Tanium
编辑Tanium
编辑Tanium 集成允许您监控操作历史、客户端状态、发现、端点配置、报告和威胁响应日志。Tanium 是一个企业平台,主要用作端点管理工具。它可以为安全和 IT 运营团队提供快速的可视性和控制能力,以安全地管理网络上的每个端点,并使用有限的基础设施扩展到数百万个端点。Tanium Connect 用于从 Tanium 捕获准确完整的端点数据。
Tanium 集成可以在四种不同的模式下使用来收集数据
- TCP 模式:Tanium 将日志直接推送到由您的 Elastic Agent 托管的 TCP 端口。
- HTTP 端点模式:Tanium 将日志直接推送到由您的 Elastic Agent 托管的 HTTP 端点。
- AWS S3 轮询模式:Tanium 将数据写入 S3,Elastic Agent 通过列出其内容并读取新文件来轮询 S3 存储桶。
- AWS S3 SQS 模式:Tanium 将数据写入 S3,S3 将新对象的通知发送到 SQS,Elastic Agent 从 SQS 接收通知,然后读取 S3 对象。在此模式下可以使用多个代理。
兼容性
编辑此模块已针对最新的 Tanium 实例版本 7.5.5.1162 进行了测试。高于此版本的版本预计可以工作,但尚未经过测试。
数据流
编辑Tanium 集成收集六种事件类型的日志:操作历史、客户端状态、发现、端点配置、报告和威胁响应。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch Service(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
设置
编辑要从 AWS S3 存储桶收集数据,请按照以下步骤操作
编辑- 考虑到您已经设置了 AWS S3 存储桶,要创建 AWS S3 作为目标的连接,请点击此链接。
- 由于我们始终期望数据为 JSON 格式,因此在创建连接时,请选择 JSON 作为格式,并取消选中
生成文档选项。 -
字段
存储桶列表前缀的默认值如下所示。数据流名称 存储桶列表前缀 操作历史
action_history
客户端状态
client_status
发现
discover
端点配置
endpoint_config
报告
reporting
威胁响应
threat_response
用户可以具有任何与存储桶列表前缀匹配的值。
要从 AWS SQS 收集数据,请按照以下步骤操作
编辑要从 Tanium HTTP 端点收集数据,请按照以下步骤操作
编辑- 考虑到您已经托管了 HTTP 端点,要创建 HTTP 作为目标的连接,请点击此链接。
- 由于我们始终期望数据为 JSON 格式,因此在创建连接时,请选择 JSON 作为格式,并取消选中
生成文档选项。 - 添加一些自定义标头及其值以增加安全性。
要从 TCP 收集数据,请按照以下步骤操作
编辑- 在创建连接时,选择套接字接收器作为目标。
- 选择您要获取的源类型。
- 由于我们始终期望数据为 JSON 格式,因此在创建连接时,请选择 JSON 作为格式,并取消选中
生成文档选项。 - 在“主机”字段中提及 HTTP 端点
- 在“端口”字段中提及端口以创建 TCP 连接。
- 最后,选择 TCP 作为网络协议。
日志参考
编辑操作历史
编辑这是 action_history 数据集。HTTP 端点的默认端口是 9577。TCP 的默认端口是 9578。
示例
一个 action_history 的示例事件如下所示
{
"@timestamp": "2023-02-16T06:48:27.439Z",
"agent": {
"ephemeral_id": "b09b3fe4-45a1-4d81-b64d-075be6cac5d6",
"id": "2cc42030-c8c1-410b-8cef-c2db3ff157ec",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.3.0"
},
"data_stream": {
"dataset": "tanium.action_history",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "2cc42030-c8c1-410b-8cef-c2db3ff157ec",
"snapshot": false,
"version": "8.3.0"
},
"event": {
"action": "Deploy Client Configuration and Support [Mac](universal)",
"agent_id_status": "verified",
"category": [
"host"
],
"dataset": "tanium.action_history",
"end": "2022-10-04T17:38:42.000Z",
"ingested": "2023-02-16T06:48:28Z",
"kind": [
"event"
],
"original": "{\"Issuer\": \"tanium\",\"SourceId\": 10,\"Expiration\": \"2022-10-04T17:38:42\",\"ActionName\": \"Deploy Client Configuration and Support [Mac](universal)\",\"Command\": \"/bin/sh -c 'chmod u+x TaniumCX && ./TaniumCX bootstrap --zip bootstrap.zip'\",\"Approver\": \"tanium\",\"Status\": \"Closed\",\"DistributeOver\": \"1 minutes\",\"PackageName\": \"Client Configuration and Support [Mac](universal)\",\"Comment\": \"\",\"StartTime\": \"2022-10-04T16:38:42\",\"InsertTime\": \"2022-10-04T16:38:48\",\"ActionId\": 6058}",
"provider": "tanium",
"start": "2022-10-04T16:38:42.000Z",
"type": [
"info"
]
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "192.168.32.4:39418"
}
},
"process": {
"command_line": "/bin/sh -c 'chmod u+x TaniumCX && ./TaniumCX bootstrap --zip bootstrap.zip'"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"tanium-action_history"
],
"tanium": {
"action_history": {
"action": {
"id": 6058,
"name": "Deploy Client Configuration and Support [Mac](universal)"
},
"approver": "tanium",
"command": "/bin/sh -c 'chmod u+x TaniumCX && ./TaniumCX bootstrap --zip bootstrap.zip'",
"distribute_over": "1 minutes",
"expiration": "2022-10-04T17:38:42.000Z",
"insert_time": "2022-10-04T16:38:48.000Z",
"issuer": "tanium",
"package_name": "Client Configuration and Support [Mac](universal)",
"source_id": 10,
"start_time": "2022-10-04T16:38:42.000Z",
"status": "Closed"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
tanium.action_history.action.id |
操作 ID。 |
long |
tanium.action_history.action.name |
操作名称。 |
keyword |
tanium.action_history.approver |
操作的批准者。 |
keyword |
tanium.action_history.command |
操作的命令。 |
keyword |
tanium.action_history.comment |
操作的评论。 |
keyword |
tanium.action_history.distribute_over |
操作的分配时间。 |
keyword |
tanium.action_history.expiration |
操作的过期时间。 |
date |
tanium.action_history.insert_time |
操作的插入时间。 |
date |
tanium.action_history.issuer |
操作的颁发者。 |
keyword |
tanium.action_history.package_name |
操作的软件包名称。 |
keyword |
tanium.action_history.source_id |
操作的源 ID。 |
long |
tanium.action_history.start_time |
操作的开始时间。 |
date |
tanium.action_history.status |
操作的状态。 |
keyword |
客户端状态
编辑这是 client_status 数据集。HTTP 端点的默认端口是 9579。TCP 的默认端口是 9580。
示例
一个 client_status 的示例事件如下所示
{
"@timestamp": "2023-02-16T06:50:20.629Z",
"agent": {
"ephemeral_id": "e74d0cdf-30ac-42e8-823d-ec02753950a5",
"id": "2cc42030-c8c1-410b-8cef-c2db3ff157ec",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.3.0"
},
"data_stream": {
"dataset": "tanium.client_status",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "2cc42030-c8c1-410b-8cef-c2db3ff157ec",
"snapshot": false,
"version": "8.3.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "tanium.client_status",
"ingested": "2023-02-16T06:50:21Z",
"kind": [
"state"
],
"original": "{\"id\": 1,\"MacAddress\": \"00-51-58-91-62-41\",\"MacOrganization\": \"VMware, Inc.\",\"IpAddress\": \"89.160.20.112\",\"NatIpAddress\": \"\",\"HostName\": \"otelco7_46.test.local\",\"Labels\": \"\",\"Locations\": \"\",\"TaniumComputerId\": 1558885994,\"Ports\": \"22,41000\",\"Os\": \"linux\",\"OsGeneration\": null,\"Managed\": 1,\"Unmanageable\": 0,\"Arp\": 0,\"Nmap\": 0,\"Ping\": 0,\"Connected\": 0,\"AwsApi\": 0,\"CentralizedNmap\": 0,\"SatelliteNmap\": 0,\"CreatedAt\": \"2022-11-18 09:30:26 +00:00\",\"UpdatedAt\": \"2022-11-18 10:10:57 +00:00\",\"FirstManagedAt\": null,\"LastManagedAt\": \"2022-11-18 10:10:57 +00:00\",\"LastDiscoveredAt\": null,\"Profile\": null,\"SatelliteDecId\": null,\"SatelliteName\": null}",
"type": [
"info"
]
},
"host": {
"hostname": "otelco7_46.test.local"
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "192.168.32.4:45582"
}
},
"related": {
"hosts": [
"otelco7_46.test.local"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"tanium-client_status"
],
"tanium": {
"client_status": {
"host_name": "otelco7_46.test.local"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
tanium.client_status.client_network_location |
客户端的网络位置。 |
ip |
tanium.client_status.computer_id |
客户端的计算机 ID。 |
keyword |
tanium.client_status.full_version |
客户端的完整版本。 |
version |
tanium.client_status.host_name |
客户端的主机名。 |
keyword |
tanium.client_status.last_registration |
客户端的上次注册日期。 |
date |
tanium.client_status.protocol_version |
客户端的协议版本。 |
version |
tanium.client_status.receive_state |
客户端的接收状态。 |
keyword |
tanium.client_status.registered_with_tLS |
是否已使用 TLS 注册。 |
long |
tanium.client_status.send_state |
客户端的发送状态。 |
keyword |
tanium.client_status.server_network_location |
服务器的网络位置。 |
ip |
tanium.client_status.valid_key |
密钥是否有效。 |
long |
tanium.client_status.value |
客户端的状态。 |
keyword |
发现
编辑这是 discover 数据集。HTTP 端点的默认端口是 9581。TCP 的默认端口是 9582。
示例
一个 discover 的示例事件如下所示
{
"@timestamp": "2023-02-20T09:20:45.673Z",
"agent": {
"ephemeral_id": "2e16390e-7187-4f16-b2a9-597a20f08567",
"id": "c43758c9-08d7-42f2-b258-f39e4373d45a",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.3.0"
},
"data_stream": {
"dataset": "tanium.discover",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43758c9-08d7-42f2-b258-f39e4373d45a",
"snapshot": false,
"version": "8.3.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "tanium.discover",
"ingested": "2023-02-20T09:20:46Z",
"kind": [
"event"
],
"original": "{\"Status\": \"Leader\",\"LastRegistration\": \"2022-10-07T09:20:08\",\"ProtocolVersion\": 315,\"ValidKey\": 1,\"ComputerId\": \"4008511043\",\"HostName\": \"dhcp-client02.local\",\"ClientNetworkLocation\": \"67.43.156.0\",\"ServerNetworkLocation\": \"81.2.69.192\",\"RegisteredWithTLS\": 1,\"SendState\": \"None\",\"ReceiveState\": \"None\",\"FullVersion\": \"7.4.9.1046\"}",
"type": [
"info"
]
},
"host": {
"hostname": "dhcp-client02.local"
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "172.24.0.5:43366"
}
},
"related": {
"hosts": [
"dhcp-client02.local"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"tanium-discover"
],
"tanium": {
"discover": {
"host_name": "dhcp-client02.local"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
tanium.discover.arp |
地址解析协议。 |
double |
tanium.discover.aws_api |
Aws Api 版本。 |
double |
tanium.discover.centralized_nmap |
集中式 Nmap。 |
double |
tanium.discover.computer_id |
Tanium 计算机 ID。 |
long |
tanium.discover.connected |
连接计数。 |
long |
tanium.discover.created_at |
发现的创建时间。 |
date |
tanium.discover.first_managed_at |
首次管理时间。 |
date |
tanium.discover.host_name |
主机名。 |
keyword |
tanium.discover.id |
Tanium 发现 ID。 |
keyword |
tanium.discover.ip_address |
IP 地址。 |
ip |
tanium.discover.labels |
标签。 |
keyword |
tanium.discover.last.discovered_at |
上次发现时间。 |
date |
tanium.discover.last.managed_at |
上次管理时间。 |
date |
tanium.discover.locations |
位置。 |
keyword |
tanium.discover.mac_address |
MAC 地址。 |
keyword |
tanium.discover.mac_organization |
Mac 组织名称。 |
keyword |
tanium.discover.managed |
管理计数。 |
long |
tanium.discover.nat_ip_address |
Nat IP 地址。 |
ip |
tanium.discover.nmap |
Nmap。 |
double |
tanium.discover.os |
操作系统类型。 |
keyword |
tanium.discover.os_generation |
操作系统世代。 |
keyword |
tanium.discover.ping |
Ping 计数。 |
long |
tanium.discover.ports |
端口列表。 |
keyword |
tanium.discover.profile |
发现配置文件。 |
keyword |
tanium.discover.satellite.dec_id |
卫星发现时间。 |
keyword |
tanium.discover.satellite.name |
卫星名称。 |
keyword |
tanium.discover.satellite.nmap |
卫星 Nmap。 |
long |
tanium.discover.unmanageable |
无法管理计数。 |
long |
tanium.discover.updated_at |
更新时间。 |
date |
端点配置
编辑这是 endpoint_config 数据集。HTTP 端点的默认端口是 9583。TCP 的默认端口是 9584。
示例
以下是 endpoint_config 的一个示例事件:
{
"@timestamp": "2023-02-28T11:55:45.989Z",
"agent": {
"ephemeral_id": "06f3036e-23f0-4d9d-a3c9-2d967e4878f1",
"id": "7ac2bc6a-9f9b-4289-82db-ee2a0a7e6ef8",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.3.0"
},
"data_stream": {
"dataset": "tanium.endpoint_config",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7ac2bc6a-9f9b-4289-82db-ee2a0a7e6ef8",
"snapshot": false,
"version": "8.3.0"
},
"event": {
"action": "AUDIT_ACTION_CREATED",
"agent_id_status": "verified",
"category": [
"host"
],
"dataset": "tanium.endpoint_config",
"ingested": "2023-02-28T11:55:47Z",
"kind": [
"state"
],
"original": "{\"timestamp\":\"2022-11-02T13:49:03.993426735Z\",\"action\":\"AUDIT_ACTION_CREATED\",\"user\":{\"user_id\":1,\"persona_id\":0},\"config_item\":{\"id\":9,\"domain\":\"endpoint-config\",\"data_category\":\"tools\",\"description\":\"Threat Response Stream Toolset\"}}",
"type": [
"info"
]
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "172.20.0.6:44106"
}
},
"related": {
"user": [
"1"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"tanium-endpoint_config"
],
"tanium": {
"endpoint_config": {
"action": "AUDIT_ACTION_CREATED",
"item": {
"data_category": "tools",
"domain": "endpoint-config",
"id": 9
},
"timestamp": "2022-11-02T13:49:03.993Z",
"user": {
"id": "1",
"persona_id": 0
}
}
},
"user": {
"id": "1"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
tanium.endpoint_config.action |
事件操作的名称。 |
keyword |
tanium.endpoint_config.item.data_category |
配置项的数据类别。 |
keyword |
tanium.endpoint_config.item.domain |
配置项的域。 |
keyword |
tanium.endpoint_config.item.id |
配置项的 ID。 |
long |
tanium.endpoint_config.manifest.item_count |
清单的项目计数。 |
long |
tanium.endpoint_config.manifest.items |
嵌套 |
|
tanium.endpoint_config.manifest.items.data_category |
清单项的数据类别。 |
keyword |
tanium.endpoint_config.manifest.items.domain |
清单项的域。 |
keyword |
tanium.endpoint_config.manifest.items.ids |
清单项的 ID。 |
long |
tanium.endpoint_config.manifest.non_windows_saved_action_id |
用户的非 Windows 已保存操作 ID。 |
long |
tanium.endpoint_config.manifest.revision |
清单的版本。 |
long |
tanium.endpoint_config.manifest.service_uuid |
清单的服务 UUID。 |
keyword |
tanium.endpoint_config.manifest.windows_saved_action_id |
用户的 Windows 已保存操作 ID。 |
long |
tanium.endpoint_config.module.solution_context_id |
用户的解决方案上下文 ID。 |
keyword |
tanium.endpoint_config.module.solution_id |
用户的解决方案 ID。 |
keyword |
tanium.endpoint_config.timestamp |
端点配置的时间戳。 |
date |
tanium.endpoint_config.user.id |
用户的 ID。 |
keyword |
tanium.endpoint_config.user.persona_id |
用户的角色 ID。 |
long |
报告
编辑这是 reporting 数据集。HTTP 端点的默认端口是 9585。TCP 的默认端口是 9586。
示例
以下是 reporting 的一个示例事件:
{
"@timestamp": "2023-02-16T06:56:06.805Z",
"agent": {
"ephemeral_id": "3e94d921-228f-463b-9de4-4b217fc4a648",
"id": "2cc42030-c8c1-410b-8cef-c2db3ff157ec",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.3.0"
},
"data_stream": {
"dataset": "tanium.reporting",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "2cc42030-c8c1-410b-8cef-c2db3ff157ec",
"snapshot": false,
"version": "8.3.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "tanium.reporting",
"ingested": "2023-02-16T06:56:07Z",
"kind": [
"event"
],
"original": "{\"Computer Name\":\"localhost\",\"OS Platform\":\"Linux\",\"Operating System\":\"CentOS Linux release 7.9.2009 (Core)\",\"Virtual Platform\":\"VMware Virtual Platform\",\"Is Virtual\":\"Yes\",\"Manufacturer\":\"VMware, Inc.\",\"Model\":\"VMware Virtual Platform\",\"Count\":3}",
"type": [
"info"
]
},
"host": {
"hostname": "localhost"
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "192.168.32.4:37856"
}
},
"os": {
"name": "CentOS Linux release 7.9.2009 (Core)",
"platform": "Linux"
},
"related": {
"hosts": [
"localhost"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"tanium-reporting"
],
"tanium": {
"reporting": {
"computer_name": "localhost",
"count": 3,
"is_virtual": "Yes",
"manufacturer": "VMware, Inc.",
"model": "VMware Virtual Platform",
"os": {
"name": "CentOS Linux release 7.9.2009 (Core)",
"platform": "Linux"
},
"virtual_platform": "VMware Virtual Platform"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
tanium.reporting.computer_name |
计算机的名称。 |
keyword |
tanium.reporting.count |
计算机系统上报告的计数。 |
long |
tanium.reporting.is_virtual |
布尔标志,指示计算机是否虚拟化。 |
keyword |
tanium.reporting.manufacturer |
虚拟化平台制造商的名称。 |
keyword |
tanium.reporting.model |
虚拟化软件的版本。 |
keyword |
tanium.reporting.os.name |
操作系统名称和版本。 |
keyword |
tanium.reporting.os.platform |
操作系统平台名称。 |
keyword |
tanium.reporting.virtual_platform |
用于虚拟化的软件名称。 |
keyword |
威胁响应
编辑这是 threat_response 数据集。HTTP 端点的默认端口是 9587。TCP 的默认端口是 9588。
示例
以下是 threat_response 的一个示例事件:
{
"@timestamp": "2023-01-18T10:13:28.000Z",
"agent": {
"ephemeral_id": "b6bc41aa-f31e-4699-b16e-eda428357e2a",
"id": "821978e9-8609-487f-8e3f-011a710a7a13",
"name": "elastic-agent-20104",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "tanium.threat_response",
"namespace": "41588",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "821978e9-8609-487f-8e3f-011a710a7a13",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"dataset": "tanium.threat_response",
"id": "00000000-0000-0000-5389-4a274d06f4ec",
"ingested": "2024-12-02T16:57:13Z",
"kind": [
"event"
],
"original": "{\"Computer IP\":\"81.2.69.192\",\"Computer Name\":\"worker-2\",\"Event Id\":\"00000000-0000-0000-5389-4a274d06f4ec\",\"Event Name\":\"detect.unmatch\",\"Other Parameters\":\"payload=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\",\"Priority\":\"high\",\"Severity\":\"info\",\"Timestamp\":\"2023-01-18T10:13:28.000Z\",\"User Domain\":\"xyz\",\"User Id\":\"\",\"User Name\":\"\"}",
"type": [
"info"
]
},
"host": {
"hostname": "worker-2"
},
"input": {
"type": "http_endpoint"
},
"os": {
"platform": "\"Ubuntu",
"type": "linux",
"version": "18.04.6 LTS\""
},
"related": {
"hash": [
"4d1f1257b846bda82d0338fb541e7301",
"043eb324a653456caa1a73e2e2d49f77792bb0c5",
"e3998dbe02b51dada33de87ae43d18a93ab6915b9e34f5a751bf2b9b25a55492"
],
"hosts": [
"worker-2"
],
"ip": [
"81.2.69.192"
]
},
"source": {
"ip": "81.2.69.192"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"tanium-threat_response"
],
"tanium": {
"threat_response": {
"computer": {
"ip": "81.2.69.192",
"name": "worker-2"
},
"event": {
"id": "00000000-0000-0000-5389-4a274d06f4ec",
"name": "detect.unmatch"
},
"match_details": {
"config_id": 3,
"config_rev_id": 1,
"finding": {
"domain": "threatresponse",
"first_seen": "2023-01-18T10:37:36.000Z",
"hunt_id": "4",
"id": "6787987011531756165",
"intel_id": "135:1:7b89ac35-3e93-40fc-b142-b19994f28430",
"last_seen": "2023-01-18T10:37:36.000Z",
"reporting_id": "reporting-id-placeholder",
"source_name": "recorder1",
"system_info": {
"bits": 64,
"os": {
"platform": "\"Ubuntu",
"value": "\"Ubuntu 18.04.6 LTS\"",
"version": "18.04.6 LTS\""
},
"platform": "linux"
},
"threat_id": "850394582,983962765,2667062006,2667062768,2667062435",
"whats": [
{
"artifact_activity": {
"acting_artifact": {
"artifact_hash": "4001450517794370320",
"instance_hash": "11886381663294803086",
"is_intel_target": true,
"process": {
"arguments": "docker-untar / /var/lib/docker/overlay2/2bcffb7f0d6a3f37a6199ca691649ea49358a2c2e87f39202562e50eb5cd2805/diff",
"file": {
"artifact_hash": "13164683008308733236",
"instance_hash": "13164683008308733236",
"path": "/proc/self/exe"
},
"parent": {
"artifact_hash": "11715552950861057177",
"instance_hash": "17132176296926170068",
"process": {
"arguments": "/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock",
"file": {
"artifact_hash": "16788126017090571291",
"instance_hash": "16788126017090571291",
"path": "/usr/bin/dockerd"
},
"parent": {
"artifact_hash": "4714900194180531836",
"instance_hash": "319696485285188539",
"process": {
"arguments": "/sbin/init",
"file": {
"artifact_hash": "13187766456007072019",
"hash": {
"md5": "ac8b27ce6641cba4ed2c5e762f041986"
},
"instance_hash": "13187766456007072019",
"path": "/lib/systemd/systemd"
},
"pid": 1,
"start_time": "2023-01-11T08:44:02.000Z",
"tanium_unique_id": "11529256642826731521",
"user": {
"domain": "root",
"id": "6018826305876723269",
"name": "root"
}
}
},
"pid": 2058,
"start_time": "2023-01-11T08:46:24.000Z",
"tanium_unique_id": "11529864329159510026",
"user": {
"domain": "root",
"id": "6018826305876723269",
"name": "root"
}
}
},
"pid": 43181,
"start_time": "2023-01-18T10:37:18.000Z",
"tanium_unique_id": "14156042576993495213",
"user": {
"domain": "root",
"group_id": "0",
"id": "0",
"name": "root"
}
}
},
"relevant_actions": [
{
"tanium_recorder_context": {
"event": {
"file_create": {
"path": "/var/lib/docker/overlay2/2bcffb7f0d6a3f37a6199ca691649ea49358a2c2e87f39202562e50eb5cd2805/diff/etc/hosts"
},
"timestamp_ms": "2023-01-18T10:37:18.780Z"
},
"file": {
"unique_event_id": "4611686018475855672"
}
},
"tanium_recorder_event_table_id": "4611686018475855672",
"target": {
"artifact_hash": "105380045610624906",
"file": {
"hash": {
"md5": "4d1f1257b846bda82d0338fb541e7301",
"sha1": "043eb324a653456caa1a73e2e2d49f77792bb0c5",
"sha256": "e3998dbe02b51dada33de87ae43d18a93ab6915b9e34f5a751bf2b9b25a55492"
},
"instance_hash_salt": "3014767",
"magic_number_hex": "3132372e",
"modification_time": "2022-09-11T20:08:26.000Z",
"path": "/var/lib/docker/overlay2/2bcffb7f0d6a3f37a6199ca691649ea49358a2c2e87f39202562e50eb5cd2805/diff/etc/hosts",
"size_bytes": 79
},
"instance_hash": "9667017345150968342"
},
"timestamp": "2023-01-18T10:37:18.000Z",
"verb": 6
}
]
},
"intel_intra_ids": [
{
"id": 850394582
},
{
"id": 983962193
},
{
"id": 2667062006
},
{
"id": 3398416878
},
{
"id": 3999014465
}
],
"source_name": "recorder"
}
]
},
"intel_id": 135,
"match": {
"contexts": [
{
"event": {
"file_create": {
"path": "/var/lib/docker/overlay2/2bcffb7f0d6a3f37a6199ca691649ea49358a2c2e87f39202562e50eb5cd2805/diff/etc/hosts"
},
"timestampMs": "2023-01-18T10:37:18.780Z"
},
"file": {
"unique_event_id": "4611686018475855672"
}
}
],
"hash": "4001450517794370320",
"properties": {
"args": "docker-untar / /var/lib/docker/overlay2/2bcffb7f0d6a3f37a6199ca691649ea49358a2c2e87f39202562e50eb5cd2805/diff",
"file": {
"full_path": "/proc/self/exe"
},
"name": "/proc/self/exe",
"parent": {
"args": "/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock",
"file": {
"full_path": "/usr/bin/dockerd"
},
"name": "/usr/bin/dockerd",
"parent": {
"args": "/sbin/init",
"file": {
"full_path": "/lib/systemd/systemd",
"md5": "ac8b27ce6641cba4ed2c5e762f041986"
},
"name": "/lib/systemd/systemd",
"pid": 1,
"recorder_unique_id": "11529256642826731521",
"start_time": "2023-01-11T08:44:02.000Z",
"user": "root\\root"
},
"pid": 2058,
"ppid": 1,
"recorder_unique_id": "11529864329159510026",
"start_time": "2023-01-11T08:46:24.000Z",
"user": "root\\root"
},
"pid": 43181,
"ppid": 2058,
"recorder_unique_id": "14156042576993495213",
"start_time": "2023-01-18T10:37:18.000Z",
"user": "root\\root"
},
"source": "recorder",
"type": "process",
"version": 1
}
},
"priority": "high",
"severity": "info",
"timestamp": "2023-01-18T10:13:28.000Z",
"user": {
"domain": "xyz"
}
}
},
"user": {
"domain": "xyz"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
tanium.threat_response.action |
威胁响应的操作。 |
keyword |
tanium.threat_response.alert_id |
警报 ID |
keyword |
tanium.threat_response.computer.ip |
威胁响应的计算机 IP。 |
ip |
tanium.threat_response.computer.name |
威胁响应的计算机名称。 |
keyword |
tanium.threat_response.created_at |
威胁响应的创建时间。 |
date |
tanium.threat_response.event.id |
威胁响应的事件 ID。 |
keyword |
tanium.threat_response.event.name |
威胁响应的事件名称。 |
keyword |
tanium.threat_response.id |
威胁响应 ID。 |
keyword |
tanium.threat_response.impact_score |
影响评分 |
整数 |
tanium.threat_response.intel_id |
情报 ID |
keyword |
tanium.threat_response.intel_name |
情报名称 |
keyword |
tanium.threat_response.intel_type |
情报类型 |
keyword |
tanium.threat_response.link |
链接 |
keyword |
tanium.threat_response.match_details.config_id |
配置 ID。 |
keyword |
tanium.threat_response.match_details.config_rev_id |
配置修订版 ID。 |
keyword |
tanium.threat_response.match_details.finding.domain |
发现的域。 |
keyword |
tanium.threat_response.match_details.finding.first_seen |
首次发现时间。 |
date |
tanium.threat_response.match_details.finding.hunt_id |
搜寻 ID。 |
keyword |
tanium.threat_response.match_details.finding.id |
发现的 ID。 |
keyword |
tanium.threat_response.match_details.finding.intel_id |
发现的情报 ID。 |
keyword |
tanium.threat_response.match_details.finding.last_seen |
最后一次发现时间。 |
date |
tanium.threat_response.match_details.finding.reporting_id |
发现的报告 ID。 |
keyword |
tanium.threat_response.match_details.finding.source_name |
来源名称。 |
keyword |
tanium.threat_response.match_details.finding.system_info.bits |
位数。 |
long |
tanium.threat_response.match_details.finding.system_info.build_number |
内部版本号。 |
keyword |
tanium.threat_response.match_details.finding.system_info.os.platform |
操作系统平台。 |
keyword |
tanium.threat_response.match_details.finding.system_info.os.value |
操作系统值。 |
keyword |
tanium.threat_response.match_details.finding.system_info.os.version |
操作系统版本。 |
version |
tanium.threat_response.match_details.finding.system_info.patch_level |
补丁级别。 |
keyword |
tanium.threat_response.match_details.finding.system_info.platform |
操作系统类型。 |
keyword |
tanium.threat_response.match_details.finding.threat_id |
威胁 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats |
嵌套 |
|
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.artifact_hash |
活动的工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.instance_hash |
活动的实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.is_intel_target |
是否为情报目标。 |
布尔值 |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.arguments |
进程参数。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.file.artifact_hash |
文件的工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.file.instance_hash |
文件的实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.file.path |
文件的路径。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.handles |
进程句柄。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.artifact_hash |
工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.instance_hash |
实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.arguments |
进程参数。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.file.artifact_hash |
文件的工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.file.instance_hash |
文件的实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.file.path |
文件的路径。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.handles |
进程句柄。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.artifact_hash |
工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.instance_hash |
实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.arguments |
进程参数。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.file.artifact_hash |
文件的工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.file.hash.md5 |
MD5 哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.file.instance_hash |
文件的实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.file.path |
文件的路径。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.handles |
进程句柄。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.md5 |
MD5 关键字。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.pid |
进程 ID。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.tanium_unique_id |
Tanium 唯一 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.user.domain |
用户域。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.user.id |
用户 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.parent.process.user.name |
用户名。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.pid |
进程 ID。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.tanium_unique_id |
Tanium 唯一 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.user.domain |
用户域。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.user.group_id |
用户组 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.user.id |
用户 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.parent.process.user.name |
用户名。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.pid |
父进程 ID。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.tanium_unique_id |
Tanium 唯一 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.user.domain |
用户域。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.user.group_id |
用户组 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.user.id |
用户 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.acting_artifact.process.user.name |
用户名。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions |
嵌套 |
|
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.tanium_recorder_context.event.file_create.path |
文件的路径。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.tanium_recorder_context.event.timestamp_ms |
以毫秒为单位的时间戳。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.tanium_recorder_context.file.unique_event_id |
唯一事件 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.tanium_recorder_event_table_id |
Tanium 记录器事件表 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.artifact_hash |
文件的工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.file.hash.md5 |
MD5 哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.file.hash.sha1 |
SHA1 哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.file.hash.sha256 |
SHA256 哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.file.instance_hash |
实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.file.instance_hash_salt |
实例哈希盐。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.file.magic_number_hex |
魔数。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.file.modification_time |
文件的修改时间。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.file.path |
文件的路径。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.file.size_bytes |
文件大小(以字节为单位)。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.instance_hash |
实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.is_intel_target |
是否为情报目标。 |
布尔值 |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.connection_time |
连接时间。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.local_ip |
本地 IP。 |
ip |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.local_port |
本地端口。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.artifact_hash |
工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.instance_hash |
实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.arguments |
进程参数。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.file.artifact_hash |
文件的工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.file.file.path |
文件的路径。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.file.file.signature_data.issuer |
签名颁发者。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.file.file.signature_data.status |
签名状态。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.file.file.signature_data.subject |
签名主题。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.file.instance_hash |
文件的实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.name |
名称。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.artifact_hash |
工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.instance_hash |
实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.arguments |
进程参数。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.file.artifact_hash |
文件的工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.file.file.path |
文件的路径。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.file.file.signature_data.issuer |
签名颁发者。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.file.file.signature_data.status |
签名状态。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.file.file.signature_data.subject |
签名主题。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.file.instance_hash |
文件的实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.name |
名称。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.artifact_hash |
工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.instance_hash |
实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.arguments |
进程参数。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.file.artifact_hash |
文件的工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.file.file.path |
文件的路径。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.file.file.signature_data.issuer |
签名颁发者。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.file.file.signature_data.status |
签名状态。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.file.file.signature_data.subject |
签名主题。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.file.instance_hash |
文件的实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.name |
名称。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.artifact_hash |
工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.instance_hash |
实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.arguments |
进程参数。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.file.artifact_hash |
文件的工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.file.file.path |
文件的路径。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.file.instance_hash |
文件的实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.name |
名称。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.parent.artifact_hash |
工件哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.parent.instance_hash |
实例哈希值。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.parent.process.tanium_recorder_table_id |
Tanium 记录器表 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.pid |
进程 ID。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.tanium_recorder_table_id |
Tanium 记录器表 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.user.user.domain |
用户域。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.user.user.name |
用户名。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.parent.process.user.user.user_id |
用户 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.pid |
进程 ID。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.tanium_recorder_table_id |
Tanium 记录器表 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.user.user.domain |
用户域。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.user.user.name |
用户名。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.parent.process.user.user.user_id |
用户 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.pid |
进程 ID。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.tanium_recorder_table_id |
Tanium 记录器表 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.user.user.domain |
用户域。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.user.user.name |
用户名。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.parent.process.user.user.user_id |
用户 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.pid |
进程 ID。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.tanium_recorder_table_id |
Tanium 记录器表 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.user.user.domain |
用户域。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.user.user.name |
用户名。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.process.process.user.user.user_id |
用户 ID。 |
keyword |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.remote_ip |
远程 IP。 |
ip |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.target.port.remote_port |
远程端口。 |
long |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.timestamp |
时间戳。 |
date |
tanium.threat_response.match_details.finding.whats.artifact_activity.relevant_actions.verb |
动词。 |
long |
tanium.threat_response.match_details.finding.whats.intel_intra_ids |
嵌套 |
|
tanium.threat_response.match_details.finding.whats.intel_intra_ids.id |
内部情报 ID 数组。 |
keyword |
tanium.threat_response.match_details.finding.whats.intel_intra_ids.id_v2 |
v2 内部情报 ID 数组。 |
keyword |
tanium.threat_response.match_details.finding.whats.source_name |
来源名称。 |
keyword |
tanium.threat_response.match_details.intel_id |
情报 ID。 |
keyword |
tanium.threat_response.match_details.match.contexts |
嵌套 |
|
tanium.threat_response.match_details.match.contexts.event.file_create.path |
文件的路径。 |
keyword |
tanium.threat_response.match_details.match.contexts.event.timestampMs |
以毫秒为单位的时间戳。 |
date |
tanium.threat_response.match_details.match.contexts.file.unique_event_id |
文件的唯一事件 ID。 |
keyword |
tanium.threat_response.match_details.match.hash |
哈希值。 |
keyword |
tanium.threat_response.match_details.match.properties.args |
属性参数。 |
keyword |
tanium.threat_response.match_details.match.properties.file.full_path |
文件的完整路径。 |
keyword |
tanium.threat_response.match_details.match.properties.fullpath |
完整路径。 |
keyword |
tanium.threat_response.match_details.match.properties.local_ip |
本地 IP。 |
ip |
tanium.threat_response.match_details.match.properties.local_port |
本地端口。 |
long |
tanium.threat_response.match_details.match.properties.md5 |
MD5 哈希值。 |
keyword |
tanium.threat_response.match_details.match.properties.name |
属性名称。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.args |
父进程参数。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.file.full_path |
文件的完整路径。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.name |
父进程名称。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.parent.args |
父进程参数。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.parent.file.full_path |
文件的完整路径。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.parent.file.md5 |
MD5。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.parent.name |
父进程名称。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.parent.pid |
父进程 ID。 |
long |
tanium.threat_response.match_details.match.properties.parent.parent.recorder_unique_id |
记录器唯一 ID。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.parent.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.match.properties.parent.parent.user |
用户。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.pid |
进程 ID。 |
long |
tanium.threat_response.match_details.match.properties.parent.ppid |
父进程 ID。 |
long |
tanium.threat_response.match_details.match.properties.parent.recorder_unique_id |
记录器唯一 ID。 |
keyword |
tanium.threat_response.match_details.match.properties.parent.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.match.properties.parent.user |
用户。 |
keyword |
tanium.threat_response.match_details.match.properties.pid |
进程 ID。 |
long |
tanium.threat_response.match_details.match.properties.ppid |
父进程 ID。 |
long |
tanium.threat_response.match_details.match.properties.process.args |
进程参数。 |
keyword |
tanium.threat_response.match_details.match.properties.process.file.fullpath |
完整路径。 |
keyword |
tanium.threat_response.match_details.match.properties.process.name |
名称。 |
keyword |
tanium.threat_response.match_details.match.properties.process.pid |
进程 ID。 |
long |
tanium.threat_response.match_details.match.properties.process.ppid |
父进程 ID。 |
long |
tanium.threat_response.match_details.match.properties.process.recorder_table_id |
Tanium 记录器表 ID。 |
keyword |
tanium.threat_response.match_details.match.properties.process.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.match.properties.process.user |
用户。 |
keyword |
tanium.threat_response.match_details.match.properties.recorder_unique_id |
记录器唯一 ID。 |
keyword |
tanium.threat_response.match_details.match.properties.remote_ip |
远程 IP。 |
ip |
tanium.threat_response.match_details.match.properties.remote_port |
远程端口。 |
long |
tanium.threat_response.match_details.match.properties.sha1 |
SHA1 哈希值。 |
keyword |
tanium.threat_response.match_details.match.properties.sha256 |
SHA256 哈希值。 |
keyword |
tanium.threat_response.match_details.match.properties.size |
大小。 |
keyword |
tanium.threat_response.match_details.match.properties.start_time |
开始时间。 |
date |
tanium.threat_response.match_details.match.properties.user |
用户。 |
keyword |
tanium.threat_response.match_details.match.source |
发现来源。 |
keyword |
tanium.threat_response.match_details.match.type |
发现类型。 |
keyword |
tanium.threat_response.match_details.match.version |
发现版本。 |
version |
tanium.threat_response.other_parameters.name |
威胁的名称。 |
keyword |
tanium.threat_response.other_parameters.source |
威胁的来源。 |
keyword |
tanium.threat_response.other_parameters.type |
威胁的类型。 |
keyword |
tanium.threat_response.priority |
威胁响应的优先级。 |
keyword |
tanium.threat_response.revision |
威胁响应的版本。 |
keyword |
tanium.threat_response.row_id |
威胁响应的行 ID。 |
keyword |
tanium.threat_response.severity |
威胁响应的严重性。 |
keyword |
tanium.threat_response.state.action_expiration |
操作到期时间。 |
date |
tanium.threat_response.state.action_id_unix |
UNIX 操作 ID。 |
整数 |
tanium.threat_response.state.action_id_windows |
Windows 操作 ID。 |
整数 |
tanium.threat_response.state.computer_group_id |
计算机组 ID。 |
整数 |
tanium.threat_response.state.computer_ip_address |
计算机 IP 地址。 |
整数 |
tanium.threat_response.state.computer_name |
计算机名称。 |
keyword |
tanium.threat_response.state.connection_id |
威胁响应状态的连接 ID。 |
keyword |
tanium.threat_response.state.created_at |
创建时间。 |
date |
tanium.threat_response.state.id |
ID。 |
整数 |
tanium.threat_response.state.intel_id |
情报 ID。 |
整数 |
tanium.threat_response.state.legacy_type |
旧类型。 |
keyword |
tanium.threat_response.state.service_id |
服务 ID。 |
keyword |
tanium.threat_response.state.session_id |
威胁响应状态的会话 ID。 |
keyword |
tanium.threat_response.state.target.eid |
威胁响应状态的目标 eid。 |
keyword |
tanium.threat_response.state.target.hostname |
威胁响应状态的目标主机名。 |
keyword |
tanium.threat_response.state.updated_at |
更新时间。 |
date |
tanium.threat_response.state.user_id |
用户 ID。 |
整数 |
tanium.threat_response.table |
威胁响应的表。 |
keyword |
tanium.threat_response.timestamp |
事件的时间戳。 |
date |
tanium.threat_response.updated_at |
威胁响应更新时间。 |
date |
tanium.threat_response.user.domain |
威胁响应的用户域。 |
keyword |
tanium.threat_response.user.id |
威胁响应的用户 ID。 |
keyword |
tanium.threat_response.user.name |
威胁响应的用户名。 |
keyword |
tanium.truncations |
为了避免深度过大而被删除的 JSON 路径。 |
keyword |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.13.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.10.3 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.10.2 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.10.1 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.9.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.9.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.8.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.7.1 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
1.7.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
1.6.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
1.5.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.3.0 或更高版本 |
0.5.0 |
增强功能 (查看拉取请求) |
— |
0.4.0 |
增强功能 (查看拉取请求) |
— |
0.3.0 |
增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强功能 (查看拉取请求) |
— |