access or administration, it could also be a sign of attempted lateral movement by a compromised machine.\\n\\nConsequently, if this activity was not expected, the security team may wish to investigate further.\",\"periods\":[{\"start\":1627985298683,\"end\":1628000141220}],\"breachDevices\":[{\"identifier\":null,\"hostname\":null,\"ip\":\"81.2.69.144\",\"mac\":null,\"subnet\":\"VPN\",\"did\":10,\"sid\":12}],\"relatedBreaches\":[{\"modelName\":\"Unusual Activity / Unusual Activity from Re-Activated Device\",\"pbid\":1234,\"threatScore\":37,\"timestamp\":1627997157000}],\"details\":[[{\"header\":\"Breaching Device\",\"contents\":[{\"key\":null,\"type\":\"device\",\"values\":[{\"identifier\":null,\"hostname\":null,\"ip\":\"175.16.199.1\",\"mac\":null,\"subnet\":\"VPN\",\"did\":10,\"sid\":12}]}]}],[{\"header\":\"SSH Activity\",\"contents\":[{\"key\":\"Time\",\"type\":\"timestampRange\",\"values\":[{\"start\":1627985298683,\"end\":1628000141220}]},{\"key\":\"Number of unique IPs\",\"type\":\"integer\",\"values\":[16]},{\"key\":\"Targeted IP ranges include\",\"type\":\"device\",\"values\":[{\"identifier\":null,\"hostname\":null,\"ip\":\"81.2.69.192\",\"mac\":null,\"subnet\":null,\"did\":null,\"sid\":null},{\"identifier\":null,\"hostname\":null,\"ip\":\"175.16.199.1\",\"mac\":null,\"subnet\":null,\"did\":null,\"sid\":null},{\"identifier\":null,\"hostname\":null,\"ip\":\"175.16.199.3\",\"mac\":null,\"subnet\":null,\"did\":null,\"sid\":null}]},{\"key\":\"Destination port\",\"type\":\"integer\",\"values\":[22]},{\"key\":\"Connection count\",\"type\":\"integer\",\"values\":[40]},{\"key\":\"Percentage successful\",\"type\":\"percentage\",\"values\":[100]}]}]]}",
"reason": "Extensive Unusual SSH Connections",
"risk_score": 98,
"risk_score_norm": 98,
"start": [
"2021-08-03T10:08:18.683Z"
],
"type": [
"indicator"
]
},
"host": {
"id": [
"10"
],
"ip": [
"81.2.69.144"
]
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "172.31.0.4:53890"
},
"syslog": {
"facility": {
"code": 20,
"name": "local4"
},
"hostname": "example.cloud.darktrace.com",
"priority": 165,
"severity": {
"code": 5,
"name": "Notice"
},
"version": "1"
}
},
"message": "The device 175.16.199.1 was observed making unusual internal SSH connections to a wide range of devices.\n\nThough this behaviour could be the result of legitimate remote access or administration, it could also be a sign of attempted lateral movement by a compromised machine.\n\nConsequently, if this activity was not expected, the security team may wish to investigate further.",
"related": {
"ip": [
"81.2.69.144",
"175.16.199.1",
"81.2.69.192",
"175.16.199.3"
]
},
"rule": {
"name": [
"Unusual Activity / Unusual Activity from Re-Activated Device"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"darktrace-ai_analyst_alert"
],
"threat": {
"enrichments": {
"matched": {
"id": [
"eabcdef0-1234-1234-1234-cabcdefghij9"
]
}
},
"group": {
"id": "eabc1234-1234-1234-1234-cabcdefg0011"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
darktrace.ai_analyst_alert.activity_id |
AI 分析师检测到的特定活动的标识符。如果 groupByActivity=true,则应使用此字段将事件分组到事件中。 |
关键字 |
darktrace.ai_analyst_alert.aia_score |
AI 分析师分类的事件得分 - 总分 100 分。 |
双精度 |
darktrace.ai_analyst_alert.attack_phases |
在六个攻击阶段中,哪些阶段适用于该活动。 |
长整型 |
darktrace.ai_analyst_alert.breach_devices.did |
触发破坏的设备的唯一设备 ID 标识符。此字段用于将事件分组到威胁可视化器中的基于设备的事件中。 |
长整型 |
darktrace.ai_analyst_alert.breach_devices.hostname |
与设备关联的主机名(如果可用)。 |
关键字 |
darktrace.ai_analyst_alert.breach_devices.identifier |
构建摘要或报告时使用的设备标识符。可能是设备标签、主机名或 IP,具体取决于可用性。 |
关键字 |
darktrace.ai_analyst_alert.breach_devices.ip |
与设备关联的 IP。 |
关键字 |
darktrace.ai_analyst_alert.breach_devices.mac_address |
与设备关联的 MAC 地址。 |
关键字 |
darktrace.ai_analyst_alert.breach_devices.sid |
设备当前所在子网的子网 ID。 |
长整型 |
darktrace.ai_analyst_alert.breach_devices.subnet |
相应子网的子网标签(如果可用)。 |
关键字 |
darktrace.ai_analyst_alert.category |
与事件相关的行为类别。 |
关键字 |
darktrace.ai_analyst_alert.children |
一个或多个唯一标识符,可用于通过 UI 或 API 请求此 AI 分析师事件。如果有多个 uuid,可以使用逗号分隔的值发出请求。 |
关键字 |
darktrace.ai_analyst_alert.created_at |
事件创建的时间戳(以纪元时间表示)。 |
日期 |
darktrace.ai_analyst_alert.current_group |
此事件所属的当前事件的 UUID。 |
关键字 |
darktrace.ai_analyst_alert.details |
事件信息的多个部分(子数组)的数组。 |
扁平化 |
darktrace.ai_analyst_alert.group_by_activity |
由 pre-v5.2 旧版事件构建使用。指示事件应按活动还是按设备聚合以创建事件。如果为 true,则应按 activityID 聚合事件,如果为 false,则按 groupingID(s) 聚合事件。 |
布尔值 |
darktrace.ai_analyst_alert.group_category |
与整体事件相关的行为类别。仅与 v5.2+ 事件构建相关。 |
关键字 |
darktrace.ai_analyst_alert.group_previous_groups |
如果事件事件是后来与另一个事件合并的事件的一部分,则合并之前的事件的 UUID。 |
关键字 |
darktrace.ai_analyst_alert.group_score |
此事件所属事件的当前总体得分。 |
双精度 |
darktrace.ai_analyst_alert.grouping_ids |
由 pre-v5.2 旧版事件构建使用。groupingIDs 数组中的每个条目都引用触发活动检测的设备。在单个事件中,应仅包含一个 ID。如果 groupByActivity=false,则应使用此字段将事件分组到事件中。 |
关键字 |
darktrace.ai_analyst_alert.id |
系统字段。 |
关键字 |
darktrace.ai_analyst_alert.incident_event_url.domain |
关键字 |
|
darktrace.ai_analyst_alert.incident_event_url.extension |
关键字 |
|
darktrace.ai_analyst_alert.incident_event_url.fragment |
关键字 |
|
darktrace.ai_analyst_alert.incident_event_url.full |
关键字 |
|
darktrace.ai_analyst_alert.incident_event_url.original |
关键字 |
|
darktrace.ai_analyst_alert.incident_event_url.password |
关键字 |
|
darktrace.ai_analyst_alert.incident_event_url.path |
关键字 |
|
darktrace.ai_analyst_alert.incident_event_url.port |
长整型 |
|
darktrace.ai_analyst_alert.incident_event_url.query |
关键字 |
|
darktrace.ai_analyst_alert.incident_event_url.scheme |
关键字 |
|
darktrace.ai_analyst_alert.incident_event_url.username |
关键字 |
|
darktrace.ai_analyst_alert.is_acknowledged |
事件是否已被确认。 |
布尔值 |
darktrace.ai_analyst_alert.is_external_triggered |
该事件是否是由于外部触发的 AI 分析师调查而创建的。 |
布尔值 |
darktrace.ai_analyst_alert.is_pinned |
该事件或与该事件关联的事件是否在威胁可视化器用户界面中被置顶。无论指定的时间范围如何,置顶的事件都将始终返回。 |
布尔值 |
darktrace.ai_analyst_alert.is_user_triggered |
该事件是否是由于用户触发的 AI 分析师调查而创建的。 |
布尔值 |
darktrace.ai_analyst_alert.periods.end |
活动期间结束的时间戳,以 Unix 时间戳表示。 |
日期 |
darktrace.ai_analyst_alert.periods.start |
活动期间开始的时间戳,以 Unix 时间戳表示。 |
日期 |
darktrace.ai_analyst_alert.related_breaches.model_name |
发生违规的模型名称。 |
关键字 |
darktrace.ai_analyst_alert.related_breaches.pbid |
模型违规的策略违规 ID 唯一标识符。 |
长整型 |
darktrace.ai_analyst_alert.related_breaches.threat_score |
相关模型违规的违规分数,满分 100 分。 |
长整型 |
darktrace.ai_analyst_alert.related_breaches.timestamp |
模型违规发生的 Unix 时间戳。 |
日期 |
darktrace.ai_analyst_alert.summariser |
系统字段。 |
关键字 |
darktrace.ai_analyst_alert.summary |
可疑活动的文本摘要。此示例为缩写形式。 |
关键字 |
darktrace.ai_analyst_alert.title |
描述已发生活动的标题。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
model_breach_alert
编辑这是 model_breach_alert 数据集。
示例
以下是 model_breach_alert 的一个示例事件
{
"@timestamp": "2022-07-11T13:04:08.000Z",
"agent": {
"ephemeral_id": "ec882d5d-4e2f-46d7-9436-1bf500ebbe15",
"id": "12398e67-5831-430a-bd92-515cfa993c86",
"name": "elastic-agent-32495",
"type": "filebeat",
"version": "8.13.0"
},
"darktrace": {
"model_breach_alert": {
"aianalyst_data": [
{
"related": [
1
],
"summariser": "BeaconSummary",
"uuid": "1234abcd-1234-1234-1234-123456abcdef"
}
],
"comment": {
"count": 0
},
"creation_time": "2022-07-11T13:04:19.000Z",
"device": {
"did": 3,
"first_seen": "2022-07-11T12:54:49.000Z",
"ip": "81.2.69.142",
"last_seen": "2022-07-11T13:00:18.000Z",
"sid": 1,
"type_label": "Desktop",
"type_name": "desktop"
},
"is_acknowledged": false,
"model": {
"actions": {
"is_alerting": true,
"is_breach": true,
"is_priority_set": false,
"is_tag_set": false,
"is_type_set": false,
"model": true
},
"active_times": {
"type": "exclusions",
"version": 2
},
"behaviour": "incdec1",
"category": "Informational",
"created": {
"by": "System"
},
"delay": 0,
"description": "A device has been repeatedly connecting to a rare external location with a beacon score. A beacon score is added when Darktrace identifies that a device is regularly communicating with an endpoint, for example, if a device connects to a rare external endpoint every 12 minutes this would get a beacon score. This model is designed to identify beaconing at a lower threshold and be protocol agnostic.\\n\\nAction: Review the external domains and IPs being connected to to see if they are legitimate and would be expected for business purposes.",
"edited": {
"by": "System"
},
"in_compliance_behavior_category": false,
"interval": 10800,
"is_active": true,
"is_auto_suppress": true,
"is_auto_updatable": true,
"is_auto_update": true,
"is_sequenced": false,
"is_shared_endpoints": false,
"logic": {
"data_weighted_component_list": [
{
"cid": 2026,
"weight": 1
},
{
"cid": 2024,
"weight": 1
},
{
"cid": 2025,
"weight": -100
}
],
"target_score": 1,
"type": "weightedComponentList",
"version": 1
},
"modified": "2022-07-11T11:47:37.000Z",
"name": "Compromise::Beaconing Activity To External Rare",
"phid": 1072,
"pid": 156,
"priority": 2,
"tags": [
"AP: C2 Comms"
],
"throttle": 10800,
"uuid": "1234abcd-1234-1234-1234-123456abcdef",
"version": 23
},
"pbid": 1,
"score": 0.674,
"time": "2022-07-11T13:04:08.000Z",
"triggered_components": [
{
"cbid": 1,
"chid": 2113,
"cid": 2026,
"interval": 3600,
"logic": {
"data": "{left={left=A, right={left=AA, right={left=AC, right={left=AD, right={left=AF, right={left=AG, right={left=AH, right={left=B, right={left=C, right={left=D, right={left=E, right={left=H, right={left=I, right={left=J, right={left=K, right={left=L, right={left=M, right={left=N, right={left=O, right={left=P, right={left=S, right={left=U, right={left=V, right={left=X, right={left=Y, right=Z, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, right={left=A, right={left=AA, right={left=AB, right={left=AE, right={left=AF, right={left=AG, right={left=AH, right={left=C, right={left=D, right={left=E, right={left=H, right={left=I, right={left=J, right={left=K, right={left=L, right={left=M, right={left=N, right={left=O, right={left=P, right={left=S, right={left=U, right={left=V, right={left=X, right={left=Y, right=Z, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=AND}, operator=OR}",
"version": "v0.1"
},
"metric": {
"label": "External Connections",
"mlid": 1,
"name": "externalconnections"
},
"size": 11,
"threshold": 10,
"time": "2022-07-11T13:04:08.000Z",
"triggered_filters": [
{
"arguments": {
"value": 60
},
"cfid": 23426,
"comparator_type": ">",
"filter_type": "Beaconing score",
"id": "A",
"trigger": {
"value": "100"
}
},
{
"arguments": {
"value": 0
},
"cfid": 23427,
"comparator_type": ">",
"filter_type": "Individual size up",
"id": "AA",
"trigger": {
"value": "4382"
}
},
{
"arguments": {
"value": 95
},
"cfid": 23428,
"comparator_type": ">",
"filter_type": "Rare domain",
"id": "AB",
"trigger": {
"value": "100"
}
},
{
"arguments": {
"value": 1209600
},
"cfid": 23430,
"comparator_type": "<",
"filter_type": "Age of destination",
"id": "AD",
"trigger": {
"value": "558"
}
},
{
"arguments": {
"value": 1209600
},
"cfid": 23431,
"comparator_type": "<",
"filter_type": "Age of external hostname",
"id": "AE",
"trigger": {
"value": "558"
}
},
{
"arguments": {
"value": "examples"
},
"cfid": 23432,
"comparator_type": "does not match regular expression",
"filter_type": "Connection hostname",
"id": "AF",
"trigger": {
"value": "example.com"
}
},
{
"arguments": {
"value": "examples"
},
"cfid": 23433,
"comparator_type": "does not match regular expression",
"filter_type": "ASN",
"id": "AG",
"trigger": {
"value": "AS12345 LOCAL-02"
}
},
{
"arguments": {
"value": "5d41402abc4b2a76b9719d911017c592"
},
"cfid": 23434,
"comparator_type": "does not match",
"filter_type": "JA3 hash",
"id": "AH",
"trigger": {
"value": "5d41402abc4b2a76b9719d911017c592"
}
},
{
"arguments": {
"value": 95
},
"cfid": 23435,
"comparator_type": ">",
"filter_type": "Rare external IP",
"id": "B",
"trigger": {
"value": "100"
}
},
{
"arguments": {
"value": "1003"
},
"cfid": 23436,
"comparator_type": "is not",
"filter_type": "Application protocol",
"id": "C",
"trigger": {
"value": "1004"
}
},
{
"arguments": {
"value": 53
},
"cfid": 23437,
"comparator_type": "!=",
"filter_type": "Destination port",
"id": "D",
"trigger": {
"value": "443"
}
},
{
"arguments": {
"value": "out"
},
"cfid": 23438,
"comparator_type": "is",
"filter_type": "Direction",
"id": "E",
"trigger": {
"value": "out"
}
},
{
"arguments": {
"value": 137
},
"cfid": 23439,
"comparator_type": "!=",
"filter_type": "Destination port",
"id": "H",
"trigger": {
"value": "443"
}
},
{
"arguments": {
"value": 161
},
"cfid": 23440,
"comparator_type": "!=",
"filter_type": "Destination port",
"id": "I",
"trigger": {
"value": "443"
}
},
{
"arguments": {
"value": "6"
},
"cfid": 23441,
"comparator_type": "is",
"filter_type": "Protocol",
"id": "J",
"trigger": {
"value": "6"
}
},
{
"arguments": {
"value": "Company"
},
"cfid": 23442,
"comparator_type": "does not contain",
"filter_type": "ASN",
"id": "K",
"trigger": {
"value": "AS12345 LOCAL-02"
}
},
{
"arguments": {
"value": "Company"
},
"cfid": 23443,
"comparator_type": "does not contain",
"filter_type": "ASN",
"id": "L",
"trigger": {
"value": "AS12345 LOCAL-02"
}
},
{
"arguments": {
"value": "13"
},
"cfid": 23444,
"comparator_type": "is not",
"filter_type": "Internal source device type",
"id": "M",
"trigger": {
"value": "6"
}
},
{
"arguments": {
"value": "5"
},
"cfid": 23445,
"comparator_type": "is not",
"filter_type": "Internal source device type",
"id": "N",
"trigger": {
"value": "6"
}
},
{
"arguments": {
"value": "9"
},
"cfid": 23446,
"comparator_type": "is not",
"filter_type": "Internal source device type",
"id": "O",
"trigger": {
"value": "6"
}
},
{
"arguments": {
"value": "12"
},
"cfid": 23447,
"comparator_type": "is not",
"filter_type": "Internal source device type",
"id": "P",
"trigger": {
"value": "6"
}
},
{
"arguments": {
"value": "30"
},
"cfid": 23448,
"comparator_type": "is not",
"filter_type": "Internal source device type",
"id": "S",
"trigger": {
"value": "6"
}
},
{
"arguments": {
"value": "4"
},
"cfid": 23449,
"comparator_type": "is not",
"filter_type": "Internal source device type",
"id": "U",
"trigger": {
"value": "6"
}
},
{
"arguments": {
"value": "3"
},
"cfid": 23450,
"comparator_type": "is not",
"filter_type": "Internal source device type",
"id": "V",
"trigger": {
"value": "6"
}
},
{
"arguments": {
"value": "false"
},
"cfid": 23451,
"comparator_type": "is",
"filter_type": "Trusted hostname",
"id": "X",
"trigger": {
"value": "false"
}
},
{
"arguments": {
"value": 26
},
"cfid": 23452,
"comparator_type": "does not have tag",
"filter_type": "Tagged internal source",
"id": "Y",
"trigger": {
"tag": {
"data": {
"auto": false,
"color": 5,
"visibility": "Public"
},
"expiry": 0,
"is_referenced": true,
"name": "No Device Tracking",
"restricted": false,
"thid": 26,
"tid": 26
},
"value": "26"
}
},
{
"arguments": {
"value": 0
},
"cfid": 23453,
"comparator_type": ">",
"filter_type": "Individual size down",
"id": "Z",
"trigger": {
"value": "5862"
}
},
{
"cfid": 23454,
"comparator_type": "display",
"filter_type": "JA3 hash",
"id": "d1",
"trigger": {
"value": "5d41402abc4b2a76b9719d911017c592"
}
},
{
"cfid": 23455,
"comparator_type": "display",
"filter_type": "ASN",
"id": "d2",
"trigger": {
"value": "AS12345 LOCAL-02"
}
},
{
"cfid": 23456,
"comparator_type": "display",
"filter_type": "Destination IP",
"id": "d3",
"trigger": {
"value": "81.2.69.192"
}
},
{
"cfid": 23457,
"comparator_type": "display",
"filter_type": "Connection hostname",
"id": "d4",
"trigger": {
"value": "example.com"
}
}
]
}
]
}
},
"data_stream": {
"dataset": "darktrace.model_breach_alert",
"namespace": "56997",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "12398e67-5831-430a-bd92-515cfa993c86",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"created": "2022-07-11T13:04:19.000Z",
"dataset": "darktrace.model_breach_alert",
"ingested": "2024-10-25T03:45:44Z",
"kind": "event",
"original": "{\"commentCount\":0,\"pbid\":1,\"time\":1657544648000,\"creationTime\":1657544659000,\"aianalystData\":[{\"uuid\":\"1234abcd-1234-1234-1234-123456abcdef\",\"related\":[1],\"summariser\":\"BeaconSummary\"}],\"model\":{\"name\":\"Compromise::Beaconing Activity To External Rare\",\"pid\":156,\"phid\":1072,\"uuid\":\"1234abcd-1234-1234-1234-123456abcdef\",\"logic\":{\"data\":[{\"cid\":2026,\"weight\":1},{\"cid\":2024,\"weight\":1},{\"cid\":2025,\"weight\":-100}],\"targetScore\":1,\"type\":\"weightedComponentList\",\"version\":1},\"throttle\":10800,\"sharedEndpoints\":false,\"actions\":{\"alert\":true,\"antigena\":{},\"breach\":true,\"model\":true,\"setPriority\":false,\"setTag\":false,\"setType\":false},\"tags\":[\"AP: C2 Comms\"],\"interval\":10800,\"delay\":0,\"sequenced\":false,\"active\":true,\"modified\":\"2022-07-11 11:47:37\",\"activeTimes\":{\"devices\":{},\"tags\":{},\"type\":\"exclusions\",\"version\":2},\"autoUpdatable\":true,\"autoUpdate\":true,\"autoSuppress\":true,\"description\":\"A device has been repeatedly connecting to a rare external location with a beacon score. A beacon score is added when Darktrace identifies that a device is regularly communicating with an endpoint, for example, if a device connects to a rare external endpoint every 12 minutes this would get a beacon score. This model is designed to identify beaconing at a lower threshold and be protocol agnostic.\\\\\n\\\\\nAction: Review the external domains and IPs being connected to to see if they are legitimate and would be expected for business purposes.\",\"behaviour\":\"incdec1\",\"created\":{\"by\":\"System\"},\"edited\":{\"by\":\"System\"},\"version\":23,\"priority\":2,\"category\":\"Informational\",\"compliance\":false},\"triggeredComponents\":[{\"time\":1657544648000,\"cbid\":1,\"cid\":2026,\"chid\":2113,\"size\":11,\"threshold\":10,\"interval\":3600,\"logic\":{\"data\":{\"left\":{\"left\":\"A\",\"operator\":\"AND\",\"right\":{\"left\":\"AA\",\"operator\":\"AND\",\"right\":{\"left\":\"AC\",\"operator\":\"AND\",\"right\":{\"left\":\"AD\",\"operator\":\"AND\",\"right\":{\"left\":\"AF\",\"operator\":\"AND\",\"right\":{\"left\":\"AG\",\"operator\":\"AND\",\"right\":{\"left\":\"AH\",\"operator\":\"AND\",\"right\":{\"left\":\"B\",\"operator\":\"AND\",\"right\":{\"left\":\"C\",\"operator\":\"AND\",\"right\":{\"left\":\"D\",\"operator\":\"AND\",\"right\":{\"left\":\"E\",\"operator\":\"AND\",\"right\":{\"left\":\"H\",\"operator\":\"AND\",\"right\":{\"left\":\"I\",\"operator\":\"AND\",\"right\":{\"left\":\"J\",\"operator\":\"AND\",\"right\":{\"left\":\"K\",\"operator\":\"AND\",\"right\":{\"left\":\"L\",\"operator\":\"AND\",\"right\":{\"left\":\"M\",\"operator\":\"AND\",\"right\":{\"left\":\"N\",\"operator\":\"AND\",\"right\":{\"left\":\"O\",\"operator\":\"AND\",\"right\":{\"left\":\"P\",\"operator\":\"AND\",\"right\":{\"left\":\"S\",\"operator\":\"AND\",\"right\":{\"left\":\"U\",\"operator\":\"AND\",\"right\":{\"left\":\"V\",\"operator\":\"AND\",\"right\":{\"left\":\"X\",\"operator\":\"AND\",\"right\":{\"left\":\"Y\",\"operator\":\"AND\",\"right\":\"Z\"}}}}}}}}}}}}}}}}}}}}}}}}},\"operator\":\"OR\",\"right\":{\"left\":\"A\",\"operator\":\"AND\",\"right\":{\"left\":\"AA\",\"operator\":\"AND\",\"right\":{\"left\":\"AB\",\"operator\":\"AND\",\"right\":{\"left\":\"AE\",\"operator\":\"AND\",\"right\":{\"left\":\"AF\",\"operator\":\"AND\",\"right\":{\"left\":\"AG\",\"operator\":\"AND\",\"right\":{\"left\":\"AH\",\"operator\":\"AND\",\"right\":{\"left\":\"C\",\"operator\":\"AND\",\"right\":{\"left\":\"D\",\"operator\":\"AND\",\"right\":{\"left\":\"E\",\"operator\":\"AND\",\"right\":{\"left\":\"H\",\"operator\":\"AND\",\"right\":{\"left\":\"I\",\"operator\":\"AND\",\"right\":{\"left\":\"J\",\"operator\":\"AND\",\"right\":{\"left\":\"K\",\"operator\":\"AND\",\"right\":{\"left\":\"L\",\"operator\":\"AND\",\"right\":{\"left\":\"M\",\"operator\":\"AND\",\"right\":{\"left\":\"N\",\"operator\":\"AND\",\"right\":{\"left\":\"O\",\"operator\":\"AND\",\"right\":{\"left\":\"P\",\"operator\":\"AND\",\"right\":{\"left\":\"S\",\"operator\":\"AND\",\"right\":{\"left\":\"U\",\"operator\":\"AND\",\"right\":{\"left\":\"V\",\"operator\":\"AND\",\"right\":{\"left\":\"X\",\"operator\":\"AND\",\"right\":{\"left\":\"Y\",\"operator\":\"AND\",\"right\":\"Z\"}}}}}}}}}}}}}}}}}}}}}}}}},\"version\":\"v0.1\"},\"metric\":{\"mlid\":1,\"name\":\"externalconnections\",\"label\":\"External Connections\"},\"triggeredFilters\":[{\"cfid\":23426,\"id\":\"A\",\"filterType\":\"Beaconing score\",\"arguments\":{\"value\":60},\"comparatorType\":\">\",\"trigger\":{\"value\":\"100\"}},{\"cfid\":23427,\"id\":\"AA\",\"filterType\":\"Individual size up\",\"arguments\":{\"value\":0},\"comparatorType\":\">\",\"trigger\":{\"value\":\"4382\"}},{\"cfid\":23428,\"id\":\"AB\",\"filterType\":\"Rare domain\",\"arguments\":{\"value\":95},\"comparatorType\":\">\",\"trigger\":{\"value\":\"100\"}},{\"cfid\":23430,\"id\":\"AD\",\"filterType\":\"Age of destination\",\"arguments\":{\"value\":1209600},\"comparatorType\":\"<\",\"trigger\":{\"value\":\"558\"}},{\"cfid\":23431,\"id\":\"AE\",\"filterType\":\"Age of external hostname\",\"arguments\":{\"value\":1209600},\"comparatorType\":\"<\",\"trigger\":{\"value\":\"558\"}},{\"cfid\":23432,\"id\":\"AF\",\"filterType\":\"Connection hostname\",\"arguments\":{\"value\":\"examples\"},\"comparatorType\":\"does not match regular expression\",\"trigger\":{\"value\":\"example.com\"}},{\"cfid\":23433,\"id\":\"AG\",\"filterType\":\"ASN\",\"arguments\":{\"value\":\"examples\"},\"comparatorType\":\"does not match regular expression\",\"trigger\":{\"value\":\"AS12345 LOCAL-02\"}},{\"cfid\":23434,\"id\":\"AH\",\"filterType\":\"JA3 hash\",\"arguments\":{\"value\":\"5d41402abc4b2a76b9719d911017c592\"},\"comparatorType\":\"does not match\",\"trigger\":{\"value\":\"5d41402abc4b2a76b9719d911017c592\"}},{\"cfid\":23435,\"id\":\"B\",\"filterType\":\"Rare external IP\",\"arguments\":{\"value\":95},\"comparatorType\":\">\",\"trigger\":{\"value\":\"100\"}},{\"cfid\":23436,\"id\":\"C\",\"filterType\":\"Application protocol\",\"arguments\":{\"value\":\"1003\"},\"comparatorType\":\"is not\",\"trigger\":{\"value\":\"1004\"}},{\"cfid\":23437,\"id\":\"D\",\"filterType\":\"Destination port\",\"arguments\":{\"value\":53},\"comparatorType\":\"!=\",\"trigger\":{\"value\":\"443\"}},{\"cfid\":23438,\"id\":\"E\",\"filterType\":\"Direction\",\"arguments\":{\"value\":\"out\"},\"comparatorType\":\"is\",\"trigger\":{\"value\":\"out\"}},{\"cfid\":23439,\"id\":\"H\",\"filterType\":\"Destination port\",\"arguments\":{\"value\":137},\"comparatorType\":\"!=\",\"trigger\":{\"value\":\"443\"}},{\"cfid\":23440,\"id\":\"I\",\"filterType\":\"Destination port\",\"arguments\":{\"value\":161},\"comparatorType\":\"!=\",\"trigger\":{\"value\":\"443\"}},{\"cfid\":23441,\"id\":\"J\",\"filterType\":\"Protocol\",\"arguments\":{\"value\":\"6\"},\"comparatorType\":\"is\",\"trigger\":{\"value\":\"6\"}},{\"cfid\":23442,\"id\":\"K\",\"filterType\":\"ASN\",\"arguments\":{\"value\":\"Company\"},\"comparatorType\":\"does not contain\",\"trigger\":{\"value\":\"AS12345 LOCAL-02\"}},{\"cfid\":23443,\"id\":\"L\",\"filterType\":\"ASN\",\"arguments\":{\"value\":\"Company\"},\"comparatorType\":\"does not contain\",\"trigger\":{\"value\":\"AS12345 LOCAL-02\"}},{\"cfid\":23444,\"id\":\"M\",\"filterType\":\"Internal source device type\",\"arguments\":{\"value\":\"13\"},\"comparatorType\":\"is not\",\"trigger\":{\"value\":\"6\"}},{\"cfid\":23445,\"id\":\"N\",\"filterType\":\"Internal source device type\",\"arguments\":{\"value\":\"5\"},\"comparatorType\":\"is not\",\"trigger\":{\"value\":\"6\"}},{\"cfid\":23446,\"id\":\"O\",\"filterType\":\"Internal source device type\",\"arguments\":{\"value\":\"9\"},\"comparatorType\":\"is not\",\"trigger\":{\"value\":\"6\"}},{\"cfid\":23447,\"id\":\"P\",\"filterType\":\"Internal source device type\",\"arguments\":{\"value\":\"12\"},\"comparatorType\":\"is not\",\"trigger\":{\"value\":\"6\"}},{\"cfid\":23448,\"id\":\"S\",\"filterType\":\"Internal source device type\",\"arguments\":{\"value\":\"30\"},\"comparatorType\":\"is not\",\"trigger\":{\"value\":\"6\"}},{\"cfid\":23449,\"id\":\"U\",\"filterType\":\"Internal source device type\",\"arguments\":{\"value\":\"4\"},\"comparatorType\":\"is not\",\"trigger\":{\"value\":\"6\"}},{\"cfid\":23450,\"id\":\"V\",\"filterType\":\"Internal source device type\",\"arguments\":{\"value\":\"3\"},\"comparatorType\":\"is not\",\"trigger\":{\"value\":\"6\"}},{\"cfid\":23451,\"id\":\"X\",\"filterType\":\"Trusted hostname\",\"arguments\":{\"value\":\"false\"},\"comparatorType\":\"is\",\"trigger\":{\"value\":\"false\"}},{\"cfid\":23452,\"id\":\"Y\",\"filterType\":\"Tagged internal source\",\"arguments\":{\"value\":26},\"comparatorType\":\"does not have tag\",\"trigger\":{\"value\":\"26\",\"tag\":{\"tid\":26,\"expiry\":0,\"thid\":26,\"name\":\"No Device Tracking\",\"restricted\":false,\"data\":{\"auto\":false,\"color\":5,\"description\":\"\",\"visibility\":\"Public\"},\"isReferenced\":true}}},{\"cfid\":23453,\"id\":\"Z\",\"filterType\":\"Individual size down\",\"arguments\":{\"value\":0},\"comparatorType\":\">\",\"trigger\":{\"value\":\"5862\"}},{\"cfid\":23454,\"id\":\"d1\",\"filterType\":\"JA3 hash\",\"arguments\":{},\"comparatorType\":\"display\",\"trigger\":{\"value\":\"5d41402abc4b2a76b9719d911017c592\"}},{\"cfid\":23455,\"id\":\"d2\",\"filterType\":\"ASN\",\"arguments\":{},\"comparatorType\":\"display\",\"trigger\":{\"value\":\"AS12345 LOCAL-02\"}},{\"cfid\":23456,\"id\":\"d3\",\"filterType\":\"Destination IP\",\"arguments\":{},\"comparatorType\":\"display\",\"trigger\":{\"value\":\"81.2.69.192\"}},{\"cfid\":23457,\"id\":\"d4\",\"filterType\":\"Connection hostname\",\"arguments\":{},\"comparatorType\":\"display\",\"trigger\":{\"value\":\"example.com\"}}]}],\"score\":0.674,\"device\":{\"did\":3,\"ip\":\"81.2.69.142\",\"sid\":1,\"firstSeen\":1657544089000,\"lastSeen\":1657544418000,\"typename\":\"desktop\",\"typelabel\":\"Desktop\"}}",
"risk_score": 0.674,
"risk_score_norm": 67.4,
"severity": 2,
"start": [
"2022-07-11T13:04:08.000Z"
],
"type": [
"info",
"connection"
]
},
"host": {
"id": "3",
"ip": [
"81.2.69.142"
],
"type": "desktop"
},
"input": {
"type": "udp"
},
"log": {
"source": {
"address": "192.168.112.3:50896"
},
"syslog": {
"facility": {
"code": 20,
"name": "local4"
},
"hostname": "example.cloud.darktrace.com",
"priority": 165,
"severity": {
"code": 5,
"name": "Notice"
},
"version": "1"
}
},
"related": {
"ip": [
"81.2.69.142"
],
"user": [
"System"
]
},
"rule": {
"author": [
"System"
],
"category": "Informational",
"description": "A device has been repeatedly connecting to a rare external location with a beacon score. A beacon score is added when Darktrace identifies that a device is regularly communicating with an endpoint, for example, if a device connects to a rare external endpoint every 12 minutes this would get a beacon score. This model is designed to identify beaconing at a lower threshold and be protocol agnostic.\\n\\nAction: Review the external domains and IPs being connected to to see if they are legitimate and would be expected for business purposes.",
"name": "Compromise::Beaconing Activity To External Rare",
"ruleset": [
"AP: C2 Comms"
],
"uuid": "1234abcd-1234-1234-1234-123456abcdef",
"version": "23"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"darktrace-model_breach_alert"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
darktrace.model_breach_alert.acknowledged.time |
日期 |
|
darktrace.model_breach_alert.acknowledged.username |
关键字 |
|
darktrace.model_breach_alert.aianalyst_data.related |
长整型 |
|
darktrace.model_breach_alert.aianalyst_data.summariser |
关键字 |
|
darktrace.model_breach_alert.aianalyst_data.uuid |
关键字 |
|
darktrace.model_breach_alert.breach_url.domain |
关键字 |
|
darktrace.model_breach_alert.breach_url.extension |
关键字 |
|
darktrace.model_breach_alert.breach_url.fragment |
关键字 |
|
darktrace.model_breach_alert.breach_url.full |
关键字 |
|
darktrace.model_breach_alert.breach_url.original |
关键字 |
|
darktrace.model_breach_alert.breach_url.password |
关键字 |
|
darktrace.model_breach_alert.breach_url.path |
关键字 |
|
darktrace.model_breach_alert.breach_url.port |
长整型 |
|
darktrace.model_breach_alert.breach_url.query |
关键字 |
|
darktrace.model_breach_alert.breach_url.scheme |
关键字 |
|
darktrace.model_breach_alert.breach_url.username |
关键字 |
|
darktrace.model_breach_alert.comment.count |
针对此违规行为的评论数量。 |
长整型 |
darktrace.model_breach_alert.creation_time |
创建违规记录的时间戳。这与 “time” 字段不同。 |
日期 |
darktrace.model_breach_alert.device.credentials |
关键字 |
|
darktrace.model_breach_alert.device.did |
“设备 ID”,一个唯一标识符。 |
长整型 |
darktrace.model_breach_alert.device.first_seen |
设备首次在网络上被发现的时间。 |
日期 |
darktrace.model_breach_alert.device.hostname |
当前的设备主机名。 |
关键字 |
darktrace.model_breach_alert.device.ip |
当前与设备关联的 IP。 |
关键字 |
darktrace.model_breach_alert.device.ip6 |
如果适用,此设备的当前 IPv6 地址;否则为 undefined。 |
关键字 |
darktrace.model_breach_alert.device.ips.ip |
与该设备关联的历史 IP。 |
关键字 |
darktrace.model_breach_alert.device.ips.sid |
IP 所属子网的子网 ID。 |
长整型 |
darktrace.model_breach_alert.device.ips.time |
上次看到该 IP 与该设备关联的时间,以可读格式显示。 |
日期 |
darktrace.model_breach_alert.device.ips.timems |
上次看到该 IP 与该设备关联的时间,以 Unix 时间戳表示。 |
日期 |
darktrace.model_breach_alert.device.last_seen |
设备上次在网络上被发现的时间。 |
日期 |
darktrace.model_breach_alert.device.mac_address |
当前与设备关联的 MAC 地址。 |
关键字 |
darktrace.model_breach_alert.device.sid |
设备当前所在子网的子网 ID。 |
长整型 |
darktrace.model_breach_alert.device.tags.data.auto |
布尔值 |
|
darktrace.model_breach_alert.device.tags.data.color |
长整型 |
|
darktrace.model_breach_alert.device.tags.data.description |
关键字 |
|
darktrace.model_breach_alert.device.tags.data.visibility |
关键字 |
|
darktrace.model_breach_alert.device.tags.expiry |
长整型 |
|
darktrace.model_breach_alert.device.tags.is_referenced |
布尔值 |
|
darktrace.model_breach_alert.device.tags.name |
关键字 |
|
darktrace.model_breach_alert.device.tags.restricted |
布尔值 |
|
darktrace.model_breach_alert.device.tags.thid |
长整型 |
|
darktrace.model_breach_alert.device.tags.tid |
长整型 |
|
darktrace.model_breach_alert.device.type_label |
可读格式的设备类型。 |
关键字 |
darktrace.model_breach_alert.device.type_name |
系统格式的设备类型。 |
关键字 |
darktrace.model_breach_alert.device.vendor |
Darktrace 从 MAC 地址推导出的设备网卡的供应商。 |
关键字 |
darktrace.model_breach_alert.device_score |
双精度 |
|
darktrace.model_breach_alert.is_acknowledged |
布尔值 |
|
darktrace.model_breach_alert.mitre_techniques.id |
关键字 |
|
darktrace.model_breach_alert.mitre_techniques.name |
关键字 |
|
darktrace.model_breach_alert.model.actions.antigena.action |
要执行的操作。 |
关键字 |
darktrace.model_breach_alert.model.actions.antigena.duration |
antigena 操作应持续的秒数。 |
长整型 |
darktrace.model_breach_alert.model.actions.antigena.is_confirm_by_human_operator |
是否必须由人工操作员确认该操作,无论人类确认模式的全局设置如何。 |
布尔值 |
darktrace.model_breach_alert.model.actions.antigena.threshold |
antigena 将采取操作的违规分数阈值(满分 100 分)。 |
长整型 |
darktrace.model_breach_alert.model.actions.is_alerting |
如果为 true,则在满足此类警报的条件时,会将打开的警报推送到外部系统。 |
布尔值 |
darktrace.model_breach_alert.model.actions.is_breach |
如果为 true,则在满足此类警报的条件时,会将打开的警报推送到外部系统。 |
布尔值 |
darktrace.model_breach_alert.model.actions.is_priority_set |
如果要在违规时更改优先级,则应更改为的数值。如果没有优先级更改操作,则为 false 布尔值。 |
布尔值 |
darktrace.model_breach_alert.model.actions.is_tag_set |
如果要在模型违规时应用标签,则为要应用的标签的系统 ID 的单个数字或数组。如果没有标签操作,则为 false 布尔值。 |
布尔值 |
darktrace.model_breach_alert.model.actions.is_type_set |
如果要在模型违规时应用更改设备类型操作,则为要应用的标签的数值系统 ID。如果没有对模型应用更改设备类型操作,则为 false 布尔值。 |
布尔值 |
darktrace.model_breach_alert.model.actions.model |
如果为 true,则在设备的事件日志中创建事件,而不在威胁托盘中创建警报/模型违规。 |
布尔值 |
darktrace.model_breach_alert.model.active_times.devices |
列表中设备的设备 ID。 |
扁平化 |
darktrace.model_breach_alert.model.active_times.tags |
系统字段。 |
扁平化 |
darktrace.model_breach_alert.model.active_times.type |
列表类型:“restrictions” 表示黑名单,“exclusions” 表示白名单。 |
关键字 |
darktrace.model_breach_alert.model.active_times.version |
系统字段。 |
长整型 |
darktrace.model_breach_alert.model.behaviour |
在模型编辑器中设置的分数调制函数。 |
关键字 |
darktrace.model_breach_alert.model.category |
发生违规的模型行为类别。 |
关键字 |
darktrace.model_breach_alert.model.created.by |
创建模型的用户名。 |
关键字 |
darktrace.model_breach_alert.model.defeats.arguments.value |
要使失败生效必须匹配的值。 |
关键字 |
darktrace.model_breach_alert.model.defeats.comparator |
用于将该值与创建失败进行比较的比较器。 |
关键字 |
darktrace.model_breach_alert.model.defeats.filtertype |
创建失败的过滤器。 |
关键字 |
darktrace.model_breach_alert.model.defeats.id |
失败的唯一 ID。 |
长整型 |
darktrace.model_breach_alert.model.delay |
在正评分组件触发后,计算整体模型分数之前的最短延迟时间(以秒为单位)。仅适用于目标分数模型。 |
长整型 |
darktrace.model_breach_alert.model.description |
模型的可选说明。 |
关键字 |
darktrace.model_breach_alert.model.edited.by |
上次编辑模型的用户名。 |
关键字 |
darktrace.model_breach_alert.model.edited.userid |
长整型 |
|
darktrace.model_breach_alert.model.in_compliance_behavior_category |
该模型是否属于合规行为类别。 |
布尔值 |
darktrace.model_breach_alert.model.interval |
如果模型包含多个组件,则此间隔表示所有组件应在其中触发的时间窗口(以秒为单位),以便违反此模型。 |
长整型 |
darktrace.model_breach_alert.model.is_active |
模型是否已启用或禁用。 |
布尔值 |
darktrace.model_breach_alert.model.is_auto_suppress |
在过度违规的情况下,模型是否会自动抑制。 |
布尔值 |
darktrace.model_breach_alert.model.is_auto_updatable |
该模型是否适合自动更新。 |
布尔值 |
darktrace.model_breach_alert.model.is_auto_update |
是否启用该模型进行自动更新。 |
布尔值 |
darktrace.model_breach_alert.model.is_sequenced |
是否需要按指定顺序触发组件才能发生模型违规。 |
布尔值 |
darktrace.model_breach_alert.model.is_shared_endpoints |
对于包含引用端点的多个组件的模型,此值指示是否所有端点都应相同才能触发模型。 |
布尔值 |
darktrace.model_breach_alert.model.logic.data_component_list |
这将是组件 ID 数字的列表。 |
长整型 |
darktrace.model_breach_alert.model.logic.data_weighted_component_list.cid |
长整型 |
|
darktrace.model_breach_alert.model.logic.data_weighted_component_list.weight |
长整型 |
|
darktrace.model_breach_alert.model.logic.target_score |
长整型 |
|
darktrace.model_breach_alert.model.logic.type |
模型类型。 |
关键字 |
darktrace.model_breach_alert.model.logic.version |
表示模型逻辑版本的数字。 |
长整型 |
darktrace.model_breach_alert.model.modified |
上次修改模型的时间戳,以可读格式显示。 |
日期 |
darktrace.model_breach_alert.model.name |
发生违规的模型的名称。 |
关键字 |
darktrace.model_breach_alert.model.phid |
模型“策略历史” ID。修改模型时递增。 |
长整型 |
darktrace.model_breach_alert.model.pid |
发生违规的模型的 “策略 ID”。 |
长整型 |
darktrace.model_breach_alert.model.priority |
模型的优先级会影响其违规强度(0-5 级)。 |
长整型 |
darktrace.model_breach_alert.model.tags |
已在威胁可视化器模型编辑器中应用于此模型的标签列表。 |
关键字 |
darktrace.model_breach_alert.model.throttle |
对于单个设备,这是此模型将不再触发的时间值(以秒为单位)。 |
长整型 |
darktrace.model_breach_alert.model.uuid |
创建模型时生成的唯一 ID。 |
关键字 |
darktrace.model_breach_alert.model.version |
模型版本。每次编辑时递增。 |
长整型 |
darktrace.model_breach_alert.pb_score |
模型违规分数,以 0 到 1 之间的值表示。 |
双精度 |
darktrace.model_breach_alert.pbid |
模型违规的“策略违规 ID”。 |
长整型 |
darktrace.model_breach_alert.score |
模型违规分数,以 0 到 1 之间的值表示。 |
双精度 |
darktrace.model_breach_alert.time |
创建记录时的时间戳,以 Unix 时间戳表示。 |
日期 |
darktrace.model_breach_alert.triggered_components.cbid |
“组件违规 ID”。 组件违规的唯一标识符。 |
长整型 |
darktrace.model_breach_alert.triggered_components.chid |
“组件历史 ID”。组件被编辑时会递增。 |
长整型 |
darktrace.model_breach_alert.triggered_components.cid |
“组件 ID”。一个唯一的标识符。 |
长整型 |
darktrace.model_breach_alert.triggered_components.interval |
必须满足阈值的秒数时间范围。 |
长整型 |
darktrace.model_breach_alert.triggered_components.logic.data |
它表示组件过滤器之间的逻辑关系。每个过滤器都有一个字母引用,此字段的内容描述了这些过滤器之间的关系。 |
文本 |
darktrace.model_breach_alert.triggered_components.logic.version |
组件逻辑的版本。 |
关键字 |
darktrace.model_breach_alert.triggered_components.metric.label |
以可读格式返回数据的指标。 |
关键字 |
darktrace.model_breach_alert.triggered_components.metric.mlid |
“指标逻辑”ID - 唯一的标识符。 |
长整型 |
darktrace.model_breach_alert.triggered_components.metric.name |
以系统格式返回数据的指标。 |
关键字 |
darktrace.model_breach_alert.triggered_components.size |
组件中比较的值的大小。 |
长整型 |
darktrace.model_breach_alert.triggered_components.threshold |
组件发生违规时,大小必须超过的阈值。 |
长整型 |
darktrace.model_breach_alert.triggered_components.time |
触发组件时的 Epoch 时间戳。 |
日期 |
darktrace.model_breach_alert.triggered_components.triggered_filters.arguments.value |
过滤器类型应与之比较的值(使用指定的比较器)以创建过滤器。 |
关键字 |
darktrace.model_breach_alert.triggered_components.triggered_filters.cfid |
“组件过滤器 ID”。作为组件一部分的过滤器的唯一标识符。 |
长整型 |
darktrace.model_breach_alert.triggered_components.triggered_filters.comparator_type |
比较器。可在 /filtertypes 端点上找到每个过滤器类型可用的完整比较器列表。 |
关键字 |
darktrace.model_breach_alert.triggered_components.triggered_filters.filter_type |
过滤器中使用的过滤器类型。可在 /filtertypes 端点上找到完整的过滤器类型列表。 |
关键字 |
darktrace.model_breach_alert.triggered_components.triggered_filters.id |
组件逻辑中使用的过滤器。所有过滤器都具有字母标识符。显示过滤器(即出现在违规通知中的过滤器)可以通过小写字母“d”和数字来识别。 |
关键字 |
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.tag.data.auto |
布尔值 |
|
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.tag.data.color |
长整型 |
|
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.tag.data.description |
关键字 |
|
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.tag.data.visibility |
关键字 |
|
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.tag.expiry |
nan |
长整型 |
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.tag.is_referenced |
nan |
布尔值 |
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.tag.name |
nan |
关键字 |
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.tag.restricted |
nan |
布尔值 |
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.tag.thid |
nan |
长整型 |
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.tag.tid |
nan |
长整型 |
darktrace.model_breach_alert.triggered_components.triggered_filters.trigger.value |
触发过滤器的实际值。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
system_status_alert
编辑这是 system_status_alert 数据集。
示例
system_status_alert 的示例事件如下所示
{
"@timestamp": "2021-04-18T15:44:11.000Z",
"agent": {
"ephemeral_id": "b16aba4d-b447-49c7-ac87-7785481b8e51",
"id": "85270a54-b915-4d11-9305-d004346cb8cf",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.9.0"
},
"darktrace": {
"system_status_alert": {
"alert_name": "Advanced Search",
"child_id": 1,
"hostname": "example-vsensor",
"ip_address": "175.16.199.1",
"last_updated": "2021-04-18T15:44:11.000Z",
"last_updated_status": "2021-04-18T15:44:11.000Z",
"message": "There have been no Advanced Search hits for this instance seen since Sun 18 April 2021 13:20:23 (UTC). If this is not expected behaviour, please open a ticket using the following link or get in touch with your Cyber Technology Specialist. https://example.com/test",
"name": "advanced_search",
"priority": 43,
"priority_level": "medium",
"status": "active",
"uuid": "abcdabcd-1234-1234-1234-3abababcdcd3"
}
},
"data_stream": {
"dataset": "darktrace.system_status_alert",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "85270a54-b915-4d11-9305-d004346cb8cf",
"snapshot": true,
"version": "8.9.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "darktrace.system_status_alert",
"id": "abcdabcd-1234-1234-1234-3abababcdcd3",
"ingested": "2023-06-14T17:06:15Z",
"kind": "alert",
"original": "{\"last_updated\":1618760651,\"uuid\":\"abcdabcd-1234-1234-1234-3abababcdcd3\",\"priority\":43,\"priority_level\":\"medium\",\"hostname\":\"example-vsensor\",\"ip_address\":\"175.16.199.1\",\"message\":\"There have been no Advanced Search hits for this instance seen since Sun 18 April 2021 13:20:23 (UTC). If this is not expected behaviour, please open a ticket using the following link or get in touch with your Cyber Technology Specialist. https://example.com/test\",\"name\":\"advanced_search\",\"acknowledge_timeout\":null,\"alert_name\":\"Advanced Search\",\"child_id\":1,\"last_updated_status\":1618760651,\"status\":\"active\"}",
"reason": "There have been no Advanced Search hits for this instance seen since Sun 18 April 2021 13:20:23 (UTC). If this is not expected behaviour, please open a ticket using the following link or get in touch with your Cyber Technology Specialist. https://example.com/test",
"risk_score": 43,
"risk_score_norm": 43,
"type": [
"info"
]
},
"host": {
"hostname": "example-vsensor",
"ip": [
"175.16.199.1"
]
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "172.31.0.4:43852"
},
"syslog": {
"facility": {
"code": 20,
"name": "local4"
},
"hostname": "example.cloud.darktrace.com",
"priority": 165,
"severity": {
"code": 5,
"name": "Notice"
},
"version": "1"
}
},
"related": {
"hosts": [
"example-vsensor"
],
"ip": [
"175.16.199.1"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"darktrace-system_status_alert"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
darktrace.system_status_alert.acknowledge_timeout |
警报确认过期的时间。由于警报在可以确认之前在创建时会在外部发送,因此在几乎所有情况下此值都将为 null。 |
关键字 |
darktrace.system_status_alert.alert_name |
警报类型的人类可读名称。 |
关键字 |
darktrace.system_status_alert.child_id |
对于探测器(物理或虚拟),与探测器关联的唯一 ID。 |
长整型 |
darktrace.system_status_alert.hostname |
正在经历系统警报的主机的主机名(如果已知)。断开连接通知存在例外情况,其中主机名将是从该实例断开连接的主机的主机名。 |
关键字 |
darktrace.system_status_alert.ip_address |
正在经历系统警报的主机的 IP。断开连接通知存在例外情况,其中 IP 将是从该实例断开连接的主机的 IP。 |
关键字 |
darktrace.system_status_alert.last_updated |
系统警报本身更新时的 Epoch 时间戳。 |
日期 |
darktrace.system_status_alert.last_updated_status |
系统警报状态上次全局更新时的 Epoch 时间戳。状态更新与警报本身的更新不同。 |
日期 |
darktrace.system_status_alert.message |
触发警报的系统事件的文本描述。 |
关键字 |
darktrace.system_status_alert.name |
警报类型的系统名称。 |
关键字 |
darktrace.system_status_alert.priority |
与警报关联的数字严重程度。 |
双精度 |
darktrace.system_status_alert.priority_level |
警报的严重程度。此值根据优先级值计算得出:0 - 40 低,41 - 60 中,61 - 80 高,81 - 100 严重。 |
关键字 |
darktrace.system_status_alert.status |
警报的当前状态。活动警报正在进行中,已确认的事件是在“系统状态”页面上确认的事件,已解决的警报是不再进行的系统警报。仅当警报进入“活动”或“已解决”状态时才会发送警报。 |
关键字 |
darktrace.system_status_alert.url.domain |
关键字 |
|
darktrace.system_status_alert.url.extension |
关键字 |
|
darktrace.system_status_alert.url.fragment |
关键字 |
|
darktrace.system_status_alert.url.full |
关键字 |
|
darktrace.system_status_alert.url.original |
关键字 |
|
darktrace.system_status_alert.url.password |
关键字 |
|
darktrace.system_status_alert.url.path |
关键字 |
|
darktrace.system_status_alert.url.port |
长整型 |
|
darktrace.system_status_alert.url.query |
关键字 |
|
darktrace.system_status_alert.url.scheme |
关键字 |
|
darktrace.system_status_alert.url.username |
关键字 |
|
darktrace.system_status_alert.uuid |
可用于导航到威胁可视化工具中特定警报的一致 UUID (https://[实例]/sysstatus/[uuid])。如果问题再次发生导致警报在解决后重新激活,则该 UUID 在所有警报中将保持一致。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.22.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.21.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.20.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.19.0 |
增强 (查看拉取请求) 错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.14.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
0.3.1 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.2 |
错误修复 (查看拉取请求) |
— |
0.1.1 |
错误修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |