Elastic Defend 集成

@timestamp

事件发生时的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。

date

Endpoint.policy

策略字段用于保存有关应用的策略的信息。

object

Endpoint.policy.applied

有关应用的策略的信息

object

Endpoint.policy.applied.artifacts

有关应用的保护构件的信息。

object

Endpoint.policy.applied.artifacts.global

有关应用的全局保护构件的信息。

object

Endpoint.policy.applied.artifacts.global.identifiers

应用的全局构件的标识符。

nested

Endpoint.policy.applied.artifacts.global.identifiers.name

应用的全局构件的名称。

keyword

Endpoint.policy.applied.artifacts.global.identifiers.sha256

应用的全局构件的 sha256。

keyword

Endpoint.policy.applied.artifacts.global.snapshot

应用的全局构件的快照日期或最新

keyword

Endpoint.policy.applied.artifacts.global.update_age

全局构件更新至今的天数

unsigned_long

Endpoint.policy.applied.artifacts.global.version

应用的全局构件的版本。

keyword

Endpoint.policy.applied.artifacts.user

有关应用的用户保护构件的信息。

object

Endpoint.policy.applied.artifacts.user.identifiers

应用的用户构件的标识符。

nested

Endpoint.policy.applied.artifacts.user.identifiers.name

应用的用户构件的名称。

keyword

Endpoint.policy.applied.artifacts.user.identifiers.sha256

应用的用户构件的 sha256。

keyword

Endpoint.policy.applied.artifacts.user.version

应用的用户构件的版本。

keyword

Endpoint.policy.applied.id

应用策略的 ID

keyword

Endpoint.policy.applied.name

此应用策略的名称

keyword

Endpoint.policy.applied.status

应用策略的状态

keyword

Endpoint.policy.applied.version

此应用策略的版本

keyword

事件

事件数组

object

Memory_protection.cross_session

此进程是否在操作系统会话之间注入？

boolean

Memory_protection.feature

触发告警的内存保护功能。

keyword

Memory_protection.parent_to_child

此进程是否注入到其子进程中？

boolean

Memory_protection.self_injection

此告警是否关于进程注入自身？

boolean

Memory_protection.thread_count

此告警应用的线程数。如果在短时间内发生多个告警，则可以将它们合并为一个 thread_count > 1 的告警。

long

Memory_protection.unique_key_v1

通过对该告警的几个特征进行哈希处理而创建的唯一键。

keyword

Ransomware.child_processes.executable

进程可执行文件的绝对路径。

keyword

Ransomware.child_processes.feature

触发告警的勒索软件功能。

keyword

Ransomware.child_processes.files

有关归因于勒索软件的每个文件事件的信息。预计为一个数组。

nested

Ransomware.child_processes.files.data

文件头或 MBR 字节。

keyword

Ransomware.child_processes.files.entropy

文件内容的熵。

double

Ransomware.child_processes.files.extension

文件扩展名，不包括前导点。

keyword

Ransomware.child_processes.files.metrics

与文件事件关联的可疑勒索软件行为。

keyword

Ransomware.child_processes.files.operation

应用于文件的操作。

keyword

Ransomware.child_processes.files.original.extension

文件事件之前的原始文件扩展名。

keyword

Ransomware.child_processes.files.original.path

文件事件之前的原始文件路径。

keyword

Ransomware.child_processes.files.path

文件的完整路径，包括文件名。

keyword

Ransomware.child_processes.files.score

此特定文件事件的勒索软件分数。

double

Ransomware.child_processes.pid

进程 ID。

long

Ransomware.child_processes.score

聚合文件事件的勒索软件总分。

double

Ransomware.child_processes.version

勒索软件构件版本。

keyword

Ransomware.executable

进程可执行文件的绝对路径。

keyword

Ransomware.feature

触发告警的勒索软件功能。

keyword

Ransomware.files

有关归因于勒索软件的每个文件事件的信息。预计为一个数组。

nested

Ransomware.files.data

文件头或 MBR 字节。

keyword

Ransomware.files.entropy

文件内容的熵。

double

Ransomware.files.extension

文件扩展名，不包括前导点。

keyword

Ransomware.files.metrics

与文件事件关联的可疑勒索软件行为。

keyword

Ransomware.files.operation

应用于文件的操作。

keyword

Ransomware.files.original.extension

文件事件之前的原始文件扩展名。

keyword

Ransomware.files.original.path

文件事件之前的原始文件路径。

keyword

Ransomware.files.path

文件的完整路径，包括文件名。

keyword

Ransomware.files.score

此特定文件事件的勒索软件分数。

double

Ransomware.pid

进程 ID。

long

Ransomware.score

聚合文件事件的勒索软件总分。

double

Ransomware.version

勒索软件构件版本。

keyword

Responses.@timestamp

采取操作的时间戳

date

Responses.action

表示请求的响应操作的字典

nested

Responses.action.action

响应操作名称

keyword

Responses.action.field

触发事件中用作操作输入的字段

text

Responses.action.file.attributes

目标文件属性

keyword

Responses.action.file.path

目标文件路径

keyword

Responses.action.file.reason

组合的 USN 文件修改原因

long

Responses.action.key.actions

注册表回滚为键采取的操作

keyword

Responses.action.key.path

回滚恢复的注册表项的 NT 路径

keyword

Responses.action.key.values

已修改的值

object

Responses.action.key.values.actions

注册表回滚为值采取的操作

keyword

Responses.action.key.values.name

回滚恢复的值名称

keyword

Responses.action.process.message

进程回滚的状态消息

keyword

Responses.action.process.path

进程回滚杀死的进程的路径

keyword

Responses.action.process.result

进程回滚的结果代码

long

Responses.action.source.attributes

源文件属性

keyword

Responses.action.source.path

源文件路径

keyword

Responses.action.state

事件数组中用于字段查找的事件索引

long

Responses.action.tree

指示是否对整个进程树执行了操作

boolean

Responses.message

结果消息

text

Responses.process

表示进程信息的字典

nested

Responses.process.entity_id

可操作进程的实体 ID

text

Responses.process.name

可操作进程的名称

keyword

Responses.process.pid

可操作进程的 PID

long

Responses.result

响应操作结果代码

long

Target.dll.Ext

所有自定义定义字段所在的对象的类型。

object

Target.dll.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

Target.dll.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

Target.dll.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

Target.dll.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

Target.dll.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

Target.dll.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

Target.dll.Ext.compile_time

模块编译时的时间戳。

date

Target.dll.Ext.malware_classification.identifier

模型的唯一标识符。

keyword

Target.dll.Ext.malware_classification.score

分类模型生成的分数。

double

Target.dll.Ext.malware_classification.threshold

模型的分数阈值。分数高于此阈值的文件被认为是恶意的。

double

Target.dll.Ext.malware_classification.upx_packed

是否检测到 UPX 打包。

boolean

Target.dll.Ext.malware_classification.version

所用模型的版本。

keyword

Target.dll.Ext.mapped_address

加载此模块的基地址。

unsigned_long

Target.dll.Ext.mapped_size

此模块内存映射的大小，以字节为单位。

unsigned_long

Target.dll.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

Target.dll.code_signature.signing_id

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

Target.dll.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

Target.dll.code_signature.subject_name

代码签名者的主题名称

keyword

Target.dll.code_signature.team_id

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

Target.dll.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

Target.dll.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

Target.dll.hash.md5

MD5 哈希值。

keyword

Target.dll.hash.sha1

SHA1 哈希值。

keyword

Target.dll.hash.sha256

SHA256 哈希值。

keyword

Target.dll.hash.sha512

SHA512 哈希值。

keyword

Target.dll.name

库的名称。这通常映射到磁盘上的文件名。

keyword

Target.dll.path

库的完整文件路径。

keyword

Target.dll.pe.company

在编译时提供的文件的内部公司名称。

keyword

Target.dll.pe.description

在编译时提供的文件的内部描述。

keyword

Target.dll.pe.file_version

在编译时提供的文件的内部版本号。

keyword

Target.dll.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

Target.dll.pe.original_file_name

在编译时提供的文件的内部名称。

keyword

Target.dll.pe.product

在编译时提供的文件的内部产品名称。

keyword

Target.process.Ext

所有自定义定义字段所在的对象的类型。

object

Target.process.Ext.ancestry

一个 entity_ids 数组，指示此事件的祖先

keyword

Target.process.Ext.architecture

进程架构。它可能与主机架构不同。

keyword

Target.process.Ext.authentication_id

进程身份验证 ID

keyword

Target.process.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

Target.process.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

Target.process.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

Target.process.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

Target.process.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

Target.process.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

Target.process.Ext.dll.Ext

所有自定义定义字段所在的对象的类型。

object

Target.process.Ext.dll.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

Target.process.Ext.dll.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

Target.process.Ext.dll.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

Target.process.Ext.dll.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

Target.process.Ext.dll.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

Target.process.Ext.dll.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

Target.process.Ext.dll.Ext.compile_time

模块编译时的时间戳。

date

Target.process.Ext.dll.Ext.mapped_address

加载此模块的基地址。

unsigned_long

Target.process.Ext.dll.Ext.mapped_size

此模块内存映射的大小，以字节为单位。

unsigned_long

Target.process.Ext.dll.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

Target.process.Ext.dll.code_signature.signing_id

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

Target.process.Ext.dll.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

Target.process.Ext.dll.code_signature.subject_name

代码签名者的主题名称

keyword

Target.process.Ext.dll.code_signature.team_id

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

Target.process.Ext.dll.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

Target.process.Ext.dll.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

Target.process.Ext.dll.hash.md5

MD5 哈希值。

keyword

Target.process.Ext.dll.hash.sha1

SHA1 哈希值。

keyword

Target.process.Ext.dll.hash.sha256

SHA256 哈希值。

keyword

Target.process.Ext.dll.hash.sha512

SHA512 哈希值。

keyword

Target.process.Ext.dll.name

库的名称。这通常映射到磁盘上的文件名。

keyword

Target.process.Ext.dll.path

库的完整文件路径。

keyword

Target.process.Ext.dll.pe.company

在编译时提供的文件的内部公司名称。

keyword

Target.process.Ext.dll.pe.description

在编译时提供的文件的内部描述。

keyword

Target.process.Ext.dll.pe.file_version

在编译时提供的文件的内部版本号。

keyword

Target.process.Ext.dll.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

Target.process.Ext.dll.pe.original_file_name

在编译时提供的文件的内部名称。

keyword

Target.process.Ext.dll.pe.product

在编译时提供的文件的内部产品名称。

keyword

Target.process.Ext.malware_classification.identifier

模型的唯一标识符。

keyword

Target.process.Ext.malware_classification.score

分类模型生成的分数。

double

Target.process.Ext.malware_classification.threshold

模型的分数阈值。分数高于此阈值的文件被认为是恶意的。

double

Target.process.Ext.malware_classification.upx_packed

是否检测到 UPX 打包。

boolean

Target.process.Ext.malware_classification.version

所用模型的版本。

keyword

Target.process.Ext.memory_region.allocation_base

包含内存区域的内存分配的基地址。

unsigned_long

Target.process.Ext.memory_region.allocation_protection

分配内存时请求的原始内存保护。示例值包括“RWX”和“R-X”。

keyword

Target.process.Ext.memory_region.allocation_size

分配内存时请求的原始内存大小。

unsigned_long

Target.process.Ext.memory_region.allocation_type

内存分配类型。示例值包括“IMAGE”、“MAPPED”和“PRIVATE”。

keyword

Target.process.Ext.memory_region.bytes_address

bytes_compressed 开始的地址。

unsigned_long

Target.process.Ext.memory_region.bytes_allocation_offset

内存分配中 bytes_address 的偏移量。等于 bytes_address - allocation_base。

unsigned_long

Target.process.Ext.memory_region.bytes_compressed

来自内存分配的最多 4MB 的原始数据。使用 zlib 压缩。为了减少数据量，在端点上对数据进行重复数据删除，如果相同的数据多次发送，则可能在许多警报中丢失。

keyword

Target.process.Ext.memory_region.bytes_compressed_present

bytes_compressed 是否存在于此事件中。

boolean

Target.process.Ext.memory_region.malware_signature.all_names

匹配的签名名称序列。

keyword

Target.process.Ext.memory_region.malware_signature.identifier

恶意软件签名标识符

keyword

Target.process.Ext.memory_region.malware_signature.primary

第一个匹配的详细信息。

object

Target.process.Ext.memory_region.malware_signature.primary.matches

第一个匹配的详细信息。

keyword

Target.process.Ext.memory_region.malware_signature.primary.signature.hash

匹配签名的文件的哈希值。

nested

Target.process.Ext.memory_region.malware_signature.primary.signature.hash.sha256

匹配签名的文件的 SHA256 哈希值。

keyword

Target.process.Ext.memory_region.malware_signature.primary.signature.id

第一个匹配的 yara 规则的 ID。

keyword

Target.process.Ext.memory_region.malware_signature.primary.signature.name

第一个匹配的 yara 规则的名称。

keyword

Target.process.Ext.memory_region.malware_signature.version

恶意软件签名版本

keyword

Target.process.Ext.memory_region.mapped_path

如果内存对应于文件映射，则这是文件的路径。

keyword

Target.process.Ext.memory_region.mapped_pe.company

在编译时提供的文件的内部公司名称。

keyword

Target.process.Ext.memory_region.mapped_pe.description

在编译时提供的文件的内部描述。

keyword

Target.process.Ext.memory_region.mapped_pe.file_version

在编译时提供的文件的内部版本号。

keyword

Target.process.Ext.memory_region.mapped_pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

Target.process.Ext.memory_region.mapped_pe.original_file_name

在编译时提供的文件的内部名称。

keyword

Target.process.Ext.memory_region.mapped_pe.product

在编译时提供的文件的内部产品名称。

keyword

Target.process.Ext.memory_region.mapped_pe_detected

映射路径中的文件是否为可执行文件。

boolean

Target.process.Ext.memory_region.memory_pe.company

在编译时提供的文件的内部公司名称。

keyword

Target.process.Ext.memory_region.memory_pe.description

在编译时提供的文件的内部描述。

keyword

Target.process.Ext.memory_region.memory_pe.file_version

在编译时提供的文件的内部版本号。

keyword

Target.process.Ext.memory_region.memory_pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

Target.process.Ext.memory_region.memory_pe.original_file_name

在编译时提供的文件的内部名称。

keyword

Target.process.Ext.memory_region.memory_pe.product

在编译时提供的文件的内部产品名称。

keyword

Target.process.Ext.memory_region.memory_pe_detected

是否在内存中找到了可执行文件。

boolean

Target.process.Ext.memory_region.region_base

内存区域的基地址。

unsigned_long

Target.process.Ext.memory_region.region_protection

内存区域的内存保护。示例值包括“RWX”和“R-X”。

keyword

Target.process.Ext.memory_region.region_size

内存区域的大小。

unsigned_long

Target.process.Ext.memory_region.region_state

内存区域的状态。示例值包括“RESERVE”、“COMMIT”和“FREE”。

keyword

Target.process.Ext.memory_region.strings

在内存区域中找到的字符串数组。

keyword

Target.process.Ext.protection

指示此进程的保护级别。使用与 Process Explorer 相同的语法。示例包括 PsProtectedSignerWinTcb、PsProtectedSignerWinTcb-Light 和 PsProtectedSignerWindows-Light。

keyword

Target.process.Ext.services

在此进程中运行的服务。

keyword

Target.process.Ext.session

当前进程的会话信息

keyword

Target.process.Ext.token.domain

令牌用户的域。

keyword

Target.process.Ext.token.elevation

令牌是否已提升

boolean

Target.process.Ext.token.elevation_type

令牌具有的提升级别

keyword

Target.process.Ext.token.impersonation_level

模拟级别。仅对模拟令牌有效。

keyword

Target.process.Ext.token.integrity_level

数值完整性级别。

long

Target.process.Ext.token.integrity_level_name

人类可读的完整性级别。

keyword

Target.process.Ext.token.is_appcontainer

这是否是应用容器令牌。

boolean

Target.process.Ext.token.privileges

描述与令牌关联的特权的数组。

nested

Target.process.Ext.token.privileges.description

特权的描述。

keyword

Target.process.Ext.token.privileges.enabled

是否启用了特权。

boolean

Target.process.Ext.token.privileges.name

特权的名称。

keyword

Target.process.Ext.token.sid

令牌用户的安全标识符 (SID)。

keyword

Target.process.Ext.token.type

令牌的类型，可以是主令牌或模拟令牌。

keyword

Target.process.Ext.token.user

令牌所有者的用户名。

keyword

Target.process.Ext.user

与正在运行的进程关联的用户。

keyword

Target.process.args

进程参数数组，从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。

keyword

Target.process.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析很有用。更多参数可能表示可疑活动。

long

Target.process.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

Target.process.code_signature.signing_id

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

Target.process.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

Target.process.code_signature.subject_name

代码签名者的主题名称

keyword

Target.process.code_signature.team_id

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

Target.process.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

Target.process.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

Target.process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

通配符

Target.process.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

Target.process.executable

进程可执行文件的绝对路径。

keyword

Target.process.exit_code

如果这是一个终止事件，则为进程的退出代码。如果事件没有退出代码（例如，进程启动），则此字段应不存在。

long

Target.process.hash.md5

MD5 哈希值。

keyword

Target.process.hash.sha1

SHA1 哈希值。

keyword

Target.process.hash.sha256

SHA256 哈希值。

keyword

Target.process.hash.sha512

SHA512 哈希值。

keyword

Target.process.name

进程名称。有时称为程序名称或类似名称。

keyword

Target.process.parent.Ext

所有自定义定义字段所在的对象的类型。

object

Target.process.parent.Ext.architecture

进程架构。它可能与主机架构不同。

keyword

Target.process.parent.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

Target.process.parent.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

Target.process.parent.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

Target.process.parent.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

Target.process.parent.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

Target.process.parent.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

Target.process.parent.Ext.dll.Ext

所有自定义定义字段所在的对象的类型。

object

Target.process.parent.Ext.dll.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

Target.process.parent.Ext.dll.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

Target.process.parent.Ext.dll.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

Target.process.parent.Ext.dll.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

Target.process.parent.Ext.dll.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

Target.process.parent.Ext.dll.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

Target.process.parent.Ext.dll.Ext.compile_time

模块编译时的时间戳。

date

Target.process.parent.Ext.dll.Ext.mapped_address

加载此模块的基地址。

unsigned_long

Target.process.parent.Ext.dll.Ext.mapped_size

此模块内存映射的大小，以字节为单位。

unsigned_long

Target.process.parent.Ext.dll.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

Target.process.parent.Ext.dll.code_signature.signing_id

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

Target.process.parent.Ext.dll.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

Target.process.parent.Ext.dll.code_signature.subject_name

代码签名者的主题名称

keyword

Target.process.parent.Ext.dll.code_signature.team_id

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

Target.process.parent.Ext.dll.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

Target.process.parent.Ext.dll.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

Target.process.parent.Ext.dll.hash.md5

MD5 哈希值。

keyword

Target.process.parent.Ext.dll.hash.sha1

SHA1 哈希值。

keyword

Target.process.parent.Ext.dll.hash.sha256

SHA256 哈希值。

keyword

Target.process.parent.Ext.dll.hash.sha512

SHA512 哈希值。

keyword

Target.process.parent.Ext.dll.name

库的名称。这通常映射到磁盘上的文件名。

keyword

Target.process.parent.Ext.dll.path

库的完整文件路径。

keyword

Target.process.parent.Ext.dll.pe.company

在编译时提供的文件的内部公司名称。

keyword

Target.process.parent.Ext.dll.pe.description

在编译时提供的文件的内部描述。

keyword

Target.process.parent.Ext.dll.pe.file_version

在编译时提供的文件的内部版本号。

keyword

Target.process.parent.Ext.dll.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

Target.process.parent.Ext.dll.pe.original_file_name

在编译时提供的文件的内部名称。

keyword

Target.process.parent.Ext.dll.pe.product

在编译时提供的文件的内部产品名称。

keyword

Target.process.parent.Ext.protection

指示此进程的保护级别。使用与 Process Explorer 相同的语法。示例包括 PsProtectedSignerWinTcb、PsProtectedSignerWinTcb-Light 和 PsProtectedSignerWindows-Light。

keyword

Target.process.parent.Ext.real

如果存在任何 PID 欺骗，则包含进程信息的字段集。这对于 process.parent 主要有用。

object

Target.process.parent.Ext.real.pid

对于 process.parent，这将是实际生成当前进程的进程的 ppid。

long

Target.process.parent.Ext.token.domain

令牌用户的域。

keyword

Target.process.parent.Ext.token.elevation

令牌是否已提升

boolean

Target.process.parent.Ext.token.elevation_type

令牌具有的提升级别

keyword

目标.进程.父进程.扩展.令牌.模拟级别

模拟级别。仅对模拟令牌有效。

keyword

目标.进程.父进程.扩展.令牌.完整性级别

数值完整性级别。

long

目标.进程.父进程.扩展.令牌.完整性级别名称

人类可读的完整性级别。

keyword

目标.进程.父进程.扩展.令牌.是否是应用容器

这是否是应用容器令牌。

boolean

目标.进程.父进程.扩展.令牌.特权

描述与令牌关联的特权的数组。

nested

目标.进程.父进程.扩展.令牌.特权.描述

特权的描述。

keyword

目标.进程.父进程.扩展.令牌.特权.已启用

是否启用了特权。

boolean

目标.进程.父进程.扩展.令牌.特权.名称

特权的名称。

keyword

目标.进程.父进程.扩展.令牌.SID

令牌用户的安全标识符 (SID)。

keyword

目标.进程.父进程.扩展.令牌.类型

令牌的类型，可以是主令牌或模拟令牌。

keyword

目标.进程.父进程.扩展.令牌.用户

令牌所有者的用户名。

keyword

目标.进程.父进程.扩展.用户

与正在运行的进程关联的用户。

keyword

目标.进程.父进程.参数

进程参数数组，从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。

keyword

目标.进程.父进程.参数计数

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析很有用。更多参数可能表示可疑活动。

long

目标.进程.父进程.代码签名.是否存在

用于捕获是否存在签名的布尔值。

boolean

目标.进程.父进程.代码签名.签名ID

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

目标.进程.父进程.代码签名.状态

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

目标.进程.父进程.代码签名.主体名称

代码签名者的主题名称

keyword

目标.进程.父进程.代码签名.团队ID

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

目标.进程.父进程.代码签名.是否信任

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

目标.进程.父进程.代码签名.是否有效

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

目标.进程.父进程.命令行

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

通配符

目标.进程.父进程.实体ID

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

目标.进程.父进程.可执行文件

进程可执行文件的绝对路径。

keyword

目标.进程.父进程.退出代码

如果这是一个终止事件，则为进程的退出代码。如果事件没有退出代码（例如，进程启动），则此字段应不存在。

long

目标.进程.父进程.哈希.MD5

MD5 哈希值。

keyword

目标.进程.父进程.哈希.SHA1

SHA1 哈希值。

keyword

目标.进程.父进程.哈希.SHA256

SHA256 哈希值。

keyword

目标.进程.父进程.哈希.SHA512

SHA512 哈希值。

keyword

目标.进程.父进程.名称

进程名称。有时称为程序名称或类似名称。

keyword

目标.进程.父进程.PE.公司

在编译时提供的文件的内部公司名称。

keyword

目标.进程.父进程.PE.描述

在编译时提供的文件的内部描述。

keyword

目标.进程.父进程.PE.文件版本

在编译时提供的文件的内部版本号。

keyword

目标.进程.父进程.PE.导入哈希

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

目标.进程.父进程.PE.原始文件名

在编译时提供的文件的内部名称。

keyword

目标.进程.父进程.PE.产品

在编译时提供的文件的内部产品名称。

keyword

目标.进程.父进程.进程组ID

在下一个主要版本发布中已弃用并移除。此字段已由 process.group_leader.pid 取代。进程所属进程组的标识符。

long

目标.进程.父进程.进程ID

进程 ID。

long

目标.进程.父进程.父进程ID

父进程的进程ID。

long

目标.进程.父进程.启动时间

进程启动的时间。

date

目标.进程.父进程.线程.ID

线程ID。

long

目标.进程.父进程.线程.名称

线程名称。

keyword

目标.进程.父进程.标题

进程标题。进程标题，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

keyword

目标.进程.父进程.运行时间

进程已运行的秒数。

long

目标.进程.父进程.工作目录

进程的工作目录。

keyword

目标.进程.PE.公司

在编译时提供的文件的内部公司名称。

keyword

目标.进程.PE.描述

在编译时提供的文件的内部描述。

keyword

目标.进程.PE.文件版本

在编译时提供的文件的内部版本号。

keyword

目标.进程.PE.导入哈希

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

目标.进程.PE.原始文件名

在编译时提供的文件的内部名称。

keyword

目标.进程.PE.产品

在编译时提供的文件的内部产品名称。

keyword

目标.进程.进程组ID

在下一个主要版本发布中已弃用并移除。此字段已由 process.group_leader.pid 取代。进程所属进程组的标识符。

long

目标.进程.进程ID

进程 ID。

long

目标.进程.父进程ID

父进程的进程ID。

long

目标.进程.启动时间

进程启动的时间。

date

目标.进程.线程.扩展

所有自定义定义字段所在的对象的类型。

object

目标.进程.线程.扩展.是否设置硬件断点

是否为线程设置了硬件断点。如果为 false，则省略此字段。

boolean

目标.进程.线程.扩展.原始起始地址

当检测到跳转指令时，这表示内存中线程起始地址的原始内容。

unsigned_long

目标.进程.线程.扩展.原始起始地址分配偏移量

当检测到跳转指令时，这表示 original_start_address 与分配基址的偏移量。

unsigned_long

目标.进程.线程.扩展.原始起始地址字节

当检测到跳转指令时，这保存原始线程起始地址的十六进制编码字节。

keyword

目标.进程.线程.扩展.原始起始地址字节反汇编

当检测到跳转指令时，这保存原始线程起始地址的已反汇编代码。

keyword

目标.进程.线程.扩展.原始起始地址字节反汇编哈希

当检测到跳转指令时，这保存原始线程起始地址的字节，将立即数值上限设置为 0x100，反汇编为人类可读的汇编代码，然后进行哈希。

keyword

目标.进程.线程.扩展.原始起始地址模块

当检测到跳转指令时，这表示线程开始执行的 dll/模块的原始内容。

keyword

目标.进程.线程.扩展.参数

创建线程时，这是其参数的原始数值。

unsigned_long

目标.进程.线程.扩展.参数字节压缩

如果线程参数是有效指针，则最多可以从线程参数获取 512KB 的原始数据。这是使用 zlib 压缩的。为了减少数据量，它在端点上进行去重，如果发送多次相同的数据，则可能在许多警报中丢失。

keyword

目标.进程.线程.扩展.参数字节压缩存在

此事件中是否存在 parameter_bytes_compressed。

boolean

目标.进程.线程.扩展.服务

与线程关联的服务。

keyword

目标.进程.线程.扩展.启动时间

线程启动的时间。

date

目标.进程.线程.扩展.起始地址

线程开始执行的内存地址。

unsigned_long

目标.进程.线程.扩展.起始地址分配偏移量

起始地址到内存分配的偏移量。等于 start_address - start_address_details.allocation_base。

unsigned_long

目标.进程.线程.扩展.起始地址字节

线程起始地址处的几个（通常是 32 个）原始操作码字节，以十六进制编码。

keyword

目标.进程.线程.扩展.起始地址字节反汇编

线程起始地址处的字节，反汇编为人类可读的汇编代码。

keyword

目标.进程.线程.扩展.起始地址字节反汇编哈希

线程起始地址处的字节，将立即数值上限设置为 0x100，反汇编为人类可读的汇编代码，然后进行哈希。

keyword

目标.进程.线程.扩展.起始地址模块

线程开始执行的 dll/模块。

keyword

目标.进程.线程.扩展.令牌.域

令牌用户的域。

keyword

目标.进程.线程.扩展.令牌.提升

令牌是否已提升

boolean

目标.进程.线程.扩展.令牌.提升类型

令牌具有的提升级别

keyword

目标.进程.线程.扩展.令牌.模拟级别

模拟级别。仅对模拟令牌有效。

keyword

目标.进程.线程.扩展.令牌.完整性级别

数值完整性级别。

long

目标.进程.线程.扩展.令牌.完整性级别名称

人类可读的完整性级别。

keyword

目标.进程.线程.扩展.令牌.是否是应用容器

这是否是应用容器令牌。

boolean

目标.进程.线程.扩展.令牌.特权

描述与令牌关联的特权的数组。

nested

目标.进程.线程.扩展.令牌.特权.描述

特权的描述。

keyword

目标.进程.线程.扩展.令牌.特权.已启用

是否启用了特权。

boolean

目标.进程.线程.扩展.令牌.特权.名称

特权的名称。

keyword

目标.进程.线程.扩展.令牌.SID

令牌用户的安全标识符 (SID)。

keyword

目标.进程.线程.扩展.令牌.类型

令牌的类型，可以是主令牌或模拟令牌。

keyword

目标.进程.线程.扩展.令牌.用户

令牌所有者的用户名。

keyword

目标.进程.线程.扩展.运行时间

自线程启动以来的秒数。

long

目标.进程.线程.ID

线程ID。

long

目标.进程.线程.名称

线程名称。

keyword

目标.进程.标题

进程标题。进程标题，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

keyword

目标.进程.运行时间

进程已运行的秒数。

long

目标.进程.工作目录

进程的工作目录。

keyword

代理.临时ID

此代理的临时标识符（如果存在）。此 ID 通常在重新启动时更改，但 agent.id 不会更改。

keyword

代理.ID

此代理的唯一标识符（如果存在）。示例：对于 Beats，这将是 beat.id。

keyword

代理.名称

代理的自定义名称。这是一个可以赋予代理的名称。如果例如两个 Filebeat 实例在同一主机上运行，但需要以人工可读的方式分隔来自哪个 Filebeat 实例的数据，则这会很有帮助。

keyword

代理.类型

代理的类型。代理类型始终保持不变，应由使用的代理给出。对于 Filebeat，即使在同一台机器上运行两个 Filebeat 实例，代理也始终是 Filebeat。

keyword

代理.版本

代理的版本。

keyword

云.帐户.ID

云帐户或组织 ID，用于在多租户环境中标识不同的实体。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

keyword

云.实例.名称

主机计算机的实例名称。

keyword

云.项目.ID

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

keyword

云.提供商

云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。

keyword

云.区域

此主机、资源或服务所在的区域。

keyword

容器.ID

唯一的容器 ID。

keyword

容器.镜像.名称

容器构建所依据的镜像的名称。

keyword

容器.镜像.标签

容器镜像标签。

keyword

容器.名称

容器名称。

keyword

数据流.数据集

数据流数据集名称。

常量关键字

数据流.命名空间

数据流命名空间。

常量关键字

数据流.类型

数据流类型。

常量关键字

目标.地理.城市名称

城市名称。

keyword

目标.地理.洲代码

表示洲名称的两个字母代码。

keyword

目标.地理.洲名称

洲的名称。

keyword

目标.地理.国家ISO代码

国家 ISO 代码。

keyword

目标.地理.国家名称

国家名称。

keyword

目标.地理.位置

经度和纬度。

地理点

目标.地理.名称

用户定义的位置描述，粒度级别由他们关心。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动地理位置。

keyword

目标.地理.邮政编码

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或 ZIP 代码，并且因国家/地区而异。

keyword

目标.地理.区域ISO代码

区域 ISO 代码。

keyword

目标.地理.区域名称

区域名称。

keyword

目标.地理.时区

位置的时区，例如 IANA 时区名称。

keyword

目标.IP

目标的 IP 地址（IPv4 或 IPv6）。

IP

dll.扩展

所有自定义定义字段所在的对象的类型。

object

dll.扩展.代码签名

ECS code_signature 字段集的嵌套版本。

nested

dll.扩展.代码签名.是否存在

用于捕获是否存在签名的布尔值。

boolean

dll.扩展.代码签名.状态

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

dll.扩展.代码签名.主体名称

代码签名者的主题名称

keyword

dll.扩展.代码签名.是否信任

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

dll.扩展.代码签名.是否有效

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

dll.扩展.编译时间

模块编译时的时间戳。

date

dll.扩展.恶意软件分类.标识符

模型的唯一标识符。

keyword

dll.扩展.恶意软件分类.评分

分类模型生成的分数。

double

dll.扩展.恶意软件分类.阈值

模型的分数阈值。分数高于此阈值的文件被认为是恶意的。

double

dll.扩展.恶意软件分类.UPX 已打包

是否检测到 UPX 打包。

boolean

dll.扩展.恶意软件分类.版本

所用模型的版本。

keyword

dll.扩展.映射地址

加载此模块的基地址。

unsigned_long

dll.扩展.映射大小

此模块内存映射的大小，以字节为单位。

unsigned_long

dll.代码签名.是否存在

用于捕获是否存在签名的布尔值。

boolean

dll.代码签名.签名ID

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

dll.代码签名.状态

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

dll.代码签名.主体名称

代码签名者的主题名称

keyword

dll.代码签名.团队ID

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

dll.代码签名.是否信任

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

dll.代码签名.是否有效

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

dll.哈希.MD5

MD5 哈希值。

keyword

dll.哈希.SHA1

SHA1 哈希值。

keyword

dll.哈希.SHA256

SHA256 哈希值。

keyword

dll.哈希.SHA512

SHA512 哈希值。

keyword

dll.名称

库的名称。这通常映射到磁盘上的文件名。

keyword

dll.路径

库的完整文件路径。

keyword

dll.PE.公司

在编译时提供的文件的内部公司名称。

keyword

dll.PE.描述

在编译时提供的文件的内部描述。

keyword

dll.PE.文件版本

在编译时提供的文件的内部版本号。

keyword

dll.PE.导入哈希

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

dll.PE.原始文件名

在编译时提供的文件的内部名称。

keyword

dll.PE.产品

在编译时提供的文件的内部产品名称。

keyword

dns.问题.名称

正在查询的名称。如果名称字段包含不可打印的字符（低于 32 或高于 126），则这些字符应表示为转义的十进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

keyword

dns.问题.类型

正在查询的记录类型。

keyword

ecs.版本

此事件符合的 ECS 版本。ecs.version 是一个必需字段，并且必须存在于所有事件中。在查询可能符合稍微不同的 ECS 版本的多个索引时，此字段允许集成调整为事件的架构版本。

keyword

弹性.代理

代理字段包含有关 Elastic Agent 的数据。Elastic Agent 是管理主机上其他代理或进程的管理代理。

object

弹性.代理.ID

此弹性代理的唯一标识符（如果存在）。

keyword

事件.操作

事件捕获的操作。 这描述了事件中的信息。它比 event.category 更具体。示例包括 group-add、process-started、file-created。该值通常由实现者定义。

keyword

event.category

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第二层。 event.category 表示 ECS 类别的“大桶”。 例如，筛选 event.category:process 会产生与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许正确分类某些属于多个类别的事件。

keyword

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确地标识消息，而不管消息语言或随时间调整的措辞如何。Windows 事件 ID 就是一个例子。

keyword

event.created

event.created 包含代理或管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。这种差异可用于计算事件源生成事件与代理首次处理事件的时间之间的延迟。这可用于监视代理或管道跟上事件源的能力。如果两个时间戳相同，则应使用 @timestamp。

date

event.dataset

数据集的名称。如果事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则数据集用于指定事件来自哪个日志或事件。建议（但不是必需）数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

keyword

event.hash

原始字段的哈希（可能是 logstash 指纹），以便能够证明日志完整性。

keyword

event.id

用于描述事件的唯一 ID。

keyword

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同，@timestamp 是事件最初发生的时间。它也与 event.created 不同，event.created 旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳在时间顺序上应如下所示：@timestamp < event.created < event.ingested。

date

event.kind

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最高级别。 event.kind 提供有关事件包含的信息类型的高级信息，而无需具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留期、不同的访问控制，它还可以帮助了解数据是否以固定的时间间隔传入。

keyword

event.module

此数据来自的模块的名称。如果您的监视代理支持模块或插件的概念来处理给定来源的事件（例如，Apache 日志），则 event.module 应包含此模块的名称。

keyword

event.outcome

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最低级别。 event.outcome 只是表示从生成事件的实体的角度来看，事件是成功还是失败。请注意，当单个事务在多个事件中描述时，根据其角度，每个事件可能会填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，应使用最能从事件生成器的角度捕获总体成功或失败的值填充此字段。此外请注意，并非所有事件都有关联的结果。例如，对于指标事件，event.type:info 的事件，或任何结果在逻辑上没有意义的事件，通常不会填充此字段。

keyword

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd）或操作系统的子系统（内核、Microsoft-Windows-Security-Auditing）。

keyword

event.risk_score

事件的风险评分或优先级（例如，安全解决方案）。在此处使用系统的原始值。

float

event.sequence

事件的序列号。序列号是某些事件源发布的值，以便使事件的确切顺序明确，而不管时间戳的精度如何。

long

event.severity

根据事件源，事件的数值严重性。不同的严重性值所代表的含义在不同的源和用例之间可能有所不同。由实现者来确保来自同一来源的事件的严重性一致。Syslog 严重性属于 log.syslog.severity.code。event.severity 旨在表示根据事件源（例如，防火墙、IDS）的严重性。如果事件源未发布其自身的严重性，您可以选择将 log.syslog.severity.code 复制到 event.severity。

long

event.type

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第三级。 event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件筛选到适合单个可视化的级别。此字段是一个数组。这将允许正确分类某些属于多个事件类型的事件。

keyword

file.Ext

所有自定义定义字段所在的对象的类型。

object

file.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

file.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

file.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

file.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

file.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

file.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

file.Ext.entry_modified

上次状态更改的时间。请参阅 struct stat 的 st_ctim 成员。

double

file.Ext.macro.code_page

标识此宏使用的字符编码。 https://docs.microsoft.com/en-us/windows/win32/intl/code-page-identifiers

long

file.Ext.macro.collection

包含宏集合哈希的对象。

object

file.Ext.macro.collection.hash.md5

MD5 哈希值。

keyword

file.Ext.macro.collection.hash.sha1

SHA1 哈希值。

keyword

file.Ext.macro.collection.hash.sha256

SHA256 哈希值。

keyword

file.Ext.macro.collection.hash.sha512

SHA512 哈希值。

keyword

file.Ext.macro.errors

解析此文档文件时发生的错误。

nested

file.Ext.macro.errors.count

此错误发生的次数。

long

file.Ext.macro.errors.error_type

发生的解析错误的类型。

keyword

file.Ext.macro.file_extension

包含此宏的文件的扩展名（例如，.docm）

keyword

file.Ext.macro.project_file

有关相应的 VBA 项目文件的元数据

object

file.Ext.macro.project_file.hash.md5

MD5 哈希值。

keyword

file.Ext.macro.project_file.hash.sha1

SHA1 哈希值。

keyword

file.Ext.macro.project_file.hash.sha256

SHA256 哈希值。

keyword

file.Ext.macro.project_file.hash.sha512

SHA512 哈希值。

keyword

file.Ext.macro.stream

与文档关联的流。

nested

file.Ext.macro.stream.hash.md5

MD5 哈希值。

keyword

file.Ext.macro.stream.hash.sha1

SHA1 哈希值。

keyword

file.Ext.macro.stream.hash.sha256

SHA256 哈希值。

keyword

file.Ext.macro.stream.hash.sha512

SHA512 哈希值。

keyword

file.Ext.macro.stream.name

流的名称。

keyword

file.Ext.macro.stream.raw_code

前 100KB 的原始流二进制文件。可用于分析误报和恶意负载。

keyword

file.Ext.macro.stream.raw_code_size

原始流大小。指示是否截断了 stream.raw_code。

keyword

file.Ext.malware_classification.identifier

模型的唯一标识符。

keyword

file.Ext.malware_classification.score

分类模型生成的分数。

double

file.Ext.malware_classification.threshold

模型的分数阈值。分数高于此阈值的文件被认为是恶意的。

double

file.Ext.malware_classification.upx_packed

是否检测到 UPX 打包。

boolean

file.Ext.malware_classification.version

所用模型的版本。

keyword

file.Ext.original

修改事件期间的原始文件信息。

object

file.Ext.original.gid

文件的主组 ID (GID)。

keyword

file.Ext.original.group

文件的主组名称。

keyword

file.Ext.original.mode

修改事件之前的原始文件模式

keyword

file.Ext.original.name

修改事件之前的原始文件名

keyword

file.Ext.original.owner

文件所有者的用户名。

keyword

file.Ext.original.path

修改事件之前的原始文件路径

keyword

file.Ext.original.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

keyword

file.Ext.quarantine_message

描述隔离结果的消息。

keyword

file.Ext.quarantine_path

隔离文件最初所在的端点上的路径。

keyword

file.Ext.quarantine_result

表示文件隔离是否成功的布尔值。

boolean

file.Ext.temp_file_path

端点上存储文件副本的路径。用于使临时文件可检索。

keyword

file.Ext.windows

特定于平台的 Windows 字段

object

file.Ext.windows.zone_identifier

文件的 Windows 区域标识符

keyword

file.accessed

上次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

date

file.attributes

文件属性数组。属性名称将因平台而异。以下是此字段中预期的非详尽的值列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

keyword

file.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

file.code_signature.signing_id

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

file.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

file.code_signature.subject_name

代码签名者的主题名称

keyword

file.code_signature.team_id

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

file.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

date

file.ctime

上次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时进行调整，因为 mtime 是文件的属性。

date

file.device

作为文件来源的设备。

keyword

file.directory

文件所在的目录。它应包括驱动器号（如果适用）。

keyword

file.drive_letter

文件所在的驱动器号。此字段仅在 Windows 上相关。该值应为大写，并且不包括冒号。

keyword

file.extension

文件扩展名，不包括前导点。 请注意，当文件名有多个扩展名（例如 example.tar.gz）时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

keyword

file.gid

文件的主组 ID (GID)。

keyword

file.group

文件的主组名称。

keyword

file.hash.md5

MD5 哈希值。

keyword

file.hash.sha1

SHA1 哈希值。

keyword

file.hash.sha256

SHA256 哈希值。

keyword

file.hash.sha512

SHA512 哈希值。

keyword

file.inode

表示文件系统中文件的 Inode。

keyword

file.mime_type

MIME 类型应使用 IANA[https://www.iana.org/assignments/media-types/media-types.xhtml[IANA 官方类型（如果可能）来标识文件或字节流的格式。当有多个类型适用时，应使用最具体的类型。

keyword

file.mode

文件的八进制表示模式。

keyword

file.mtime

上次修改文件内容的时间。

date

file.name

文件名，包括扩展名，但不包括目录。

keyword

file.owner

文件所有者的用户名。

keyword

file.path

文件的完整路径，包括文件名。如果适用，应包括驱动器盘符。

keyword

file.pe.Ext.dotnet

此文件是否为 .NET PE 文件

boolean

file.pe.Ext.sections

文件的相关节（如果它是 PE 文件）

object

file.pe.Ext.sections.hash.md5

MD5 哈希值。

keyword

file.pe.Ext.sections.hash.sha256

SHA256 哈希值。

keyword

file.pe.Ext.sections.name

节的名称

keyword

file.pe.Ext.streams

文件的流（如果它是 PE 文件）

object

file.pe.Ext.streams.hash.md5

MD5 哈希值。

keyword

file.pe.Ext.streams.hash.sha256

SHA256 哈希值。

keyword

file.pe.Ext.streams.name

流的名称

keyword

file.pe.company

在编译时提供的文件的内部公司名称。

keyword

file.pe.description

在编译时提供的文件的内部描述。

keyword

file.pe.file_version

在编译时提供的文件的内部版本号。

keyword

file.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

file.pe.original_file_name

在编译时提供的文件的内部名称。

keyword

file.pe.product

在编译时提供的文件的内部产品名称。

keyword

file.size

文件大小（以字节为单位）。仅当 file.type 为“file”时才相关。

long

file.target_path

符号链接的目标路径。

keyword

file.type

文件类型（文件、目录或符号链接）。

keyword

file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

keyword

group.Ext

所有自定义定义字段所在的对象的类型。

object

group.Ext.real

在执行任何 setgid 操作之前的组信息。

object

group.Ext.real.id

系统/平台上组的唯一标识符。

keyword

group.Ext.real.name

组的名称。

keyword

group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

keyword

group.id

系统/平台上组的唯一标识符。

keyword

group.name

组的名称。

keyword

host.architecture

操作系统架构。

keyword

host.boot.id

从 /proc/sys/kernel/random/boot_id 获取的 Linux 引导 uuid。请注意，容器中 /proc 的 boot_id 值可能与主机上的值相同，也可能不同。某些容器运行时会将新的 boot_id 值绑定挂载到每个容器的 proc 文件上。

keyword

host.domain

主机所属域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

keyword

host.geo.city_name

城市名称。

keyword

host.geo.continent_code

表示洲名称的两个字母代码。

keyword

host.geo.continent_name

洲的名称。

keyword

host.geo.country_iso_code

国家 ISO 代码。

keyword

host.geo.country_name

国家名称。

keyword

host.geo.location

经度和纬度。

地理点

host.geo.name

用户定义的位置描述，粒度级别由他们关心。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动地理位置。

keyword

host.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或 ZIP 代码，并且因国家/地区而异。

keyword

host.geo.region_iso_code

区域 ISO 代码。

keyword

host.geo.region_name

区域名称。

keyword

host.geo.timezone

位置的时区，例如 IANA 时区名称。

keyword

host.hostname

主机的 hostname。它通常包含主机上 hostname 命令返回的内容。

keyword

host.id

唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。例如：当前使用的 beat.name。

keyword

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

keyword

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。

keyword

host.os.Ext

所有自定义定义字段所在的对象的类型。

object

host.os.Ext.variant

一个字符串值或短语，进一步帮助分类或限定操作系统 (OS)。例如，Linux 操作系统的发行版将在此字段中输入。

keyword

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

keyword

host.os.full

操作系统名称，包括版本或代号。

keyword

host.os.kernel

操作系统内核版本（原始字符串形式）。

keyword

host.os.name

操作系统名称，不带版本。

keyword

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

keyword

host.os.type

使用 os.type 字段将操作系统分类为广泛的商业系列之一。如果您正在处理的操作系统未列为预期值，则不应填充该字段。请通过提交 ECS 的问题来告知我们，以建议添加它。

keyword

host.os.version

操作系统版本（原始字符串形式）。

keyword

host.pid_ns_ino

这是命名空间文件系统 (nsfs) 中命名空间的 inode 编号。include/linux/ns_common.h 中的无符号 int inum。

keyword

host.type

主机类型。对于云提供商，这可以是机器类型，如 t2.medium。如果是虚拟机，这可以是容器，例如，或在您的环境中具有其他意义的信息。

keyword

host.uptime

主机已运行的秒数。

long

host.user.Ext

所有自定义定义字段所在的对象的类型。

object

host.user.Ext.real

在执行任何 setuid 操作之前的用户信息。

object

host.user.Ext.real.id

用户的一个或多个唯一标识符。

keyword

host.user.Ext.real.name

用户的短名称或登录名。

keyword

host.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

keyword

host.user.email

用户电子邮件地址。

keyword

host.user.full_name

用户的全名（如果可用）。

keyword

host.user.group.Ext

所有自定义定义字段所在的对象的类型。

object

host.user.group.Ext.real

在执行任何 setgid 操作之前的组信息。

object

host.user.group.Ext.real.id

系统/平台上组的唯一标识符。

keyword

host.user.group.Ext.real.name

组的名称。

keyword

host.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

keyword

host.user.group.id

系统/平台上组的唯一标识符。

keyword

host.user.group.name

组的名称。

keyword

host.user.hash

唯一的 user 哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息且无法使用，则此功能很有用。

keyword

host.user.id

用户的唯一标识符。

keyword

host.user.name

用户的短名称或登录名。

keyword

message

对于日志事件，message 字段包含日志消息，针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息，可以将它们组合成一条消息。

match_only_text

orchestrator.cluster.name

集群的名称。

keyword

orchestrator.namespace

执行操作所在的命名空间。

keyword

orchestrator.resource.name

正在操作的资源的名称。

keyword

orchestrator.resource.type

正在操作的资源的类型。

keyword

process.Ext

所有自定义定义字段所在的对象的类型。

object

process.Ext.ancestry

一个 entity_ids 数组，指示此事件的祖先

keyword

process.Ext.architecture

进程架构。它可能与主机架构不同。

keyword

process.Ext.authentication_id

进程身份验证 ID

keyword

process.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

process.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

process.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

process.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

process.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

process.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

process.Ext.dll.Ext

所有自定义定义字段所在的对象的类型。

object

process.Ext.dll.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

process.Ext.dll.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

process.Ext.dll.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

process.Ext.dll.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

process.Ext.dll.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

process.Ext.dll.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

process.Ext.dll.Ext.compile_time

模块编译时的时间戳。

date

process.Ext.dll.Ext.mapped_address

加载此模块的基地址。

unsigned_long

process.Ext.dll.Ext.mapped_size

此模块内存映射的大小，以字节为单位。

unsigned_long

process.Ext.dll.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

process.Ext.dll.code_signature.signing_id

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

process.Ext.dll.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

process.Ext.dll.code_signature.subject_name

代码签名者的主题名称

keyword

process.Ext.dll.code_signature.team_id

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

process.Ext.dll.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

process.Ext.dll.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

process.Ext.dll.hash.md5

MD5 哈希值。

keyword

process.Ext.dll.hash.sha1

SHA1 哈希值。

keyword

process.Ext.dll.hash.sha256

SHA256 哈希值。

keyword

process.Ext.dll.hash.sha512

SHA512 哈希值。

keyword

process.Ext.dll.name

库的名称。这通常映射到磁盘上的文件名。

keyword

process.Ext.dll.path

库的完整文件路径。

keyword

process.Ext.dll.pe.company

在编译时提供的文件的内部公司名称。

keyword

process.Ext.dll.pe.description

在编译时提供的文件的内部描述。

keyword

process.Ext.dll.pe.file_version

在编译时提供的文件的内部版本号。

keyword

process.Ext.dll.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

process.Ext.dll.pe.original_file_name

在编译时提供的文件的内部名称。

keyword

process.Ext.dll.pe.product

在编译时提供的文件的内部产品名称。

keyword

process.Ext.malware_classification.identifier

模型的唯一标识符。

keyword

process.Ext.malware_classification.score

分类模型生成的分数。

double

process.Ext.malware_classification.threshold

模型的分数阈值。分数高于此阈值的文件被认为是恶意的。

double

process.Ext.malware_classification.upx_packed

是否检测到 UPX 打包。

boolean

process.Ext.malware_classification.version

所用模型的版本。

keyword

process.Ext.memory_region.allocation_base

包含内存区域的内存分配的基地址。

unsigned_long

process.Ext.memory_region.allocation_protection

分配内存时请求的原始内存保护。示例值包括“RWX”和“R-X”。

keyword

process.Ext.memory_region.allocation_size

分配内存时请求的原始内存大小。

unsigned_long

process.Ext.memory_region.allocation_type

内存分配类型。示例值包括“IMAGE”、“MAPPED”和“PRIVATE”。

keyword

process.Ext.memory_region.bytes_address

bytes_compressed 开始的地址。

unsigned_long

process.Ext.memory_region.bytes_allocation_offset

内存分配中 bytes_address 的偏移量。等于 bytes_address - allocation_base。

unsigned_long

process.Ext.memory_region.bytes_compressed

来自内存分配的最多 4MB 的原始数据。使用 zlib 压缩。为了减少数据量，在端点上对数据进行重复数据删除，如果相同的数据多次发送，则可能在许多警报中丢失。

keyword

process.Ext.memory_region.bytes_compressed_present

bytes_compressed 是否存在于此事件中。

boolean

process.Ext.memory_region.malware_signature.all_names

匹配的签名名称序列。

keyword

process.Ext.memory_region.malware_signature.identifier

恶意软件签名标识符

keyword

process.Ext.memory_region.malware_signature.primary

第一个匹配的详细信息。

object

process.Ext.memory_region.malware_signature.primary.matches

第一个匹配的详细信息。

keyword

process.Ext.memory_region.malware_signature.primary.signature.hash

匹配签名的文件的哈希值。

nested

process.Ext.memory_region.malware_signature.primary.signature.hash.sha256

匹配签名的文件的 SHA256 哈希值。

keyword

process.Ext.memory_region.malware_signature.primary.signature.id

第一个匹配的 yara 规则的 ID。

keyword

process.Ext.memory_region.malware_signature.primary.signature.name

第一个匹配的 yara 规则的名称。

keyword

process.Ext.memory_region.malware_signature.version

恶意软件签名版本

keyword

process.Ext.memory_region.mapped_path

如果内存对应于文件映射，则这是文件的路径。

keyword

process.Ext.memory_region.mapped_pe.company

在编译时提供的文件的内部公司名称。

keyword

process.Ext.memory_region.mapped_pe.description

在编译时提供的文件的内部描述。

keyword

process.Ext.memory_region.mapped_pe.file_version

在编译时提供的文件的内部版本号。

keyword

process.Ext.memory_region.mapped_pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

process.Ext.memory_region.mapped_pe.original_file_name

在编译时提供的文件的内部名称。

keyword

process.Ext.memory_region.mapped_pe.product

在编译时提供的文件的内部产品名称。

keyword

process.Ext.memory_region.mapped_pe_detected

映射路径中的文件是否为可执行文件。

boolean

process.Ext.memory_region.memory_pe.company

在编译时提供的文件的内部公司名称。

keyword

process.Ext.memory_region.memory_pe.description

在编译时提供的文件的内部描述。

keyword

process.Ext.memory_region.memory_pe.file_version

在编译时提供的文件的内部版本号。

keyword

process.Ext.memory_region.memory_pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

process.Ext.memory_region.memory_pe.original_file_name

在编译时提供的文件的内部名称。

keyword

process.Ext.memory_region.memory_pe.product

在编译时提供的文件的内部产品名称。

keyword

process.Ext.memory_region.memory_pe_detected

是否在内存中找到了可执行文件。

boolean

process.Ext.memory_region.region_base

内存区域的基地址。

unsigned_long

process.Ext.memory_region.region_protection

内存区域的内存保护。示例值包括“RWX”和“R-X”。

keyword

process.Ext.memory_region.region_size

内存区域的大小。

unsigned_long

process.Ext.memory_region.region_state

内存区域的状态。示例值包括“RESERVE”、“COMMIT”和“FREE”。

keyword

process.Ext.memory_region.strings

在内存区域中找到的字符串数组。

keyword

process.Ext.protection

指示此进程的保护级别。使用与 Process Explorer 相同的语法。示例包括 PsProtectedSignerWinTcb、PsProtectedSignerWinTcb-Light 和 PsProtectedSignerWindows-Light。

keyword

process.Ext.services

在此进程中运行的服务。

keyword

process.Ext.session

当前进程的会话信息

keyword

process.Ext.token.domain

令牌用户的域。

keyword

process.Ext.token.elevation

令牌是否已提升

boolean

process.Ext.token.elevation_type

令牌具有的提升级别

keyword

process.Ext.token.impersonation_level

模拟级别。仅对模拟令牌有效。

keyword

process.Ext.token.integrity_level

数值完整性级别。

long

process.Ext.token.integrity_level_name

人类可读的完整性级别。

keyword

process.Ext.token.is_appcontainer

这是否是应用容器令牌。

boolean

process.Ext.token.privileges

描述与令牌关联的特权的数组。

nested

process.Ext.token.privileges.description

特权的描述。

keyword

process.Ext.token.privileges.enabled

是否启用了特权。

boolean

process.Ext.token.privileges.name

特权的名称。

keyword

process.Ext.token.sid

令牌用户的安全标识符 (SID)。

keyword

process.Ext.token.type

令牌的类型，可以是主令牌或模拟令牌。

keyword

process.Ext.token.user

令牌所有者的用户名。

keyword

process.Ext.user

与正在运行的进程关联的用户。

keyword

process.args

进程参数数组，从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。

keyword

process.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析很有用。更多参数可能表示可疑活动。

long

process.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

process.code_signature.signing_id

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

process.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

process.code_signature.subject_name

代码签名者的主题名称

keyword

process.code_signature.team_id

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

process.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

process.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

通配符

process.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

process.entry_leader.args

进程参数数组，从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。

keyword

process.entry_leader.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析很有用。更多参数可能表示可疑活动。

long

process.entry_leader.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

通配符

process.entry_leader.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

process.entry_leader.entry_meta.source.ip

源的 IP 地址（IPv4 或 IPv6）。

IP

process.entry_leader.entry_meta.type

条目会话负责人的条目类型。值包括：init（例如 systemd）、sshd、ssm、kubelet、teleport、terminal、console 注意：此字段仅在 process.session_leader 上设置。

keyword

process.entry_leader.executable

进程可执行文件的绝对路径。

keyword

process.entry_leader.group.id

系统/平台上组的唯一标识符。

keyword

process.entry_leader.group.name

组的名称。

keyword

process.entry_leader.interactive

进程是否连接到交互式 shell。进程的交互性是从进程的文件描述符推断出来的。如果控制 tty 的字符设备与进程的标准输入和标准错误相同，则认为该进程是交互式的。注意：非交互式进程可以属于交互式会话，它只是在文件描述符 0（标准输入）上没有打开读取控制 TTY 或在文件描述符 2（标准错误）上没有写入控制 TTY 的进程。如果标准输入和标准错误连接到控制 TTY，后台进程仍被认为是交互式的。

boolean

process.entry_leader.name

进程名称。有时称为程序名称或类似名称。

keyword

process.entry_leader.parent.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

process.entry_leader.parent.pid

进程 ID。

long

process.entry_leader.parent.session_leader.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

process.entry_leader.parent.session_leader.pid

进程 ID。

long

process.entry_leader.parent.session_leader.start

进程启动的时间。

date

process.entry_leader.parent.start

进程启动的时间。

date

process.entry_leader.pid

进程 ID。

long

process.entry_leader.real_group.id

系统/平台上组的唯一标识符。

keyword

process.entry_leader.real_group.name

组的名称。

keyword

process.entry_leader.real_user.id

用户的唯一标识符。

keyword

process.entry_leader.real_user.name

用户的短名称或登录名。

keyword

process.entry_leader.same_as_process

此布尔值用于标识领导者进程是否与顶层进程相同。例如，如果 process.group_leader.same_as_process = true，则表示有问题的进程事件是其进程组的领导者。诸如 pid 之类的 process.* 下的详细信息在 process.group_leader.* 下是相同的。这同样适用于 process.session_leader 和 process.entry_leader。此字段的存在是为了方便 EQL 和其他规则引擎，因为无法在单个文档中比较两个字段之间的相等性。例如，process.entity_id = process.group_leader.entity_id（顶层进程是进程组领导者）或 process.entity_id = process.entry_leader.entity_id（顶层进程是入口会话领导者）。相反，这些规则可以写成：process.group_leader.same_as_process: true 或 process.entry_leader.same_as_process: true 注意：此字段仅在 process.entry_leader、process.session_leader 和 process.group_leader 上设置。

boolean

process.entry_leader.saved_group.id

系统/平台上组的唯一标识符。

keyword

process.entry_leader.saved_group.name

组的名称。

keyword

process.entry_leader.saved_user.id

用户的唯一标识符。

keyword

process.entry_leader.saved_user.name

用户的短名称或登录名。

keyword

process.entry_leader.start

进程启动的时间。

date

process.entry_leader.supplemental_groups.id

系统/平台上组的唯一标识符。

keyword

process.entry_leader.supplemental_groups.name

组的名称。

keyword

process.entry_leader.tty

有关控制 TTY 设备的信息。如果设置，则该进程属于交互式会话。

object

process.entry_leader.tty.char_device.major

主编号标识与设备关联的驱动程序。字符设备的主编号和次编号可以通过算法组合来生成更熟悉的终端标识符，例如“ttyS0”和“pts/0”。有关更多详细信息，请参阅 Linux 内核文档。

long

process.entry_leader.tty.char_device.minor

次编号仅由主编号指定的驱动程序使用；内核的其他部分不使用它，而只是将其传递给驱动程序。驱动程序控制多个设备是很常见的；次编号为驱动程序提供了一种区分它们的方法。

long

process.entry_leader.user.id

用户的唯一标识符。

keyword

process.entry_leader.user.name

用户的短名称或登录名。

keyword

process.entry_leader.working_directory

进程的工作目录。

keyword

process.env_vars

环境变量绑定的数组。在执行时从环境快照中捕获。可能会被过滤以保护敏感信息。

keyword

process.executable

进程可执行文件的绝对路径。

keyword

process.exit_code

如果这是一个终止事件，则为进程的退出代码。如果事件没有退出代码（例如，进程启动），则此字段应不存在。

long

process.group_leader.args

进程参数数组，从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。

keyword

process.group_leader.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析很有用。更多参数可能表示可疑活动。

long

process.group_leader.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

通配符

process.group_leader.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

process.group_leader.executable

进程可执行文件的绝对路径。

keyword

process.group_leader.group.id

系统/平台上组的唯一标识符。

keyword

process.group_leader.group.name

组的名称。

keyword

process.group_leader.interactive

进程是否连接到交互式 shell。进程的交互性是从进程的文件描述符推断出来的。如果控制 tty 的字符设备与进程的标准输入和标准错误相同，则认为该进程是交互式的。注意：非交互式进程可以属于交互式会话，它只是在文件描述符 0（标准输入）上没有打开读取控制 TTY 或在文件描述符 2（标准错误）上没有写入控制 TTY 的进程。如果标准输入和标准错误连接到控制 TTY，后台进程仍被认为是交互式的。

boolean

process.group_leader.name

进程名称。有时称为程序名称或类似名称。

keyword

process.group_leader.pid

进程 ID。

long

process.group_leader.real_group.id

系统/平台上组的唯一标识符。

keyword

process.group_leader.real_group.name

组的名称。

keyword

process.group_leader.real_user.id

用户的唯一标识符。

keyword

process.group_leader.real_user.name

用户的短名称或登录名。

keyword

process.group_leader.same_as_process

此布尔值用于标识领导者进程是否与顶层进程相同。例如，如果 process.group_leader.same_as_process = true，则表示有问题的进程事件是其进程组的领导者。诸如 pid 之类的 process.* 下的详细信息在 process.group_leader.* 下是相同的。这同样适用于 process.session_leader 和 process.entry_leader。此字段的存在是为了方便 EQL 和其他规则引擎，因为无法在单个文档中比较两个字段之间的相等性。例如，process.entity_id = process.group_leader.entity_id（顶层进程是进程组领导者）或 process.entity_id = process.entry_leader.entity_id（顶层进程是入口会话领导者）。相反，这些规则可以写成：process.group_leader.same_as_process: true 或 process.entry_leader.same_as_process: true 注意：此字段仅在 process.entry_leader、process.session_leader 和 process.group_leader 上设置。

boolean

process.group_leader.saved_group.id

系统/平台上组的唯一标识符。

keyword

process.group_leader.saved_group.name

组的名称。

keyword

process.group_leader.saved_user.id

用户的唯一标识符。

keyword

process.group_leader.saved_user.name

用户的短名称或登录名。

keyword

process.group_leader.start

进程启动的时间。

date

process.group_leader.supplemental_groups.id

系统/平台上组的唯一标识符。

keyword

process.group_leader.supplemental_groups.name

组的名称。

keyword

process.group_leader.tty

有关控制 TTY 设备的信息。如果设置，则该进程属于交互式会话。

object

process.group_leader.tty.char_device.major

主编号标识与设备关联的驱动程序。字符设备的主编号和次编号可以通过算法组合来生成更熟悉的终端标识符，例如“ttyS0”和“pts/0”。有关更多详细信息，请参阅 Linux 内核文档。

long

process.group_leader.tty.char_device.minor

次编号仅由主编号指定的驱动程序使用；内核的其他部分不使用它，而只是将其传递给驱动程序。驱动程序控制多个设备是很常见的；次编号为驱动程序提供了一种区分它们的方法。

long

process.group_leader.user.id

用户的唯一标识符。

keyword

process.group_leader.user.name

用户的短名称或登录名。

keyword

process.group_leader.working_directory

进程的工作目录。

keyword

process.hash.md5

MD5 哈希值。

keyword

process.hash.sha1

SHA1 哈希值。

keyword

process.hash.sha256

SHA256 哈希值。

keyword

process.hash.sha512

SHA512 哈希值。

keyword

process.interactive

进程是否连接到交互式 shell。进程的交互性是从进程的文件描述符推断出来的。如果控制 tty 的字符设备与进程的标准输入和标准错误相同，则认为该进程是交互式的。注意：非交互式进程可以属于交互式会话，它只是在文件描述符 0（标准输入）上没有打开读取控制 TTY 或在文件描述符 2（标准错误）上没有写入控制 TTY 的进程。如果标准输入和标准错误连接到控制 TTY，后台进程仍被认为是交互式的。

boolean

process.name

进程名称。有时称为程序名称或类似名称。

keyword

process.parent.Ext

所有自定义定义字段所在的对象的类型。

object

process.parent.Ext.architecture

进程架构。它可能与主机架构不同。

keyword

process.parent.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

process.parent.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

process.parent.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

process.parent.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

process.parent.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

process.parent.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

process.parent.Ext.dll.Ext

所有自定义定义字段所在的对象的类型。

object

process.parent.Ext.dll.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

process.parent.Ext.dll.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

process.parent.Ext.dll.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

process.parent.Ext.dll.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

process.parent.Ext.dll.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

process.parent.Ext.dll.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

process.parent.Ext.dll.Ext.compile_time

模块编译时的时间戳。

date

process.parent.Ext.dll.Ext.mapped_address

加载此模块的基地址。

unsigned_long

process.parent.Ext.dll.Ext.mapped_size

此模块内存映射的大小，以字节为单位。

unsigned_long

process.parent.Ext.dll.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

process.parent.Ext.dll.code_signature.signing_id

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

process.parent.Ext.dll.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

process.parent.Ext.dll.code_signature.subject_name

代码签名者的主题名称

keyword

process.parent.Ext.dll.code_signature.team_id

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

process.parent.Ext.dll.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

process.parent.Ext.dll.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

process.parent.Ext.dll.hash.md5

MD5 哈希值。

keyword

process.parent.Ext.dll.hash.sha1

SHA1 哈希值。

keyword

process.parent.Ext.dll.hash.sha256

SHA256 哈希值。

keyword

process.parent.Ext.dll.hash.sha512

SHA512 哈希值。

keyword

process.parent.Ext.dll.name

库的名称。这通常映射到磁盘上的文件名。

keyword

process.parent.Ext.dll.path

库的完整文件路径。

keyword

process.parent.Ext.dll.pe.company

在编译时提供的文件的内部公司名称。

keyword

process.parent.Ext.dll.pe.description

在编译时提供的文件的内部描述。

keyword

process.parent.Ext.dll.pe.file_version

在编译时提供的文件的内部版本号。

keyword

process.parent.Ext.dll.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

process.parent.Ext.dll.pe.original_file_name

在编译时提供的文件的内部名称。

keyword

process.parent.Ext.dll.pe.product

在编译时提供的文件的内部产品名称。

keyword

process.parent.Ext.protection

指示此进程的保护级别。使用与 Process Explorer 相同的语法。示例包括 PsProtectedSignerWinTcb、PsProtectedSignerWinTcb-Light 和 PsProtectedSignerWindows-Light。

keyword

process.parent.Ext.real

如果存在任何 PID 欺骗，则包含进程信息的字段集。这对于 process.parent 主要有用。

object

process.parent.Ext.real.pid

对于 process.parent，这将是实际生成当前进程的进程的 ppid。

long

process.parent.Ext.token.domain

令牌用户的域。

keyword

process.parent.Ext.token.elevation

令牌是否已提升

boolean

process.parent.Ext.token.elevation_type

令牌具有的提升级别

keyword

process.parent.Ext.token.impersonation_level

模拟级别。仅对模拟令牌有效。

keyword

process.parent.Ext.token.integrity_level

数值完整性级别。

long

process.parent.Ext.token.integrity_level_name

人类可读的完整性级别。

keyword

process.parent.Ext.token.is_appcontainer

这是否是应用容器令牌。

boolean

process.parent.Ext.token.privileges

描述与令牌关联的特权的数组。

nested

process.parent.Ext.token.privileges.description

特权的描述。

keyword

process.parent.Ext.token.privileges.enabled

是否启用了特权。

boolean

process.parent.Ext.token.privileges.name

特权的名称。

keyword

process.parent.Ext.token.sid

令牌用户的安全标识符 (SID)。

keyword

process.parent.Ext.token.type

令牌的类型，可以是主令牌或模拟令牌。

keyword

process.parent.Ext.token.user

令牌所有者的用户名。

keyword

process.parent.Ext.user

与正在运行的进程关联的用户。

keyword

process.parent.args

进程参数数组，从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。

keyword

process.parent.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析很有用。更多参数可能表示可疑活动。

long

process.parent.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

process.parent.code_signature.signing_id

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

process.parent.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

process.parent.code_signature.subject_name

代码签名者的主题名称

keyword

process.parent.code_signature.team_id

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

process.parent.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

process.parent.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

process.parent.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

通配符

process.parent.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

process.parent.executable

进程可执行文件的绝对路径。

keyword

process.parent.exit_code

如果这是一个终止事件，则为进程的退出代码。如果事件没有退出代码（例如，进程启动），则此字段应不存在。

long

process.parent.group.id

系统/平台上组的唯一标识符。

keyword

process.parent.group.name

组的名称。

keyword

process.parent.group_leader.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

process.parent.group_leader.pid

进程 ID。

long

process.parent.group_leader.start

进程启动的时间。

date

process.parent.hash.md5

MD5 哈希值。

keyword

process.parent.hash.sha1

SHA1 哈希值。

keyword

process.parent.hash.sha256

SHA256 哈希值。

keyword

process.parent.hash.sha512

SHA512 哈希值。

keyword

process.parent.interactive

进程是否连接到交互式 shell。进程的交互性是从进程的文件描述符推断出来的。如果控制 tty 的字符设备与进程的标准输入和标准错误相同，则认为该进程是交互式的。注意：非交互式进程可以属于交互式会话，它只是在文件描述符 0（标准输入）上没有打开读取控制 TTY 或在文件描述符 2（标准错误）上没有写入控制 TTY 的进程。如果标准输入和标准错误连接到控制 TTY，后台进程仍被认为是交互式的。

boolean

process.parent.name

进程名称。有时称为程序名称或类似名称。

keyword

process.parent.pe.company

在编译时提供的文件的内部公司名称。

keyword

process.parent.pe.description

在编译时提供的文件的内部描述。

keyword

process.parent.pe.file_version

在编译时提供的文件的内部版本号。

keyword

process.parent.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

process.parent.pe.original_file_name

在编译时提供的文件的内部名称。

keyword

process.parent.pe.product

在编译时提供的文件的内部产品名称。

keyword

process.parent.pgid

在下一个主要版本发布中已弃用并移除。此字段已由 process.group_leader.pid 取代。进程所属进程组的标识符。

long

process.parent.pid

进程 ID。

long

process.parent.ppid

父进程的进程ID。

long

process.parent.real_group.id

系统/平台上组的唯一标识符。

keyword

process.parent.real_group.name

组的名称。

keyword

process.parent.real_user.id

用户的唯一标识符。

keyword

process.parent.real_user.name

用户的短名称或登录名。

keyword

process.parent.saved_group.id

系统/平台上组的唯一标识符。

keyword

process.parent.saved_group.name

组的名称。

keyword

process.parent.saved_user.id

用户的唯一标识符。

keyword

process.parent.saved_user.name

用户的短名称或登录名。

keyword

process.parent.start

进程启动的时间。

date

process.parent.supplemental_groups.id

系统/平台上组的唯一标识符。

keyword

process.parent.supplemental_groups.name

组的名称。

keyword

process.parent.thread.id

线程ID。

long

process.parent.thread.name

线程名称。

keyword

process.parent.title

进程标题。进程标题，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

keyword

process.parent.tty

有关控制 TTY 设备的信息。如果设置，则该进程属于交互式会话。

object

process.parent.tty.char_device.major

主编号标识与设备关联的驱动程序。字符设备的主编号和次编号可以通过算法组合来生成更熟悉的终端标识符，例如“ttyS0”和“pts/0”。有关更多详细信息，请参阅 Linux 内核文档。

long

process.parent.tty.char_device.minor

次编号仅由主编号指定的驱动程序使用；内核的其他部分不使用它，而只是将其传递给驱动程序。驱动程序控制多个设备是很常见的；次编号为驱动程序提供了一种区分它们的方法。

long

process.parent.uptime

进程已运行的秒数。

long

process.parent.user.id

用户的唯一标识符。

keyword

process.parent.user.name

用户的短名称或登录名。

keyword

process.parent.working_directory

进程的工作目录。

keyword

process.pe.company

在编译时提供的文件的内部公司名称。

keyword

process.pe.description

在编译时提供的文件的内部描述。

keyword

process.pe.file_version

在编译时提供的文件的内部版本号。

keyword

process.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生后，导入哈希值（imphash）仍可用于对二进制文件进行指纹识别，这将更改更传统的哈希值。要了解更多信息，请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

keyword

process.pe.original_file_name

在编译时提供的文件的内部名称。

keyword

process.pe.product

在编译时提供的文件的内部产品名称。

keyword

process.pgid

在下一个主要版本发布中已弃用并移除。此字段已由 process.group_leader.pid 取代。进程所属进程组的标识符。

long

process.pid

进程 ID。

long

process.ppid

父进程的进程ID。

long

process.previous.args

进程参数数组，从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。

keyword

process.previous.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析很有用。更多参数可能表示可疑活动。

long

process.previous.executable

进程可执行文件的绝对路径。

keyword

process.real_group.id

系统/平台上组的唯一标识符。

keyword

process.real_group.name

组的名称。

keyword

process.real_user.id

用户的唯一标识符。

keyword

process.real_user.name

用户的短名称或登录名。

keyword

process.saved_group.id

系统/平台上组的唯一标识符。

keyword

process.saved_group.name

组的名称。

keyword

process.saved_user.id

用户的唯一标识符。

keyword

process.saved_user.name

用户的短名称或登录名。

keyword

process.session_leader.args

进程参数数组，从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。

keyword

process.session_leader.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析很有用。更多参数可能表示可疑活动。

long

process.session_leader.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

通配符

process.session_leader.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

process.session_leader.executable

进程可执行文件的绝对路径。

keyword

process.session_leader.group.id

系统/平台上组的唯一标识符。

keyword

process.session_leader.group.name

组的名称。

keyword

process.session_leader.interactive

进程是否连接到交互式 shell。进程的交互性是从进程的文件描述符推断出来的。如果控制 tty 的字符设备与进程的标准输入和标准错误相同，则认为该进程是交互式的。注意：非交互式进程可以属于交互式会话，它只是在文件描述符 0（标准输入）上没有打开读取控制 TTY 或在文件描述符 2（标准错误）上没有写入控制 TTY 的进程。如果标准输入和标准错误连接到控制 TTY，后台进程仍被认为是交互式的。

boolean

process.session_leader.name

进程名称。有时称为程序名称或类似名称。

keyword

process.session_leader.parent.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

process.session_leader.parent.pid

进程 ID。

long

process.session_leader.parent.session_leader.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可能使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并随着时间的推移跨多个受监控的主机识别特定进程。

keyword

process.session_leader.parent.session_leader.pid

进程 ID。

long

process.session_leader.parent.session_leader.start

进程启动的时间。

date

process.session_leader.parent.start

进程启动的时间。

date

process.session_leader.pid

进程 ID。

long

process.session_leader.real_group.id

系统/平台上组的唯一标识符。

keyword

process.session_leader.real_group.name

组的名称。

keyword

process.session_leader.real_user.id

用户的唯一标识符。

keyword

process.session_leader.real_user.name

用户的短名称或登录名。

keyword

process.session_leader.same_as_process

此布尔值用于标识领导者进程是否与顶层进程相同。例如，如果 process.group_leader.same_as_process = true，则表示有问题的进程事件是其进程组的领导者。诸如 pid 之类的 process.* 下的详细信息在 process.group_leader.* 下是相同的。这同样适用于 process.session_leader 和 process.entry_leader。此字段的存在是为了方便 EQL 和其他规则引擎，因为无法在单个文档中比较两个字段之间的相等性。例如，process.entity_id = process.group_leader.entity_id（顶层进程是进程组领导者）或 process.entity_id = process.entry_leader.entity_id（顶层进程是入口会话领导者）。相反，这些规则可以写成：process.group_leader.same_as_process: true 或 process.entry_leader.same_as_process: true 注意：此字段仅在 process.entry_leader、process.session_leader 和 process.group_leader 上设置。

boolean

process.session_leader.saved_group.id

系统/平台上组的唯一标识符。

keyword

process.session_leader.saved_group.name

组的名称。

keyword

process.session_leader.saved_user.id

用户的唯一标识符。

keyword

process.session_leader.saved_user.name

用户的短名称或登录名。

keyword

process.session_leader.start

进程启动的时间。

date

process.session_leader.supplemental_groups.id

系统/平台上组的唯一标识符。

keyword

process.session_leader.supplemental_groups.name

组的名称。

keyword

process.session_leader.tty

有关控制 TTY 设备的信息。如果设置，则该进程属于交互式会话。

object

process.session_leader.tty.char_device.major

主编号标识与设备关联的驱动程序。字符设备的主编号和次编号可以通过算法组合来生成更熟悉的终端标识符，例如“ttyS0”和“pts/0”。有关更多详细信息，请参阅 Linux 内核文档。

long

process.session_leader.tty.char_device.minor

次编号仅由主编号指定的驱动程序使用；内核的其他部分不使用它，而只是将其传递给驱动程序。驱动程序控制多个设备是很常见的；次编号为驱动程序提供了一种区分它们的方法。

long

process.session_leader.user.id

用户的唯一标识符。

keyword

process.session_leader.user.name

用户的短名称或登录名。

keyword

process.session_leader.working_directory

进程的工作目录。

keyword

process.start

进程启动的时间。

date

process.supplemental_groups.id

系统/平台上组的唯一标识符。

keyword

process.supplemental_groups.name

组的名称。

keyword

process.thread.Ext

所有自定义定义字段所在的对象的类型。

object

process.thread.Ext.hardware_breakpoint_set

是否为线程设置了硬件断点。如果为 false，则省略此字段。

boolean

process.thread.Ext.original_start_address

当检测到跳转指令时，这表示内存中线程起始地址的原始内容。

unsigned_long

process.thread.Ext.original_start_address_allocation_offset

当检测到跳转指令时，这表示 original_start_address 与分配基址的偏移量。

unsigned_long

process.thread.Ext.original_start_address_bytes

当检测到跳转指令时，这保存原始线程起始地址的十六进制编码字节。

keyword

process.thread.Ext.original_start_address_bytes_disasm

当检测到跳转指令时，这保存原始线程起始地址的已反汇编代码。

keyword

process.thread.Ext.original_start_address_bytes_disasm_hash

当检测到跳转指令时，这保存原始线程起始地址的字节，将立即数值上限设置为 0x100，反汇编为人类可读的汇编代码，然后进行哈希。

keyword

process.thread.Ext.original_start_address_module

当检测到跳转指令时，这表示线程开始执行的 dll/模块的原始内容。

keyword

process.thread.Ext.parameter

创建线程时，这是其参数的原始数值。

unsigned_long

process.thread.Ext.parameter_bytes_compressed

如果线程参数是有效指针，则最多可以从线程参数获取 512KB 的原始数据。这是使用 zlib 压缩的。为了减少数据量，它在端点上进行去重，如果发送多次相同的数据，则可能在许多警报中丢失。

keyword

process.thread.Ext.parameter_bytes_compressed_present

此事件中是否存在 parameter_bytes_compressed。

boolean

process.thread.Ext.service

与线程关联的服务。

keyword

process.thread.Ext.start

线程启动的时间。

date

process.thread.Ext.start_address

线程开始执行的内存地址。

unsigned_long

process.thread.Ext.start_address_allocation_offset

起始地址到内存分配的偏移量。等于 start_address - start_address_details.allocation_base。

unsigned_long

process.thread.Ext.start_address_bytes

线程起始地址处的几个（通常是 32 个）原始操作码字节，以十六进制编码。

keyword

process.thread.Ext.start_address_bytes_disasm

线程起始地址处的字节，反汇编为人类可读的汇编代码。

keyword

process.thread.Ext.start_address_bytes_disasm_hash

线程起始地址处的字节，将立即数值上限设置为 0x100，反汇编为人类可读的汇编代码，然后进行哈希。

keyword

process.thread.Ext.start_address_module

线程开始执行的 dll/模块。

keyword

process.thread.Ext.token.domain

令牌用户的域。

keyword

process.thread.Ext.token.elevation

令牌是否已提升

boolean

process.thread.Ext.token.elevation_type

令牌具有的提升级别

keyword

process.thread.Ext.token.impersonation_level

模拟级别。仅对模拟令牌有效。

keyword

process.thread.Ext.token.integrity_level

数值完整性级别。

long

process.thread.Ext.token.integrity_level_name

人类可读的完整性级别。

keyword

process.thread.Ext.token.is_appcontainer

这是否是应用容器令牌。

boolean

process.thread.Ext.token.privileges

描述与令牌关联的特权的数组。

nested

process.thread.Ext.token.privileges.description

特权的描述。

keyword

process.thread.Ext.token.privileges.enabled

是否启用了特权。

boolean

process.thread.Ext.token.privileges.name

特权的名称。

keyword

process.thread.Ext.token.sid

令牌用户的安全标识符 (SID)。

keyword

process.thread.Ext.token.type

令牌的类型，可以是主令牌或模拟令牌。

keyword

process.thread.Ext.token.user

令牌所有者的用户名。

keyword

process.thread.Ext.uptime

自线程启动以来的秒数。

long

process.thread.id

线程ID。

long

process.thread.name

线程名称。

keyword

process.title

进程标题。进程标题，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

keyword

process.tty

有关控制 TTY 设备的信息。如果设置，则该进程属于交互式会话。

object

process.tty.char_device.major

主编号标识与设备关联的驱动程序。字符设备的主编号和次编号可以通过算法组合来生成更熟悉的终端标识符，例如“ttyS0”和“pts/0”。有关更多详细信息，请参阅 Linux 内核文档。

long

process.tty.char_device.minor

次编号仅由主编号指定的驱动程序使用；内核的其他部分不使用它，而只是将其传递给驱动程序。驱动程序控制多个设备是很常见的；次编号为驱动程序提供了一种区分它们的方法。

long

process.uptime

进程已运行的秒数。

long

process.user.id

用户的唯一标识符。

keyword

process.user.name

用户的短名称或登录名。

keyword

process.working_directory

进程的工作目录。

keyword

registry.data.strings

写入字符串类型时的内容。当将字符串数据写入注册表时，会填充为数组。对于单个字符串注册表类型（REG_SZ、REG_EXPAND_SZ），这应该是一个包含一个字符串的数组。对于带有 REG_MULTI_SZ 的字符串序列，此数组的长度将是可变的。对于数值数据，例如 REG_DWORD 和 REG_QWORD，这应该填充十进制表示（例如 "1"）。

通配符

registry.path

完整路径，包括配置单元、键和值

keyword

registry.value

写入的值的名称。

keyword

rule.author

创建此事件的规则的作者或多个作者的姓名、组织或笔名。

keyword

rule.category

实体使用该规则来检测此事件时使用的分类值关键字。

keyword

rule.description

生成该事件的规则的描述。

keyword

rule.id

在代理、观察者或其他实体使用该规则来检测此事件的范围内唯一的规则 ID。

keyword

rule.license

用于生成此事件的规则的许可名称。

keyword

rule.name

生成此事件的规则或签名的名称。

keyword

rule.reference

指向有关用于生成此事件的规则的附加信息的参考 URL。该 URL 可以指向供应商有关该规则的文档。如果该文档不可用，则也可以是指向描述此类警报的更通用页面的链接。

keyword

rule.ruleset

用于生成此事件的规则所属的规则集、策略、组或父类别的名称。

keyword

rule.uuid

在代理、观察者或其他实体使用该规则来检测此事件的集合或组的范围内唯一的规则 ID。

keyword

rule.version

用于分析的规则的版本/修订版。

keyword

source.geo.city_name

城市名称。

keyword

source.geo.continent_code

表示洲名称的两个字母代码。

keyword

source.geo.continent_name

洲的名称。

keyword

source.geo.country_iso_code

国家 ISO 代码。

keyword

source.geo.country_name

国家名称。

keyword

source.geo.location

经度和纬度。

地理点

source.geo.name

用户定义的位置描述，粒度级别由他们关心。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动地理位置。

keyword

source.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或 ZIP 代码，并且因国家/地区而异。

keyword

source.geo.region_iso_code

区域 ISO 代码。

keyword

source.geo.region_name

区域名称。

keyword

source.geo.timezone

位置的时区，例如 IANA 时区名称。

keyword

source.ip

源的 IP 地址（IPv4 或 IPv6）。

IP

threat.enrichments

一个关联的指示器对象列表，用于丰富事件以及该关联/丰富操作的上下文。

nested

threat.enrichments.indicator

包含用于丰富事件的关联指示器的对象。

object

threat.enrichments.indicator.file.Ext

所有自定义定义字段所在的对象的类型。

object

threat.enrichments.indicator.file.Ext.code_signature

ECS code_signature 字段集的嵌套版本。

nested

threat.enrichments.indicator.file.Ext.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

threat.enrichments.indicator.file.Ext.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

threat.enrichments.indicator.file.Ext.code_signature.subject_name

代码签名者的主题名称

keyword

threat.enrichments.indicator.file.Ext.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

threat.enrichments.indicator.file.Ext.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

threat.enrichments.indicator.file.Ext.device.bus_type

设备的总线类型，例如 Nvme、Usb、FileBackedVirtual 等。

keyword

threat.enrichments.indicator.file.Ext.device.dos_name

设备的 DOS 名称。DOS 设备名称的格式为驱动器盘符，例如 C:、D: 等。

keyword

threat.enrichments.indicator.file.Ext.device.file_system_type

卷设备文件系统类型。以下是常见的卷设备文件系统类型的示例：NTFS UDF

keyword

threat.enrichments.indicator.file.Ext.device.nt_name

设备的 NT 名称。NT 设备名称的格式为：\Device\HarddiskVolume2

keyword

threat.enrichments.indicator.file.Ext.device.product_id

设备的 ProductID。如果有，则由设备的供应商提供。

keyword

threat.enrichments.indicator.file.Ext.device.serial_number

设备的序列号。如果有，则由设备的供应商提供。

keyword

threat.enrichments.indicator.file.Ext.device.vendor_id

设备的 VendorID。由设备的供应商提供。

keyword

threat.enrichments.indicator.file.Ext.device.volume_device_type

卷设备类型。以下是常见的卷设备类型的示例：磁盘文件系统 CD-ROM 文件系统

keyword

threat.enrichments.indicator.file.Ext.entropy

用于检查文件完整性的文件头和文件尾的熵计算。

double

threat.enrichments.indicator.file.Ext.entry_modified

上次状态更改的时间。请参阅 struct stat 的 st_ctim 成员。

double

threat.enrichments.indicator.file.Ext.header_bytes

用于检查文件完整性的文件的前 16 个字节。

keyword

threat.enrichments.indicator.file.Ext.header_data

用于检查文件完整性的文件的前 16 个字节。

text

threat.enrichments.indicator.file.Ext.malware_classification.features.data.buffer

从此文件中提取并由模型评估的功能。通常是浮点数数组。很可能使用 zlib 编码。

keyword

threat.enrichments.indicator.file.Ext.malware_classification.features.data.decompressed_size

缓冲区的解压大小。

整数

threat.enrichments.indicator.file.Ext.malware_classification.features.data.encoding

缓冲区的编码方式（例如，zlib）。

keyword

threat.enrichments.indicator.file.Ext.malware_classification.identifier

模型的唯一标识符。

keyword

threat.enrichments.indicator.file.Ext.malware_classification.score

分类模型生成的分数。

double

threat.enrichments.indicator.file.Ext.malware_classification.threshold

模型的分数阈值。分数高于此阈值的文件被认为是恶意的。

double

threat.enrichments.indicator.file.Ext.malware_classification.upx_packed

是否检测到 UPX 打包。

boolean

threat.enrichments.indicator.file.Ext.malware_classification.version

所用模型的版本。

keyword

threat.enrichments.indicator.file.Ext.malware_signature

malware_signature 字段集的嵌套版本。

nested

threat.enrichments.indicator.file.Ext.malware_signature.all_names

所有 yara 签名的串联名称。

text

threat.enrichments.indicator.file.Ext.malware_signature.identifier

恶意软件工件标识符。

text

threat.enrichments.indicator.file.Ext.malware_signature.primary

主要恶意软件签名匹配。

nested

threat.enrichments.indicator.file.Ext.malware_signature.primary.matches

表示 yara 签名匹配的字节数组。

nested

threat.enrichments.indicator.file.Ext.malware_signature.primary.signature

主要恶意软件签名匹配。

nested

threat.enrichments.indicator.file.Ext.malware_signature.primary.signature.hash

主要恶意软件签名哈希。

nested

threat.enrichments.indicator.file.Ext.malware_signature.primary.signature.hash.sha256

主要恶意软件签名 sha256。

keyword

threat.enrichments.indicator.file.Ext.malware_signature.primary.signature.id

主要恶意软件签名 ID。

keyword

threat.enrichments.indicator.file.Ext.malware_signature.primary.signature.name

主要恶意软件签名名称。

keyword

threat.enrichments.indicator.file.Ext.malware_signature.secondary

一个恶意软件签名匹配数组。

nested

threat.enrichments.indicator.file.Ext.malware_signature.version

主要恶意软件签名版本。

keyword

threat.enrichments.indicator.file.Ext.monotonic_id

文件事件单调 ID。

unsigned_long

threat.enrichments.indicator.file.Ext.original

修改事件期间的原始文件信息。

object

threat.enrichments.indicator.file.Ext.original.gid

文件的主组 ID (GID)。

keyword

threat.enrichments.indicator.file.Ext.original.group

文件的主组名称。

keyword

threat.enrichments.indicator.file.Ext.original.mode

修改事件之前的原始文件模式

keyword

threat.enrichments.indicator.file.Ext.original.name

修改事件之前的原始文件名

keyword

threat.enrichments.indicator.file.Ext.original.owner

文件所有者的用户名。

keyword

threat.enrichments.indicator.file.Ext.original.path

修改事件之前的原始文件路径

keyword

threat.enrichments.indicator.file.Ext.original.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

keyword

threat.enrichments.indicator.file.Ext.quarantine_message

描述隔离结果的消息。

keyword

threat.enrichments.indicator.file.Ext.quarantine_path

隔离文件最初所在的端点上的路径。

keyword

threat.enrichments.indicator.file.Ext.quarantine_result

表示文件隔离是否成功的布尔值。

boolean

threat.enrichments.indicator.file.Ext.temp_file_path

端点上存储文件副本的路径。用于使临时文件可检索。

keyword

threat.enrichments.indicator.file.Ext.windows

特定于平台的 Windows 字段

object

threat.enrichments.indicator.file.Ext.windows.zone_identifier

文件的 Windows 区域标识符

keyword

threat.enrichments.indicator.file.accessed

上次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

date

threat.enrichments.indicator.file.attributes

文件属性数组。属性名称将因平台而异。以下是此字段中预期的非详尽的值列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

keyword

threat.enrichments.indicator.file.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

threat.enrichments.indicator.file.code_signature.signing_id

用于签署进程的标识符。此标识符用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

keyword

threat.enrichments.indicator.file.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未选中证书的有效性或信任，则将其留空。

keyword

threat.enrichments.indicator.file.code_signature.subject_name

代码签名者的主题名称

keyword

threat.enrichments.indicator.file.code_signature.team_id

用于签署进程的团队标识符。此标识符用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

keyword

threat.enrichments.indicator.file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

boolean

threat.enrichments.indicator.file.code_signature.valid

用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未选中证书，则将其留空。

boolean

threat.enrichments.indicator.file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

date

threat.enrichments.indicator.file.ctime

上次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时进行调整，因为 mtime 是文件的属性。

date

threat.enrichments.indicator.file.device

作为文件来源的设备。

keyword

threat.enrichments.indicator.file.directory

文件所在的目录。它应包括驱动器号（如果适用）。

keyword

threat.enrichments.indicator.file.drive_letter

文件所在的驱动器号。此字段仅在 Windows 上相关。该值应为大写，并且不包括冒号。

keyword

threat.enrichments.indicator.file.elf.architecture

ELF 文件的机器架构。

keyword

threat.enrichments.indicator.file.elf.byte_order

ELF 文件的字节序列。

keyword

threat.enrichments.indicator.file.elf.cpu_type

ELF 文件的 CPU 类型。

keyword

threat.enrichments.indicator.file.elf.creation_date

尽可能从文件的元数据中提取。指示其构建或编译时间。恶意软件创建者也可以伪造此信息。

date

threat.enrichments.indicator.file.elf.exports

导出的元素名称和类型列表。

已展平

threat.enrichments.indicator.file.elf.go_import_hash

ELF 文件中 Go 语言导入的哈希，不包括标准库导入。即使在重新编译或其他代码级转换发生后，导入哈希也可用于对二进制文件进行指纹识别，这会更改更传统的哈希值。用于计算 Go 符号哈希的算法和参考实现可在此处找到：此处。