SpyCloud 企业保护
编辑SpyCloud 企业保护
编辑将 SpyCloud 网络犯罪分析数据摄取到 Elastic Agent 中
编辑SpyCloud 的企业保护集成利用重新捕获的暗网数据,通过生成可操作的见解,主动防止账户接管和后续的定向攻击,从而保护员工的数字身份。
Elastic Agent 使用 SpyCloud 企业保护 REST API 来收集数据。
兼容性
编辑此模块已针对最新的 SpyCloud 企业保护 API V2 进行了测试。
数据流
编辑SpyCloud 集成收集三种类型的日志:泄露目录、泄露记录和 Compass 恶意软件记录。
- 泄露目录 - 收集摄入 SpyCloud 的第三方泄露和恶意软件数据。该目录包含数千个泄露对象,每个对象都包含特定泄露的元数据。一个典型的泄露对象包含各种元数据,包括泄露标题、描述、获取日期、受影响网站的链接以及更多数据点。
- 泄露记录 - 从第三方泄露和恶意软件数据中提取的数据资产的集合。这些资产被分组在一起,形成一个数据记录,该记录代表已解析数据中的单个用户帐户或个人角色。
- Compass 恶意软件记录 - 从恶意软件数据中提取的数据资产的集合,可全面了解感染事件,从而在受损的设备、用户和应用程序上进行感染后修复。
要求
编辑必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅 Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑安装和管理 Elastic Agent 有几种选择
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用这种方法,您需要安装 Elastic Agent,并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用这种方法,您需要安装 Elastic Agent,并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表获得,我们还提供在 Kubernetes 上运行的部署清单。
请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅 Elastic Agent 最低要求。
设置
编辑要通过 REST API 收集日志,请按照以下步骤操作
编辑- 考虑到您已经拥有 SpyCloud 帐户,请登录到您的 SpyCloud 实例以获取您的 API 密钥。导航到 主 > API,您将在 密钥 > API 密钥 部分下找到您的 API 密钥。
- 要获取基本 URL,请导航到 主 > API 并单击 查看文档 链接,您的 URL 可以在 API 参考 部分找到。
您的系统 IP 应该由 SpyCloud 团队列入允许列表,以便能够访问 API 并获取数据。
在 Elastic 中启用集成
编辑- 在 Kibana 中,导航到“管理” > “集成”。
- 在顶部的“搜索集成”栏中,搜索
SpyCloud 企业保护。 - 从搜索结果中选择“SpyCloud 企业保护”集成。
- 选择“添加 SpyCloud 企业保护集成”以添加集成。
-
在添加集成的同时,如果您想通过 REST API 收集泄露目录日志,请输入以下详细信息
- URL
- API 密钥
- 间隔
或者,如果您想通过 REST API 收集泄露记录日志,请输入以下详细信息
- URL
- API 密钥
- 初始间隔
- 间隔
-
严重性
或者,如果您想通过 REST API 收集 Compass 日志,请输入以下详细信息
- URL
- API 密钥
- 初始间隔
-
间隔
默认情况下,URL 设置为“https://api.spycloud.io/enterprise-v2[https://api.spycloud.io/enterprise-v2]”。
日志参考
编辑泄露目录
编辑这是 泄露目录 数据集。
示例
breach_catalog 的示例事件如下所示
{
"@timestamp": "2022-11-24T00:00:00.000Z",
"agent": {
"ephemeral_id": "d6e9d6f0-0baa-44b6-b60b-e4b811e50811",
"id": "763d7558-f93b-440a-94ee-509804901acf",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "spycloud.breach_catalog",
"namespace": "63685",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "763d7558-f93b-440a-94ee-509804901acf",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "spycloud.breach_catalog",
"id": "39997",
"ingested": "2024-08-16T06:23:24Z",
"kind": "asset",
"original": "{\"acquisition_date\":\"2022-10-14T00:00:00Z\",\"assets\":{\"address_2\":363,\"age\":817,\"city\":1859,\"country\":177225,\"country_code\":177225,\"dob\":198,\"email\":177219,\"first_name\":177114,\"full_name\":177030,\"gender\":119505,\"industry\":162612,\"job_title\":160712,\"last_name\":177099,\"middle_name\":17749,\"phone\":511,\"postal_code\":1971,\"social_facebook\":51841,\"social_twitter\":57193},\"confidence\":3,\"description\":\"This source has been marked as sensitive due to one of the following reasons: Revealing the source may compromise an on-going investigation. The affected site is of a controversial nature but does not validate email addresses and could therefore be used to tarnish an employee's reputation.\",\"id\":39997,\"num_records\":177225,\"spycloud_publish_date\":\"2022-11-24T00:00:00Z\",\"title\":\"Sensitive Source\",\"type\":\"PRIVATE\",\"uuid\":\"9f5bf34b-092e-46f4-b87f-02c91b0adb3a\"}"
},
"input": {
"type": "cel"
},
"message": "This source has been marked as sensitive due to one of the following reasons: Revealing the source may compromise an on-going investigation. The affected site is of a controversial nature but does not validate email addresses and could therefore be used to tarnish an employee's reputation.",
"spycloud": {
"breach_catalog": {
"acquisition_date": "2022-10-14T00:00:00.000Z",
"assets": {
"address": {
"value_2": 363
},
"age": 817,
"city": 1859,
"country": {
"code": 177225,
"name": 177225
},
"dob": 198,
"email": {
"value": 177219
},
"first_name": 177114,
"full_name": 177030,
"gender": 119505,
"industry": 162612,
"job": {
"title": 160712
},
"last_name": 177099,
"middle_name": 17749,
"phone": 511,
"postal_code": 1971,
"social": {
"facebook": 51841,
"twitter": 57193
}
},
"confidence": 3,
"description": "This source has been marked as sensitive due to one of the following reasons: Revealing the source may compromise an on-going investigation. The affected site is of a controversial nature but does not validate email addresses and could therefore be used to tarnish an employee's reputation.",
"id": "39997",
"num_records": 177225,
"spycloud_publish_date": "2022-11-24T00:00:00.000Z",
"title": "Sensitive Source",
"type": "PRIVATE",
"uuid": "9f5bf34b-092e-46f4-b87f-02c91b0adb3a"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"spycloud-breach_catalog"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
spycloud.breach_catalog.acquisition_date |
我们的安全研究团队首次获取泄露数据的日期。 |
date |
spycloud.breach_catalog.assets.account.caption |
帐户个人资料标题。 |
long |
spycloud.breach_catalog.assets.account.image_url |
帐户图片 URL。 |
long |
spycloud.breach_catalog.assets.account.last_activity_time |
上次帐户活动的时间戳。采用 ISO 8601 日期时间格式。 |
long |
spycloud.breach_catalog.assets.account.login_time |
上次帐户登录时间。采用 ISO 8601 日期时间格式。 |
long |
spycloud.breach_catalog.assets.account.modification_time |
帐户修改日期。采用 ISO 8601 日期时间格式。 |
long |
spycloud.breach_catalog.assets.account.nickname |
帐户昵称。 |
long |
spycloud.breach_catalog.assets.account.notes |
帐户注释。 |
long |
spycloud.breach_catalog.assets.account.password_date |
设置帐户密码的日期。采用 ISO 8601 日期时间格式。 |
long |
spycloud.breach_catalog.assets.account.secret.answer |
帐户秘密答案。 |
long |
spycloud.breach_catalog.assets.account.secret.question |
帐户秘密问题。 |
long |
spycloud.breach_catalog.assets.account.signup_time |
帐户注册日期。采用 ISO 8601 日期时间格式。 |
long |
spycloud.breach_catalog.assets.account.status |
帐户状态。 |
long |
spycloud.breach_catalog.assets.account.title |
帐户标题。 |
long |
spycloud.breach_catalog.assets.account.type |
帐户类型。 |
long |
spycloud.breach_catalog.assets.active_investor |
如果此人被归类为活跃投资者,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.address.value_1 |
地址第 1 行。 |
long |
spycloud.breach_catalog.assets.address.value_2 |
地址第 2 行。 |
long |
spycloud.breach_catalog.assets.age |
年龄(以年为单位)。 |
long |
spycloud.breach_catalog.assets.av_softwares |
在受感染用户的系统上发现已安装的防病毒软件列表。 |
long |
spycloud.breach_catalog.assets.backup.email.username |
从 backup_email 字段中提取的备份用户名。这是 @ 符号之前的所有内容。 |
long |
spycloud.breach_catalog.assets.backup.email.value |
备份电子邮件地址。 |
long |
spycloud.breach_catalog.assets.bank_number |
银行帐号。 |
long |
spycloud.breach_catalog.assets.birthplace |
此人的出生地。 |
long |
spycloud.breach_catalog.assets.buys_online |
如果此人被归类为在线购买过产品,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.cat_owner |
如果此人被归类为猫主人,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.cc.bin |
信用卡 bin 号码。 |
long |
spycloud.breach_catalog.assets.cc.code |
信用卡安全码。 |
long |
spycloud.breach_catalog.assets.cc.expiration |
信用卡到期日期。通常采用 MM/YYYY 格式。 |
long |
spycloud.breach_catalog.assets.cc.last_four |
信用卡后四位数字。 |
long |
spycloud.breach_catalog.assets.cc.number |
信用卡号码的 SHA1 哈希。 |
long |
spycloud.breach_catalog.assets.cc.type |
信用卡类型(VISA、MasterCard、Discover、AMEX 等)。 |
long |
spycloud.breach_catalog.assets.christian_family |
如果此人被归类为基督徒家庭的一部分,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.city |
城市名称。 |
long |
spycloud.breach_catalog.assets.company.name |
公司名称。 |
long |
spycloud.breach_catalog.assets.company.revenue |
公司收入。 |
long |
spycloud.breach_catalog.assets.company.website |
与此人相关的公司的 URL。 |
long |
spycloud.breach_catalog.assets.country.code |
国家代码;派生自“国家”。 |
long |
spycloud.breach_catalog.assets.country.name |
国家名称。 |
long |
spycloud.breach_catalog.assets.credit_rating |
此人的信用评级。 |
long |
spycloud.breach_catalog.assets.crm.contact_created |
首次在 CRM 平台中创建此联系人的时间戳。 |
long |
spycloud.breach_catalog.assets.crm.last_activity |
来自 CRM 平台的此帐户的上次活动的时间戳。 |
long |
spycloud.breach_catalog.assets.date_of_death |
此人的死亡日期。 |
long |
spycloud.breach_catalog.assets.desc |
描述。 |
long |
spycloud.breach_catalog.assets.device.model |
此人设备的型号。 |
long |
spycloud.breach_catalog.assets.device.name |
此人设备的名称。 |
long |
spycloud.breach_catalog.assets.display_resolution |
系统显示分辨率。 |
long |
spycloud.breach_catalog.assets.dob |
出生日期。采用 ISO 8601 日期时间格式。 |
long |
spycloud.breach_catalog.assets.document_id |
唯一标识我们数据集中的此泄露记录的 UUID v4 字符串。 |
long |
spycloud.breach_catalog.assets.dog_owner |
如果此人被归类为狗主人,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.domain |
域名。 |
long |
spycloud.breach_catalog.assets.drivers.license.number |
驾照号码。 |
long |
spycloud.breach_catalog.assets.drivers.license.state_code |
驾照的州代码;如果已挂起,则从 drivers_license 派生。 |
long |
spycloud.breach_catalog.assets.ec.first_name |
紧急联系人的名字。 |
long |
spycloud.breach_catalog.assets.ec.last_name |
紧急联系人的姓氏。 |
long |
spycloud.breach_catalog.assets.ec.phone |
紧急联系人的电话号码。 |
long |
spycloud.breach_catalog.assets.ec.postal_code |
紧急联系人的邮政编码。 |
long |
spycloud.breach_catalog.assets.ec.relation |
与紧急联系人的关系。 |
long |
spycloud.breach_catalog.assets.education |
完成的教育水平。 |
long |
spycloud.breach_catalog.assets.email.domain |
从 email_address 字段提取的域名。这不是 SLD,而是 @ 符号之后的所有内容。 |
long |
spycloud.breach_catalog.assets.email.status |
电子邮件状态。表示电子邮件是否在 CRM 平台中已验证。 |
long |
spycloud.breach_catalog.assets.email.username |
从 email 字段提取的用户名。这是 @ 符号之前的所有内容。 |
long |
spycloud.breach_catalog.assets.email.value |
电子邮件地址。 |
long |
spycloud.breach_catalog.assets.employees |
与此人关联的公司员工人数。 |
long |
spycloud.breach_catalog.assets.estimated_income |
估计的收入范围。 |
long |
spycloud.breach_catalog.assets.ethnic_group |
与此人关联的族群。 |
long |
spycloud.breach_catalog.assets.ethnicity |
此人的种族。 |
long |
spycloud.breach_catalog.assets.fax |
传真号码。 |
long |
spycloud.breach_catalog.assets.first_name |
名字。 |
long |
spycloud.breach_catalog.assets.form.cookies_data |
与此人关联的 Cookie 数据。 |
long |
spycloud.breach_catalog.assets.form.post_data |
与此人关联的表单提交数据。 |
long |
spycloud.breach_catalog.assets.full_name |
全名。 |
long |
spycloud.breach_catalog.assets.gender |
性别指定符。通常设置为 M、F、Male 或 Female。 |
long |
spycloud.breach_catalog.assets.geolocation |
地理位置坐标。存储为 latitude,longitude。 |
long |
spycloud.breach_catalog.assets.grandchildren |
如果此人被归类为有孙子女,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.guid |
全局唯一标识符。 |
long |
spycloud.breach_catalog.assets.has.air_conditioning |
空调类型。 |
long |
spycloud.breach_catalog.assets.has.amex_card |
如果此人被归类为拥有美国运通信用卡,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.has.children |
如果此人被归类为有子女,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.has.credit_cards |
如果此人有信用卡,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.has.discover_card |
如果此人被归类为拥有 Discover 信用卡,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.has.mastercard |
如果此人被归类为拥有万事达信用卡,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.has.pets |
如果此人被归类为有宠物,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.has.swimming_pool |
如果此人被归类为拥有游泳池,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.has.visa_card |
如果此人被归类为拥有 VISA 信用卡,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.health.insurance.id |
医疗保险 ID 的 SHA1 哈希值。 |
long |
spycloud.breach_catalog.assets.health.insurance.provider |
医疗保险提供商。 |
long |
spycloud.breach_catalog.assets.hobbies_and_interests |
与此人相关的爱好和兴趣列表。 |
long |
spycloud.breach_catalog.assets.home.build_year |
房屋建造年份。 |
long |
spycloud.breach_catalog.assets.home.purchase.date |
房屋购买日期。 |
long |
spycloud.breach_catalog.assets.home.purchase.price |
房屋购买价格。 |
long |
spycloud.breach_catalog.assets.home.transaction_type |
房屋交易类型。 |
long |
spycloud.breach_catalog.assets.home.value |
当前估计的房屋价值。 |
long |
spycloud.breach_catalog.assets.homepage |
用户的主页 URL。 |
long |
spycloud.breach_catalog.assets.industry |
此人所在行业。 |
long |
spycloud.breach_catalog.assets.infected.machine_id |
受感染用户系统的唯一 ID。 |
long |
spycloud.breach_catalog.assets.infected.path |
安装在受感染用户系统上的恶意软件的本地路径。 |
long |
spycloud.breach_catalog.assets.infected.time |
用户的系统感染恶意软件的时间。 |
long |
spycloud.breach_catalog.assets.investments.personal |
如果此人被归类为已进行个人投资,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.investments.real_estate |
如果此人被归类为已进行房地产投资,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.ip_addresses |
一个或多个字母数字格式的 IP 地址列表。支持 IPv4 和 IPv6 地址。 |
long |
spycloud.breach_catalog.assets.is_smoker |
如果此人被归类为吸烟者,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.isp |
互联网服务提供商的名称。 |
long |
spycloud.breach_catalog.assets.job.level |
职位级别。 |
long |
spycloud.breach_catalog.assets.job.start_date |
职位开始日期。 |
long |
spycloud.breach_catalog.assets.job.title |
职位头衔。 |
long |
spycloud.breach_catalog.assets.keyboard_languages |
表示与受损帐户关联的键盘语言。 |
long |
spycloud.breach_catalog.assets.language |
帐户语言首选项。 |
long |
spycloud.breach_catalog.assets.last_name |
姓氏。 |
long |
spycloud.breach_catalog.assets.linkedin_number_connections |
此人的 LinkedIn 联系人数量。 |
long |
spycloud.breach_catalog.assets.log_id |
long |
|
spycloud.breach_catalog.assets.logon_server |
登录服务器。 |
long |
spycloud.breach_catalog.assets.marital_status |
此人的婚姻状况。 |
long |
spycloud.breach_catalog.assets.middle_name |
中间名。 |
long |
spycloud.breach_catalog.assets.mortgage.amount |
抵押贷款金额。 |
long |
spycloud.breach_catalog.assets.mortgage.lender_name |
抵押贷款贷款人名称。 |
long |
spycloud.breach_catalog.assets.mortgage.loan_type |
抵押贷款类型。 |
long |
spycloud.breach_catalog.assets.mortgage.rate |
抵押贷款利率。 |
long |
spycloud.breach_catalog.assets.naics_code |
北美行业分类系统代码。 |
long |
spycloud.breach_catalog.assets.name_suffix |
姓名后缀。 |
long |
spycloud.breach_catalog.assets.national_id |
国家身份号码。 |
long |
spycloud.breach_catalog.assets.net_worth |
此人的净资产。 |
long |
spycloud.breach_catalog.assets.num_posts |
帐户的帖子数量(通常与论坛相关联)。 |
long |
spycloud.breach_catalog.assets.number_children |
子女数量。 |
long |
spycloud.breach_catalog.assets.passport.country |
护照国家。 |
long |
spycloud.breach_catalog.assets.passport.exp_date |
护照到期日。 |
long |
spycloud.breach_catalog.assets.passport.issue_date |
护照签发日期。 |
long |
spycloud.breach_catalog.assets.passport.number |
护照号码。 |
long |
spycloud.breach_catalog.assets.password.plaintext |
密码的破解后的纯文本版本(密码可破解的情况下)。 |
long |
spycloud.breach_catalog.assets.password.type |
数据泄露中发现的原始密码的密码类型。这将是纯文本或多种密码哈希/加密类型之一(SHA1、MD5、3DES 等)。 |
long |
spycloud.breach_catalog.assets.password.value |
帐户密码。 |
long |
spycloud.breach_catalog.assets.pastebin_key |
从中恢复此凭据的 Pastebin。 |
long |
spycloud.breach_catalog.assets.payableto |
应付给的姓名。 |
long |
spycloud.breach_catalog.assets.phone |
电话号码。 |
long |
spycloud.breach_catalog.assets.political_affiliation |
此人的政治派别。 R 表示共和党,D 表示民主党,I 表示独立人士,O 表示其他。 |
long |
spycloud.breach_catalog.assets.postal_code |
邮政编码,通常是美国的邮政编码。 |
long |
spycloud.breach_catalog.assets.record.addition_date |
如果记录自其原始 spycloud_publish_date 以来已添加,则包含。采用 ISO 8601 日期时间格式。 |
long |
spycloud.breach_catalog.assets.record.cracked_date |
如果记录的哈希密码在最初发布后已成功破解,则包含。采用 ISO 8601 日期时间格式。 |
long |
spycloud.breach_catalog.assets.record.modification_date |
如果记录自其原始 spycloud_publish_date 以来已更新,则包含。采用 ISO 8601 日期时间格式。 |
long |
spycloud.breach_catalog.assets.religion |
与此人相关的宗教。 |
long |
spycloud.breach_catalog.assets.residence_length_years |
当前居住地的年数。此值最高为 15,因此 15 可能表示 15 年或更长时间。 |
long |
spycloud.breach_catalog.assets.salt |
密码盐。 |
long |
spycloud.breach_catalog.assets.service.expiration |
关联服务的到期日期。采用 ISO 8601 日期时间格式。 |
long |
spycloud.breach_catalog.assets.service.value |
此凭据对关联的服务。例如(Spotify、Netflix、Steam 等)。 |
long |
spycloud.breach_catalog.assets.severity |
严重性是表示泄露记录严重性的数字代码。这可以在 API 请求中使用,以确保仅返回具有纯文本密码的泄露记录。 |
long |
spycloud.breach_catalog.assets.sewer_type |
下水道类型。 |
long |
spycloud.breach_catalog.assets.sic_code |
标准行业分类。 |
long |
spycloud.breach_catalog.assets.single_parent |
如果此人被归类为单亲父母,则设置为 y,否则设置为 n。 |
long |
spycloud.breach_catalog.assets.social.aboutme |
AboutMe 用户名。 |
long |
spycloud.breach_catalog.assets.social.aim |
AIM 用户名。 |
long |
spycloud.breach_catalog.assets.social.angellist |
AngelList 用户名。 |
long |
spycloud.breach_catalog.assets.social.behance |
BeHance 用户名。 |
long |
spycloud.breach_catalog.assets.social.crunchbase |
Crunchbase 用户名。 |
long |
spycloud.breach_catalog.assets.social.dribble |
Dribble 用户名。 |
long |
spycloud.breach_catalog.assets.social.facebook |
Facebook 用户名。 |
long |
spycloud.breach_catalog.assets.social.flickr |
Flickr 用户名。 |
long |
spycloud.breach_catalog.assets.social.foursquare |
FourSquare 用户名。 |
long |
spycloud.breach_catalog.assets.social.github |
GitHub 用户名。 |
long |
spycloud.breach_catalog.assets.social.gitlab |
GitLab 用户名。 |
long |
spycloud.breach_catalog.assets.social.google |
Google 用户名。 |
long |
spycloud.breach_catalog.assets.social.gravatar |
Gravatar 用户名。 |
long |
spycloud.breach_catalog.assets.social.icq |
ICQ 用户名。 |
long |
spycloud.breach_catalog.assets.social.indeed |
Indeed 用户名。 |
long |
spycloud.breach_catalog.assets.social.instagram |
Instagram 用户名。 |
long |
spycloud.breach_catalog.assets.social.klout |
Klout 用户名。 |
long |
spycloud.breach_catalog.assets.social.linkedin |
LinkedIn 用户名或 URL。 |
long |
spycloud.breach_catalog.assets.social.medium |
Medium 用户名。 |
long |
spycloud.breach_catalog.assets.social.meetup |
Meetup 用户名。 |
long |
spycloud.breach_catalog.assets.social.msn |
MSN 用户名。 |
long |
spycloud.breach_catalog.assets.social.myspace |
Myspace 用户名。 |
long |
spycloud.breach_catalog.assets.social.other |
其他社交媒体用户名。 |
long |
spycloud.breach_catalog.assets.social.pinterest |
Pinterest 用户名。 |
long |
spycloud.breach_catalog.assets.social.quora |
Quora 用户名。 |
long |
spycloud.breach_catalog.assets.social.reddit |
Reddit 用户名。 |
long |
spycloud.breach_catalog.assets.social.security_number |
社会保障号码的 SHA1 哈希值。 |
long |
spycloud.breach_catalog.assets.social.skype |
Skype 用户名。 |
long |
spycloud.breach_catalog.assets.social.soundcloud |
SoundCloud 用户名。 |
long |
spycloud.breach_catalog.assets.social.stackoverflow |
StackOverflow 用户名。 |
long |
spycloud.breach_catalog.assets.social.steam |
Steam 用户名。 |
long |
spycloud.breach_catalog.assets.social.telegram |
Telegram 用户名。 |
long |
spycloud.breach_catalog.assets.social.twitter |
Twitter 用户名。 |
long |
spycloud.breach_catalog.assets.social.vimeo |
Vimeo 用户名。 |
long |
spycloud.breach_catalog.assets.social.weibo |
微博用户名。 |
long |
spycloud.breach_catalog.assets.social.whatsapp |
WhatsApp 用户名。 |
long |
spycloud.breach_catalog.assets.social.wordpress |
WordPress 用户名。 |
long |
spycloud.breach_catalog.assets.social.xing |
Xing 用户名。 |
long |
spycloud.breach_catalog.assets.social.yahoo |
Yahoo 用户名。 |
long |
spycloud.breach_catalog.assets.social.youtube |
YouTube 用户名或 URL。 |
long |
spycloud.breach_catalog.assets.source.file |
源文件的路径/文件名(通常在组合列表中找到)。 |
long |
spycloud.breach_catalog.assets.source.id |
数字泄露 ID。这与泄露目录对象中的 id 字段直接相关。 |
long |
spycloud.breach_catalog.assets.spycloud_publish_date |
此记录被摄入我们系统的日期。采用 ISO 8601 日期时间格式。这与泄露目录对象中的 spycloud_publish_date 字段相关。 |
long |
spycloud.breach_catalog.assets.ssn_last_four |
社会安全号码的后四位。 |
long |
spycloud.breach_catalog.assets.state |
州名。 |
long |
spycloud.breach_catalog.assets.system.install_date |
系统安装时间。 |
long |
spycloud.breach_catalog.assets.system.model |
系统型号。 |
long |
spycloud.breach_catalog.assets.target.domain |
从 target_url 字段提取的 SLD。 |
long |
spycloud.breach_catalog.assets.target.subdomain |
从 target_url 字段提取的子域和 SLD。 |
long |
spycloud.breach_catalog.assets.target.url |
从僵尸网络数据中提取的 URL。这是从安装在受感染用户系统上的键盘记录器捕获的 URL。 |
long |
spycloud.breach_catalog.assets.taxid |
税号。 |
long |
spycloud.breach_catalog.assets.timezone |
时区或时区偏移量。 |
long |
spycloud.breach_catalog.assets.title |
此人的职称。 |
long |
spycloud.breach_catalog.assets.user.agent |
浏览器代理字符串。 |
long |
spycloud.breach_catalog.assets.user.browser |
浏览器名称。 |
long |
spycloud.breach_catalog.assets.user.hostname |
系统主机名。这通常来自僵尸网络数据。 |
long |
spycloud.breach_catalog.assets.user.name |
用户名。 |
long |
spycloud.breach_catalog.assets.user.os |
系统操作系统名称。这通常来自僵尸网络数据。 |
long |
spycloud.breach_catalog.assets.user.sys.domain |
系统域。这通常来自僵尸网络数据。 |
long |
spycloud.breach_catalog.assets.user.sys.registered.organization |
系统注册组织。这通常来自僵尸网络数据。 |
long |
spycloud.breach_catalog.assets.user.sys.registered.owner |
系统注册的所有者名称。这通常来自僵尸网络数据。 |
long |
spycloud.breach_catalog.assets.vehicle.identification_number |
车辆识别号码。 |
long |
spycloud.breach_catalog.assets.vehicle.make |
车辆品牌。 |
long |
spycloud.breach_catalog.assets.vehicle.model |
车辆型号。 |
long |
spycloud.breach_catalog.assets.voter.id |
选民 ID。 |
long |
spycloud.breach_catalog.assets.voter.registration_date |
选民注册日期。 |
long |
spycloud.breach_catalog.assets.water_type |
水类型。 |
long |
spycloud.breach_catalog.breached_companies.company_name |
指定遭受泄露的公司名称。 |
keyword |
spycloud.breach_catalog.breached_companies.industry |
指定遭受泄露的行业。 |
keyword |
spycloud.breach_catalog.category |
指定主泄露类别中的特定类别,提供有关泄露性质的更多详细信息。 |
keyword |
spycloud.breach_catalog.combo_list_flag |
指示泄露是否为组合列表。 |
布尔值 |
spycloud.breach_catalog.confidence |
表示泄露源可信度的数值分数。 |
long |
spycloud.breach_catalog.consumer_category |
描述与泄露相关的消费者类别,指示受影响的个人或实体的类型。 |
keyword |
spycloud.breach_catalog.date |
我们认为发生泄露的日期。 |
date |
spycloud.breach_catalog.description |
泄露描述。对于每个摄取的泄露,我们的安全研究团队都会记录泄露描述。只有当我们能够披露泄露详情时,才可使用此描述,否则它将具有通用描述。 |
keyword |
spycloud.breach_catalog.id |
数字泄露 ID。此数字与泄露记录中的 source_id 数据点相关。 |
keyword |
spycloud.breach_catalog.main_category |
指示泄露所属的主要类别。 |
keyword |
spycloud.breach_catalog.media_urls |
数组字段。一个或多个媒体 URL 的列表,引用媒体中的泄露事件。 |
keyword |
spycloud.breach_catalog.num_records |
我们从此特定泄露事件中解析和摄取的记录数。这是在进行解析、规范化和重复数据删除之后的结果。 |
long |
spycloud.breach_catalog.premium_flag |
高级标志。 |
布尔值 |
spycloud.breach_catalog.public_date |
此泄露事件公之于众的日期。这通常伴随着下面 media_urls 列表中的媒体 URL。 |
date |
spycloud.breach_catalog.sensitive_source |
一个布尔值,指示来源是否被认为是敏感的。 |
布尔值 |
spycloud.breach_catalog.short_title |
与泄露事件相关的简短标题或标识符。 |
keyword |
spycloud.breach_catalog.site.description |
泄露组织(如果可用)的描述。 |
keyword |
spycloud.breach_catalog.site.value |
泄露组织(如果可用)的网站。 |
keyword |
spycloud.breach_catalog.spycloud_publish_date |
我们将泄露数据摄入我们系统的日期。这是数据公开提供给我们客户的同一日期。 |
date |
spycloud.breach_catalog.title |
泄露标题。对于每个摄取的泄露,我们的安全研究团队都会记录泄露标题。只有当我们能够披露泄露详情时,才可使用此标题,否则它将具有通用标题。 |
keyword |
spycloud.breach_catalog.tlp |
代表流量灯协议,这是一组用于确保敏感信息共享受到控制的指定。它可以是“clear”或其他级别。 |
keyword |
spycloud.breach_catalog.type |
表示泄露事件被认为是公共的还是私有的。公共泄露是指在互联网上容易找到的泄露,而私有泄露通常是 SpyCloud 独有的。 |
keyword |
spycloud.breach_catalog.uuid |
泄露 ID 的 UUID v4 编码版本。这与 Firehose 的用户相关,其中每个可交付项(记录文件)都使用泄露 UUID 命名。 |
keyword |
标签 |
用户定义的标签。 |
keyword |
泄露记录
编辑这是 泄露记录 数据集。
示例
breach_record 的示例事件如下所示
{
"@timestamp": "2023-11-29T00:00:00.000Z",
"agent": {
"ephemeral_id": "ce02cb91-e24e-45fa-8591-70b683f1b86b",
"id": "763d7558-f93b-440a-94ee-509804901acf",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "spycloud.breach_record",
"namespace": "33260",
"type": "logs"
},
"destination": {
"domain": "example.com",
"subdomain": "login.example.com"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "763d7558-f93b-440a-94ee-509804901acf",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "spycloud.breach_record",
"id": "3350f1da-fa39-4415-b2cc-02057e2fbe99",
"ingested": "2024-08-16T06:24:19Z",
"kind": "alert",
"original": "{\"account_image_url\":\"https://www.chess.com/bundles/web/images/noavatar_l.84a92436.gif\",\"account_login_time\":\"2018-06-29T23:51:46Z\",\"account_modification_time\":\"2018-06-29T23:51:10Z\",\"account_signup_time\":\"2016-07-29T18:47:11Z\",\"av_softwares\":[\"McAfee\",\"Windows Defender\"],\"cc_bin\":\"489486\",\"cc_expiration\":\"06/2025\",\"cc_last_four\":\"1237\",\"cc_number\":\"3fdd0ce028ffaa147afdb6461f6ce95f8c07f484\",\"company_name\":\"ABC Corporation\",\"country\":\"United States\",\"country_code\":\"US\",\"display_resolution\":\"1920x1080\",\"document_id\":\"3350f1da-fa39-4415-b2cc-02057e2fbe99\",\"domain\":\"example1.com\",\"email\":\"[email protected]\",\"email_domain\":\"example.com\",\"email_username\":\"john.doe\",\"first_name\":\"John\",\"full_name\":\"John Doe\",\"homepage\":\"https://www.chess.com/member/sarahjoh\",\"industry\":\"Technology\",\"infected_machine_id\":\"ABC123\",\"infected_path\":\"/documents/confidential\",\"infected_time\":\"2023-01-15T12:30:45Z\",\"ip_addresses\":[\"89.160.20.128\",\"89.160.20.112\"],\"job_title\":\"Software Engineer\",\"keyboard_languages\":[\"English\",\"Spanish\"],\"last_name\":\"Doe\",\"log_id\":\"76afa48107ec32f51a2aba4a314357c1e69d2267f1b04bf1afc948d0f77b1658\",\"password\":\"P@ssw0rd123\",\"password_plaintext\":\"******\",\"password_type\":\"alphanumeric\",\"record_addition_date\":\"2023-12-06T00:00:00Z\",\"record_cracked_date\":\"2023-11-29T00:00:00Z\",\"record_modification_date\":\"2023-11-29T00:00:00Z\",\"salt\":\"fbbdhd\",\"severity\":3,\"sighting\":17,\"social_linkedin\":[\"ildar-bazanov-961b14160\"],\"source_id\":50436,\"spycloud_publish_date\":\"2023-01-20T08:00:00Z\",\"target_domain\":\"example.com\",\"target_subdomain\":\"login.example.com\",\"target_url\":\"https://example.com/login\",\"user_browser\":\"Chrome\",\"user_hostname\":\"workstation-1\",\"user_os\":\"Windows 10\",\"user_sys_domain\":\"8ad8.default\",\"user_sys_registered_owner\":\"John Milk\",\"username\":\"john_doe\"}",
"severity": 3
},
"host": {
"geo": {
"country_iso_code": "US",
"country_name": "United States"
},
"hostname": "workstation-1",
"ip": [
"89.160.20.128",
"89.160.20.112"
],
"os": {
"full": "Windows 10",
"type": "windows"
}
},
"input": {
"type": "cel"
},
"organization": {
"name": "ABC Corporation"
},
"related": {
"hosts": [
"workstation-1",
"Windows 10",
"8ad8.default"
],
"ip": [
"89.160.20.128",
"89.160.20.112"
],
"user": [
"example1.com",
"example.com",
"john.doe",
"John Doe",
"john_doe",
"John Milk"
]
},
"spycloud": {
"breach_record": {
"account": {
"image_url": "https://www.chess.com/bundles/web/images/noavatar_l.84a92436.gif",
"login_time": "2018-06-29T23:51:46.000Z",
"modification_time": "2018-06-29T23:51:10.000Z",
"signup_time": "2016-07-29T18:47:11.000Z"
},
"av_softwares": [
"McAfee",
"Windows Defender"
],
"cc": {
"bin": "REDACTED",
"expiration": "REDACTED",
"last_four": "REDACTED",
"number": "REDACTED"
},
"company_name": "ABC Corporation",
"country": {
"code": "US",
"name": "United States"
},
"display_resolution": "1920x1080",
"document_id": "3350f1da-fa39-4415-b2cc-02057e2fbe99",
"domain": "example1.com",
"email": {
"domain": "example.com",
"username": "john.doe",
"value": "[email protected]"
},
"first_name": "John",
"full_name": "John Doe",
"homepage": "https://www.chess.com/member/sarahjoh",
"industry": "Technology",
"infected": {
"machine_id": "ABC123",
"path": "/documents/confidential",
"time": "2023-01-15T12:30:45.000Z"
},
"ip_addresses": [
"89.160.20.128",
"89.160.20.112"
],
"job_title": "Software Engineer",
"keyboard_languages": [
"English",
"Spanish"
],
"last_name": "Doe",
"log_id": "76afa48107ec32f51a2aba4a314357c1e69d2267f1b04bf1afc948d0f77b1658",
"password": {
"plaintext": "REDACTED",
"type": "alphanumeric",
"value": "REDACTED"
},
"record": {
"addition_date": "2023-12-06T00:00:00.000Z",
"cracked_date": "2023-11-29T00:00:00.000Z",
"modification_date": "2023-11-29T00:00:00.000Z"
},
"salt": "fbbdhd",
"severity": 3,
"sighting": 17,
"social_linkedin": [
"ildar-bazanov-961b14160"
],
"source_id": "50436",
"spycloud_publish_date": "2023-01-20T08:00:00.000Z",
"target": {
"domain": "example.com",
"subdomain": "login.example.com",
"url": "https://example.com/login"
},
"user": {
"browser": "Chrome",
"hostname": "workstation-1",
"name": "john_doe",
"os": "Windows 10",
"sys": {
"domain": "8ad8.default",
"registered_owner": "John Milk"
}
}
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"hide_sensitive",
"forwarded",
"spycloud-breach_record"
],
"url": {
"domain": "example.com",
"original": "https://example.com/login",
"path": "/login",
"scheme": "https"
},
"user": {
"domain": "example1.com",
"email": "[email protected]",
"full_name": "John Doe",
"name": "john_doe"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
spycloud.breach_record.account.image_url |
指向用户帐户图像或头像的 URL。 |
keyword |
spycloud.breach_record.account.login_time |
指示上次登录帐户的时间戳。 |
date |
spycloud.breach_record.account.modification_time |
指示上次修改帐户详细信息的时间戳。 |
date |
spycloud.breach_record.account.signup_time |
用户帐户创建或注册的日期和时间。 |
date |
spycloud.breach_record.av_softwares |
指示在受损系统上安装的防病毒软件或安全程序。它表示为字符串数组。 |
keyword |
spycloud.breach_record.cc.bin |
信用卡的银行识别号码 (BIN),用于标识发卡行。 |
keyword |
spycloud.breach_record.cc.expiration |
信用卡的到期日期。 |
keyword |
spycloud.breach_record.cc.last_four |
信用卡号的后四位。 |
keyword |
spycloud.breach_record.cc.number |
信用卡号,为了安全起见,可能已加密或哈希。 |
keyword |
spycloud.breach_record.company_name |
与用户相关的公司或组织的名称。 |
keyword |
spycloud.breach_record.country.code |
表示与受损帐户相关的国家/地区代码。 |
keyword |
spycloud.breach_record.country.name |
指示与受损帐户相关的国家/地区。 |
keyword |
spycloud.breach_record.display_resolution |
指示与受损设备相关的显示分辨率设置。 |
keyword |
spycloud.breach_record.document_id |
受损文档或文件的标识符。 |
keyword |
spycloud.breach_record.domain |
表示受损域。 |
keyword |
spycloud.breach_record.email.domain |
表示受损电子邮件地址的域部分。 |
keyword |
spycloud.breach_record.email.username |
表示受损电子邮件地址的用户名部分。 |
keyword |
spycloud.breach_record.email.value |
表示受损的电子邮件地址。 |
keyword |
spycloud.breach_record.first_name |
用户的名字。 |
keyword |
spycloud.breach_record.full_name |
与受损帐户关联的全名。 |
keyword |
spycloud.breach_record.homepage |
用户主页或个人资料页面的 URL。 |
keyword |
spycloud.breach_record.industry |
用户或其关联公司所属的行业或部门。 |
keyword |
spycloud.breach_record.infected.machine_id |
受损机器或设备的标识符。 |
keyword |
spycloud.breach_record.infected.path |
描述发生泄露或感染的路径或位置。 |
keyword |
spycloud.breach_record.infected.time |
表示泄露事件的时间戳或时间。 |
date |
spycloud.breach_record.ip_addresses |
指与帐户关联的受损 IP 地址。它表示为字符串数组。 |
ip |
spycloud.breach_record.job_title |
用户在其公司或组织内担任的职位或职称。 |
keyword |
spycloud.breach_record.keyboard_languages |
表示与受损帐户关联的键盘语言。 |
keyword |
spycloud.breach_record.last_name |
用户的姓氏或姓。 |
keyword |
spycloud.breach_record.log_id |
泄露事件日志或记录的标识符。 |
keyword |
spycloud.breach_record.password.plaintext |
明文密码。 |
keyword |
spycloud.breach_record.password.type |
描述受损密码的类型或性质(例如,字母数字、特殊字符)。 |
keyword |
spycloud.breach_record.password.value |
表示与帐户关联的受损密码。 |
keyword |
spycloud.breach_record.record.addition_date |
与帐户关联的记录添加到监视列表的日期。 |
date |
spycloud.breach_record.record.cracked_date |
与帐户关联的记录被破解或泄露的日期。 |
date |
spycloud.breach_record.record.modification_date |
上次修改与帐户关联的记录的日期。 |
date |
spycloud.breach_record.salt |
一个在加密过程中使用的随机生成值,用于增强安全性,通常与其他数据结合进行哈希运算。 |
keyword |
spycloud.breach_record.severity |
表示泄露事件的严重程度或影响。它以整数形式表示。 |
long |
spycloud.breach_record.sighting |
表示泄露信息的发现情况。 |
long |
spycloud.breach_record.social_linkedin |
此字段包含与监视列表中的个人关联的 LinkedIn 个人资料信息。 |
keyword |
spycloud.breach_record.source_id |
泄露信息的数据来源或起源的标识符。 |
keyword |
spycloud.breach_record.spycloud_publish_date |
SpyCloud 发布此信息的日期。 |
date |
spycloud.breach_record.target.domain |
表示泄露事件的目标域或受影响的域。 |
keyword |
spycloud.breach_record.target.subdomain |
表示泄露事件的目标子域或受影响的子域。 |
keyword |
spycloud.breach_record.target.url |
指泄露事件的目标 URL 或受影响的网址。 |
keyword |
spycloud.breach_record.user.browser |
表示与泄露帐户关联的 Web 浏览器。 |
keyword |
spycloud.breach_record.user.hostname |
泄露用户系统的主机名。 |
keyword |
spycloud.breach_record.user.name |
与泄露帐户关联的用户名。 |
keyword |
spycloud.breach_record.user.os |
表示泄露设备的操作系统。 |
keyword |
spycloud.breach_record.user.sys.domain |
与用户系统关联的域。 |
keyword |
spycloud.breach_record.user.sys.registered_owner |
表示泄露系统的注册所有者。 |
keyword |
标签 |
用户定义的标签。 |
keyword |
Compass
编辑这是 Compass 数据集。
示例
compass 的一个示例事件如下:
{
"@timestamp": "2022-11-17T00:00:00.000Z",
"agent": {
"ephemeral_id": "7f89a7df-dbc1-419e-8862-9c4bce1e20ca",
"id": "763d7558-f93b-440a-94ee-509804901acf",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "spycloud.compass",
"namespace": "63821",
"type": "logs"
},
"destination": {
"domain": "sparefactor.com",
"subdomain": "application.sparefactor.com"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "763d7558-f93b-440a-94ee-509804901acf",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "spycloud.compass",
"id": "3807a672-e5c4-4a58-8ade-93a690136c24",
"ingested": "2024-08-16T06:25:25Z",
"kind": "event",
"original": "{\"av_softwares\":[\"Windows Defender\"],\"country\":\"PHILIPPINES\",\"country_code\":\"PH\",\"document_id\":\"3807a672-e5c4-4a58-8ade-93a690136c24\",\"domain\":\"gmail.com\",\"email\":\"wer****************[email protected]\",\"email_domain\":\"gmail.com\",\"email_username\":\"wer****************r\",\"infected_machine_id\":\"76c9a60b-1d06-4bc1-8e08-4f07f82c0bdd\",\"infected_path\":\"C:\\\\\Windows\\\\\Microsoft.NET\\\\\Framework\\\\\v4.0.30319\\\\\AppLaunch.exe\",\"infected_time\":\"2022-08-11T18:02:31Z\",\"ip_addresses\":[\"110.18.12.120\"],\"keyboard_languages\":\"english (united states)\",\"log_id\":\"fc201cf30d2727c57f07f05f3ab6ee43c7260609d973d508f818c1abcc4fcb39\",\"password\":\"********\",\"password_plaintext\":\"********\",\"password_type\":\"plaintext\",\"severity\":25,\"source_id\":40351,\"spycloud_publish_date\":\"2022-11-17T00:00:00Z\",\"target_domain\":\"sparefactor.com\",\"target_subdomain\":\"application.sparefactor.com\",\"target_url\":\"application.sparefactor.com\",\"user_browser\":\"Google Chrome [Default]\",\"user_hostname\":\"LAPTOP-4G2P1N13\",\"user_os\":\"Windows 10 Home Single Language [x64]\",\"user_sys_registered_owner\":\"NewAdmin\"}",
"severity": 25
},
"host": {
"geo": {
"country_iso_code": "PH",
"country_name": "PHILIPPINES"
},
"hostname": "LAPTOP-4G2P1N13",
"ip": [
"110.18.12.120"
],
"os": {
"full": "Windows 10 Home Single Language [x64]",
"type": "windows"
}
},
"input": {
"type": "cel"
},
"related": {
"hosts": [
"LAPTOP-4G2P1N13",
"Windows 10 Home Single Language [x64]"
],
"ip": [
"110.18.12.120"
],
"user": [
"gmail.com",
"wer****************r",
"NewAdmin"
]
},
"spycloud": {
"compass": {
"av_softwares": [
"Windows Defender"
],
"country": {
"code": "PH",
"name": "PHILIPPINES"
},
"document_id": "3807a672-e5c4-4a58-8ade-93a690136c24",
"domain": "gmail.com",
"email": {
"domain": "gmail.com",
"username": "wer****************r",
"value": "wer****************[email protected]"
},
"infected": {
"machine_id": "76c9a60b-1d06-4bc1-8e08-4f07f82c0bdd",
"path": "C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\AppLaunch.exe",
"time": "2022-08-11T18:02:31.000Z"
},
"ip_addresses": [
"110.18.12.120"
],
"keyboard_languages": "english (united states)",
"log_id": "fc201cf30d2727c57f07f05f3ab6ee43c7260609d973d508f818c1abcc4fcb39",
"password": {
"plaintext": "REDACTED",
"type": "plaintext",
"value": "REDACTED"
},
"severity": 25,
"source_id": "40351",
"spycloud_publish_date": "2022-11-17T00:00:00.000Z",
"target": {
"domain": "sparefactor.com",
"subdomain": "application.sparefactor.com",
"url": "application.sparefactor.com"
},
"user": {
"browser": "Google Chrome [Default]",
"hostname": "LAPTOP-4G2P1N13",
"os": "Windows 10 Home Single Language [x64]",
"sys": {
"registered_owner": "NewAdmin"
}
}
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"hide_sensitive",
"forwarded",
"spycloud-compass"
],
"url": {
"extension": "com",
"original": "application.sparefactor.com",
"path": "application.sparefactor.com"
},
"user": {
"domain": "gmail.com",
"email": "wer****************[email protected]"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
spycloud.compass.av_softwares |
机器上安装的防病毒软件列表。 |
keyword |
spycloud.compass.backup.email.username |
与备份电子邮件关联的用户名。 |
keyword |
spycloud.compass.backup.email.value |
用于备份或恢复的电子邮件地址。 |
keyword |
spycloud.compass.bank_number |
银行帐号。 |
keyword |
spycloud.compass.cc.bin |
信用卡的银行识别码 (BIN)。 |
keyword |
spycloud.compass.cc.expiration |
信用卡的到期日期。 |
keyword |
spycloud.compass.cc.last_four |
信用卡号的后四位。 |
keyword |
spycloud.compass.cc.number |
信用卡号,为了安全起见,可能已加密或哈希。 |
keyword |
spycloud.compass.country.code |
与用户关联的国家代码。 |
keyword |
spycloud.compass.country.name |
与用户关联的国家/地区。 |
keyword |
spycloud.compass.display_resolution |
用户显示器的屏幕分辨率设置。 |
keyword |
spycloud.compass.document_id |
特定文档的标识符。 |
keyword |
spycloud.compass.domain |
与用户关联的域。 |
keyword |
spycloud.compass.drivers.license.number |
用户的驾驶执照号码。 |
keyword |
spycloud.compass.drivers.license.state_code |
与用户的驾驶执照关联的州代码。 |
keyword |
spycloud.compass.email.domain |
电子邮件地址的域部分。 |
keyword |
spycloud.compass.email.username |
电子邮件地址的用户名部分。 |
keyword |
spycloud.compass.email.value |
与帐户关联的电子邮件地址。 |
keyword |
spycloud.compass.full_name |
用户的全名。 |
keyword |
spycloud.compass.homepage |
用户的个人主页或网站的 URL。 |
keyword |
spycloud.compass.infected.machine_id |
受感染机器的标识符。 |
keyword |
spycloud.compass.infected.path |
机器上发生感染的路径或位置。 |
keyword |
spycloud.compass.infected.time |
指示发生感染的时间的时间戳。 |
date |
spycloud.compass.ip_addresses |
与用户关联的 IP 地址列表。 |
ip |
spycloud.compass.keyboard_languages |
键盘上配置的语言。 |
keyword |
spycloud.compass.log_id |
日志条目的标识符。 |
keyword |
spycloud.compass.national_id |
用户的国民身份证号码。 |
keyword |
spycloud.compass.passport_number |
用户的护照号码。 |
keyword |
spycloud.compass.password.plaintext |
明文密码。 |
keyword |
spycloud.compass.password.type |
密码的类型或分类。 |
keyword |
spycloud.compass.password.value |
用户密码的加密或哈希形式。 |
keyword |
spycloud.compass.postal_code |
与用户的地址关联的邮政编码。 |
keyword |
spycloud.compass.severity |
安全事件或泄露的严重级别。 |
long |
spycloud.compass.social_security_number |
用户的社会安全号码 (SSN),可能已加密或哈希处理。 |
keyword |
spycloud.compass.source_id |
数据源的标识符。 |
keyword |
spycloud.compass.spycloud_publish_date |
SpyCloud 发布数据的日期。 |
date |
spycloud.compass.ssn_last_four |
社会安全号码 (SSN) 的最后四位数字。 |
keyword |
spycloud.compass.target.domain |
被定位或受影响的域。 |
keyword |
spycloud.compass.target.subdomain |
被定位或受影响的子域。 |
keyword |
spycloud.compass.target.url |
被定位或受影响的 URL。 |
keyword |
spycloud.compass.user.browser |
用户使用的 Web 浏览器。 |
keyword |
spycloud.compass.user.hostname |
用户计算机的主机名。 |
keyword |
spycloud.compass.user.name |
与帐户关联的用户名。 |
keyword |
spycloud.compass.user.os |
用户使用的操作系统。 |
keyword |
spycloud.compass.user.sys.domain |
与用户关联的系统域。 |
keyword |
spycloud.compass.user.sys.registered_owner |
用户系统的注册所有者。 |
keyword |
标签 |
用户定义的标签。 |
keyword |