Prisma Cloud
编辑Prisma Cloud
编辑此 Prisma Cloud 是一种云基础设施安全解决方案和安全运营中心 (SOC) 赋能工具,使您能够从单个控制台解决异构环境(混合云和多云)中的风险并保护您的工作负载。它提供了对公共云基础设施(亚马逊网络服务 (AWS)、Microsoft Azure、Google Cloud Platform (GCP)、Oracle Cloud Infrastructure (OCI)、阿里云)中风险的完全可见性和控制,并使您能够管理漏洞、检测异常、确保合规性,并在异构环境(如 Windows、Linux、Kubernetes、Red Hat OpenShift、AWS Lambda、Azure Functions 和 GCP Cloud Functions)中提供运行时防御。
Prisma Cloud 安全态势管理 (CSPM)
编辑用于 CSPM(云安全态势管理)和 CWPP(云工作负载保护平台)的单一管理平台。Compute(以前称为 Twistlock,一种 CWPP 解决方案)作为更大的 Prisma Cloud 系统的一部分提供。Palo Alto Networks 为您运行、管理和更新 Compute 控制台。您在您的环境中部署和管理 Defenders。您可以从 Prisma Cloud 用户界面中的选项卡访问 Compute 控制台。
CSPM 使用 REST API 模式收集数据。Elastic Agent 通过 API 端点获取数据。
Prisma Cloud 工作负载保护 (CWP)
编辑Compute(以前称为 Twistlock)的自托管、独立、自操作版本。下载整个软件包,并在任何环境中运行。您部署和管理控制台和 Defenders。
CWP 可以使用两种不同的模式来收集数据
- REST API 模式。
- Syslog 模式:包括 TCP 和 UDP。
兼容性
编辑此模块已针对最新的 CSPM 版本 v2 和 CWP 版本 v30.03 进行了测试。
数据流
编辑Prisma Cloud 集成收集以下五个事件的数据
| 事件类型 |
|---|
警报 |
审计 |
主机 |
主机配置文件 |
事件审计 |
注意
要求
编辑- 必须安装 Elastic Agent。
- 每个主机只能安装一个 Elastic Agent。
- 需要 Elastic Agent 通过 REST API 流式传输数据,并将数据发送到 Elastic,然后在 Elastic 中通过集成的摄取管道处理事件。
安装和管理 Elastic Agent
编辑您有几种安装和管理 Elastic Agent 的选项
安装由 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent,并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级更加容易。
在独立模式下安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent,并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 映像都可从 Elastic Docker 注册表中获取,并且我们提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅此 链接。
最低要求的 kibana.version 是 8.10.1。
设置
编辑要通过 REST API 收集数据,请按照以下步骤操作
编辑CSPM
编辑CWP
编辑- 假设您已经从 Prisma Cloud 控制台生成了您的访问密钥 ID 和秘密访问密钥;如果不是,请参阅上面的部分。
- 您的 CWP API 请求的基本 URL 取决于控制台路径和您的 Prisma Cloud Compute 控制台的 API 版本。
- 要查找您的 API 版本,请登录到您的 Prisma Cloud Compute 控制台,单击页面右上角的铃铛图标,您的 API 版本将显示。
- 要获取您的控制台路径,请导航到 Compute > 管理 > 系统 > 下载。您可以在“控制台路径”下找到您的控制台路径。
- 现在您可以使用此格式创建您的基本 URL:
https://<控制台>/api/v<版本>。
您可以指定访问密钥有效期的日期和时间。如果您不选择密钥过期,则密钥设置为永不过期;如果您选择它,但不指定日期,则密钥在一个月后过期。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理”>“集成”
- 在“搜索集成”搜索栏中,键入“Palo Alto Prisma Cloud”。
- 从搜索结果中单击“Palo Alto Prisma Cloud”集成。
- 单击“添加 Palo Alto Prisma Cloud 集成”按钮以添加集成。
-
在添加集成时,如果要通过 REST API 收集警报和审计数据,则必须输入以下详细信息
- 用户名
- 密码
- URL
- 间隔
- 时间量
- 时间单位
- 批量大小
或者,如果要通过 REST API 收集主机、主机配置文件和事件审计数据,则必须输入以下详细信息
- 用户名
- 密码
- URL
- 间隔
- 偏移量
-
批量大小
或者,如果要通过 TCP/UDP 收集主机、主机配置文件和事件审计数据,则必须输入以下详细信息
- 监听地址
- 监听端口
您的访问密钥 ID 是您的用户名,秘密访问密钥是您的密码。
日志参考
编辑警报
编辑这是 Alert 数据集。
示例
alert 的示例事件如下所示
{
"@timestamp": "2023-09-06T12:30:41.966Z",
"agent": {
"ephemeral_id": "748799a0-a545-468b-9b86-764414774225",
"id": "47449736-bd61-40ad-89a6-41d7f7acc093",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloud": {
"account": {
"id": "710002259376"
},
"provider": "aws",
"service": {
"name": "Amazon EC2"
}
},
"data_stream": {
"dataset": "prisma_cloud.alert",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "47449736-bd61-40ad-89a6-41d7f7acc093",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"threat"
],
"dataset": "prisma_cloud.alert",
"end": "2023-09-06T12:30:41.966Z",
"id": "N-3910",
"ingested": "2023-11-27T09:08:39Z",
"kind": "alert",
"original": "{\"alertAdditionalInfo\":{\"scannerVersion\":\"CS_2.0\"},\"alertAttribution\":{\"attributionEventList\":[{\"event\":\"first_event\",\"event_ts\":1694003441966,\"username\":\"alex123\"}],\"resourceCreatedBy\":\"string\",\"resourceCreatedOn\":0},\"alertRules\":[],\"alertTime\":1694003441966,\"firstSeen\":1694003441966,\"history\":[{\"modifiedBy\":\"alex123\",\"modifiedOn\":\"1694003441966\",\"reason\":\"Reason1\",\"status\":\"OPEN\"}],\"id\":\"N-3910\",\"investigateOptions\":{\"alertId\":\"N-3910\"},\"lastSeen\":1694003441966,\"lastUpdated\":1694003441966,\"metadata\":null,\"policy\":{\"complianceMetadata\":[{\"complianceId\":\"qwer345bv\",\"customAssigned\":true,\"policyId\":\"werf435tr\",\"requirementDescription\":\"Description of policy compliance.\",\"requirementId\":\"req-123-xyz\",\"requirementName\":\"rigidity\",\"sectionDescription\":\"Description of section.\",\"sectionId\":\"sect-453-abc\",\"sectionLabel\":\"label-1\",\"standardDescription\":\"Description of standard.\",\"standardId\":\"stand-543-pqr\",\"standardName\":\"Class 1\"}],\"deleted\":false,\"description\":\"This policy identifies AWS EC2 instances that are internet reachable with unrestricted access (0.0.0.0/0). EC2 instances with unrestricted access to the internet may enable bad actors to use brute force on a system to gain unauthorised access to the entire network. As a best practice, restrict traffic from unknown IP addresses and limit the access to known hosts, services, or specific entities.\",\"findingTypes\":[],\"labels\":[\"Prisma_Cloud\",\"Attack Path Rule\"],\"lastModifiedBy\":\"[email protected]\",\"lastModifiedOn\":1687474999057,\"name\":\"AWS EC2 instance that is internet reachable with unrestricted access (0.0.0.0/0)\",\"policyId\":\"ad23603d-754e-4499-8988-b8017xxxx98\",\"policyType\":\"network\",\"recommendation\":\"The following steps are recommended to restrict unrestricted access from the Internet:\\n1. Visit the Network path Analysis from Source to Destination and review the network path components that allow internet access.\\n2. Identify the network component on which restrictive rules can be implemented.\\n3. Implement the required changes and make sure no other resources have been impacted due to these changes:\\n a) The overly permissive Security Group rules can be made more restrictive.\\n b) Move the instance inside a restrictive subnet if the instance does not need to be publicly accessible.\\n c) Define a NAT rule to restrict traffic coming from the Internet to the respective instance.\",\"remediable\":false,\"remediation\":{\"actions\":[{\"operation\":\"buy\",\"payload\":\"erefwsdf\"}],\"cliScriptTemplate\":\"temp1\",\"description\":\"Description of CLI Script Template.\"},\"severity\":\"high\",\"systemDefault\":true},\"policyId\":\"ad23603d-754e-4499-8988-b801xxx85898\",\"reason\":\"NEW_ALERT\",\"resource\":{\"account\":\"AWS Cloud Account\",\"accountId\":\"710002259376\",\"additionalInfo\":null,\"cloudAccountGroups\":[\"Default Account Group\"],\"cloudServiceName\":\"Amazon EC2\",\"cloudType\":\"aws\",\"data\":null,\"id\":\"i-04578exxxx8100947\",\"name\":\"IS-37133\",\"region\":\"AWS Virginia\",\"regionId\":\"us-east-1\",\"resourceApiName\":\"aws-ec2-describe-instances\",\"resourceConfigJsonAvailable\":false,\"resourceDetailsAvailable\":true,\"resourceTs\":1694003441915,\"resourceType\":\"INSTANCE\",\"rrn\":\"rrn:aws:instance:us-east-1:710000059376:e7ddce5a1ffcb47bxxxxxerf2635a3b4d9da3:i-04578e0008100947\",\"unifiedAssetId\":\"66c543b6261c4d9edxxxxxb42e15f4\",\"url\":\"https://console.aws.amazon.com/ec2/v2/home?region=us-east-1#Instances:instanceId=i-0457xxxxx00947\"},\"status\":\"open\"}",
"start": "2023-09-06T12:30:41.966Z",
"type": [
"indicator"
]
},
"input": {
"type": "cel"
},
"prisma_cloud": {
"alert": {
"additional_info": {
"scanner_version": "CS_2.0"
},
"attribution": {
"event_list": [
{
"ts": "2023-09-06T12:30:41.966Z",
"username": "alex123",
"value": "first_event"
}
],
"resource": {
"created_by": "string",
"created_on": "1970-01-01T00:00:00.000Z"
}
},
"first_seen": "2023-09-06T12:30:41.966Z",
"history": [
{
"modified_by": "alex123",
"modified_on": "2023-09-06T12:30:41.966Z",
"reason": "Reason1",
"status": "OPEN"
}
],
"id": "N-3910",
"last": {
"seen": "2023-09-06T12:30:41.966Z",
"updated": "2023-09-06T12:30:41.966Z"
},
"policy": {
"compliance_metadata": [
{
"compliance_id": "qwer345bv",
"custom_assigned": true,
"policy_id": "werf435tr",
"requirement": {
"description": "Description of policy compliance.",
"id": "req-123-xyz",
"name": "rigidity"
},
"section": {
"description": "Description of section.",
"id": "sect-453-abc",
"label": "label-1"
},
"standard": {
"description": "Description of standard.",
"id": "stand-543-pqr",
"name": "Class 1"
}
}
],
"deleted": false,
"description": "This policy identifies AWS EC2 instances that are internet reachable with unrestricted access (0.0.0.0/0). EC2 instances with unrestricted access to the internet may enable bad actors to use brute force on a system to gain unauthorised access to the entire network. As a best practice, restrict traffic from unknown IP addresses and limit the access to known hosts, services, or specific entities.",
"id": "ad23603d-754e-4499-8988-b8017xxxx98",
"labels": [
"Prisma_Cloud",
"Attack Path Rule"
],
"last_modified_by": "[email protected]",
"last_modified_on": "2023-06-22T23:03:19.057Z",
"name": "AWS EC2 instance that is internet reachable with unrestricted access (0.0.0.0/0)",
"recommendation": "The following steps are recommended to restrict unrestricted access from the Internet:\n1. Visit the Network path Analysis from Source to Destination and review the network path components that allow internet access.\n2. Identify the network component on which restrictive rules can be implemented.\n3. Implement the required changes and make sure no other resources have been impacted due to these changes:\n a) The overly permissive Security Group rules can be made more restrictive.\n b) Move the instance inside a restrictive subnet if the instance does not need to be publicly accessible.\n c) Define a NAT rule to restrict traffic coming from the Internet to the respective instance.",
"remediable": false,
"remediation": {
"actions": [
{
"operation": "buy",
"payload": "erefwsdf"
}
],
"cli_script_template": "temp1",
"description": "Description of CLI Script Template."
},
"severity": "high",
"system_default": true,
"type": "network"
},
"policy_id": "ad23603d-754e-4499-8988-b801xxx85898",
"reason": "NEW_ALERT",
"resource": {
"account": {
"id": "710002259376",
"value": "AWS Cloud Account"
},
"api_name": "aws-ec2-describe-instances",
"cloud": {
"account": {
"groups": [
"Default Account Group"
]
},
"service_name": "Amazon EC2",
"type": "aws"
},
"config_json_available": false,
"details_available": true,
"id": "i-04578exxxx8100947",
"name": "IS-37133",
"region": {
"id": "us-east-1",
"value": "AWS Virginia"
},
"rrn": "rrn:aws:instance:us-east-1:710000059376:e7ddce5a1ffcb47bxxxxxerf2635a3b4d9da3:i-04578e0008100947",
"ts": "2023-09-06T12:30:41.915Z",
"type": "INSTANCE",
"unified_asset_id": "66c543b6261c4d9edxxxxxb42e15f4",
"url": "https://console.aws.amazon.com/ec2/v2/home?region=us-east-1#Instances:instanceId=i-0457xxxxx00947"
},
"status": "open",
"time": "2023-09-06T12:30:41.966Z"
}
},
"related": {
"user": [
"alex123"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"prisma_cloud-alert"
],
"url": {
"domain": "console.aws.amazon.com",
"fragment": "Instances:instanceId=i-0457xxxxx00947",
"original": "https://console.aws.amazon.com/ec2/v2/home?region=us-east-1#Instances:instanceId=i-0457xxxxx00947",
"path": "/ec2/v2/home",
"query": "region=us-east-1",
"scheme": "https"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
prisma_cloud.alert.additional_info.scanner_version |
keyword |
|
prisma_cloud.alert.attribution.event_list.ts |
日期 |
|
prisma_cloud.alert.attribution.event_list.username |
keyword |
|
prisma_cloud.alert.attribution.event_list.value |
keyword |
|
prisma_cloud.alert.attribution.resource.created_by |
keyword |
|
prisma_cloud.alert.attribution.resource.created_on |
日期 |
|
prisma_cloud.alert.count |
long |
|
prisma_cloud.alert.dismissal.duration |
keyword |
|
prisma_cloud.alert.dismissal.note |
keyword |
|
prisma_cloud.alert.dismissal.until_ts |
日期 |
|
prisma_cloud.alert.dismissed_by |
keyword |
|
prisma_cloud.alert.event_occurred |
事件发生时的时间戳。仅针对审计事件策略设置。 |
日期 |
prisma_cloud.alert.first_seen |
警报资源首次违反策略的时间戳(即,警报创建时间戳)。 |
日期 |
prisma_cloud.alert.history.modified_by |
keyword |
|
prisma_cloud.alert.history.modified_on |
日期 |
|
prisma_cloud.alert.history.reason |
keyword |
|
prisma_cloud.alert.history.status |
keyword |
|
prisma_cloud.alert.id |
警报 ID。 |
keyword |
prisma_cloud.alert.last.seen |
上次更新警报状态时的时间戳。 |
日期 |
prisma_cloud.alert.last.updated |
上次更新警报时的时间戳。更新包括但不限于资源更新、策略更新、警报规则更新和警报状态更改。 |
日期 |
prisma_cloud.alert.metadata.save_search_id |
keyword |
|
prisma_cloud.alert.policy.cloud_type |
可能的值:[ALL、AWS、AZURE、GCP、ALIBABA_CLOUD、OCI、IBM] 云类型(配置策略必需)。不区分大小写。默认为 ALL。 |
keyword |
prisma_cloud.alert.policy.compliance_metadata.compliance_id |
合规性部分 UUID。 |
keyword |
prisma_cloud.alert.policy.compliance_metadata.custom_assigned |
布尔值 |
|
prisma_cloud.alert.policy.compliance_metadata.policy_id |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.requirement.description |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.requirement.id |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.requirement.name |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.requirement.view_order |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.section.description |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.section.id |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.section.label |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.section.view_order |
long |
|
prisma_cloud.alert.policy.compliance_metadata.standard.description |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.standard.id |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.standard.name |
keyword |
|
prisma_cloud.alert.policy.compliance_metadata.system_default |
布尔值 |
|
prisma_cloud.alert.policy.created_by |
keyword |
|
prisma_cloud.alert.policy.created_on |
日期 |
|
prisma_cloud.alert.policy.deleted |
布尔值 |
|
prisma_cloud.alert.policy.description |
keyword |
|
prisma_cloud.alert.policy.enabled |
布尔值 |
|
prisma_cloud.alert.policy.finding_types |
keyword |
|
prisma_cloud.alert.policy.id |
keyword |
|
prisma_cloud.alert.policy.labels |
keyword |
|
prisma_cloud.alert.policy.last_modified_by |
keyword |
|
prisma_cloud.alert.policy.last_modified_on |
日期 |
|
prisma_cloud.alert.policy.name |
keyword |
|
prisma_cloud.alert.policy.recommendation |
keyword |
|
prisma_cloud.alert.policy.remediable |
布尔值 |
|
prisma_cloud.alert.policy.remediation.actions.operation |
keyword |
|
prisma_cloud.alert.policy.remediation.actions.payload |
keyword |
|
prisma_cloud.alert.policy.remediation.cli_script_template |
keyword |
|
prisma_cloud.alert.policy.remediation.description |
keyword |
|
prisma_cloud.alert.policy.rule.api_name |
keyword |
|
prisma_cloud.alert.policy.rule.cloud.account |
keyword |
|
prisma_cloud.alert.policy.rule.cloud.type |
keyword |
|
prisma_cloud.alert.policy.rule.criteria |
定义规则条件的已保存搜索 ID。 |
keyword |
prisma_cloud.alert.policy.rule.data_criteria.classification_result |
数据策略。DLP 规则条件所必需。 |
keyword |
prisma_cloud.alert.policy.rule.data_criteria.exposure |
可能的值 [private、public、conditional]。 |
keyword |
prisma_cloud.alert.policy.rule.data_criteria.extension |
keyword |
|
prisma_cloud.alert.policy.rule.last_modified_on |
日期 |
|
prisma_cloud.alert.policy.rule.name |
keyword |
|
prisma_cloud.alert.policy.rule.parameters |
扁平化 |
|
prisma_cloud.alert.policy.rule.resource.id_path |
keyword |
|
prisma_cloud.alert.policy.rule.resource.type |
keyword |
|
prisma_cloud.alert.policy.rule.type |
可能的值 [Config、Network、AuditEvent、DLP、IAM、NetworkConfig] 规则或 RQL 查询的类型。 |
keyword |
prisma_cloud.alert.policy.severity |
可能的值:[高,中,低]。 |
keyword |
prisma_cloud.alert.policy.system_default |
布尔值 |
|
prisma_cloud.alert.policy.type |
可能的值:[config, network, audit_event, anomaly, data, iam, workload_vulnerability, workload_incident, waas_event, attack_path]。策略类型。策略类型 anomaly 为只读。 |
keyword |
prisma_cloud.alert.policy.upi |
keyword |
|
prisma_cloud.alert.policy_id |
keyword |
|
prisma_cloud.alert.reason |
keyword |
|
prisma_cloud.alert.resource.account.id |
keyword |
|
prisma_cloud.alert.resource.account.value |
keyword |
|
prisma_cloud.alert.resource.additional_info |
附加信息。 |
扁平化 |
prisma_cloud.alert.resource.api_name |
keyword |
|
prisma_cloud.alert.resource.cloud.account.ancestors |
keyword |
|
prisma_cloud.alert.resource.cloud.account.groups |
keyword |
|
prisma_cloud.alert.resource.cloud.account.owners |
keyword |
|
prisma_cloud.alert.resource.cloud.service_name |
keyword |
|
prisma_cloud.alert.resource.cloud.type |
keyword |
|
prisma_cloud.alert.resource.config_json_available |
布尔值 |
|
prisma_cloud.alert.resource.data |
扁平化 |
|
prisma_cloud.alert.resource.details_available |
布尔值 |
|
prisma_cloud.alert.resource.id |
keyword |
|
prisma_cloud.alert.resource.name |
keyword |
|
prisma_cloud.alert.resource.region.id |
keyword |
|
prisma_cloud.alert.resource.region.value |
keyword |
|
prisma_cloud.alert.resource.rrn |
keyword |
|
prisma_cloud.alert.resource.tags |
扁平化 |
|
prisma_cloud.alert.resource.ts |
日期 |
|
prisma_cloud.alert.resource.type |
keyword |
|
prisma_cloud.alert.resource.unified_asset_id |
keyword |
|
prisma_cloud.alert.resource.url |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.cloud_type |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.compliance.id |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.compliance_id |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.custom_assigned |
布尔值 |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.policy.id |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.requirement.description |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.requirement.id |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.requirement.name |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.section.description |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.section.id |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.section.label |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.standard.description |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.standard.id |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.compliance_metadata.standard.name |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.created.by |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.created.on |
日期 |
|
prisma_cloud.alert.risk_detail.policy_scores.deleted |
布尔值 |
|
prisma_cloud.alert.risk_detail.policy_scores.description |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.enabled |
布尔值 |
|
prisma_cloud.alert.risk_detail.policy_scores.finding_types |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.labels |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.last_modified.by |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.last_modified.on |
日期 |
|
prisma_cloud.alert.risk_detail.policy_scores.name |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.overridden |
布尔值 |
|
prisma_cloud.alert.risk_detail.policy_scores.points |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.policy.id |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.policy.subtypes |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.policy.type |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.policy.upi |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.recommendation |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.remediable |
布尔值 |
|
prisma_cloud.alert.risk_detail.policy_scores.remediation.actions.operation |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.remediation.actions.payload |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.remediation.cli_script_template |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.remediation.description |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.remediation.impact |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.restrict_alert_dismissal |
布尔值 |
|
prisma_cloud.alert.risk_detail.policy_scores.risk_score.max |
long |
|
prisma_cloud.alert.risk_detail.policy_scores.risk_score.value |
long |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.api_name |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.cloud.account |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.cloud.type |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.criteria |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.data_criteria.classification_result |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.data_criteria.exposure |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.data_criteria.extension |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.last_modified_on |
日期 |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.name |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.parameters |
扁平化 |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.resource.id_path |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.resource.type |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.rule.type |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.severity |
keyword |
|
prisma_cloud.alert.risk_detail.policy_scores.system_default |
布尔值 |
|
prisma_cloud.alert.risk_detail.rating |
keyword |
|
prisma_cloud.alert.risk_detail.risk_score.max |
long |
|
prisma_cloud.alert.risk_detail.risk_score.value |
long |
|
prisma_cloud.alert.risk_detail.score |
keyword |
|
prisma_cloud.alert.save_search_id |
keyword |
|
prisma_cloud.alert.status |
keyword |
|
prisma_cloud.alert.time |
上次为资源更新重新打开警报的时间戳,如果没有状态更改,则与 firstSeen 相同。 |
日期 |
prisma_cloud.alert.triggered_by |
keyword |
审计
编辑这是 Audit 数据集。
示例
audit 的示例事件如下所示
{
"@timestamp": "2023-09-13T08:40:39.068Z",
"agent": {
"ephemeral_id": "748799a0-a545-468b-9b86-764414774225",
"id": "47449736-bd61-40ad-89a6-41d7f7acc093",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "prisma_cloud.audit",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "47449736-bd61-40ad-89a6-41d7f7acc093",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "login",
"agent_id_status": "verified",
"category": [
"authentication"
],
"dataset": "prisma_cloud.audit",
"ingested": "2023-11-27T09:09:44Z",
"kind": "event",
"original": "{\"action\":\"'[email protected]'(with role 'System Admin':'System Admin') logged in via access key.\",\"actionType\":\"LOGIN\",\"ipAddress\":\"81.2.69.192\",\"resourceName\":\"[email protected]\",\"resourceType\":\"Login\",\"result\":\"Successful\",\"timestamp\":1694594439068,\"user\":\"[email protected]\"}",
"outcome": "success",
"type": [
"info"
]
},
"host": {
"ip": [
"81.2.69.192"
]
},
"input": {
"type": "cel"
},
"prisma_cloud": {
"audit": {
"action": {
"type": "LOGIN",
"value": "'[email protected]'(with role 'System Admin':'System Admin') logged in via access key."
},
"ip_address": "81.2.69.192",
"resource": {
"name": "[email protected]",
"type": "Login"
},
"result": "Successful",
"timestamp": "2023-09-13T08:40:39.068Z",
"user": "[email protected]"
}
},
"related": {
"ip": [
"81.2.69.192"
],
"user": [
"john.user",
"[email protected]"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"prisma_cloud-audit"
],
"user": {
"domain": "google.com",
"email": "[email protected]",
"name": "john.user"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
prisma_cloud.audit.action.type |
操作类型。 |
keyword |
prisma_cloud.audit.action.value |
keyword |
|
prisma_cloud.audit.ip_address |
IP 地址。 |
ip |
prisma_cloud.audit.resource.name |
keyword |
|
prisma_cloud.audit.resource.type |
keyword |
|
prisma_cloud.audit.result |
keyword |
|
prisma_cloud.audit.timestamp |
时间戳。 |
日期 |
prisma_cloud.audit.user |
用户。 |
keyword |
主机
编辑这是 Host 数据集。
示例
host 的示例事件如下所示
{
"@timestamp": "2024-04-03T23:20:14.863Z",
"agent": {
"ephemeral_id": "a2e1faf9-a21e-4a2e-a964-e756be243ce0",
"id": "633dac72-aecd-41d9-88df-dd066a3b83ea",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"cloud": {
"account": {
"id": "Non-onboarded cloud accounts"
},
"instance": {
"id": "string",
"name": "string"
},
"machine": {
"type": "string"
},
"provider": [
"aws"
],
"region": "string"
},
"data_stream": {
"dataset": "prisma_cloud.host",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "633dac72-aecd-41d9-88df-dd066a3b83ea",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"dataset": "prisma_cloud.host",
"id": "DESKTOP-6PQXXMS",
"ingested": "2024-04-03T23:20:24Z",
"kind": "event",
"original": "{\"_id\":\"DESKTOP-6PQXXMS\",\"binaries\":[{\"altered\":true,\"cveCount\":0,\"deps\":[\"string\"],\"fileMode\":0,\"functionLayer\":\"string\",\"md5\":\"string\",\"missingPkg\":true,\"name\":\"string\",\"path\":\"string\",\"pkgRootDir\":\"string\",\"services\":[\"string\"],\"version\":\"string\"}],\"cloudMetadata\":{\"accountID\":\"Non-onboarded cloud accounts\",\"awsExecutionEnv\":\"string\",\"image\":\"string\",\"labels\":[{\"key\":\"string\",\"sourceName\":\"string\",\"sourceType\":[\"namespace\"],\"timestamp\":\"2023-09-08T04:01:49.949Z\",\"value\":\"string\"}],\"name\":\"string\",\"provider\":[\"aws\"],\"region\":\"string\",\"resourceID\":\"string\",\"resourceURL\":\"string\",\"type\":\"string\",\"vmID\":\"string\",\"vmImageID\":\"string\"},\"type\":\"host\",\"hostname\":\"DESKTOP-6PQXXMS\",\"scanTime\":\"2023-08-23T11:48:41.803Z\",\"Secrets\":[],\"osDistro\":\"windows\",\"osDistroVersion\":\"string\",\"osDistroRelease\":\"Windows\",\"distro\":\"Microsoft Windows [Version 10.0.19045.2006]\",\"packageManager\":true,\"packages\":[{\"pkgs\":[{\"binaryIdx\":[0],\"binaryPkgs\":[\"string\"],\"cveCount\":0,\"defaultGem\":true,\"files\":[{\"md5\":\"string\",\"path\":\"string\",\"sha1\":\"string\",\"sha256\":\"string\"}],\"functionLayer\":\"string\",\"goPkg\":true,\"jarIdentifier\":\"string\",\"layerTime\":0,\"license\":\"string\",\"name\":\"string\",\"osPackage\":true,\"path\":\"string\",\"version\":\"string\"}],\"pkgsType\":\"nodejs\"}],\"isARM64\":false,\"packageCorrelationDone\":true,\"redHatNonRPMImage\":false,\"image\":{\"created\":\"0001-01-01T00:00:00Z\",\"entrypoint\":[\"string\"],\"env\":[\"string\"],\"healthcheck\":true,\"id\":\"string\",\"labels\":{},\"layers\":[\"string\"],\"os\":\"string\",\"repoDigest\":[\"string\"],\"repoTags\":[\"string\"],\"user\":\"string\",\"workingDir\":\"string\"},\"allCompliance\":{\"compliance\":[{\"applicableRules\":[\"string\"],\"binaryPkgs\":[\"string\"],\"block\":true,\"cause\":\"string\",\"cri\":true,\"custom\":true,\"cve\":\"string\",\"cvss\":0,\"description\":\"string\",\"discovered\":\"2023-09-08T04:01:49.949Z\",\"exploit\":[\"exploit-db\"],\"fixDate\":0,\"fixLink\":\"string\",\"functionLayer\":\"string\",\"gracePeriodDays\":0,\"id\":0,\"layerTime\":0,\"link\":\"string\",\"packageName\":\"string\",\"packageVersion\":\"string\",\"published\":0,\"riskFactors\":{},\"severity\":\"string\",\"status\":\"string\",\"templates\":[[\"PCI\"]],\"text\":\"string\",\"title\":\"string\",\"twistlock\":true,\"type\":[\"container\"],\"vecStr\":\"string\",\"vulnTagInfos\":[{\"color\":\"string\",\"comment\":\"string\",\"name\":\"string\"}],\"wildfireMalware\":{\"md5\":\"string\",\"path\":\"string\",\"verdict\":\"string\"}}],\"enabled\":\"true\"},\"clusters\":[\"string\"],\"repoTag\":null,\"tags\":[{\"digest\":\"string\",\"id\":\"string\",\"registry\":\"string\",\"repo\":\"string\",\"tag\":\"string\"}],\"trustResult\":{\"hostsStatuses\":[{\"host\":\"string\",\"status\":\"trusted\"}]},\"repoDigests\":[],\"creationTime\":\"0001-01-01T00:00:00Z\",\"pushTime\":\"0001-01-01T00:00:00Z\",\"vulnerabilitiesCount\":0,\"complianceIssuesCount\":4,\"vulnerabilityDistribution\":{\"critical\":0,\"high\":0,\"medium\":0,\"low\":0,\"total\":0},\"complianceDistribution\":{\"critical\":4,\"high\":0,\"medium\":0,\"low\":0,\"total\":4},\"vulnerabilityRiskScore\":0,\"complianceRiskScore\":4000000,\"riskFactors\":{},\"firstScanTime\":\"2023-08-11T06:53:57.456Z\",\"history\":[{\"baseLayer\":true,\"created\":0,\"emptyLayer\":true,\"id\":\"string\",\"instruction\":\"string\",\"sizeBytes\":0,\"tags\":[\"string\"],\"vulnerabilities\":[{\"applicableRules\":[\"string\"],\"binaryPkgs\":[\"string\"],\"block\":true,\"cause\":\"string\",\"cri\":true,\"custom\":true,\"cve\":\"string\",\"cvss\":0,\"description\":\"string\",\"discovered\":\"2023-09-08T04:01:49.950Z\",\"exploit\":[\"exploit-db\"],\"exploits\":[{\"kind\":[\"poc\",\"in-the-wild\"],\"link\":\"string\",\"source\":[\"\",\"exploit-db\"]}],\"fixDate\":0,\"fixLink\":\"string\",\"functionLayer\":\"string\",\"gracePeriodDays\":0,\"id\":0,\"layerTime\":0,\"link\":\"string\",\"packageName\":\"string\",\"packageVersion\":\"string\",\"published\":0,\"riskFactors\":{},\"severity\":\"string\",\"status\":\"string\",\"templates\":[[\"PCI\"]],\"text\":\"string\",\"title\":\"string\",\"twistlock\":true,\"type\":[\"container\"],\"vecStr\":\"string\",\"vulnTagInfos\":[{\"color\":\"string\",\"comment\":\"string\",\"name\":\"string\"}],\"wildfireMalware\":{\"md5\":\"string\",\"path\":\"string\",\"verdict\":\"string\"}}]}],\"hostDevices\":[{\"ip\":\"0.0.0.0\",\"name\":\"string\"}],\"hosts\":{},\"id\":\"string\",\"err\":\"\",\"collections\":[\"All\"],\"instances\":[{\"host\":\"string\",\"image\":\"string\",\"modified\":\"2023-09-08T04:01:49.951Z\",\"registry\":\"string\",\"repo\":\"string\",\"tag\":\"string\"}],\"scanID\":0,\"trustStatus\":\"\",\"externalLabels\":[{\"key\":\"string\",\"sourceName\":\"string\",\"sourceType\":[\"namespace\"],\"timestamp\":\"2023-09-08T04:01:49.949Z\",\"value\":\"string\"}],\"files\":[{\"md5\":\"string\",\"path\":\"string\",\"sha1\":\"string\",\"sha256\":\"string\"}],\"firewallProtection\":{\"enabled\":false,\"supported\":false,\"outOfBandMode\":\"Observation\",\"ports\":[0],\"tlsPorts\":[0],\"unprotectedProcesses\":[{\"port\":0,\"process\":\"string\",\"tls\":true}]},\"applications\":[{\"installedFromPackage\":true,\"knownVulnerabilities\":0,\"layerTime\":0,\"name\":\"string\",\"path\":\"string\",\"service\":true,\"version\":\"string\"}],\"appEmbedded\":false,\"wildFireUsage\":null,\"agentless\":false,\"malwareAnalyzedTime\":\"0001-01-01T00:00:00Z\"}",
"start": "0001-01-01T00:00:00.000Z",
"type": [
"info"
]
},
"file": {
"hash": {
"md5": [
"string"
],
"sha1": [
"string"
],
"sha256": [
"string"
]
},
"path": [
"string"
]
},
"host": {
"hostname": "DESKTOP-6PQXXMS",
"ip": [
"0.0.0.0"
],
"type": "host"
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "172.18.0.4:60388"
}
},
"os": {
"family": "windows",
"name": "Windows",
"version": "string"
},
"package": {
"license": [
"string"
],
"name": [
"string"
],
"path": [
"string"
],
"type": [
"nodejs"
],
"version": [
"string"
]
},
"prisma_cloud": {
"host": {
"_id": "DESKTOP-6PQXXMS",
"agentless": false,
"all_compliance": {
"data": [
{
"applicable_rules": [
"string"
],
"binary_pkgs": [
"string"
],
"block": true,
"cause": "string",
"cri": true,
"custom": true,
"cve": "string",
"cvss": 0,
"description": "string",
"discovered": "2023-09-08T04:01:49.949Z",
"exploit": [
"exploit-db"
],
"fix_date": "1970-01-01T00:00:00.000Z",
"fix_link": "string",
"function_layer": "string",
"grace_period_days": 0,
"id": "0",
"layer_time": "1970-01-01T00:00:00.000Z",
"link": "string",
"package": {
"name": "string",
"version": "string"
},
"published": "1970-01-01T00:00:00.000Z",
"severity": "string",
"status": "string",
"templates": [
"PCI"
],
"text": "string",
"title": "string",
"twistlock": true,
"type": [
"container"
],
"vec_str": "string",
"vuln_tag_infos": [
{
"color": "string",
"comment": "string",
"name": "string"
}
],
"wild_fire_malware": {
"md5": "string",
"path": "string",
"verdict": "string"
}
}
],
"enabled": true
},
"app_embedded": false,
"applications": [
{
"installed_from_package": true,
"known_vulnerabilities": 0,
"layer_time": "1970-01-01T00:00:00.000Z",
"name": "string",
"path": "string",
"service": true,
"version": "string"
}
],
"binaries": [
{
"altered": true,
"cve_count": 0,
"deps": [
"string"
],
"file_mode": 0,
"function_layer": "string",
"md5": "string",
"missing_pkg": true,
"name": "string",
"path": "string",
"pkg_root_dir": "string",
"services": [
"string"
],
"version": "string"
}
],
"cloud_metadata": {
"account_id": "Non-onboarded cloud accounts",
"aws_execution_env": "string",
"image": "string",
"labels": [
{
"key": "string",
"source": {
"name": "string",
"type": [
"namespace"
]
},
"timestamp": "2023-09-08T04:01:49.949Z",
"value": "string"
}
],
"name": "string",
"provider": [
"aws"
],
"region": "string",
"resource": {
"id": "string",
"url": "string"
},
"type": "string",
"vm": {
"id": "string",
"image_id": "string"
}
},
"clusters": [
"string"
],
"collections": [
"All"
],
"compliance_distribution": {
"critical": 4,
"high": 0,
"low": 0,
"medium": 0,
"total": 4
},
"compliance_issues": {
"count": 4
},
"compliance_risk_score": 4000000,
"creation_time": "0001-01-01T00:00:00.000Z",
"devices": [
{
"ip": "0.0.0.0",
"name": "string"
}
],
"distro": "Microsoft Windows [Version 10.0.19045.2006]",
"external_labels": [
{
"key": "string",
"source": {
"name": "string",
"type": [
"namespace"
]
},
"timestamp": "2023-09-08T04:01:49.949Z",
"value": "string"
}
],
"files": [
{
"md5": "string",
"path": "string",
"sha1": "string",
"sha256": "string"
}
],
"firewall_protection": {
"enabled": false,
"out_of_band_mode": "Observation",
"ports": [
0
],
"supported": false,
"tls_ports": [
0
],
"unprotected_processes": [
{
"port": 0,
"process": "string",
"tls": true
}
]
},
"first_scan_time": "2023-08-11T06:53:57.456Z",
"history": [
{
"base_layer": true,
"created": "1970-01-01T00:00:00.000Z",
"empty_layer": true,
"id": "string",
"instruction": "string",
"size_bytes": 0,
"tags": [
"string"
],
"vulnerabilities": [
{
"applicable_rules": [
"string"
],
"binary_pkgs": [
"string"
],
"block": true,
"cause": "string",
"cri": true,
"custom": true,
"cve": "string",
"cvss": 0,
"description": "string",
"discovered": "2023-09-08T04:01:49.950Z",
"exploit": [
"exploit-db"
],
"exploits": [
{
"kind": [
"poc",
"in-the-wild"
],
"link": "string",
"source": [
"exploit-db"
]
}
],
"fix_date": "1970-01-01T00:00:00.000Z",
"fix_link": "string",
"function_layer": "string",
"grace_period_days": 0,
"id": "0",
"layer_time": "1970-01-01T00:00:00.000Z",
"link": "string",
"package": {
"name": "string",
"version": "string"
},
"published": "1970-01-01T00:00:00.000Z",
"severity": "string",
"status": "string",
"templates": [
"PCI"
],
"text": "string",
"title": "string",
"twistlock": true,
"type": [
"container"
],
"vec_str": "string",
"vuln_tag_infos": [
{
"color": "string",
"comment": "string",
"name": "string"
}
],
"wild_fire_malware": {
"md5": "string",
"path": "string",
"verdict": "string"
}
}
]
}
],
"hostname": "DESKTOP-6PQXXMS",
"id": "string",
"image": {
"created": "0001-01-01T00:00:00.000Z",
"entrypoint": [
"string"
],
"env": [
"string"
],
"healthcheck": true,
"id": "string",
"layers": [
"string"
],
"os": "string",
"repo": {
"digest": [
"string"
],
"tags": [
"string"
]
},
"user": "string",
"working_dir": "string"
},
"instances": [
{
"host": "string",
"image": "string",
"modified": "2023-09-08T04:01:49.951Z",
"registry": "string",
"repo": "string",
"tag": "string"
}
],
"is_arm64": false,
"malware_analyzed_time": "0001-01-01T00:00:00.000Z",
"os_distro": {
"release": "Windows",
"value": "windows",
"version": "string"
},
"package": {
"correlation_done": true,
"manager": true
},
"packages": [
{
"pkgs": [
{
"binary_idx": [
0
],
"binary_pkgs": [
"string"
],
"cve_count": 0,
"default_gem": true,
"files": [
{
"md5": "string",
"path": "string",
"sha1": "string",
"sha256": "string"
}
],
"function_layer": "string",
"go_pkg": true,
"jar_identifier": "string",
"layer_time": "1970-01-01T00:00:00.000Z",
"license": "string",
"name": "string",
"os_package": true,
"path": "string",
"version": "string"
}
],
"pkgs_type": "nodejs"
}
],
"push_time": "0001-01-01T00:00:00.000Z",
"red_hat_non_rpm_image": false,
"scan": {
"time": "2023-08-23T11:48:41.803Z"
},
"tags": [
{
"digest": "string",
"id": "string",
"registry": "string",
"repo": "string",
"tag": "string"
}
],
"trust_result": {
"hosts_statuses": [
{
"host": "string",
"status": "trusted"
}
]
},
"type": "host",
"vulnerabilities": {
"count": 0
},
"vulnerability": {
"distribution": {
"critical": 0,
"high": 0,
"low": 0,
"medium": 0,
"total": 0
},
"risk_score": 0
}
}
},
"related": {
"hash": [
"string"
],
"hosts": [
"string",
"DESKTOP-6PQXXMS"
],
"ip": [
"0.0.0.0"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"prisma_cloud-host"
],
"vulnerability": {
"description": [
"string"
],
"id": [
"string"
],
"severity": [
"string"
]
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
prisma_cloud.host._id |
镜像标识符(镜像 ID 或 repo:tag)。 |
keyword |
prisma_cloud.host.agentless |
Agentless 指示主机已使用无代理扫描器扫描。 |
布尔值 |
prisma_cloud.host.all_compliance.data.applicable_rules |
应用于该软件包的规则。 |
keyword |
prisma_cloud.host.all_compliance.data.binary_pkgs |
发行版二进制软件包名称(从软件包源代码构建的软件包)。 |
keyword |
prisma_cloud.host.all_compliance.data.block |
指示该漏洞是否具有阻止效果(true)或不具有(false)。 |
布尔值 |
prisma_cloud.host.all_compliance.data.cause |
关于漏洞根本原因的附加信息。 |
keyword |
prisma_cloud.host.all_compliance.data.cri |
指示这是否是特定于 CRI 的漏洞(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.all_compliance.data.custom |
指示该漏洞是否为自定义漏洞(例如,openscap,sandbox)(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.all_compliance.data.cve |
漏洞的 CVE ID(如果适用)。 |
keyword |
prisma_cloud.host.all_compliance.data.cvss |
漏洞的 CVSS 分数。 |
浮点数 |
prisma_cloud.host.all_compliance.data.description |
漏洞的描述。 |
keyword |
prisma_cloud.host.all_compliance.data.discovered |
指定漏洞的发现时间。 |
日期 |
prisma_cloud.host.all_compliance.data.exploit |
ExploitType 表示漏洞利用的来源。 |
keyword |
prisma_cloud.host.all_compliance.data.exploits.kind |
ExploitKind 表示漏洞利用的种类。 |
keyword |
prisma_cloud.host.all_compliance.data.exploits.link |
Link 是指向有关漏洞利用信息的链接。 |
keyword |
prisma_cloud.host.all_compliance.data.exploits.source |
ExploitType 表示漏洞利用的来源。 |
keyword |
prisma_cloud.host.all_compliance.data.fix_date |
修复漏洞的日期/时间(以 Unix 时间表示)。 |
日期 |
prisma_cloud.host.all_compliance.data.fix_link |
指向供应商的已修复版本信息的链接。 |
keyword |
prisma_cloud.host.all_compliance.data.function_layer |
指定发现漏洞的 serverless 层 ID。 |
keyword |
prisma_cloud.host.all_compliance.data.grace_period_days |
根据配置的宽限期,漏洞剩余的宽限天数。如果没有阻止漏洞规则适用,则为 Nil。 |
long |
prisma_cloud.host.all_compliance.data.id |
违规的 ID。 |
keyword |
prisma_cloud.host.all_compliance.data.layer_time |
CVE 所属的镜像层的日期/时间。 |
日期 |
prisma_cloud.host.all_compliance.data.link |
CVE 的供应商链接。 |
keyword |
prisma_cloud.host.all_compliance.data.package.name |
导致漏洞的软件包的名称。 |
keyword |
prisma_cloud.host.all_compliance.data.package.version |
导致漏洞的软件包的版本(或 null)。 |
keyword |
prisma_cloud.host.all_compliance.data.published |
发布漏洞的日期/时间(以 Unix 时间表示)。 |
日期 |
prisma_cloud.host.all_compliance.data.risk_factors |
RiskFactors 映射漏洞风险因素的存在情况。 |
扁平化 |
prisma_cloud.host.all_compliance.data.severity |
漏洞严重性的文本表示。 |
keyword |
prisma_cloud.host.all_compliance.data.status |
漏洞的供应商状态。 |
keyword |
prisma_cloud.host.all_compliance.data.templates |
与漏洞关联的模板列表。 |
keyword |
prisma_cloud.host.all_compliance.data.text |
违规的描述。 |
keyword |
prisma_cloud.host.all_compliance.data.title |
合规性标题。 |
keyword |
prisma_cloud.host.all_compliance.data.twistlock |
指示这是否是特定于 Twistlock 的漏洞(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.all_compliance.data.type |
Type 表示漏洞类型。 |
keyword |
prisma_cloud.host.all_compliance.data.vec_str |
用于对漏洞进行评分的指标值的文本表示。 |
keyword |
prisma_cloud.host.all_compliance.data.vuln_tag_infos.color |
Color 是颜色代码值的十六进制表示。 |
keyword |
prisma_cloud.host.all_compliance.data.vuln_tag_infos.comment |
特定漏洞上下文中的标签注释。 |
keyword |
prisma_cloud.host.all_compliance.data.vuln_tag_infos.name |
标签的名称。 |
keyword |
prisma_cloud.host.all_compliance.data.wild_fire_malware.md5 |
MD5 是恶意二进制文件的哈希值。 |
keyword |
prisma_cloud.host.all_compliance.data.wild_fire_malware.path |
Path 是恶意二进制文件的路径。 |
keyword |
prisma_cloud.host.all_compliance.data.wild_fire_malware.verdict |
Verdict 是恶意来源,如灰色软件、恶意软件和网络钓鱼。 |
keyword |
prisma_cloud.host.all_compliance.enabled |
Enabled 指示是否通过策略启用了通过的合规性检查。 |
布尔值 |
prisma_cloud.host.app_embedded |
指示此镜像已由应用程序嵌入式 Defender 扫描。 |
布尔值 |
prisma_cloud.host.applications.installed_from_package |
指示该应用程序是作为 OS 软件包安装的。 |
布尔值 |
prisma_cloud.host.applications.known_vulnerabilities |
此应用程序的漏洞总数。 |
long |
prisma_cloud.host.applications.layer_time |
应用程序所属的镜像层 - 层创建时间。 |
日期 |
prisma_cloud.host.applications.name |
应用程序的名称。 |
keyword |
prisma_cloud.host.applications.path |
检测到的应用程序的路径。 |
keyword |
prisma_cloud.host.applications.service |
Service 指示应用程序是否作为服务安装。 |
布尔值 |
prisma_cloud.host.applications.version |
应用程序的版本。 |
keyword |
prisma_cloud.host.base_image |
镜像的基本镜像名称。在按基本镜像筛选漏洞时使用。 |
keyword |
prisma_cloud.host.binaries.altered |
指示二进制文件是否是从软件包管理器安装并修改/替换的(true)或不替换(false)。 |
布尔值 |
prisma_cloud.host.binaries.cve_count |
此特定二进制文件的 CVE 总数。 |
long |
prisma_cloud.host.binaries.deps |
二进制文件使用的第三方软件包文件。 |
keyword |
prisma_cloud.host.binaries.file_mode |
表示文件的模式和权限位。 |
long |
prisma_cloud.host.binaries.function_layer |
发现软件包的 serverless 层的 ID。 |
keyword |
prisma_cloud.host.binaries.md5 |
二进制文件的 Md5 哈希集。 |
keyword |
prisma_cloud.host.binaries.missing_pkg |
指示此二进制文件是否与任何软件包无关(true)或不无关(false)。 |
布尔值 |
prisma_cloud.host.binaries.name |
二进制文件的名称。 |
keyword |
prisma_cloud.host.binaries.path |
Path 是二进制文件的路径。 |
keyword |
prisma_cloud.host.binaries.pkg_root_dir |
用于搜索二进制文件所用软件包的路径。 |
keyword |
prisma_cloud.host.binaries.services |
使用该二进制文件的服务的名称。 |
keyword |
prisma_cloud.host.binaries.version |
二进制文件的版本。 |
keyword |
prisma_cloud.host.cloud_metadata.account_id |
云帐户 ID。 |
keyword |
prisma_cloud.host.cloud_metadata.aws_execution_env |
AWS 执行环境(例如,EC2/Fargate)。 |
keyword |
prisma_cloud.host.cloud_metadata.image |
镜像名称。 |
keyword |
prisma_cloud.host.cloud_metadata.labels.key |
标签键。 |
keyword |
prisma_cloud.host.cloud_metadata.labels.source.name |
源名称(例如,对于命名空间,源名称可以是 twistlock)。 |
keyword |
prisma_cloud.host.cloud_metadata.labels.source.type |
ExternalLabelSourceType 表示标签的来源。 |
keyword |
prisma_cloud.host.cloud_metadata.labels.timestamp |
获取标签的时间戳。 |
日期 |
prisma_cloud.host.cloud_metadata.labels.value |
标签的值。 |
keyword |
prisma_cloud.host.cloud_metadata.name |
实例名称。 |
keyword |
prisma_cloud.host.cloud_metadata.provider |
CloudProvider 指定云提供商的名称。 |
keyword |
prisma_cloud.host.cloud_metadata.region |
实例所在的区域。 |
keyword |
prisma_cloud.host.cloud_metadata.resource.id |
资源的唯一 ID。 |
keyword |
prisma_cloud.host.cloud_metadata.resource.url |
服务器定义的资源 URL。 |
keyword |
prisma_cloud.host.cloud_metadata.type |
实例类型。 |
keyword |
prisma_cloud.host.cloud_metadata.vm.id |
Azure 唯一的虚拟机 ID。 |
keyword |
prisma_cloud.host.cloud_metadata.vm.image_id |
VMImageID 保存虚拟机镜像 ID。 |
keyword |
prisma_cloud.host.cluster_type |
ClusterType 是集群类型。 |
keyword |
prisma_cloud.host.clusters |
集群名称。 |
keyword |
prisma_cloud.host.collections |
此结果适用的集合。 |
keyword |
prisma_cloud.host.compliance_distribution.critical |
long |
|
prisma_cloud.host.compliance_distribution.high |
long |
|
prisma_cloud.host.compliance_distribution.low |
long |
|
prisma_cloud.host.compliance_distribution.medium |
long |
|
prisma_cloud.host.compliance_distribution.total |
long |
|
prisma_cloud.host.compliance_issues.count |
合规性问题的数量。 |
long |
prisma_cloud.host.compliance_issues.data.applicable_rules |
应用于该软件包的规则。 |
keyword |
prisma_cloud.host.compliance_issues.data.binary_pkgs |
发行版二进制软件包名称(从软件包源代码构建的软件包)。 |
keyword |
prisma_cloud.host.compliance_issues.data.block |
指示该漏洞是否具有阻止效果(true)或不具有(false)。 |
布尔值 |
prisma_cloud.host.compliance_issues.data.cause |
关于漏洞根本原因的附加信息。 |
keyword |
prisma_cloud.host.compliance_issues.data.cri |
指示这是否是特定于 CRI 的漏洞(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.compliance_issues.data.custom |
指示该漏洞是否为自定义漏洞(例如,openscap,sandbox)(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.compliance_issues.data.cve |
漏洞的 CVE ID(如果适用)。 |
keyword |
prisma_cloud.host.compliance_issues.data.cvss |
漏洞的 CVSS 分数。 |
浮点数 |
prisma_cloud.host.compliance_issues.data.description |
漏洞的描述。 |
keyword |
prisma_cloud.host.compliance_issues.data.discovered |
指定漏洞的发现时间。 |
日期 |
prisma_cloud.host.compliance_issues.data.exploit |
ExploitType 表示漏洞利用的来源。 |
keyword |
prisma_cloud.host.compliance_issues.data.exploits.kind |
ExploitKind 表示漏洞利用的种类。 |
keyword |
prisma_cloud.host.compliance_issues.data.exploits.link |
Link 是指向有关漏洞利用信息的链接。 |
keyword |
prisma_cloud.host.compliance_issues.data.exploits.source |
ExploitType 表示漏洞利用的来源。 |
keyword |
prisma_cloud.host.compliance_issues.data.fix_date |
修复漏洞的日期/时间(以 Unix 时间表示)。 |
日期 |
prisma_cloud.host.compliance_issues.data.fix_link |
指向供应商的已修复版本信息的链接。 |
keyword |
prisma_cloud.host.compliance_issues.data.function_layer |
指定发现漏洞的 serverless 层 ID。 |
keyword |
prisma_cloud.host.compliance_issues.data.grace_period_days |
根据配置的宽限期,漏洞剩余的宽限天数。如果没有阻止漏洞规则适用,则为 Nil。 |
long |
prisma_cloud.host.compliance_issues.data.id |
违规的 ID。 |
keyword |
prisma_cloud.host.compliance_issues.data.layer_time |
CVE 所属的镜像层的日期/时间。 |
日期 |
prisma_cloud.host.compliance_issues.data.link |
CVE 的供应商链接。 |
keyword |
prisma_cloud.host.compliance_issues.data.package.name |
导致漏洞的软件包的名称。 |
keyword |
prisma_cloud.host.compliance_issues.data.package.version |
导致漏洞的软件包的版本(或 null)。 |
keyword |
prisma_cloud.host.compliance_issues.data.published |
发布漏洞的日期/时间(以 Unix 时间表示)。 |
日期 |
prisma_cloud.host.compliance_issues.data.risk_factors |
RiskFactors 映射漏洞风险因素的存在情况。 |
扁平化 |
prisma_cloud.host.compliance_issues.data.severity |
漏洞严重性的文本表示。 |
keyword |
prisma_cloud.host.compliance_issues.data.status |
漏洞的供应商状态。 |
keyword |
prisma_cloud.host.compliance_issues.data.templates |
与漏洞关联的模板列表。 |
keyword |
prisma_cloud.host.compliance_issues.data.text |
违规的描述。 |
keyword |
prisma_cloud.host.compliance_issues.data.title |
合规性标题。 |
keyword |
prisma_cloud.host.compliance_issues.data.twistlock |
指示这是否是特定于 Twistlock 的漏洞(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.compliance_issues.data.type |
Type 表示漏洞类型。 |
keyword |
prisma_cloud.host.compliance_issues.data.vec_str |
用于对漏洞进行评分的指标值的文本表示。 |
keyword |
prisma_cloud.host.compliance_issues.data.vuln_tag_infos.color |
Color 是颜色代码值的十六进制表示。 |
keyword |
prisma_cloud.host.compliance_issues.data.vuln_tag_infos.comment |
特定漏洞上下文中的标签注释。 |
keyword |
prisma_cloud.host.compliance_issues.data.vuln_tag_infos.name |
标签的名称。 |
keyword |
prisma_cloud.host.compliance_issues.data.wild_fire_malware.md5 |
MD5 是恶意二进制文件的哈希值。 |
keyword |
prisma_cloud.host.compliance_issues.data.wild_fire_malware.path |
Path 是恶意二进制文件的路径。 |
keyword |
prisma_cloud.host.compliance_issues.data.wild_fire_malware.verdict |
Verdict 是恶意来源,如灰色软件、恶意软件和网络钓鱼。 |
keyword |
prisma_cloud.host.compliance_risk_score |
镜像的合规性风险评分。 |
浮点数 |
prisma_cloud.host.creation_time |
指定镜像最新版本的创建时间。 |
日期 |
prisma_cloud.host.devices.ip |
网络设备的 IPv4 地址。 |
ip |
prisma_cloud.host.devices.name |
网络设备名称。 |
keyword |
prisma_cloud.host.distro |
发行版的完整名称。 |
keyword |
prisma_cloud.host.ecs_cluster_name |
ECS 集群名称。 |
keyword |
prisma_cloud.host.err |
镜像运行状况扫描期间发生的错误描述。 |
keyword |
prisma_cloud.host.external_labels.key |
标签键。 |
keyword |
prisma_cloud.host.external_labels.source.name |
源名称(例如,对于命名空间,源名称可以是 twistlock)。 |
keyword |
prisma_cloud.host.external_labels.source.type |
ExternalLabelSourceType 表示标签的来源。 |
keyword |
prisma_cloud.host.external_labels.timestamp |
获取标签的时间戳。 |
keyword |
prisma_cloud.host.external_labels.value |
标签的值。 |
keyword |
prisma_cloud.host.files.md5 |
使用 md5 计算的文件哈希值。 |
keyword |
prisma_cloud.host.files.path |
文件的路径。 |
keyword |
prisma_cloud.host.files.sha1 |
使用 SHA-1 计算的文件哈希值。 |
keyword |
prisma_cloud.host.files.sha256 |
使用 SHA256 计算的文件哈希值。 |
keyword |
prisma_cloud.host.firewall_protection.enabled |
Enabled 指示是否启用 WAAS 代理保护(true)或未启用(false)。 |
布尔值 |
prisma_cloud.host.firewall_protection.out_of_band_mode |
OutOfBandMode 保存应用程序防火墙的带外模式。 |
keyword |
prisma_cloud.host.firewall_protection.ports |
Ports 指示与容器关联的 http 开放端口。 |
long |
prisma_cloud.host.firewall_protection.supported |
Supported 指示是否支持 WAAS 保护(true)或不支持(false)。 |
布尔值 |
prisma_cloud.host.firewall_protection.tls_ports |
TLSPorts 指示与容器关联的 https 开放端口。 |
long |
prisma_cloud.host.firewall_protection.unprotected_processes.port |
Port 是进程端口。 |
long |
prisma_cloud.host.firewall_protection.unprotected_processes.process |
Process 是进程名称。 |
keyword |
prisma_cloud.host.firewall_protection.unprotected_processes.tls |
TLS 是端口 TLS 指示。 |
布尔值 |
prisma_cloud.host.first_scan_time |
指定镜像第一个版本的扫描时间。即使在版本更新后,此时间也会保留。 |
日期 |
prisma_cloud.host.history.base_layer |
指示此图层是否源自基础镜像(true)或不源自(false)。 |
布尔值 |
prisma_cloud.host.history.created |
创建镜像图层的日期/时间。 |
日期 |
prisma_cloud.host.history.empty_layer |
指示此指令是否未创建单独的图层(true)或未创建(false)。 |
布尔值 |
prisma_cloud.host.history.id |
图层的 ID。 |
keyword |
prisma_cloud.host.history.instruction |
用于创建此图层的 Docker 文件指令和参数。 |
keyword |
prisma_cloud.host.history.size_bytes |
图层的大小(以字节为单位)。 |
long |
prisma_cloud.host.history.tags |
保存镜像标签。 |
keyword |
prisma_cloud.host.history.vulnerabilities.applicable_rules |
应用于该软件包的规则。 |
keyword |
prisma_cloud.host.history.vulnerabilities.binary_pkgs |
发行版二进制软件包名称(从软件包源代码构建的软件包)。 |
keyword |
prisma_cloud.host.history.vulnerabilities.block |
指示该漏洞是否具有阻止效果(true)或不具有(false)。 |
布尔值 |
prisma_cloud.host.history.vulnerabilities.cause |
关于漏洞根本原因的附加信息。 |
keyword |
prisma_cloud.host.history.vulnerabilities.cri |
指示这是否是特定于 CRI 的漏洞(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.history.vulnerabilities.custom |
指示该漏洞是否为自定义漏洞(例如,openscap,sandbox)(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.history.vulnerabilities.cve |
漏洞的 CVE ID(如果适用)。 |
keyword |
prisma_cloud.host.history.vulnerabilities.cvss |
漏洞的 CVSS 分数。 |
浮点数 |
prisma_cloud.host.history.vulnerabilities.description |
漏洞的描述。 |
keyword |
prisma_cloud.host.history.vulnerabilities.discovered |
指定漏洞的发现时间。 |
日期 |
prisma_cloud.host.history.vulnerabilities.exploit |
ExploitType 表示漏洞利用的来源。 |
keyword |
prisma_cloud.host.history.vulnerabilities.exploits.kind |
ExploitKind 表示漏洞利用的种类。 |
keyword |
prisma_cloud.host.history.vulnerabilities.exploits.link |
Link 是指向有关漏洞利用信息的链接。 |
keyword |
prisma_cloud.host.history.vulnerabilities.exploits.source |
ExploitType 表示漏洞利用的来源。 |
keyword |
prisma_cloud.host.history.vulnerabilities.fix_date |
修复漏洞的日期/时间(以 Unix 时间表示)。 |
日期 |
prisma_cloud.host.history.vulnerabilities.fix_link |
指向供应商的已修复版本信息的链接。 |
keyword |
prisma_cloud.host.history.vulnerabilities.function_layer |
指定发现漏洞的 serverless 层 ID。 |
keyword |
prisma_cloud.host.history.vulnerabilities.grace_period_days |
根据配置的宽限期,漏洞剩余的宽限天数。如果没有阻止漏洞规则适用,则为 Nil。 |
long |
prisma_cloud.host.history.vulnerabilities.id |
违规的 ID。 |
keyword |
prisma_cloud.host.history.vulnerabilities.layer_time |
CVE 所属的镜像层的日期/时间。 |
日期 |
prisma_cloud.host.history.vulnerabilities.link |
CVE 的供应商链接。 |
keyword |
prisma_cloud.host.history.vulnerabilities.package.name |
导致漏洞的软件包的名称。 |
keyword |
prisma_cloud.host.history.vulnerabilities.package.version |
导致漏洞的软件包的版本(或 null)。 |
keyword |
prisma_cloud.host.history.vulnerabilities.published |
发布漏洞的日期/时间(以 Unix 时间表示)。 |
日期 |
prisma_cloud.host.history.vulnerabilities.risk_factors |
RiskFactors 映射漏洞风险因素的存在情况。 |
扁平化 |
prisma_cloud.host.history.vulnerabilities.severity |
漏洞严重性的文本表示。 |
keyword |
prisma_cloud.host.history.vulnerabilities.status |
漏洞的供应商状态。 |
keyword |
prisma_cloud.host.history.vulnerabilities.templates |
与漏洞关联的模板列表。 |
keyword |
prisma_cloud.host.history.vulnerabilities.text |
违规的描述。 |
keyword |
prisma_cloud.host.history.vulnerabilities.title |
合规性标题。 |
keyword |
prisma_cloud.host.history.vulnerabilities.twistlock |
指示这是否是特定于 Twistlock 的漏洞(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.history.vulnerabilities.type |
Type 表示漏洞类型。 |
keyword |
prisma_cloud.host.history.vulnerabilities.vec_str |
用于对漏洞进行评分的指标值的文本表示。 |
keyword |
prisma_cloud.host.history.vulnerabilities.vuln_tag_infos.color |
Color 是颜色代码值的十六进制表示。 |
keyword |
prisma_cloud.host.history.vulnerabilities.vuln_tag_infos.comment |
特定漏洞上下文中的标签注释。 |
keyword |
prisma_cloud.host.history.vulnerabilities.vuln_tag_infos.name |
标签的名称。 |
keyword |
prisma_cloud.host.history.vulnerabilities.wild_fire_malware.md5 |
MD5 是恶意二进制文件的哈希值。 |
keyword |
prisma_cloud.host.history.vulnerabilities.wild_fire_malware.path |
Path 是恶意二进制文件的路径。 |
keyword |
prisma_cloud.host.history.vulnerabilities.wild_fire_malware.verdict |
Verdict 是恶意来源,如灰色软件、恶意软件和网络钓鱼。 |
keyword |
prisma_cloud.host.hostname |
扫描的主机名称。 |
keyword |
prisma_cloud.host.hosts |
ImageHosts 是一个快速索引,用于存储每个主机的镜像扫描结果元数据。 |
扁平化 |
prisma_cloud.host.id |
镜像 ID。 |
keyword |
prisma_cloud.host.image.created |
创建镜像的日期/时间。 |
日期 |
prisma_cloud.host.image.entrypoint |
镜像的组合入口点(entrypoint + CMD)。 |
keyword |
prisma_cloud.host.image.env |
镜像环境变量。 |
keyword |
prisma_cloud.host.image.healthcheck |
指示是否启用运行状况检查(true)或未启用(false)。 |
布尔值 |
prisma_cloud.host.image.history.base_layer |
指示此图层是否源自基础镜像(true)或不源自(false)。 |
布尔值 |
prisma_cloud.host.image.history.created |
创建镜像图层的日期/时间。 |
日期 |
prisma_cloud.host.image.history.empty_layer |
指示此指令是否未创建单独的图层(true)或未创建(false)。 |
布尔值 |
prisma_cloud.host.image.history.id |
图层的 ID。 |
keyword |
prisma_cloud.host.image.history.instruction |
用于创建此图层的 Docker 文件指令和参数。 |
keyword |
prisma_cloud.host.image.history.size_bytes |
图层的大小(以字节为单位)。 |
long |
prisma_cloud.host.image.history.tags |
保存镜像标签。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.applicable_rules |
应用于该软件包的规则。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.binary_pkgs |
发行版二进制软件包名称(从软件包源代码构建的软件包)。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.block |
指示该漏洞是否具有阻止效果(true)或不具有(false)。 |
布尔值 |
prisma_cloud.host.image.history.vulnerabilities.cause |
关于漏洞根本原因的附加信息。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.cri |
指示这是否是特定于 CRI 的漏洞(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.image.history.vulnerabilities.custom |
指示该漏洞是否为自定义漏洞(例如,openscap,sandbox)(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.image.history.vulnerabilities.cve |
漏洞的 CVE ID(如果适用)。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.cvss |
漏洞的 CVSS 分数。 |
浮点数 |
prisma_cloud.host.image.history.vulnerabilities.description |
漏洞的描述。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.discovered |
指定漏洞的发现时间。 |
日期 |
prisma_cloud.host.image.history.vulnerabilities.exploit |
ExploitType 表示漏洞利用的来源。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.exploits.kind |
ExploitKind 表示漏洞利用的种类。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.exploits.link |
Link 是指向有关漏洞利用信息的链接。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.exploits.source |
ExploitType 表示漏洞利用的来源。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.fix_date |
修复漏洞的日期/时间(以 Unix 时间表示)。 |
日期 |
prisma_cloud.host.image.history.vulnerabilities.fix_link |
指向供应商的已修复版本信息的链接。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.function_layer |
指定发现漏洞的 serverless 层 ID。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.grace_period_days |
根据配置的宽限期,漏洞剩余的宽限天数。如果没有阻止漏洞规则适用,则为 Nil。 |
long |
prisma_cloud.host.image.history.vulnerabilities.id |
违规的 ID。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.layer_time |
CVE 所属的镜像层的日期/时间。 |
日期 |
prisma_cloud.host.image.history.vulnerabilities.link |
CVE 的供应商链接。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.package.name |
导致漏洞的软件包的名称。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.package.version |
导致漏洞的软件包的版本(或 null)。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.published |
发布漏洞的日期/时间(以 Unix 时间表示)。 |
日期 |
prisma_cloud.host.image.history.vulnerabilities.risk_factors |
RiskFactors 映射漏洞风险因素的存在情况。 |
扁平化 |
prisma_cloud.host.image.history.vulnerabilities.severity |
漏洞严重性的文本表示。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.status |
漏洞的供应商状态。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.templates |
与漏洞关联的模板列表。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.text |
违规的描述。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.title |
合规性标题。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.twistlock |
指示这是否是特定于 Twistlock 的漏洞(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.image.history.vulnerabilities.type |
Type 表示漏洞类型。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.vec_str |
用于对漏洞进行评分的指标值的文本表示。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.vuln_tag_infos.color |
Color 是颜色代码值的十六进制表示。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.vuln_tag_infos.comment |
特定漏洞上下文中的标签注释。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.vuln_tag_infos.name |
标签的名称。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.wild_fire_malware.md5 |
MD5 是恶意二进制文件的哈希值。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.wild_fire_malware.path |
Path 是恶意二进制文件的路径。 |
keyword |
prisma_cloud.host.image.history.vulnerabilities.wild_fire_malware.verdict |
Verdict 是恶意来源,如灰色软件、恶意软件和网络钓鱼。 |
keyword |
prisma_cloud.host.image.id |
镜像的 ID。 |
keyword |
prisma_cloud.host.image.labels |
镜像标签。 |
扁平化 |
prisma_cloud.host.image.layers |
镜像文件系统层。 |
keyword |
prisma_cloud.host.image.os |
镜像操作系统类型。 |
keyword |
prisma_cloud.host.image.repo.digest |
镜像存储库摘要。 |
keyword |
prisma_cloud.host.image.repo.tags |
镜像存储库标签。 |
keyword |
prisma_cloud.host.image.user |
镜像用户。 |
keyword |
prisma_cloud.host.image.working_dir |
镜像的基础工作目录。 |
keyword |
prisma_cloud.host.installed_products.agentless |
Agentless 指示是否使用无代理方式执行扫描。 |
布尔值 |
prisma_cloud.host.installed_products.apache |
Apache 指示 apache 服务器版本,如果 apache 未运行则为空。 |
keyword |
prisma_cloud.host.installed_products.aws_cloud |
AWSCloud 指示是否使用 AWS 云。 |
布尔值 |
prisma_cloud.host.installed_products.cluster_type |
ClusterType 是集群类型。 |
keyword |
prisma_cloud.host.installed_products.crio |
CRI 指示容器运行时是否为 CRI(而不是 docker)。 |
布尔值 |
prisma_cloud.host.installed_products.docker |
Docker 表示 docker 守护进程版本。 |
keyword |
prisma_cloud.host.installed_products.docker_enterprise |
DockerEnterprise 指示是否安装了 Docker 的企业版本。 |
布尔值 |
prisma_cloud.host.installed_products.has_package_manager |
HasPackageManager 指示操作系统上是否安装了软件包管理器。 |
布尔值 |
prisma_cloud.host.installed_products.k8s_api_server |
K8sAPIServer 指示是否正在运行 kubernetes API 服务器。 |
布尔值 |
prisma_cloud.host.installed_products.k8s_controller_manager |
K8sControllerManager 指示是否正在运行 kubernetes 控制器管理器。 |
布尔值 |
prisma_cloud.host.installed_products.k8s_etcd |
K8sEtcd 指示 etcd 是否正在运行。 |
布尔值 |
prisma_cloud.host.installed_products.k8s_federation_api_server |
K8sFederationAPIServer 指示是否正在运行联邦 API 服务器。 |
布尔值 |
prisma_cloud.host.installed_products.k8s_federation_controller_manager |
K8sFederationControllerManager 指示是否正在运行联邦控制器管理器。 |
布尔值 |
prisma_cloud.host.installed_products.k8s_kubelet |
K8sKubelet 指示 kubelet 是否正在运行。 |
布尔值 |
prisma_cloud.host.installed_products.k8s_proxy |
K8sProxy 指示是否正在运行 kubernetes 代理。 |
布尔值 |
prisma_cloud.host.installed_products.k8s_scheduler |
K8sScheduler 指示 kubernetes 调度器是否正在运行。 |
布尔值 |
prisma_cloud.host.installed_products.kubernetes |
Kubernetes 表示 kubernetes 版本。 |
keyword |
prisma_cloud.host.installed_products.managed_cluster_version |
ManagedClusterVersion 是托管 Kubernetes 服务的版本,例如 AKS/EKS/GKE/等等。 |
keyword |
prisma_cloud.host.installed_products.openshift |
Openshift 指示是否部署了 openshift。 |
布尔值 |
prisma_cloud.host.installed_products.openshift_version |
OpenshiftVersion 表示正在运行的 openshift 版本。 |
keyword |
prisma_cloud.host.installed_products.os_distro |
OSDistro 指定操作系统发行版。 |
keyword |
prisma_cloud.host.installed_products.serverless |
Serverless 指示是否在无服务器环境中进行评估。 |
布尔值 |
prisma_cloud.host.installed_products.swarm.manager |
SwarmManager 表示是否正在运行 Swarm 管理器。 |
布尔值 |
prisma_cloud.host.installed_products.swarm.node |
SwarmNode 表示节点是否是活动的 Swarm 的一部分。 |
布尔值 |
prisma_cloud.host.instances.host |
keyword |
|
prisma_cloud.host.instances.image |
keyword |
|
prisma_cloud.host.instances.modified |
日期 |
|
prisma_cloud.host.instances.registry |
keyword |
|
prisma_cloud.host.instances.repo |
keyword |
|
prisma_cloud.host.instances.tag |
keyword |
|
prisma_cloud.host.is_arm64 |
IsARM64 表示映像的架构是否为 aarch64。 |
布尔值 |
prisma_cloud.host.k8s_cluster_addr |
Kubernetes API 服务器的端点。 |
keyword |
prisma_cloud.host.labels |
镜像标签。 |
keyword |
prisma_cloud.host.malware_analyzed_time |
MalwareAnalyzedTime 是 WildFire 评估器分析的时间,在 UI 中显示为进度,并且不能被新的扫描结果覆盖。 |
日期 |
prisma_cloud.host.missing_distro_vuln_coverage |
指示映像操作系统是否在 IS 中覆盖(true)或不覆盖(false)。 |
布尔值 |
prisma_cloud.host.namespaces |
运行此映像的所有容器的 k8s 命名空间。 |
keyword |
prisma_cloud.host.os_distro.release |
操作系统发行版。 |
keyword |
prisma_cloud.host.os_distro.value |
操作系统发行版的名称。 |
keyword |
prisma_cloud.host.os_distro.version |
操作系统发行版版本。 |
keyword |
prisma_cloud.host.package.correlation_done |
PackageCorrelationDone 表示已完成与操作系统软件包的关联。 |
布尔值 |
prisma_cloud.host.package.manager |
指示是否为操作系统安装了软件包管理器。 |
布尔值 |
prisma_cloud.host.packages.pkgs.binary_idx |
使用软件包的顶级二进制文件的索引。 |
long |
prisma_cloud.host.packages.pkgs.binary_pkgs |
发行版二进制软件包的名称(在软件包的源代码上构建的软件包)。 |
keyword |
prisma_cloud.host.packages.pkgs.cve_count |
此特定软件包的 CVE 总数。 |
long |
prisma_cloud.host.packages.pkgs.default_gem |
DefaultGem 表示这是一个 gem 默认软件包(而不是捆绑软件包)。 |
布尔值 |
prisma_cloud.host.packages.pkgs.files.md5 |
使用 md5 计算的文件哈希值。 |
keyword |
prisma_cloud.host.packages.pkgs.files.path |
文件的路径。 |
keyword |
prisma_cloud.host.packages.pkgs.files.sha1 |
使用 SHA-1 计算的文件哈希值。 |
keyword |
prisma_cloud.host.packages.pkgs.files.sha256 |
使用 SHA256 计算的文件哈希值。 |
keyword |
prisma_cloud.host.packages.pkgs.function_layer |
发现软件包的 serverless 层的 ID。 |
keyword |
prisma_cloud.host.packages.pkgs.go_pkg |
GoPkg 表示这是一个 Go 软件包(而不是模块)。 |
布尔值 |
prisma_cloud.host.packages.pkgs.jar_identifier |
JarIdentifier 保存 JAR 软件包的附加标识详细信息。 |
keyword |
prisma_cloud.host.packages.pkgs.layer_time |
软件包所属的映像层(层创建时间)。 |
日期 |
prisma_cloud.host.packages.pkgs.license |
软件包的许可证信息。 |
keyword |
prisma_cloud.host.packages.pkgs.name |
软件包的名称。 |
keyword |
prisma_cloud.host.packages.pkgs.os_package |
OSPackage 表示 python/java 软件包是作为操作系统软件包安装的。 |
布尔值 |
prisma_cloud.host.packages.pkgs.path |
完整的软件包路径(例如,JAR 或 Node.js 软件包路径)。 |
keyword |
prisma_cloud.host.packages.pkgs.version |
软件包版本。 |
keyword |
prisma_cloud.host.packages.pkgs_type |
PackageType 描述了软件包类型。 |
keyword |
prisma_cloud.host.pull_duration |
PullDuration 是拉取映像所花费的时间。 |
long |
prisma_cloud.host.push_time |
PushTime 是映像推送到注册表的时间。 |
日期 |
prisma_cloud.host.red_hat_non_rpm_image |
RedHatNonRPMImage 表示该映像是否为具有非 RPM 内容的 Red Hat 映像。 |
布尔值 |
prisma_cloud.host.registry.namespace |
映像所属的 IBM 云命名空间。 |
keyword |
prisma_cloud.host.registry.tags |
RegistryTags 是存储此映像的注册表的标签。 |
keyword |
prisma_cloud.host.registry.type |
RegistryType 表示存储映像的注册表类型。 |
keyword |
prisma_cloud.host.repo_digests |
映像的摘要。用于内容信任(notary)。每个标签都有一个摘要。 |
keyword |
prisma_cloud.host.repo_tag.digest |
映像摘要(需要 V2 或更高版本的注册表)。 |
keyword |
prisma_cloud.host.repo_tag.id |
镜像的 ID。 |
keyword |
prisma_cloud.host.repo_tag.registry |
映像所属的注册表名称。 |
keyword |
prisma_cloud.host.repo_tag.repo |
映像所属的存储库名称。 |
keyword |
prisma_cloud.host.repo_tag.value |
映像标签。 |
keyword |
prisma_cloud.host.rhel_repos |
RhelRepositories 是从中安装此映像中的软件包的(RPM)存储库 ID。用于通过 Red Hat CPE 匹配漏洞。 |
keyword |
prisma_cloud.host.risk_factors |
RiskFactors 映射漏洞风险因素的存在情况。 |
扁平化 |
prisma_cloud.host.runtime_enabled |
HostRuntimeEnabled 表示是否有任何运行时规则适用于主机。 |
布尔值 |
prisma_cloud.host.scan.build_date |
发布映像的扫描程序构建日期。 |
日期 |
prisma_cloud.host.scan.duration |
ScanDuration 是扫描映像所花费的总时间。 |
long |
prisma_cloud.host.scan.id |
ScanID 是扫描的 ID。 |
keyword |
prisma_cloud.host.scan.time |
指定上次扫描映像的时间。 |
日期 |
prisma_cloud.host.scan.version |
发布映像的扫描程序版本。 |
keyword |
prisma_cloud.host.secrets |
Secrets 是映像内部嵌入机密的路径。注意:保留大写字母 JSON 注解是为了避免为了向后兼容支持而转换所有映像。 |
keyword |
prisma_cloud.host.startup_binaries.altered |
指示二进制文件是否是从软件包管理器安装并修改/替换的(true)或不替换(false)。 |
布尔值 |
prisma_cloud.host.startup_binaries.cve_count |
此特定二进制文件的 CVE 总数。 |
long |
prisma_cloud.host.startup_binaries.deps |
二进制文件使用的第三方软件包文件。 |
keyword |
prisma_cloud.host.startup_binaries.file_mode |
表示文件的模式和权限位。 |
long |
prisma_cloud.host.startup_binaries.function_layer |
发现软件包的 serverless 层的 ID。 |
keyword |
prisma_cloud.host.startup_binaries.md5 |
二进制文件的 Md5 哈希集。 |
keyword |
prisma_cloud.host.startup_binaries.missing_pkg |
指示此二进制文件是否与任何软件包无关(true)或不无关(false)。 |
布尔值 |
prisma_cloud.host.startup_binaries.name |
二进制文件的名称。 |
keyword |
prisma_cloud.host.startup_binaries.path |
Path 是二进制文件的路径。 |
keyword |
prisma_cloud.host.startup_binaries.pkg_root_dir |
用于搜索二进制文件所用软件包的路径。 |
keyword |
prisma_cloud.host.startup_binaries.services |
使用该二进制文件的服务的名称。 |
keyword |
prisma_cloud.host.startup_binaries.version |
二进制文件的版本。 |
keyword |
prisma_cloud.host.stopped |
Stopped 表示主机在无代理扫描期间是否正在运行。 |
布尔值 |
prisma_cloud.host.tags.digest |
映像摘要(需要 V2 或更高版本的注册表)。 |
keyword |
prisma_cloud.host.tags.id |
镜像的 ID。 |
keyword |
prisma_cloud.host.tags.registry |
映像所属的注册表名称。 |
keyword |
prisma_cloud.host.tags.repo |
映像所属的存储库名称。 |
keyword |
prisma_cloud.host.tags.tag |
映像标签。 |
keyword |
prisma_cloud.host.top_layer |
映像最后一层的 SHA256,它是 Layers 字段的最后一个元素。 |
keyword |
prisma_cloud.host.trust_result.groups._id |
组的名称。 |
keyword |
prisma_cloud.host.trust_result.groups.disabled |
表示该规则当前是否禁用(true)或未禁用(false)。 |
布尔值 |
prisma_cloud.host.trust_result.groups.images |
映像名称或 ID(例如,docker.io/library/ubuntu:16.04 / SHA264@…)。 |
keyword |
prisma_cloud.host.trust_result.groups.layers |
文件系统层。如果映像的层具有受信任组层的相同顺序的前缀,则该映像是受信任的。 |
keyword |
prisma_cloud.host.trust_result.groups.modified |
上次修改规则的日期时间。 |
日期 |
prisma_cloud.host.trust_result.groups.name |
规则的名称。 |
keyword |
prisma_cloud.host.trust_result.groups.notes |
自由格式文本。 |
keyword |
prisma_cloud.host.trust_result.groups.owner |
创建或上次修改规则的用户。 |
keyword |
prisma_cloud.host.trust_result.groups.previous_name |
规则的先前名称。规则重命名时需要。 |
keyword |
prisma_cloud.host.trust_result.hosts_statuses.host |
主机名。 |
keyword |
prisma_cloud.host.trust_result.hosts_statuses.status |
Status 是映像的信任状态。 |
keyword |
prisma_cloud.host.trust_status |
Status 是映像的信任状态。 |
keyword |
prisma_cloud.host.twistlock_image |
表示映像是否为 Twistlock 映像(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.type |
ScanType 显示正在进行的扫描的组件。 |
keyword |
prisma_cloud.host.vulnerabilities.count |
漏洞总数。 |
long |
prisma_cloud.host.vulnerabilities.data.applicable_rules |
应用于该软件包的规则。 |
keyword |
prisma_cloud.host.vulnerabilities.data.binary_pkgs |
发行版二进制软件包名称(从软件包源代码构建的软件包)。 |
keyword |
prisma_cloud.host.vulnerabilities.data.block |
指示该漏洞是否具有阻止效果(true)或不具有(false)。 |
布尔值 |
prisma_cloud.host.vulnerabilities.data.cause |
关于漏洞根本原因的附加信息。 |
keyword |
prisma_cloud.host.vulnerabilities.data.cri |
指示这是否是特定于 CRI 的漏洞(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.vulnerabilities.data.custom |
指示该漏洞是否为自定义漏洞(例如,openscap,sandbox)(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.vulnerabilities.data.cve |
漏洞的 CVE ID(如果适用)。 |
keyword |
prisma_cloud.host.vulnerabilities.data.cvss |
漏洞的 CVSS 分数。 |
浮点数 |
prisma_cloud.host.vulnerabilities.data.description |
漏洞的描述。 |
keyword |
prisma_cloud.host.vulnerabilities.data.discovered |
指定漏洞的发现时间。 |
日期 |
prisma_cloud.host.vulnerabilities.data.exploit |
ExploitType 表示漏洞利用的来源。 |
keyword |
prisma_cloud.host.vulnerabilities.data.exploits.kind |
ExploitKind 表示漏洞利用的种类。 |
keyword |
prisma_cloud.host.vulnerabilities.data.exploits.link |
Link 是指向有关漏洞利用信息的链接。 |
keyword |
prisma_cloud.host.vulnerabilities.data.exploits.source |
ExploitType 表示漏洞利用的来源。 |
keyword |
prisma_cloud.host.vulnerabilities.data.fix_date |
修复漏洞的日期/时间(以 Unix 时间表示)。 |
日期 |
prisma_cloud.host.vulnerabilities.data.fix_link |
指向供应商的已修复版本信息的链接。 |
keyword |
prisma_cloud.host.vulnerabilities.data.function_layer |
指定发现漏洞的 serverless 层 ID。 |
keyword |
prisma_cloud.host.vulnerabilities.data.grace_period_days |
根据配置的宽限期,漏洞剩余的宽限天数。如果没有阻止漏洞规则适用,则为 Nil。 |
long |
prisma_cloud.host.vulnerabilities.data.id |
违规的 ID。 |
keyword |
prisma_cloud.host.vulnerabilities.data.layer_time |
CVE 所属的镜像层的日期/时间。 |
日期 |
prisma_cloud.host.vulnerabilities.data.link |
CVE 的供应商链接。 |
keyword |
prisma_cloud.host.vulnerabilities.data.package.name |
导致漏洞的软件包的名称。 |
keyword |
prisma_cloud.host.vulnerabilities.data.package.version |
导致漏洞的软件包的版本(或 null)。 |
keyword |
prisma_cloud.host.vulnerabilities.data.published |
发布漏洞的日期/时间(以 Unix 时间表示)。 |
日期 |
prisma_cloud.host.vulnerabilities.data.risk_factors |
RiskFactors 映射漏洞风险因素的存在情况。 |
扁平化 |
prisma_cloud.host.vulnerabilities.data.severity |
漏洞严重性的文本表示。 |
keyword |
prisma_cloud.host.vulnerabilities.data.status |
漏洞的供应商状态。 |
keyword |
prisma_cloud.host.vulnerabilities.data.templates |
与漏洞关联的模板列表。 |
keyword |
prisma_cloud.host.vulnerabilities.data.text |
违规的描述。 |
keyword |
prisma_cloud.host.vulnerabilities.data.title |
keyword |
|
prisma_cloud.host.vulnerabilities.data.twistlock |
指示这是否是特定于 Twistlock 的漏洞(true)或不是(false)。 |
布尔值 |
prisma_cloud.host.vulnerabilities.data.type |
Type 表示漏洞类型。 |
keyword |
prisma_cloud.host.vulnerabilities.data.vec_str |
用于对漏洞进行评分的指标值的文本表示。 |
keyword |
prisma_cloud.host.vulnerabilities.data.vuln_tag_infos.color |
Color 是颜色代码值的十六进制表示。 |
keyword |
prisma_cloud.host.vulnerabilities.data.vuln_tag_infos.comment |
特定漏洞上下文中的标签注释。 |
keyword |
prisma_cloud.host.vulnerabilities.data.vuln_tag_infos.name |
标签的名称。 |
keyword |
prisma_cloud.host.vulnerabilities.data.wild_fire_malware.md5 |
MD5 是恶意二进制文件的哈希值。 |
keyword |
prisma_cloud.host.vulnerabilities.data.wild_fire_malware.path |
Path 是恶意二进制文件的路径。 |
keyword |
prisma_cloud.host.vulnerabilities.data.wild_fire_malware.verdict |
Verdict 是恶意来源,如灰色软件、恶意软件和网络钓鱼。 |
keyword |
prisma_cloud.host.vulnerability.distribution.critical |
long |
|
prisma_cloud.host.vulnerability.distribution.high |
long |
|
prisma_cloud.host.vulnerability.distribution.low |
long |
|
prisma_cloud.host.vulnerability.distribution.medium |
long |
|
prisma_cloud.host.vulnerability.distribution.total |
long |
|
prisma_cloud.host.vulnerability.risk_score |
映像的 CVE 风险评分。 |
long |
prisma_cloud.host.wild_fire_usage.bytes |
Bytes 是上传到 WildFire API 的总字节数。 |
long |
prisma_cloud.host.wild_fire_usage.queries |
Queries 是对 WildFire API 的查询次数。 |
long |
prisma_cloud.host.wild_fire_usage.uploads |
Uploads 是上传到 WildFire API 的次数。 |
long |
主机配置文件
编辑这是 主机配置文件 数据集。
示例
一个 host_profile 的示例事件如下所示
{
"@timestamp": "2023-11-03T06:37:12.285Z",
"agent": {
"ephemeral_id": "3b83c31f-09ab-4ff3-b475-ecc8648c3ef9",
"id": "f2974986-16b8-49d0-803d-316e0e9f4e94",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "prisma_cloud.host_profile",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f2974986-16b8-49d0-803d-316e0e9f4e94",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"created": "2023-08-11T06:53:48.855Z",
"dataset": "prisma_cloud.host_profile",
"ingested": "2023-11-03T06:37:13Z",
"kind": "asset",
"original": "{\"_id\":\"DESKTOP-6PXXAMS\",\"hash\":1,\"created\":\"2023-08-11T06:53:48.855Z\",\"time\":\"0001-01-01T00:00:00Z\",\"collections\":[\"All\"]}",
"type": [
"info"
]
},
"host": {
"hostname": "DESKTOP-6PXXAMS"
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "192.168.243.5:48144"
}
},
"prisma_cloud": {
"host_profile": {
"_id": "DESKTOP-6PXXAMS",
"collections": [
"All"
],
"created": "2023-08-11T06:53:48.855Z",
"hash": "1",
"time": "0001-01-01T00:00:00.000Z"
}
},
"related": {
"hash": [
"1"
],
"hosts": [
"DESKTOP-6PXXAMS"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"prisma_cloud-host_profile"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
prisma_cloud.host_profile._id |
ID 是配置文件 ID(主机名)。 |
keyword |
prisma_cloud.host_profile.account_id |
AccountID 是与配置文件关联的云账户 ID。 |
keyword |
prisma_cloud.host_profile.apps.listening_ports.command |
Command 表示触发连接的命令。 |
keyword |
prisma_cloud.host_profile.apps.listening_ports.modified |
Modified 是事件发生时的时间戳。 |
日期 |
prisma_cloud.host_profile.apps.listening_ports.port |
Port 是端口号。 |
long |
prisma_cloud.host_profile.apps.listening_ports.process_path |
ProcessPath 表示使用端口的进程的路径。 |
keyword |
prisma_cloud.host_profile.apps.name |
Name 是应用程序名称。 |
keyword |
prisma_cloud.host_profile.apps.outgoing_ports.command |
Command 表示触发连接的命令。 |
keyword |
prisma_cloud.host_profile.apps.outgoing_ports.country |
Country 是给定 IP 地址的国家/地区 ISO 代码。 |
keyword |
prisma_cloud.host_profile.apps.outgoing_ports.ip |
IP 是通过此端口捕获的 IP 地址。 |
ip |
prisma_cloud.host_profile.apps.outgoing_ports.modified |
Modified 是事件发生时的时间戳。 |
日期 |
prisma_cloud.host_profile.apps.outgoing_ports.port |
Port 是端口号。 |
long |
prisma_cloud.host_profile.apps.outgoing_ports.process_path |
ProcessPath 表示使用端口的进程的路径。 |
keyword |
prisma_cloud.host_profile.apps.processes.command |
Command 表示触发连接的命令。 |
keyword |
prisma_cloud.host_profile.apps.processes.interactive |
Interactive 表示该进程是否属于交互式会话。 |
布尔值 |
prisma_cloud.host_profile.apps.processes.md5 |
MD5 是进程二进制 MD5 总和。 |
keyword |
prisma_cloud.host_profile.apps.processes.modified |
Modified 表示容器启动后进程二进制文件已修改。 |
布尔值 |
prisma_cloud.host_profile.apps.processes.path |
Path 是进程二进制文件的路径。 |
keyword |
prisma_cloud.host_profile.apps.processes.ppath |
PPath 是父进程路径。 |
keyword |
prisma_cloud.host_profile.apps.processes.time |
Time 是添加进程的时间。如果进程已修改,则 Time 是修改时间。 |
日期 |
prisma_cloud.host_profile.apps.processes.user |
User 代表启动进程的用户名。 |
keyword |
prisma_cloud.host_profile.apps.startup_process.command |
Command 表示触发连接的命令。 |
keyword |
prisma_cloud.host_profile.apps.startup_process.interactive |
Interactive 表示该进程是否属于交互式会话。 |
布尔值 |
prisma_cloud.host_profile.apps.startup_process.md5 |
MD5 是进程二进制 MD5 总和。 |
keyword |
prisma_cloud.host_profile.apps.startup_process.modified |
Modified 是事件发生时的时间戳。 |
布尔值 |
prisma_cloud.host_profile.apps.startup_process.path |
Path 是进程二进制文件的路径。 |
keyword |
prisma_cloud.host_profile.apps.startup_process.ppath |
PPath 是父进程路径。 |
keyword |
prisma_cloud.host_profile.apps.startup_process.time |
Time 是添加进程的时间。如果进程已修改,则 Time 是修改时间。 |
日期 |
prisma_cloud.host_profile.apps.startup_process.user |
User 代表启动进程的用户名。 |
keyword |
prisma_cloud.host_profile.collections |
Collections 是此配置文件适用的集合列表。 |
keyword |
prisma_cloud.host_profile.created |
Created 是配置文件的创建时间。 |
日期 |
prisma_cloud.host_profile.geoip.countries.code |
Code 是国家/地区的 ISO 代码。 |
keyword |
prisma_cloud.host_profile.geoip.countries.ip |
Ip 是 IP 地址。 |
ip |
prisma_cloud.host_profile.geoip.countries.modified |
Modified 是此条目的上次修改时间。 |
日期 |
prisma_cloud.host_profile.geoip.modified |
Modified 是缓存的上次修改时间。 |
日期 |
prisma_cloud.host_profile.hash |
ProfileHash 表示配置文件哈希值。它最多可以包含 uint32 数字,并用 int64 表示,因为 MongoDB 不支持无符号数据类型。 |
keyword |
prisma_cloud.host_profile.labels |
Labels 是与配置文件关联的标签。 |
keyword |
prisma_cloud.host_profile.ssh_events.command |
Command 表示触发连接的命令。 |
keyword |
prisma_cloud.host_profile.ssh_events.country |
Country 表示 SSH 客户端的来源国家/地区。 |
keyword |
prisma_cloud.host_profile.ssh_events.interactive |
Interactive 表示该进程是否属于交互式会话。 |
布尔值 |
prisma_cloud.host_profile.ssh_events.ip |
IP 地址表示连接客户端的 IP 地址。 |
keyword |
prisma_cloud.host_profile.ssh_events.login_time |
LoginTime 表示 SSH 登录时间。 |
日期 |
prisma_cloud.host_profile.ssh_events.md5 |
MD5 是进程二进制 MD5 总和。 |
keyword |
prisma_cloud.host_profile.ssh_events.modified |
Modified 表示容器启动后进程二进制文件已修改。 |
布尔值 |
prisma_cloud.host_profile.ssh_events.path |
Path 是进程二进制文件的路径。 |
keyword |
prisma_cloud.host_profile.ssh_events.ppath |
PPath 是父进程路径。 |
keyword |
prisma_cloud.host_profile.ssh_events.time |
Time 是添加进程的时间。如果进程已修改,则 Time 是修改时间。 |
日期 |
prisma_cloud.host_profile.ssh_events.user |
User 代表启动进程的用户名。 |
keyword |
prisma_cloud.host_profile.time |
Time 是此配置文件上次修改的时间。 |
日期 |
事件审计
编辑这是 事件审计 数据集。
示例
incident_audit 的示例事件如下所示
{
"@timestamp": "2023-09-19T07:15:31.899Z",
"agent": {
"ephemeral_id": "2be27553-a973-4cdb-8c8d-e296a788b63a",
"id": "f2974986-16b8-49d0-803d-316e0e9f4e94",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloud": {
"account": {
"id": [
"123abc",
"abdcsfData"
]
},
"provider": [
"alibaba",
"oci"
],
"region": "string"
},
"container": {
"id": "string",
"image": {
"name": [
"docker.io/library/nginx:latest",
"string"
]
},
"name": [
"nginx",
"string"
]
},
"data_stream": {
"dataset": "prisma_cloud.incident_audit",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f2974986-16b8-49d0-803d-316e0e9f4e94",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"malware"
],
"dataset": "prisma_cloud.incident_audit",
"id": "651c46b145d15228585exxxx",
"ingested": "2023-11-03T06:39:34Z",
"kind": "event",
"original": "{\"_id\":\"651c46b145d15228585exxxx\",\"accountID\":\"123abc\",\"acknowledged\":false,\"app\":\"string\",\"appID\":\"string\",\"audits\":[{\"_id\":\"651c46b145d15228585exxxx\",\"accountID\":\"abdcsfData\",\"app\":\"string\",\"appID\":\"string\",\"attackTechniques\":[\"exploitationForPrivilegeEscalation\"],\"attackType\":\"cloudMetadataProbing\",\"cluster\":\"string\",\"collections\":[\"string\"],\"command\":\"string\",\"container\":true,\"containerId\":\"5490e85a1a0c1c9f9c74591a9d3fcbf61beb84a952f14a17277be5fcf00xxxxx\",\"containerName\":\"nginx\",\"count\":0,\"country\":\"string\",\"domain\":\"string\",\"effect\":[\"block\",\"prevent\"],\"err\":\"string\",\"filepath\":\"string\",\"fqdn\":\"audits-fqdn-hostname\",\"function\":\"string\",\"functionID\":\"string\",\"hostname\":\"gke-tp-cluster-tp-pool1-9658xxxx-j87v\",\"imageId\":\"sha256:61395b4c586da2b9b3b7ca903ea6a448e6783dfdd7f768ff2c1a0f3360aaxxxx\",\"imageName\":\"docker.io/library/nginx:latest\",\"interactive\":true,\"ip\":\"0.0.0.0\",\"label\":\"string\",\"labels\":{},\"md5\":\"string\",\"msg\":\"string\",\"namespace\":\"string\",\"os\":\"string\",\"pid\":0,\"port\":0,\"processPath\":\"string\",\"profileId\":\"string\",\"provider\":\"alibaba\",\"rawEvent\":\"string\",\"region\":\"string\",\"requestID\":\"string\",\"resourceID\":\"string\",\"ruleName\":\"string\",\"runtime\":[\"python3.6\"],\"severity\":[\"low\",\"medium\",\"high\"],\"time\":\"2023-09-19T07:15:31.899Z\",\"type\":[\"processes\"],\"user\":\"string\",\"version\":\"string\",\"vmID\":\"string\",\"wildFireReportURL\":\"string\"}],\"category\":\"malware\",\"cluster\":\"string\",\"collections\":[\"string\"],\"containerID\":\"string\",\"containerName\":\"string\",\"customRuleName\":\"string\",\"fqdn\":\"string\",\"function\":\"string\",\"functionID\":\"string\",\"hostname\":\"string\",\"imageID\":\"string\",\"imageName\":\"string\",\"labels\":{},\"namespace\":\"string\",\"profileID\":\"string\",\"provider\":\"oci\",\"region\":\"string\",\"resourceID\":\"string\",\"runtime\":\"string\",\"serialNum\":0,\"shouldCollect\":true,\"time\":\"2023-09-19T07:15:31.899Z\",\"type\":\"host\",\"vmID\":\"string\",\"windows\":true}",
"type": [
"info"
]
},
"host": {
"domain": [
"audits-fqdn-hostname",
"string"
],
"hostname": "string"
},
"input": {
"type": "udp"
},
"log": {
"source": {
"address": "192.168.243.5:50216"
}
},
"os": {
"full": [
"string"
]
},
"prisma_cloud": {
"incident_audit": {
"_id": "651c46b145d15228585exxxx",
"account_id": "123abc",
"acknowledged": false,
"app": {
"id": "string",
"value": "string"
},
"category": "malware",
"cluster": "string",
"collections": [
"string"
],
"container": {
"id": "string",
"name": "string"
},
"custom_rule_name": "string",
"data": [
{
"_id": "651c46b145d15228585exxxx",
"account_id": "abdcsfData",
"app": {
"id": "string",
"value": "string"
},
"attack": {
"techniques": [
"exploitationForPrivilegeEscalation"
],
"type": "cloudMetadataProbing"
},
"cluster": "string",
"collections": [
"string"
],
"command": "string",
"container": {
"id": "5490e85a1a0c1c9f9c74591a9d3fcbf61beb84a952f14a17277be5fcf00xxxxx",
"name": "nginx",
"value": true
},
"count": 0,
"country": "string",
"domain": "string",
"effect": [
"block",
"prevent"
],
"err": "string",
"filepath": "string",
"fqdn": "audits-fqdn-hostname",
"function": {
"id": "string",
"value": "string"
},
"hostname": "gke-tp-cluster-tp-pool1-9658xxxx-j87v",
"image": {
"id": "sha256:61395b4c586da2b9b3b7ca903ea6a448e6783dfdd7f768ff2c1a0f3360aaxxxx",
"name": "docker.io/library/nginx:latest"
},
"interactive": true,
"ip": "0.0.0.0",
"label": "string",
"md5": "string",
"msg": "string",
"namespace": "string",
"os": "string",
"pid": 0,
"port": 0,
"process_path": "string",
"profile_id": "string",
"provider": "alibaba",
"raw_event": "string",
"region": "string",
"request_id": "string",
"resource_id": "string",
"rule_name": "string",
"runtime": [
"python3.6"
],
"severity": [
"low",
"medium",
"high"
],
"time": "2023-09-19T07:15:31.899Z",
"type": [
"processes"
],
"user": "string",
"version": "string",
"vm_id": "string",
"wild_fire_report_url": "string"
}
],
"fqdn": "string",
"function": {
"id": "string",
"value": "string"
},
"hostname": "string",
"image": {
"id": "string",
"name": "string"
},
"namespace": "string",
"profile_id": "string",
"provider": "oci",
"region": "string",
"resource_id": "string",
"runtime": "string",
"serial_num": 0,
"should_collect": true,
"time": "2023-09-19T07:15:31.899Z",
"type": "host",
"vm_id": "string",
"windows": true
}
},
"related": {
"hosts": [
"audits-fqdn-hostname",
"gke-tp-cluster-tp-pool1-9658xxxx-j87v",
"string"
],
"ip": [
"0.0.0.0"
],
"user": [
"string"
]
},
"rule": {
"name": [
"string"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"prisma_cloud-incident_audit"
],
"threat": {
"technique": {
"name": [
"exploitationForPrivilegeEscalation"
],
"subtechnique": {
"name": [
"cloudMetadataProbing"
]
}
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
prisma_cloud.incident_audit._id |
事件的内部 ID。 |
keyword |
prisma_cloud.incident_audit.account_id |
云帐户 ID。 |
keyword |
prisma_cloud.incident_audit.acknowledged |
指示事件是否已被确认(true)或未被确认(false)。 |
布尔值 |
prisma_cloud.incident_audit.app.id |
应用程序 ID。 |
keyword |
prisma_cloud.incident_audit.app.value |
导致事件的应用程序。 |
keyword |
prisma_cloud.incident_audit.category |
keyword |
|
prisma_cloud.incident_audit.cluster |
发现事件的集群。 |
keyword |
prisma_cloud.incident_audit.collections |
此事件适用的集合。 |
keyword |
prisma_cloud.incident_audit.container.id |
触发事件的容器的 ID。 |
keyword |
prisma_cloud.incident_audit.container.name |
容器名称。 |
keyword |
prisma_cloud.incident_audit.custom_rule_name |
触发事件的自定义运行时规则的名称。 |
keyword |
prisma_cloud.incident_audit.data._id |
事件的内部 ID。 |
keyword |
prisma_cloud.incident_audit.data.account_id |
生成审计的云帐户的 ID。 |
keyword |
prisma_cloud.incident_audit.data.app.id |
应用程序 ID。 |
keyword |
prisma_cloud.incident_audit.data.app.value |
违反主机策略的服务的名称。 |
keyword |
prisma_cloud.incident_audit.data.attack.techniques |
文档中给定的技术列表。 |
keyword |
prisma_cloud.incident_audit.data.attack.type |
文档中给定的列表。RuntimeAttackType 是攻击的子类别(例如,恶意软件进程,模型中不存在的进程等)。 |
keyword |
prisma_cloud.incident_audit.data.cluster |
集群名称。 |
keyword |
prisma_cloud.incident_audit.data.collections |
此审计适用的集合。 |
keyword |
prisma_cloud.incident_audit.data.command |
ScrubbedCommand 是进程执行的命令,其中包含经过清理的 PII。 |
keyword |
prisma_cloud.incident_audit.data.container.id |
违反规则的容器的 ID。 |
keyword |
prisma_cloud.incident_audit.data.container.name |
容器名称。 |
keyword |
prisma_cloud.incident_audit.data.container.value |
指示这是容器审计(true)还是主机审计(false)。 |
布尔值 |
prisma_cloud.incident_audit.data.count |
攻击类型审计计数。 |
long |
prisma_cloud.incident_audit.data.country |
传出网络审计的传出国家/地区。 |
keyword |
prisma_cloud.incident_audit.data.domain |
Domain 是请求的域。 |
keyword |
prisma_cloud.incident_audit.data.effect |
可能的值:[block,prevent,alert,disable] RuleEffect 是运行时规则中将使用的效果。 |
keyword |
prisma_cloud.incident_audit.data.err |
审计过程中未知的错误。 |
keyword |
prisma_cloud.incident_audit.data.filepath |
Filepath 是已修改文件的路径。 |
keyword |
prisma_cloud.incident_audit.data.fqdn |
审计警报中使用的当前完整域名。 |
keyword |
prisma_cloud.incident_audit.data.function.id |
调用的函数的 ID。 |
keyword |
prisma_cloud.incident_audit.data.function.value |
导致审计的无服务器函数的名称。 |
keyword |
prisma_cloud.incident_audit.data.hostname |
当前主机名。 |
keyword |
prisma_cloud.incident_audit.data.image.id |
容器镜像 ID。 |
keyword |
prisma_cloud.incident_audit.data.image.name |
容器镜像名称。 |
keyword |
prisma_cloud.incident_audit.data.interactive |
指示审计是否是由以交互模式生成的进程触发的(例如,docker exec …)(true)或不触发(false)。 |
布尔值 |
prisma_cloud.incident_audit.data.ip |
IP 是连接目标 IP 地址。 |
ip |
prisma_cloud.incident_audit.data.label |
容器部署标签。 |
keyword |
prisma_cloud.incident_audit.data.labels |
扁平化 |
|
prisma_cloud.incident_audit.data.md5 |
MD5 是已修改文件(仅适用于可执行文件)的 MD5 值。 |
keyword |
prisma_cloud.incident_audit.data.msg |
阻止消息文本。 |
keyword |
prisma_cloud.incident_audit.data.namespace |
K8s 部署命名空间。 |
keyword |
prisma_cloud.incident_audit.data.os |
操作系统发行版。 |
keyword |
prisma_cloud.incident_audit.data.pid |
导致审计事件的进程的 ID。 |
long |
prisma_cloud.incident_audit.data.port |
Port 是连接目标端口。 |
long |
prisma_cloud.incident_audit.data.process_path |
导致审计事件的进程的路径。 |
keyword |
prisma_cloud.incident_audit.data.profile_id |
审计的配置文件 ID。 |
keyword |
prisma_cloud.incident_audit.data.provider |
可能的值:[aws,azure,gcp,alibaba,oci,others]。 CloudProvider 指定云提供商名称。 |
keyword |
prisma_cloud.incident_audit.data.raw_event |
未解析的函数处理程序事件输入。 |
keyword |
prisma_cloud.incident_audit.data.region |
生成审计的资源的区域。 |
keyword |
prisma_cloud.incident_audit.data.request_id |
lambda 函数调用请求的 ID。 |
keyword |
prisma_cloud.incident_audit.data.resource_id |
生成审计的资源的唯一 ID。 |
keyword |
prisma_cloud.incident_audit.data.rule_name |
如果被阻止,则为应用的规则的名称。 |
keyword |
prisma_cloud.incident_audit.data.runtime |
[python,python3.6,python3.7,python3.8,python3.9,nodejs12.x,nodejs14.x,dotnetcore2.1,dotnetcore3.1,dotnet6,java8,java11,ruby2.7]。 |
keyword |
prisma_cloud.incident_audit.data.severity |
可能的值 [high, low, medium]。 |
keyword |
prisma_cloud.incident_audit.data.time |
审计事件的时间(UTC 时间)。 |
日期 |
prisma_cloud.incident_audit.data.type |
可能的值:[processes,network,kubernetes,filesystem] |
RuntimeType 表示运行时保护类型。 |
keyword |
prisma_cloud.incident_audit.data.user |
服务用户。 |
keyword |
prisma_cloud.incident_audit.data.version |
Defender 版本。 |
keyword |
prisma_cloud.incident_audit.data.vm_id |
生成审计的 Azure 唯一 VM ID。 |
keyword |
prisma_cloud.incident_audit.data.wild_fire_report_url |
WildFireReportURL 是由 wildFire 生成的报告的 URL 链接。 |
keyword |
prisma_cloud.incident_audit.fqdn |
当前主机名的完整域名。 |
keyword |
prisma_cloud.incident_audit.function.id |
触发事件的函数的 ID。 |
keyword |
prisma_cloud.incident_audit.function.value |
无服务器函数的名称。 |
keyword |
prisma_cloud.incident_audit.hostname |
当前主机名。 |
keyword |
prisma_cloud.incident_audit.image.id |
容器镜像 ID。 |
keyword |
prisma_cloud.incident_audit.image.name |
容器镜像名称。 |
keyword |
prisma_cloud.incident_audit.labels |
|
扁平化 |
prisma_cloud.incident_audit.namespace |
k8s 部署命名空间。 |
keyword |
prisma_cloud.incident_audit.profile_id |
运行时配置文件 ID。 |
keyword |
prisma_cloud.incident_audit.provider |
可能的值:[aws,azure,gcp,alibaba,oci,others]。 |
keyword |
prisma_cloud.incident_audit.region |
发现事件的资源的区域。 |
keyword |
prisma_cloud.incident_audit.resource_id |
发现事件的资源的唯一 ID。 |
keyword |
prisma_cloud.incident_audit.runtime |
无服务器函数的运行时。 |
keyword |
prisma_cloud.incident_audit.serial_num |
事件的序列号。 |
long |
prisma_cloud.incident_audit.should_collect |
指示是否应收集此事件(true)或不收集(false)。 |
布尔值 |
prisma_cloud.incident_audit.time |
事件的时间(UTC 时间)。 |
日期 |
prisma_cloud.incident_audit.type |
可能的值:[host,container,function,appEmbedded,fargate]。 |
keyword |
prisma_cloud.incident_audit.vm_id |
发现事件的 Azure 唯一 VM ID。 |
keyword |
prisma_cloud.incident_audit.windows |
Windows 指示 Defender 操作系统类型是否为 Windows。 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.6.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.4.2 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.4.1 |
Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.3.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.1.1 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.0.1 |
增强 (查看拉取请求) |
8.10.1 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.10.1 或更高版本 |
0.6.0 |
Bug 修复 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |