Sophos Central 集成
编辑Sophos Central 集成
编辑Sophos Central 集成允许您监控警报和事件日志。Sophos Central 是一个具有高可用性的云原生应用程序。它是一个托管在公共云平台上的网络安全管理平台。每个 Sophos Central 帐户都托管在指定的区域中。Sophos Central 使用广为人知、广泛使用和行业标准的软件库来缓解常见的漏洞。
使用 Sophos Central 集成来收集由您的 Sophos 帐户管理的 Sophos Central 的日志。在 Kibana 中可视化数据,创建警报以在出现问题时通知您,并在排除问题时参考数据。
数据流
编辑Sophos Central 集成收集两种类型的事件的日志:警报和事件。
警报:有关更多信息,请参阅 此处的示例架构。
事件:有关更多信息,请参阅 此处的示例架构。
兼容性
编辑Sophos Central 应用程序不包含版本号。此集成已针对 Sophos Central SIEM 集成 API 版本 v1 进行配置和测试。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们在 Elastic Cloud 上的托管 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
设置
编辑Sophos Central 的 Elastic 集成设置
编辑请按照此 链接 中的指南,了解如何为 Sophos Central 生成身份验证凭据。
Sophos Central 的 Elastic 集成需要以下身份验证设置才能连接到目标服务
- 客户端 ID
- 客户端密钥
- 授权类型
- 范围
- 租户 ID
- 令牌 URL(不带 URL 路径)
Sophos Central 仅支持过去 24 小时的日志。
日志参考
编辑警报
编辑这是 alerts 数据集。
示例
alert 的示例事件如下所示
{
"@timestamp": "2022-11-24T07:07:48.000Z",
"agent": {
"ephemeral_id": "f0294025-e37d-4210-bda4-eaf14642e17e",
"id": "cf659b85-d5b7-4b0d-8b9a-4ea2e187d862",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.7.1"
},
"data_stream": {
"dataset": "sophos_central.alert",
"namespace": "ep",
"type": "logs"
},
"destination": {
"ip": "192.168.0.2",
"port": 789
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "cf659b85-d5b7-4b0d-8b9a-4ea2e187d862",
"snapshot": false,
"version": "8.7.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"code": "Event::Endpoint::Threat::PuaCleanupFailed",
"created": "2022-11-24T07:07:52.094Z",
"dataset": "sophos_central.alert",
"id": "8bbd989a-6cab-407f-a586-c5064b94f76a",
"ingested": "2023-05-24T14:37:54Z",
"kind": [
"alert"
],
"original": "{\"created_at\":\"2022-11-24T07:07:52.094Z\",\"customer_id\":\"d1271b33-4e24-4cc3-951a-badc38976ca3\",\"data\":{\"certificates\":[],\"core_remedy_items\":{\"items\":[{\"descriptor\":\"C:\\\\\foo.dll\",\"processPath\":\"\",\"result\":\"SUCCESS\",\"sophosPid\":\"\",\"suspendResult\":\"NOT_APPLICABLE\",\"type\":\"file\"}],\"totalItems\":1},\"created_at\":1669273672085,\"endpoint_id\":\"0320820b-84b4-41ea-95fd-5893fb17e420\",\"endpoint_java_id\":\"0320820b-84b4-41ea-95fd-5893fb17e420\",\"endpoint_platform\":\"windows\",\"endpoint_type\":\"computer\",\"event_service_id\":{\"data\":\"ASctdeo4TVyAZU0SyIzlJg==\",\"type\":3},\"hmpa_exploit\":{\"family_id\":\"aecab125-0118-4828-a2bb-c0815aa5864d\",\"process_name\":\"Lightning:Notepad++\",\"process_path\":\"C:\\\\\Windows\\\\\Virus\",\"process_pid\":\"135510845\",\"process_version\":\"21.13.87\",\"thumbprint\":\"d99d375c1e190e6ccc77d22d51e8f9ed881bbb4af1342f618adf9f78358c6488\",\"type\":\"CryptoGuard\",\"uid\":\"344b9a0b-2271-0e14-0c61-0fa89122c6ad\",\"version\":\"2.13.7\"},\"inserted_at\":1669273672085,\"ips_threat\":{\"detection_type\":1,\"executable_name\":\"Bad Program\",\"executable_path\":\"C:\\\\\Program Files\\\\\Bad Vendor\\\\\Bad Program.exe\",\"executable_pid\":\"2468\",\"executable_version\":\"7.6.5\",\"local_port\":\"123\",\"raw_data\":\"Message OS-WINDOWS Microsoft Windows SMB remote code execution attempt\\nReference CVE-2017-0146\\nPacket type TCP\\nLocal IP: 192.168.0.3\\nLocal Port: 123\\nLocal MAC: 00:50:b6:90:9e:e3\\nRemote IP: 192.168.0.2\\nRemote Port: 789\\nRemote MAC: 00:1C:B3:09:85:15\\nPID: 2468\\nExecutable: C:\\\\\Program Files\\\\\Bad Vendor\\\\\Bad Program.exe\\nVersion: 7.6.5\\nSigner: PositiveSSL CA 2\\nSHA-256: 19648CE85F07F4DEC80C4B37266C31A1025DAB5318DFF5C1AB1F65A7E7886B3C\",\"remote_ip\":\"192.168.0.2\",\"remote_port\":\"789\",\"tech_support_id\":\"2019052901.77863414.5\"},\"make_actionable_at\":1674533519751,\"policy_type\":30,\"source_app_id\":\"CORE\",\"source_info\":{\"ip\":\"10.1.39.32\"},\"threat_id\":{\"counter\":5044432,\"date\":1669273672000,\"machineIdentifier\":13006844,\"processIdentifier\":3865,\"time\":1669273672000,\"timeSecond\":1669273672,\"timestamp\":1669273672},\"threat_status\":\"NONE\",\"user_match_id\":{\"counter\":5199272,\"date\":1667463333000,\"machineIdentifier\":14271215,\"processIdentifier\":3997,\"time\":1667463333000,\"timeSecond\":1667463333,\"timestamp\":1667463333},\"user_match_uuid\":{\"data\":\"SltcnDmTSoSky+G00P5iTQ==\",\"type\":3}},\"description\":\"Manual PUA cleanup required: 'PUAqsw3kby31j' at 'C:\\\\\Program Files (x86)\\\\\Trojan Horse\\\\\bin\\\\\eicar.com'\",\"event_service_event_id\":\"8bbd989a-6cab-407f-a586-c5064b94f76a\",\"id\":\"8bbd989a-6cab-407f-a586-c5064b94f76a\",\"location\":\"Lightning-rvda5c291x\",\"severity\":\"medium\",\"source\":\"Domain\\\\\User\",\"threat\":\"PUAqsw3kby31j\",\"threat_cleanable\":false,\"type\":\"Event::Endpoint::Threat::PuaCleanupFailed\",\"when\":\"2022-11-24T07:07:48.000Z\"}",
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"message": "Manual PUA cleanup required: 'PUAqsw3kby31j' at 'C:\\Program Files (x86)\\Trojan Horse\\bin\\eicar.com'",
"organization": {
"id": "d1271b33-4e24-4cc3-951a-badc38976ca3"
},
"process": {
"executable": "Bad Program",
"name": "Lightning:Notepad++",
"pid": 135510845
},
"related": {
"hash": [
"19648CE85F07F4DEC80C4B37266C31A1025DAB5318DFF5C1AB1F65A7E7886B3C"
],
"ip": [
"10.1.39.32",
"192.168.0.2"
]
},
"sophos_central": {
"alert": {
"created_at": "2022-11-24T07:07:52.094Z",
"customer_id": "d1271b33-4e24-4cc3-951a-badc38976ca3",
"data": {
"core_remedy": {
"items": [
{
"descriptor": "C:\\foo.dll",
"result": "SUCCESS",
"suspend_result": "NOT_APPLICABLE",
"type": "file"
}
],
"total_items": 1
},
"created_at": "2022-11-24T07:07:52.085Z",
"endpoint": {
"id": "0320820b-84b4-41ea-95fd-5893fb17e420",
"java_id": "0320820b-84b4-41ea-95fd-5893fb17e420",
"platform": "windows",
"type": "computer"
},
"event_service_id": {
"data": "ASctdeo4TVyAZU0SyIzlJg==",
"type": 3
},
"hmpa_exploit": {
"family_id": "aecab125-0118-4828-a2bb-c0815aa5864d",
"process_name": "Lightning:Notepad++",
"process_path": "C:\\Windows\\Virus",
"process_pid": 135510845,
"process_version": "21.13.87",
"thumbprint": "d99d375c1e190e6ccc77d22d51e8f9ed881bbb4af1342f618adf9f78358c6488",
"type": "CryptoGuard",
"uid": "344b9a0b-2271-0e14-0c61-0fa89122c6ad",
"version": "2.13.7"
},
"inserted_at": "2022-11-24T07:07:52.085Z",
"ips_threat": {
"detection_type": 1,
"executable": {
"name": "Bad Program",
"path": "C:\\Program Files\\Bad Vendor\\Bad Program.exe",
"pid": "2468",
"version": "7.6.5"
},
"local_port": 123,
"raw_data": {
"executable": "C:\\Program Files\\Bad Vendor\\Bad Program.exe",
"local": {
"ip": "192.168.0.3",
"mac": "00-50-B6-90-9E-E3",
"port": 123
},
"message": "OS-WINDOWS Microsoft Windows SMB remote code execution attempt",
"original": "Message OS-WINDOWS Microsoft Windows SMB remote code execution attempt\nReference CVE-2017-0146\nPacket type TCP\nLocal IP: 192.168.0.3\nLocal Port: 123\nLocal MAC: 00:50:b6:90:9e:e3\nRemote IP: 192.168.0.2\nRemote Port: 789\nRemote MAC: 00:1C:B3:09:85:15\nPID: 2468\nExecutable: C:\\Program Files\\Bad Vendor\\Bad Program.exe\nVersion: 7.6.5\nSigner: PositiveSSL CA 2\nSHA-256: 19648CE85F07F4DEC80C4B37266C31A1025DAB5318DFF5C1AB1F65A7E7886B3C",
"packet_type": "TCP",
"pid": "2468",
"reference": "CVE-2017-0146",
"remote": {
"ip": "192.168.0.2",
"mac": "00-1C-B3-09-85-15",
"port": 789
},
"sha_256": "19648CE85F07F4DEC80C4B37266C31A1025DAB5318DFF5C1AB1F65A7E7886B3C",
"signer": "PositiveSSL CA 2",
"version": "7.6.5"
},
"remote": {
"ip": "192.168.0.2",
"port": 789
},
"tech_support_id": "2019052901.77863414.5"
},
"make_actionable_at": "2023-01-24T04:11:59.751Z",
"policy_type": 30,
"source_app_id": "CORE",
"source_info_ip": "10.1.39.32",
"threat_id": {
"counter": 5044432,
"date": "2022-11-24T07:07:52.000Z",
"machine_identifier": 13006844,
"process_identifier": 3865,
"time": "2022-11-24T07:07:52.000Z",
"time_sec": "2022-11-24T07:07:52.000Z",
"timestamp": "2022-11-24T07:07:52.000Z"
},
"threat_status": "NONE",
"user_match_id": {
"counter": 5199272,
"date": "2022-11-03T08:15:33.000Z",
"machine_identifier": 14271215,
"process_identifier": 3997,
"time": "2022-11-03T08:15:33.000Z",
"time_sec": "2022-11-03T08:15:33.000Z",
"timestamp": "2022-11-03T08:15:33.000Z"
},
"user_match_uuid": {
"data": "SltcnDmTSoSky+G00P5iTQ==",
"type": 3
}
},
"description": "Manual PUA cleanup required: 'PUAqsw3kby31j' at 'C:\\Program Files (x86)\\Trojan Horse\\bin\\eicar.com'",
"event_service_event_id": "8bbd989a-6cab-407f-a586-c5064b94f76a",
"id": "8bbd989a-6cab-407f-a586-c5064b94f76a",
"location": "Lightning-rvda5c291x",
"severity": "medium",
"source": {
"domain": {
"name": "Domain"
},
"original": "Domain\\User",
"user": {
"name": "User"
}
},
"threat": {
"cleanable": false,
"value": "PUAqsw3kby31j"
},
"type": "Event::Endpoint::Threat::PuaCleanupFailed",
"when": "2022-11-24T07:07:48.000Z"
}
},
"source": {
"ip": "10.1.39.32"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"sophos_central-alert"
],
"user": {
"domain": "Domain",
"name": "User"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
从中读取/发送日志事件的源地址。 |
keyword |
sophos_central.alert.created_at |
创建警报的日期。 |
日期 |
sophos_central.alert.customer_id |
与此记录关联的客户的唯一标识符。 |
keyword |
sophos_central.alert.data.app_id |
应用程序标识符。 |
keyword |
sophos_central.alert.data.certificates |
警报的证书。 |
keyword |
sophos_central.alert.data.core_remedy.items.descriptor |
项目的描述符。 |
keyword |
sophos_central.alert.data.core_remedy.items.process_path |
Sophos 项目的进程路径。 |
keyword |
sophos_central.alert.data.core_remedy.items.result |
允许的值包括:NOT_APPLICABLE、SUCCESS、NOT_FOUND、DELETED、FAILED_TO_DELETE、WHITELISTED、OTHER_ERROR、FAILED_TO_DELETE_SYSTEM_PROTECTED。 |
keyword |
sophos_central.alert.data.core_remedy.items.sophos_pid |
Sophos 项目的进程 ID。 |
keyword |
sophos_central.alert.data.core_remedy.items.suspend_result |
Sophos 项目的挂起结果。 |
keyword |
sophos_central.alert.data.core_remedy.items.type |
核心补救项目的类型。 |
keyword |
sophos_central.alert.data.core_remedy.total_items |
警报的核心补救项目总数。 |
long |
sophos_central.alert.data.created_at |
接收事件/警报并将其插入 Central 数据存储的时间戳。 |
日期 |
sophos_central.alert.data.endpoint.id |
设备(端点)的 Object_id;也用于关联。 |
keyword |
sophos_central.alert.data.endpoint.java_id |
端点的标识符。 |
keyword |
sophos_central.alert.data.endpoint.platform |
警报的端点平台。 |
keyword |
sophos_central.alert.data.endpoint.type |
端点的类型 - 目前仅限计算机或服务器。 |
keyword |
sophos_central.alert.data.event_service_id.data |
事件数据的服务 ID。 |
keyword |
sophos_central.alert.data.event_service_id.type |
事件类型的服务 ID。 |
long |
sophos_central.alert.data.hmpa_exploit.family_id |
hmpa 漏洞的系列 ID。 |
keyword |
sophos_central.alert.data.hmpa_exploit.process_name |
hmpa 漏洞的进程名称。 |
keyword |
sophos_central.alert.data.hmpa_exploit.process_path |
hmpa 漏洞的进程路径。 |
keyword |
sophos_central.alert.data.hmpa_exploit.process_pid |
hmpa 漏洞的进程父 ID。 |
long |
sophos_central.alert.data.hmpa_exploit.process_version |
hmpa 漏洞的进程版本。 |
keyword |
sophos_central.alert.data.hmpa_exploit.thumbprint |
hmpa 漏洞的指纹。 |
keyword |
sophos_central.alert.data.hmpa_exploit.type |
hmpa 漏洞的类型。 |
keyword |
sophos_central.alert.data.hmpa_exploit.uid |
hmpa 漏洞的 UID。 |
keyword |
sophos_central.alert.data.hmpa_exploit.version |
hmpa 漏洞的版本。 |
keyword |
sophos_central.alert.data.inserted_at |
将事件插入 Central 数据存储的时间。 |
日期 |
sophos_central.alert.data.ips_threat.detection_type |
IPS 威胁的检测类型。 |
long |
sophos_central.alert.data.ips_threat.executable.name |
IPS 威胁的可执行文件名称。 |
keyword |
sophos_central.alert.data.ips_threat.executable.path |
IPS 威胁的可执行文件路径。 |
keyword |
sophos_central.alert.data.ips_threat.executable.pid |
IPS 威胁的可执行文件进程 ID。 |
keyword |
sophos_central.alert.data.ips_threat.executable.version |
IPS 威胁的可执行文件版本。 |
keyword |
sophos_central.alert.data.ips_threat.local_port |
IPS 威胁的本地端口。 |
long |
sophos_central.alert.data.ips_threat.raw_data.executable |
IPS 威胁的可执行文件原始数据。 |
keyword |
sophos_central.alert.data.ips_threat.raw_data.local.ip |
IPS 威胁的原始数据中的本地 IP。 |
ip |
sophos_central.alert.data.ips_threat.raw_data.local.mac |
IPS 威胁的原始数据中的本地 MAC。 |
keyword |
sophos_central.alert.data.ips_threat.raw_data.local.port |
IPS 威胁的原始数据中的本地端口。 |
long |
sophos_central.alert.data.ips_threat.raw_data.message |
IPS 威胁的原始数据。 |
keyword |
sophos_central.alert.data.ips_threat.raw_data.original |
IPS 威胁的原始数据。 |
keyword |
sophos_central.alert.data.ips_threat.raw_data.packet_type |
IPS 威胁的原始数据中的数据包类型。 |
keyword |
sophos_central.alert.data.ips_threat.raw_data.pid |
IPS 威胁的 PID 原始数据。 |
keyword |
sophos_central.alert.data.ips_threat.raw_data.reference |
IPS 威胁的原始数据。 |
keyword |
sophos_central.alert.data.ips_threat.raw_data.remote.ip |
IPS 威胁的原始数据中的远程 IP。 |
ip |
sophos_central.alert.data.ips_threat.raw_data.remote.mac |
IPS 威胁的原始数据中的远程 MAC。 |
keyword |
sophos_central.alert.data.ips_threat.raw_data.remote.port |
IPS 威胁的原始数据中的远程端口。 |
long |
sophos_central.alert.data.ips_threat.raw_data.sha_256 |
原始数据的 SHA-256 代码。 |
keyword |
sophos_central.alert.data.ips_threat.raw_data.signer |
IPS 威胁的签名者原始数据。 |
keyword |
sophos_central.alert.data.ips_threat.raw_data.version |
IPS 威胁的版本原始数据。 |
keyword |
sophos_central.alert.data.ips_threat.remote.ip |
发生 IPS 威胁的远程 IP。 |
ip |
sophos_central.alert.data.ips_threat.remote.port |
IPS 威胁的远程端口。 |
long |
sophos_central.alert.data.ips_threat.tech_support_id |
IPS 技术支持 ID。 |
keyword |
sophos_central.alert.data.make_actionable_at |
可操作的日期。 |
日期 |
sophos_central.alert.data.policy_type |
警报策略类型。 |
long |
sophos_central.alert.data.source_app_id |
源应用程序 ID。 |
keyword |
sophos_central.alert.data.source_info_ip |
这会显示端点的 IPv4 地址。如果有多个 IP 地址,则会显示报告的第一个 IP。 |
ip |
sophos_central.alert.data.threat_id.counter |
威胁的计数器。 |
long |
sophos_central.alert.data.threat_id.date |
威胁的日期。 |
日期 |
sophos_central.alert.data.threat_id.machine_identifier |
威胁的机器标识符。 |
long |
sophos_central.alert.data.threat_id.process_identifier |
威胁的进程标识符。 |
long |
sophos_central.alert.data.threat_id.time |
威胁的时间。 |
日期 |
sophos_central.alert.data.threat_id.time_sec |
发生威胁的秒数。 |
日期 |
sophos_central.alert.data.threat_id.timestamp |
创建数据威胁 ID 的时间。 |
日期 |
sophos_central.alert.data.threat_status |
威胁的状态。 |
keyword |
sophos_central.alert.data.user_match_id.counter |
用户的计数器。 |
long |
sophos_central.alert.data.user_match_id.date |
用户匹配的日期。 |
日期 |
sophos_central.alert.data.user_match_id.machine_identifier |
用户的机器标识符。 |
long |
sophos_central.alert.data.user_match_id.process_identifier |
用户的进程标识符。 |
long |
sophos_central.alert.data.user_match_id.time |
用户匹配的时间。 |
日期 |
sophos_central.alert.data.user_match_id.time_sec |
用户匹配的秒数。 |
日期 |
sophos_central.alert.data.user_match_id.timestamp |
创建用户匹配 ID 的时间。 |
日期 |
sophos_central.alert.data.user_match_uuid.data |
用户匹配数据的 UUID。 |
keyword |
sophos_central.alert.data.user_match_uuid.type |
用户匹配类型的 UUID。 |
long |
sophos_central.alert.description |
生成的警报的描述。 |
keyword |
sophos_central.alert.event_service_event_id |
事件的唯一标识符。 |
keyword |
sophos_central.alert.id |
事件的唯一标识符。 |
keyword |
sophos_central.alert.location |
警报的位置。 |
keyword |
sophos_central.alert.severity |
事件报告的威胁严重性;可能的值包括:None、Low、Medium、High、Critical。 |
keyword |
sophos_central.alert.source.domain.name |
源的域名。 |
keyword |
sophos_central.alert.source.original |
描述生成警报的来源。 |
keyword |
sophos_central.alert.source.user.name |
来源的用户名。 |
keyword |
sophos_central.alert.threat.cleanable |
指示是否可以自动清除威胁:True 或 False。 |
boolean |
sophos_central.alert.threat.value |
威胁的名称(由 threat_id 标识)。 |
keyword |
sophos_central.alert.type |
事件类型。 |
keyword |
sophos_central.alert.when |
创建警报的日期。 |
日期 |
事件
编辑这是 events 数据集。
示例
一个 event 的示例事件如下所示
{
"@timestamp": "2022-12-06T12:27:28.094Z",
"agent": {
"ephemeral_id": "5347e925-6d9e-4a32-bda5-1785fd44709f",
"id": "cf659b85-d5b7-4b0d-8b9a-4ea2e187d862",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.7.1"
},
"data_stream": {
"dataset": "sophos_central.event",
"namespace": "ep",
"type": "logs"
},
"destination": {
"ip": "81.2.69.192",
"port": 789
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "cf659b85-d5b7-4b0d-8b9a-4ea2e187d862",
"snapshot": false,
"version": "8.7.1"
},
"event": {
"action": "Malicious inbound network traffic blocked from remote computer at 192.168.0.2 (Technical Support reference: 2019052901.77863414.5)",
"agent_id_status": "verified",
"category": [
"host"
],
"created": "2022-12-06T12:27:31.310Z",
"dataset": "sophos_central.event",
"id": "3dab71db-32c9-426a-8616-1e0fd5c9aab9",
"ingested": "2023-05-24T14:38:29Z",
"kind": [
"event"
],
"original": "{\"created_at\":\"2022-12-06T12:27:31.310Z\",\"customer_id\":\"d1271b33-4e24-4cc3-951a-badc38976ca3\",\"endpoint_id\":\"fb11564b-2882-44ea-ac64-d1bfb041ab49\",\"endpoint_type\":\"computer\",\"group\":\"RUNTIME_DETECTIONS\",\"id\":\"3dab71db-32c9-426a-8616-1e0fd5c9aab9\",\"ips_threat_data\":{\"detectionType\":0,\"executableName\":\"\",\"localPort\":\"123\",\"rawData\":\"Message OS-WINDOWS Microsoft Windows SMB remote code execution attempt\\nReference CVE-2017-0146\\nPacket type TCP\\nLocal IP: 81.2.69.192\\nLocal Port: 123\\nLocal MAC: 00:50:56:81:62:41\\nRemote IP: 81.2.69.192\\nRemote Port: 789\\nRemote MAC: 00:1C:B3:09:85:15\",\"remoteIp\":\"81.2.69.192\",\"remotePort\":\"789\",\"techSupportId\":\"2019052901.77863414.5\"},\"location\":\"Lightning-4naq56bx4j\",\"name\":\"Malicious inbound network traffic blocked from remote computer at 192.168.0.2 (Technical Support reference: 2019052901.77863414.5)\",\"severity\":\"low\",\"source\":\"Lightning-a3i691l7cv\\\\\Lightning\",\"source_info\":{\"ip\":\"81.2.69.192\"},\"threat\":\"IPS/Inbound/7777001\",\"type\":\"Event::Endpoint::Threat::IpsInboundDetection\",\"user_id\":\"638f34e1e5d0a20f3d40cf93\",\"when\":\"2022-12-06T12:27:28.094Z\"}",
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "d1271b33-4e24-4cc3-951a-badc38976ca3"
},
"related": {
"ip": [
"81.2.69.192"
]
},
"sophos_central": {
"event": {
"created_at": "2022-12-06T12:27:31.310Z",
"customer_id": "d1271b33-4e24-4cc3-951a-badc38976ca3",
"endpoint": {
"id": "fb11564b-2882-44ea-ac64-d1bfb041ab49",
"type": "computer"
},
"group": "RUNTIME_DETECTIONS",
"id": "3dab71db-32c9-426a-8616-1e0fd5c9aab9",
"ips_threat_data": {
"detection_type": 0,
"local_port": 123,
"raw_data": {
"local": {
"ip": "81.2.69.192",
"mac": "00-50-56-81-62-41",
"port": 123
},
"message": "OS-WINDOWS Microsoft Windows SMB remote code execution attempt",
"original": "Message OS-WINDOWS Microsoft Windows SMB remote code execution attempt\nReference CVE-2017-0146\nPacket type TCP\nLocal IP: 81.2.69.192\nLocal Port: 123\nLocal MAC: 00:50:56:81:62:41\nRemote IP: 81.2.69.192\nRemote Port: 789\nRemote MAC: 00:1C:B3:09:85:15",
"packet_type": "TCP",
"reference": "CVE-2017-0146",
"remote": {
"ip": "81.2.69.192",
"mac": "00-1C-B3-09-85-15",
"port": 789
}
},
"remote": {
"ip": "81.2.69.192",
"port": 789
},
"tech_support_id": "2019052901.77863414.5"
},
"location": "Lightning-4naq56bx4j",
"name": "Malicious inbound network traffic blocked from remote computer at 192.168.0.2 (Technical Support reference: 2019052901.77863414.5)",
"severity": "low",
"source": {
"domain": {
"name": "Lightning-a3i691l7cv"
},
"original": "Lightning-a3i691l7cv\\Lightning",
"user": {
"name": "Lightning"
}
},
"source_info": {
"ip": "81.2.69.192"
},
"threat": "IPS/Inbound/7777001",
"type": "Event::Endpoint::Threat::IpsInboundDetection",
"user_id": "638f34e1e5d0a20f3d40cf93",
"when": "2022-12-06T12:27:28.094Z"
}
},
"source": {
"ip": "81.2.69.192",
"port": 123
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"sophos_central-event"
],
"threat": {
"feed": {
"name": "IPS/Inbound/7777001"
}
},
"user": {
"domain": "Lightning-a3i691l7cv",
"id": "638f34e1e5d0a20f3d40cf93",
"name": "Lightning"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
从中读取/发送日志事件的源地址。 |
keyword |
sophos_central.event.amsi_threat_data.parent_process.id |
amsi_threat_data 的父进程 ID。 |
keyword |
sophos_central.event.amsi_threat_data.parent_process.path |
amsi_threat_data 的父进程路径。 |
keyword |
sophos_central.event.amsi_threat_data.process.id |
amsi_threat_data 的进程 ID。 |
keyword |
sophos_central.event.amsi_threat_data.process.name |
amsi_threat_data 的进程名称。 |
keyword |
sophos_central.event.amsi_threat_data.process.path |
amsi_threat_data 的进程路径。 |
keyword |
sophos_central.event.app_certs.signer |
如果可用,则包含威胁的签名者的证书信息。 |
keyword |
sophos_central.event.app_certs.thumbprint |
如果可用,则包含威胁的指纹的证书信息。 |
keyword |
sophos_central.event.app_sha256 |
如果可用,则为与威胁关联的应用程序的 SHA 256 哈希值。 |
keyword |
sophos_central.event.core_remedy.items.descriptor |
核心补救项的描述符。 |
keyword |
sophos_central.event.core_remedy.items.process_path |
核心补救项的进程路径。 |
keyword |
sophos_central.event.core_remedy.items.result |
允许的值为 NOT_APPLICABLE、SUCCESS、NOT_FOUND、DELETED、FAILED_TO_DELETE、WHITELISTED、OTHER_ERROR、FAILED_TO_DELETE_SYSTEM_PROTECTED。 |
keyword |
sophos_central.event.core_remedy.items.sophos_pid |
Sophos 进程 ID。 |
keyword |
sophos_central.event.core_remedy.items.suspend_result |
核心补救项的挂起结果。 |
keyword |
sophos_central.event.core_remedy.items.type |
核心补救项的类型。 |
keyword |
sophos_central.event.core_remedy.total_items |
核心补救的总项数。 |
long |
sophos_central.event.created_at |
事件创建的日期。 |
日期 |
sophos_central.event.customer_id |
创建记录的客户的标识符。 |
keyword |
sophos_central.event.endpoint.id |
与记录关联的相应端点 ID。 |
keyword |
sophos_central.event.endpoint.type |
与记录关联的相应端点类型。 |
keyword |
sophos_central.event.group |
与组关联的组。 |
keyword |
sophos_central.event.id |
事件的标识符。 |
keyword |
sophos_central.event.ips_threat_data.detection_type |
IPS 威胁的检测类型。 |
long |
sophos_central.event.ips_threat_data.executable.name |
可执行 IPS 威胁的名称。 |
keyword |
sophos_central.event.ips_threat_data.executable.path |
可执行 IPS 威胁的路径。 |
keyword |
sophos_central.event.ips_threat_data.executable.pid |
可执行 IPS 威胁的进程 ID。 |
long |
sophos_central.event.ips_threat_data.executable.version |
可执行 IPS 威胁的版本。 |
keyword |
sophos_central.event.ips_threat_data.local_port |
IPS 威胁的本地端口。 |
long |
sophos_central.event.ips_threat_data.raw_data.executable |
IPS 威胁的可执行文件原始数据。 |
keyword |
sophos_central.event.ips_threat_data.raw_data.local.ip |
IPS 威胁的原始数据中的本地 IP。 |
ip |
sophos_central.event.ips_threat_data.raw_data.local.mac |
IPS 威胁的原始数据中的本地 MAC。 |
keyword |
sophos_central.event.ips_threat_data.raw_data.local.port |
IPS 威胁的原始数据中的本地端口。 |
long |
sophos_central.event.ips_threat_data.raw_data.message |
IPS 威胁的原始数据。 |
keyword |
sophos_central.event.ips_threat_data.raw_data.original |
IPS 威胁的原始数据。 |
keyword |
sophos_central.event.ips_threat_data.raw_data.packet_type |
IPS 威胁的原始数据中的数据包类型。 |
keyword |
sophos_central.event.ips_threat_data.raw_data.pid |
IPS 威胁的 PID 原始数据。 |
keyword |
sophos_central.event.ips_threat_data.raw_data.reference |
IPS 威胁的原始数据。 |
keyword |
sophos_central.event.ips_threat_data.raw_data.remote.ip |
IPS 威胁的原始数据中的远程 IP。 |
ip |
sophos_central.event.ips_threat_data.raw_data.remote.mac |
IPS 威胁的原始数据中的远程 MAC。 |
keyword |
sophos_central.event.ips_threat_data.raw_data.remote.port |
IPS 威胁的原始数据中的远程端口。 |
long |
sophos_central.event.ips_threat_data.raw_data.sha_256 |
原始数据的 SHA 256 代码。 |
keyword |
sophos_central.event.ips_threat_data.raw_data.signer |
IPS 威胁的签名者原始数据。 |
keyword |
sophos_central.event.ips_threat_data.raw_data.version |
IPS 威胁的版本原始数据。 |
keyword |
sophos_central.event.ips_threat_data.remote.ip |
IPS 威胁的远程 IP。 |
ip |
sophos_central.event.ips_threat_data.remote.port |
IPS 威胁的远程端口。 |
long |
sophos_central.event.ips_threat_data.tech_support_id |
IPS 威胁的技术支持 ID。 |
keyword |
sophos_central.event.location |
为此记录捕获的位置。 |
keyword |
sophos_central.event.name |
创建的记录的名称。 |
keyword |
sophos_central.event.origin |
检测的起始组件。 |
keyword |
sophos_central.event.severity |
事件报告的威胁严重程度;可能的值为 None (0)、Low (1)、Medium (2)、High (3)、Critical (4)。 |
keyword |
sophos_central.event.source.domain.name |
源的域名。 |
keyword |
sophos_central.event.source.original |
描述生成警报的来源。 |
keyword |
sophos_central.event.source.user.name |
来源的用户名。 |
keyword |
sophos_central.event.source_info.ip |
详细的 IP 源信息。 |
ip |
sophos_central.event.threat |
与记录关联的威胁。 |
keyword |
sophos_central.event.type |
此记录的类型。 |
keyword |
sophos_central.event.user_id |
创建记录的用户的标识符。 |
keyword |
sophos_central.event.when |
事件创建的日期。 |
日期 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.18.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.17.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.16.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.15.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.14.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.13.2 |
错误修复 (查看拉取请求) |
8.10.1 或更高版本 |
1.13.1 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.6.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.5.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.3.0 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
0.1.0 |
增强功能 (查看拉取请求) |
— |