« FireEye 集成 Forcepoint Web Security »
Elastic 文档 Elastic 集成

First EPSS

编辑

First EPSS

编辑

版本

0.2.0 [beta] 此功能为 beta 版本,可能会发生更改。其设计和代码不如正式 GA 功能成熟,按原样提供,不提供任何保证。Beta 功能不受正式 GA 功能的支持 SLA 约束。 (查看全部)

兼容的 Kibana 版本

8.14.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

概述

编辑

First EPSS 集成允许用户从 First EPSS API 检索 EPSS 分数。

漏洞利用预测评分系统 (EPSS) 是一种数据驱动的方法,用于估计软件漏洞 (CVE) 在实际环境中被利用的可能性(概率)。

数据流

编辑

First EPSS 集成收集一种类型的数据流:vulnerability

EPSS

编辑

EPSS 分数通过 First EPSS API (https://api.first.org/data/v1/epss) 检索。

兼容性

编辑

此集成已针对 EPSS API v1 进行了测试。

要求

编辑

您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。

设置

编辑

有关如何设置集成的逐步说明,请参阅入门指南。

数据参考

编辑

漏洞

编辑

这是 vulnerability 数据集。

示例

vulnerability 的示例事件如下所示

{
    "@timestamp": "2024-09-05T14:49:59.197Z",
    "agent": {
        "ephemeral_id": "76bea870-a841-4313-939f-8ac1e976e0f9",
        "id": "7acf9ae7-fa00-4807-86c6-5ddf0681ffbb",
        "name": "elastic-agent-50065",
        "type": "filebeat",
        "version": "8.15.0"
    },
    "data_stream": {
        "dataset": "first_epss.vulnerability",
        "namespace": "53064",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "7acf9ae7-fa00-4807-86c6-5ddf0681ffbb",
        "snapshot": false,
        "version": "8.15.0"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "vulnerability"
        ],
        "dataset": "first_epss.vulnerability",
        "ingested": "2024-09-05T14:50:00Z",
        "kind": "enrichment",
        "type": [
            "info"
        ]
    },
    "first_epss": {
        "vulnerability": {
            "cve": "CVE-2024-8418",
            "date": "2024-09-05T00:00:00.000Z",
            "epss": 0.00045,
            "percentile": 0.16342
        }
    },
    "host": {
        "architecture": "aarch64",
        "containerized": false,
        "hostname": "elastic-agent-50065",
        "id": "1e6dd5e4f8a3409dbea97e40111e935a",
        "ip": [
            "172.24.0.2",
            "172.23.0.4"
        ],
        "mac": [
            "02-42-AC-17-00-04",
            "02-42-AC-18-00-02"
        ],
        "name": "elastic-agent-50065",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "6.10.4-linuxkit",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.6 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "cel"
    },
    "tags": [
        "preserve_original_event"
    ],
    "vulnerability": {
        "id": "CVE-2024-8418",
        "reference": "https://api.first.org/data/v1/epss?pretty=true&cve=CVE-2024-8418"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集。

constant_keyword

event.module

事件模块。

constant_keyword

first_epss.vulnerability.cve

CVE 编号。

keyword

first_epss.vulnerability.date

漏洞利用预测评分系统分数计算日期。

日期

first_epss.vulnerability.epss

漏洞利用预测评分系统分数。

float

first_epss.vulnerability.percentile

漏洞利用预测评分系统百分位数。

float

input.type

Filebeat 输入的类型。

keyword

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

0.2.0

增强 (查看拉取请求)
将“preserve_original_event”标签添加到 event.kind 设置为“pipeline_error”的文档中。

0.1.0

增强 (查看拉取请求)
软件包的初始版本

« FireEye 集成 Forcepoint Web Security »