- Elastic 集成
- 集成快速参考
- 1Password
- Abnormal Security
- ActiveMQ
- Active Directory 实体分析
- Airflow
- Akamai
- Apache
- API(自定义)
- Arbor Peakflow SP 日志
- Arista NG 防火墙
- Atlassian
- Auditd
- Auth0
- authentik
- AWS
- Amazon CloudFront
- Amazon DynamoDB
- Amazon EBS
- Amazon EC2
- Amazon ECS
- Amazon EMR
- AWS API 网关
- Amazon GuardDuty
- AWS Health
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Stream
- Amazon Managed Streaming for Apache Kafka (MSK)
- Amazon NAT 网关
- Amazon RDS
- Amazon Redshift
- Amazon S3
- Amazon S3 Storage Lens
- Amazon Security Lake
- Amazon SNS
- Amazon SQS
- Amazon VPC
- Amazon VPN
- AWS Bedrock
- AWS 账单
- AWS CloudTrail
- AWS CloudWatch
- AWS ELB
- AWS Fargate
- AWS Inspector
- AWS Lambda
- AWS 日志(自定义)
- AWS 网络防火墙
- AWS Route 53
- AWS Security Hub
- AWS Transit Gateway
- AWS 使用情况
- AWS WAF
- Azure
- Barracuda
- BitDefender
- Bitwarden
- blacklens.io
- Blue Coat Director 日志
- BBOT (Bighuge BLS OSINT 工具)
- Box 事件
- Bravura Monitor
- Broadcom ProxySG
- Canva
- Cassandra
- CEL 自定义 API
- Ceph
- Check Point
- Cilium Tetragon
- CISA 已知被利用的漏洞
- Cisco
- Cisco Meraki 指标
- Citrix
- Claroty CTD
- Cloudflare
- 云资产清单
- CockroachDB 指标
- 通用事件格式 (CEF)
- Containerd
- CoreDNS
- Corelight
- Couchbase
- CouchDB
- Cribl
- CrowdStrike
- Cyberark
- Cybereason
- CylanceProtect 日志
- 自定义 Websocket 日志
- Darktrace
- 数据泄露检测
- DGA
- Digital Guardian
- Docker
- Elastic APM
- Elastic Fleet Server
- Elastic Security
- Elastic Stack 监控
- ESET PROTECT
- ESET 威胁情报
- etcd
- Falco
- F5
- 文件完整性监控
- FireEye 网络安全
- First EPSS
- Forcepoint Web Security
- ForgeRock
- Fortinet
- Gigamon
- GitHub
- GitLab
- Golang
- Google Cloud
- GoFlow2 日志
- Hadoop
- HAProxy
- Hashicorp Vault
- HTTP 端点日志(自定义)
- IBM MQ
- IIS
- Imperva
- InfluxDb
- Infoblox
- Iptables
- Istio
- Jamf Compliance Reporter
- Jamf Pro
- Jamf Protect
- Jolokia 输入
- Journald 日志(自定义)
- JumpCloud
- Kafka
- Keycloak
- Kubernetes
- LastPass
- 横向移动检测
- Linux 指标
- 利用现有工具进行攻击检测
- 日志(自定义)
- Lumos
- Lyve Cloud
- Mattermost
- Memcached
- Menlo Security
- Microsoft
- Mimecast
- ModSecurity 审核
- MongoDB
- MongoDB Atlas
- MySQL
- Nagios XI
- NATS
- NetFlow 记录
- Netskope
- 网络信标识别
- 网络数据包捕获
- Nginx
- Okta
- Oracle
- OpenCanary
- Osquery
- Palo Alto
- pfSense
- PHP-FPM
- PingOne
- Pleasant Password Server
- PostgreSQL
- Prometheus
- Proofpoint TAP
- Proofpoint On Demand
- Pulse Connect Secure
- Qualys VMDR
- QNAP NAS
- RabbitMQ 日志
- Radware DefensePro 日志
- Rapid7
- Redis
- Salesforce
- SentinelOne
- ServiceNow
- Slack 日志
- Snort
- Snyk
- SonicWall 防火墙
- Sophos
- Spring Boot
- SpyCloud Enterprise Protection
- SQL 输入
- Squid 日志
- SRX
- STAN
- Statsd 输入
- Sublime Security
- Suricata
- StormShield SNS
- Symantec
- Symantec Endpoint Security
- Linux 版 Sysmon
- Sysdig
- 系统
- 系统审核
- Tanium
- TCP 日志(自定义)
- Teleport
- Tenable
- 威胁情报
- ThreatConnect
- 威胁地图
- Thycotic Secret Server
- Tines
- Traefik
- Trellix
- Trend Micro
- TYCHON 无代理
- UDP 日志(自定义)
- 通用分析
- Vectra Detect
- VMware
- WatchGuard Firebox
- WebSphere 应用程序服务器
- Windows
- Wiz
- Zeek
- ZeroFox
- Zero Networks
- ZooKeeper 指标
- Zoom
- Zscaler
FireEye 集成
编辑FireEye 集成
编辑此集成定期从 FireEye 网络安全 设备获取日志。
兼容性
编辑FireEye nx 集成是基于 FireEye 网络安全 9.0.0.916432 开发的,但预计与其他版本兼容。
日志
编辑NX
编辑nx 集成通过 TCP/UDP 和文件从 FireEye NX 摄取网络安全日志。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集 |
常量关键字 |
event.module |
事件模块 |
常量关键字 |
fireeye.nx.fileinfo.filename |
文件名。 |
关键字 |
fireeye.nx.fileinfo.magic |
文件信息魔术数。 |
关键字 |
fireeye.nx.fileinfo.md5 |
文件哈希值。 |
关键字 |
fireeye.nx.fileinfo.size |
文件大小。 |
长整型 |
fireeye.nx.fileinfo.state |
文件状态。 |
关键字 |
fireeye.nx.fileinfo.stored |
文件是否存储。 |
布尔值 |
fireeye.nx.flow.age |
流年龄。 |
长整型 |
fireeye.nx.flow.alerted |
流是否发出警报。 |
布尔值 |
fireeye.nx.flow.endtime |
流结束时间。 |
日期 |
fireeye.nx.flow.reason |
流原因。 |
关键字 |
fireeye.nx.flow.starttime |
流开始时间。 |
日期 |
fireeye.nx.flow.state |
流状态。 |
关键字 |
fireeye.nx.flow_id |
事件的流 ID。 |
长整型 |
fireeye.nx.tcp.ack |
TCP 确认。 |
布尔值 |
fireeye.nx.tcp.psh |
TCP PSH。 |
布尔值 |
fireeye.nx.tcp.state |
TCP 连接状态。 |
关键字 |
fireeye.nx.tcp.syn |
TCP SYN。 |
布尔值 |
fireeye.nx.tcp.tcp_flags |
TCP 标志。 |
关键字 |
fireeye.nx.tcp.tcp_flags_tc |
TCP 标志。 |
关键字 |
fireeye.nx.tcp.tcp_flags_ts |
TCP 标志。 |
关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
日志源原始地址。 |
关键字 |
tls.client.ciphersuites |
客户端的 TLS 密码套件。 |
长整型 |
tls.client.fingerprint |
TLS 指纹。 |
关键字 |
tls.client.ja3_string |
一个基于客户端如何执行 SSL/TLS 握手来识别客户端的哈希值。 |
关键字 |
tls.client.tls_exts |
客户端设置的 TLS 扩展。 |
长整型 |
tls.public_keylength |
TLS 公钥长度。 |
长整型 |
tls.server.ciphersuite |
服务器的 TLS 密码套件。 |
长整型 |
tls.server.ja3s_string |
一个基于服务器如何执行 SSL/TLS 握手来识别服务器的哈希值。 |
关键字 |
tls.server.tls_exts |
服务器设置的 TLS 扩展。 |
长整型 |
示例
nx 的示例事件如下:
{ "@timestamp": "2020-09-22T08:34:44.991Z", "agent": { "ephemeral_id": "dff6c436-37c3-4536-bdf9-08aed3ed94bd", "id": "f25d13cd-18cc-4e73-822c-c4f849322623", "name": "docker-fleet-agent", "type": "filebeat", "version": "8.10.1" }, "data_stream": { "dataset": "fireeye.nx", "namespace": "ep", "type": "logs" }, "destination": { "address": "ff02:0000:0000:0000:0000:0000:0000:0001", "bytes": 0, "ip": "ff02:0000:0000:0000:0000:0000:0000:0001", "packets": 0, "port": 10001 }, "ecs": { "version": "8.11.0" }, "elastic_agent": { "id": "f25d13cd-18cc-4e73-822c-c4f849322623", "snapshot": false, "version": "8.10.1" }, "event": { "agent_id_status": "verified", "category": [ "network" ], "dataset": "fireeye.nx", "ingested": "2023-09-25T20:05:32Z", "original": "{\"rawmsg\":\"{\\\"timestamp\\\":\\\"2020-09-22T08:34:44.991339+0000\\\",\\\"flow_id\\\":721570461162990,\\\"event_type\\\":\\\"flow\\\",\\\"src_ip\\\":\\\"fe80:0000:0000:0000:feec:daff:fe31:b706\\\",\\\"src_port\\\":45944,\\\"dest_ip\\\":\\\"ff02:0000:0000:0000:0000:0000:0000:0001\\\",\\\"dest_port\\\":10001,\\\"proto\\\":\\\"UDP\\\",\\\"proto_number\\\":17,\\\"ip_tc\\\":0,\\\"app_proto\\\":\\\"failed\\\",\\\"flow\\\":{\\\"pkts_toserver\\\":8,\\\"pkts_toclient\\\":0,\\\"bytes_toserver\\\":1680,\\\"bytes_toclient\\\":0,\\\"start\\\":\\\"2020-09-22T08:34:12.761326+0000\\\",\\\"end\\\":\\\"2020-09-22T08:34:12.761348+0000\\\",\\\"age\\\":0,\\\"state\\\":\\\"new\\\",\\\"reason\\\":\\\"timeout\\\",\\\"alerted\\\":false}}\\n\",\"meta_sip4\":\"192.168.1.99\",\"meta_oml\":520,\"deviceid\":\"860665216674\",\"meta_cbname\":\"fireeye-7e0de1\"}", "timezone": "+00:00", "type": [ "info" ] }, "fireeye": { "nx": { "flow": { "age": 0, "alerted": false, "endtime": "2020-09-22T08:34:12.761348+0000", "reason": "timeout", "starttime": "2020-09-22T08:34:12.761326+0000", "state": "new" }, "flow_id": 721570461162990 } }, "host": { "architecture": "x86_64", "containerized": false, "hostname": "docker-fleet-agent", "id": "28da52b32df94b50aff67dfb8f1be3d6", "ip": [ "192.168.80.5" ], "mac": [ "02-42-C0-A8-50-05" ], "name": "docker-fleet-agent", "os": { "codename": "focal", "family": "debian", "kernel": "5.10.104-linuxkit", "name": "Ubuntu", "platform": "ubuntu", "type": "linux", "version": "20.04.6 LTS (Focal Fossa)" } }, "input": { "type": "log" }, "log": { "file": { "path": "/tmp/service_logs/fireeye-nx.log" }, "offset": 0 }, "network": { "community_id": "1:McNAQcsUcKZYOHHZYm0sD8JiBLc=", "iana_number": "17", "protocol": "failed", "transport": "udp" }, "observer": { "product": "NX", "vendor": "Fireeye" }, "related": { "ip": [ "fe80:0000:0000:0000:feec:daff:fe31:b706", "ff02:0000:0000:0000:0000:0000:0000:0001" ] }, "source": { "address": "fe80:0000:0000:0000:feec:daff:fe31:b706", "bytes": 1680, "ip": "fe80:0000:0000:0000:feec:daff:fe31:b706", "packets": 8, "port": 45944 }, "tags": [ "fireeye-nx" ] }
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.24.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.23.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.23.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.22.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.21.2 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.21.1 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.21.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.20.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.19.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.18.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.17.0 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.16.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.15.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.14.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.13.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.12.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.11.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.10.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.9.1 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.9.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.8.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.7.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.6.2 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.6.1 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.6.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.1 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.1 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.4 |
错误修复 (查看拉取请求) |
— |
1.2.3 |
错误修复 (查看拉取请求) |
— |
1.2.2 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.1 |
增强 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.2 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.1 |
错误修复 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |