›

FireEye 集成

版本	1.24.0 ( 查看全部 )
兼容的 Kibana 版本	8.13.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基础
支持级别这是什么？	社区

此集成定期从 FireEye 网络安全设备获取日志。

兼容性

编辑

FireEye nx 集成是基于 FireEye 网络安全 9.0.0.916432 开发的，但预计与其他版本兼容。

日志

编辑

NX

编辑

nx 集成通过 TCP/UDP 和文件从 FireEye NX 摄取网络安全日志。

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.image.id	云实例的镜像 ID。	关键字
data_stream.dataset	数据流数据集。	常量关键字
data_stream.namespace	数据流命名空间。	常量关键字
data_stream.type	数据流类型。	常量关键字
event.dataset	事件数据集	常量关键字
event.module	事件模块	常量关键字
fireeye.nx.fileinfo.filename	文件名。	关键字
fireeye.nx.fileinfo.magic	文件信息魔术数。	关键字
fireeye.nx.fileinfo.md5	文件哈希值。	关键字
fireeye.nx.fileinfo.size	文件大小。	长整型
fireeye.nx.fileinfo.state	文件状态。	关键字
fireeye.nx.fileinfo.stored	文件是否存储。	布尔值
fireeye.nx.flow.age	流年龄。	长整型
fireeye.nx.flow.alerted	流是否发出警报。	布尔值
fireeye.nx.flow.endtime	流结束时间。	日期
fireeye.nx.flow.reason	流原因。	关键字
fireeye.nx.flow.starttime	流开始时间。	日期
fireeye.nx.flow.state	流状态。	关键字
fireeye.nx.flow_id	事件的流 ID。	长整型
fireeye.nx.tcp.ack	TCP 确认。	布尔值
fireeye.nx.tcp.psh	TCP PSH。	布尔值
fireeye.nx.tcp.state	TCP 连接状态。	关键字
fireeye.nx.tcp.syn	TCP SYN。	布尔值
fireeye.nx.tcp.tcp_flags	TCP 标志。	关键字
fireeye.nx.tcp.tcp_flags_tc	TCP 标志。	关键字
fireeye.nx.tcp.tcp_flags_ts	TCP 标志。	关键字
host.containerized	主机是否为容器。	布尔值
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统代号（如果有）。	关键字
input.type	输入类型	关键字
log.offset	日志偏移量	长整型
log.source.address	日志源原始地址。	关键字
tls.client.ciphersuites	客户端的 TLS 密码套件。	长整型
tls.client.fingerprint	TLS 指纹。	关键字
tls.client.ja3_string	一个基于客户端如何执行 SSL/TLS 握手来识别客户端的哈希值。	关键字
tls.client.tls_exts	客户端设置的 TLS 扩展。	长整型
tls.public_keylength	TLS 公钥长度。	长整型
tls.server.ciphersuite	服务器的 TLS 密码套件。	长整型
tls.server.ja3s_string	一个基于服务器如何执行 SSL/TLS 握手来识别服务器的哈希值。	关键字
tls.server.tls_exts	服务器设置的 TLS 扩展。	长整型

示例

nx 的示例事件如下：

{
    "@timestamp": "2020-09-22T08:34:44.991Z",
    "agent": {
        "ephemeral_id": "dff6c436-37c3-4536-bdf9-08aed3ed94bd",
        "id": "f25d13cd-18cc-4e73-822c-c4f849322623",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.10.1"
    },
    "data_stream": {
        "dataset": "fireeye.nx",
        "namespace": "ep",
        "type": "logs"
    },
    "destination": {
        "address": "ff02:0000:0000:0000:0000:0000:0000:0001",
        "bytes": 0,
        "ip": "ff02:0000:0000:0000:0000:0000:0000:0001",
        "packets": 0,
        "port": 10001
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "f25d13cd-18cc-4e73-822c-c4f849322623",
        "snapshot": false,
        "version": "8.10.1"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "dataset": "fireeye.nx",
        "ingested": "2023-09-25T20:05:32Z",
        "original": "{\"rawmsg\":\"{\\\"timestamp\\\":\\\"2020-09-22T08:34:44.991339+0000\\\",\\\"flow_id\\\":721570461162990,\\\"event_type\\\":\\\"flow\\\",\\\"src_ip\\\":\\\"fe80:0000:0000:0000:feec:daff:fe31:b706\\\",\\\"src_port\\\":45944,\\\"dest_ip\\\":\\\"ff02:0000:0000:0000:0000:0000:0000:0001\\\",\\\"dest_port\\\":10001,\\\"proto\\\":\\\"UDP\\\",\\\"proto_number\\\":17,\\\"ip_tc\\\":0,\\\"app_proto\\\":\\\"failed\\\",\\\"flow\\\":{\\\"pkts_toserver\\\":8,\\\"pkts_toclient\\\":0,\\\"bytes_toserver\\\":1680,\\\"bytes_toclient\\\":0,\\\"start\\\":\\\"2020-09-22T08:34:12.761326+0000\\\",\\\"end\\\":\\\"2020-09-22T08:34:12.761348+0000\\\",\\\"age\\\":0,\\\"state\\\":\\\"new\\\",\\\"reason\\\":\\\"timeout\\\",\\\"alerted\\\":false}}\\n\",\"meta_sip4\":\"192.168.1.99\",\"meta_oml\":520,\"deviceid\":\"860665216674\",\"meta_cbname\":\"fireeye-7e0de1\"}",
        "timezone": "+00:00",
        "type": [
            "info"
        ]
    },
    "fireeye": {
        "nx": {
            "flow": {
                "age": 0,
                "alerted": false,
                "endtime": "2020-09-22T08:34:12.761348+0000",
                "reason": "timeout",
                "starttime": "2020-09-22T08:34:12.761326+0000",
                "state": "new"
            },
            "flow_id": 721570461162990
        }
    },
    "host": {
        "architecture": "x86_64",
        "containerized": false,
        "hostname": "docker-fleet-agent",
        "id": "28da52b32df94b50aff67dfb8f1be3d6",
        "ip": [
            "192.168.80.5"
        ],
        "mac": [
            "02-42-C0-A8-50-05"
        ],
        "name": "docker-fleet-agent",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "5.10.104-linuxkit",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.6 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "log"
    },
    "log": {
        "file": {
            "path": "/tmp/service_logs/fireeye-nx.log"
        },
        "offset": 0
    },
    "network": {
        "community_id": "1:McNAQcsUcKZYOHHZYm0sD8JiBLc=",
        "iana_number": "17",
        "protocol": "failed",
        "transport": "udp"
    },
    "observer": {
        "product": "NX",
        "vendor": "Fireeye"
    },
    "related": {
        "ip": [
            "fe80:0000:0000:0000:feec:daff:fe31:b706",
            "ff02:0000:0000:0000:0000:0000:0000:0001"
        ]
    },
    "source": {
        "address": "fe80:0000:0000:0000:feec:daff:fe31:b706",
        "bytes": 1680,
        "ip": "fe80:0000:0000:0000:feec:daff:fe31:b706",
        "packets": 8,
        "port": 45944
    },
    "tags": [
        "fireeye-nx"
    ]
}

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
1.24.0	增强功能 (查看拉取请求) 为 `event.kind` 设置为“pipeline_error”的文档添加“preserve_original_event”标签。	8.13.0 或更高版本
1.23.1	错误修复 (查看拉取请求) 在引用摄取管道中的变量时，使用三重大括号 Mustache 模板。	8.13.0 或更高版本
1.23.0	增强功能 (查看拉取请求) 将 Kibana 约束更新为 ^8.13.0。修改了字段定义，以删除由 ecs@mappings 组件模板冗余的 ECS 字段。	8.13.0 或更高版本
1.22.0	增强功能 (查看拉取请求) 将清单格式版本更新为 v3.0.3。	7.16.0 或更高版本 8.0.0 或更高版本
1.21.2	增强功能 (查看拉取请求) 已更改所有者	7.16.0 或更高版本 8.0.0 或更高版本
1.21.1	错误修复 (查看拉取请求) 修复 exclude_files 模式。	7.16.0 或更高版本 8.0.0 或更高版本
1.21.0	增强功能 (查看拉取请求) ECS 版本更新至 8.11.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.20.0	增强功能 (查看拉取请求) 改进 event.original 检查，以避免在设置时出现错误。	7.16.0 或更高版本 8.0.0 或更高版本
1.19.0	增强功能 (查看拉取请求) 设置社区所有者类型。	7.16.0 或更高版本 8.0.0 或更高版本
1.18.0	增强功能 (查看拉取请求) 将包 format_version 更新为 3.0.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.17.0	错误修复 (查看拉取请求) 纠正根级别上无效的 ECS 字段用法。	7.16.0 或更高版本 8.0.0 或更高版本
1.16.0	增强功能 (查看拉取请求) ECS 版本更新至 8.10.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.15.0	增强功能 (查看拉取请求) 添加 tags.yml 文件，以便集成的仪表板和保存的搜索使用“安全解决方案”进行标记，并在安全解决方案 UI 中显示。	7.16.0 或更高版本 8.0.0 或更高版本
1.14.0	增强功能 (查看拉取请求) 将包更新为 ECS 8.9.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.13.0	增强功能 (查看拉取请求) 确保为管道错误正确设置 event.kind。	7.16.0 或更高版本 8.0.0 或更高版本
1.12.0	增强功能 (查看拉取请求) 将包更新为 pkg-spec 2.7.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.11.0	增强功能 (查看拉取请求) 将包更新为 ECS 8.8.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.10.0	增强功能 (查看拉取请求) 将包更新为 ECS 8.7.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.9.1	增强功能 (查看拉取请求) 添加了类别和/或子类别。	7.16.0 或更高版本 8.0.0 或更高版本
1.9.0	增强功能 (查看拉取请求) 将包更新为 ECS 8.6.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.8.0	增强功能 (查看拉取请求) 向 UDP 输入添加 `udp_options`。	7.16.0 或更高版本 8.0.0 或更高版本
1.7.0	增强功能 (查看拉取请求) 将包更新为 ECS 8.5.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.6.2	错误修复 (查看拉取请求) 删除重复字段。	7.16.0 或更高版本 8.0.0 或更高版本
1.6.1	增强功能 (查看拉取请求) 使用 ECS geo.location 定义。	7.16.0 或更高版本 8.0.0 或更高版本
1.6.0	增强功能 (查看拉取请求) 将包更新为 ECS 8.4.0	7.16.0 或更高版本 8.0.0 或更高版本
1.5.1	增强功能 (查看拉取请求) 更新包名称和描述以与标准措辞保持一致	7.16.0 或更高版本 8.0.0 或更高版本
1.5.0	增强功能 (查看拉取请求) 将包更新为 ECS 8.3.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.4.0	增强功能 (查看拉取请求) 将 JA3/JA3S 添加到 `related.hash`	7.16.0 或更高版本 8.0.0 或更高版本
1.3.1	错误修复 (查看拉取请求) 移动示例事件文件中的无效字段值	7.16.0 或更高版本 8.0.0 或更高版本
1.3.0	增强功能 (查看拉取请求) 更新到 ECS 8.2	7.16.0 或更高版本 8.0.0 或更高版本
1.2.4	错误修复 (查看拉取请求) 移动无效字段值	—
1.2.3	错误修复 (查看拉取请求) 修复忽略主机丰富配置模板中的拼写错误	—
1.2.2	增强功能 (查看拉取请求) 添加多字段文档	7.16.0 或更高版本 8.0.0 或更高版本
1.2.1	增强 (查看拉取请求) 修复 `dns.id` 和 `network.iana_number` 的字段映射	—
1.2.0	增强 (查看拉取请求) 更新至 ECS 8.0	7.16.0 或更高版本 8.0.0 或更高版本
1.1.2	错误修复 (查看拉取请求) 使用新的 GeoIP 数据库重新生成测试文件	7.16.0 或更高版本 8.0.0 或更高版本
1.1.1	错误修复 (查看拉取请求) 将测试公共 IP 更改为受支持的子集	—
1.1.0	增强 (查看拉取请求) 添加 8.0.0 版本约束	7.16.0 或更高版本 8.0.0 或更高版本
1.0.0	增强 (查看拉取请求) 软件包的初始草案	7.16.0 或更高版本

« 文件完整性监控集成 First EPSS »