› ›

AbuseCH 集成

版本	2.5.0 (查看全部)
兼容的 Kibana 版本	8.13.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

此集成用于 AbuseCH 日志。它包括以下用于从 AbuseCH API 检索指标的数据集：

url 数据集：支持来自 AbuseCH API 的基于 URL 的指标。
malware 数据集：支持来自 AbuseCH API 的基于恶意软件的指标。
malwarebazaar 数据集：支持来自 AbuseCH 的 MalwareBazaar 的指标。
threatfox 数据集：支持来自 AbuseCH Threat Fox API 的指标。

入侵指标 (IOC) 的过期

编辑

所有 AbuseCH 数据集现在都支持指标过期。对于 URL 数据集，每个间隔都会提取一份完整的活动指标列表。对于其他数据集，即 Malware、MalwareBazaar 和 ThreatFox，指标在集成设置中配置的持续时间 IOC 过期时长 后过期。为每个源索引创建一个 Elastic Transform，以方便最终用户只能使用活动指标。每个转换都会创建一个名为 logs-ti_abusech_latest.dest_* 的目标索引，该索引仅包含活动且未过期的指标。指标匹配规则和仪表板已更新为仅列出活动指标。目标索引会别名为 logs-ti_abusech_latest.<datastream_name>。

源数据流	目标索引模式	目标别名
`logs-ti_abusech.url-*`	`logs-ti_abusech_latest.dest_url-*`	`logs-ti_abusech_latest.url`
`logs-ti_abusech.malware-*`	`logs-ti_abusech_latest.dest_malware-*`	`logs-ti_abusech_latest.malware`
`logs-ti_abusech.malwarebazaar-*`	`logs-ti_abusech_latest.dest_malwarebazaar-*`	`logs-ti_abusech_latest.malwarebazaar`
`logs-ti_abusech.threatfox-*`	`logs-ti_abusech_latest.dest_threatfox-*`	`logs-ti_abusech_latest.threatfox`

ILM 策略

编辑

为了方便 IOC 过期，允许源数据流支持的索引 .ds-logs-ti_abusech.<datastream_name>-* 包含来自每个轮询间隔的重复项。将 ILM 策略 logs-ti_abusech.<datastream_name>-default_policy 添加到这些源索引，这样它就不会导致无限增长。这意味着这些源索引中的数据将在摄取日期后 5 天 被删除。

日志

编辑

URL

编辑

AbuseCH URL data_stream 每隔一段时间从活动指标 URL 数据库转储 https://urlhaus.abuse.ch/downloads/json/ 中检索完整的活动威胁情报指标列表。

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
abusech.url.blacklists.spamhaus_dbl	如果该指标在 spamhaus 黑名单中列出。	关键字
abusech.url.blacklists.surbl	如果该指标在 surbl 黑名单中列出。	关键字
abusech.url.deleted_at	指标被（将要）删除的时间戳。	日期
abusech.url.id	指标的 ID。	关键字
abusech.url.larted	指示恶意软件 URL 是否已向托管服务提供商报告（true 或 false）。	布尔
abusech.url.last_online	URL 最后一次提供恶意软件服务的时间戳。	日期
abusech.url.reporter	报告此恶意软件 URL 的报告者的 Twitter 句柄（或匿名）。	关键字
abusech.url.tags	与查询的恶意软件 URL 关联的标签列表。	关键字
abusech.url.threat	与此恶意软件 URL 对应的威胁。	关键字
abusech.url.url_status	URL 的当前状态。可能的值为：online、offline 和 unknown。	关键字
abusech.url.urlhaus_reference	指向 URLhaus 条目的链接。	关键字
cloud.image.id	云实例的映像 ID。	关键字
data_stream.dataset	数据流数据集名称。	常量关键字
data_stream.namespace	数据流命名空间。	常量关键字
data_stream.type	数据流类型。	常量关键字
event.dataset	事件数据集	常量关键字
event.module	事件模块	常量关键字
host.containerized	如果主机是容器。	布尔
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统的代号（如果有）。	关键字
input.type	Filebeat 输入的类型。	关键字
labels.interval	为 `间隔` 设置的用户配置值。这用于计算指标过期时间。	关键字
labels.is_ioc_transform_source	指示 IOC 是否在原始源数据流中，或在最新的目标索引中。	常量关键字
log.flags	日志文件的标志。	关键字
log.offset	日志文件中条目的偏移量。	长整数
threat.feed.dashboard_id	用于 Kibana CTI UI 的仪表板 ID	常量关键字
threat.feed.name	显示友好的源名称	常量关键字
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源最后一次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

恶意软件

编辑

AbuseCH 恶意软件 data_stream 从有效负载 API 端点 https://urlhaus-api.abuse.ch/v1/payloads/recent/ 检索威胁情报指标。

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
abusech.malware.deleted_at	指标过期时间戳。	日期
abusech.malware.ioc_expiration_duration	配置的过期时长。	关键字
abusech.malware.signature	恶意软件家族。	关键字
abusech.malware.virustotal.link	指向 Virustotal 报告的链接。	关键字
abusech.malware.virustotal.percent	AV 检测百分比。	浮点数
abusech.malware.virustotal.result	AV 检测率。	关键字
cloud.image.id	云实例的映像 ID。	关键字
data_stream.dataset	数据流数据集名称。	常量关键字
data_stream.namespace	数据流命名空间。	常量关键字
data_stream.type	数据流类型。	常量关键字
event.dataset	事件数据集	常量关键字
event.module	事件模块	常量关键字
host.containerized	如果主机是容器。	布尔
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统的代号（如果有）。	关键字
input.type	Filebeat 输入的类型。	关键字
labels.is_ioc_transform_source	指示 IOC 是否在原始源数据流中，或在最新的目标索引中。	常量关键字
log.flags	日志文件的标志。	关键字
log.offset	日志文件中条目的偏移量。	长整数
threat.feed.dashboard_id	用于 Kibana CTI UI 的仪表板 ID	常量关键字
threat.feed.name	显示友好的源名称	常量关键字
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源最后一次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

MalwareBazaar

编辑

AbuseCH malwarebazaar data_stream 从 MalwareBazaar API 端点 https://mb-api.abuse.ch/api/v1/ 检索威胁情报指标。

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
abusech.malwarebazaar.anonymous	标识样本是否为匿名提交。	长整数
abusech.malwarebazaar.code_sign.algorithm	用于生成公钥的算法。	关键字
abusech.malwarebazaar.code_sign.cscb_listed	证书是否在代码签名证书阻止列表 (CSCB) 中。	布尔
abusech.malwarebazaar.code_sign.cscb_reason	证书为何在代码签名证书阻止列表 (CSCB) 中。	关键字
abusech.malwarebazaar.code_sign.issuer_cn	颁发证书机构的公用名 (CN)。	关键字
abusech.malwarebazaar.code_sign.serial_number	证书颁发机构颁发的唯一序列号。	关键字
abusech.malwarebazaar.code_sign.subject_cn	主体的公用名 (CN)。	关键字
abusech.malwarebazaar.code_sign.thumbprint	证书的哈希值。	关键字
abusech.malwarebazaar.code_sign.thumbprint_algorithm	用于创建指纹的算法。	关键字
abusech.malwarebazaar.code_sign.valid_from	首次被视为证书有效的时间。	日期
abusech.malwarebazaar.code_sign.valid_to	不再被视为证书有效的时间。	关键字
abusech.malwarebazaar.deleted_at	指标过期时间戳。	日期
abusech.malwarebazaar.dhash_icon	如果文件是 PE 可执行文件：样本图标的 dhash。	关键字
abusech.malwarebazaar.intelligence.downloads	从 MalwareBazaar 的下载次数。	长整数
abusech.malwarebazaar.intelligence.mail.Generic	在通用垃圾邮件流量中看到的恶意软件。	关键字
abusech.malwarebazaar.intelligence.mail.IT	在 IT 垃圾邮件流量中看到的恶意软件。	关键字
abusech.malwarebazaar.intelligence.uploads	从 MalwareBazaar 的上传次数。	长整数
abusech.malwarebazaar.ioc_expiration_duration	配置的过期时长。	关键字
cloud.image.id	云实例的映像 ID。	关键字
data_stream.dataset	数据流数据集名称。	常量关键字
data_stream.namespace	数据流命名空间。	常量关键字
data_stream.type	数据流类型。	常量关键字
event.dataset	事件数据集	常量关键字
event.module	事件模块	常量关键字
host.containerized	如果主机是容器。	布尔
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统的代号（如果有）。	关键字
input.type	Filebeat 输入的类型。	关键字
labels.is_ioc_transform_source	指示 IOC 是否在原始源数据流中，或在最新的目标索引中。	常量关键字
log.flags	日志文件的标志。	关键字
log.offset	日志文件中条目的偏移量。	长整数
threat.feed.dashboard_id	用于 Kibana CTI UI 的仪表板 ID	常量关键字
threat.feed.name	显示友好的源名称	常量关键字
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源最后一次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

Threat Fox

编辑

AbuseCH threatfox data_stream 从 Threat Fox API 端点 https://threatfox-api.abuse.ch/api/v1/ 检索威胁情报指标。

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
abusech.threatfox.confidence_level	0-100 之间的置信度。	长整数
abusech.threatfox.deleted_at	指标过期时间戳。	日期
abusech.threatfox.ioc_expiration_duration	配置的过期时长。	关键字
abusech.threatfox.malware	与 IOC 关联的恶意软件。	关键字
abusech.threatfox.tags	与查询的恶意软件样本关联的标签列表。	关键字
abusech.threatfox.threat_type	威胁的类型。	关键字
abusech.threatfox.threat_type_desc	威胁描述。	关键字
cloud.image.id	云实例的映像 ID。	关键字
data_stream.dataset	数据流数据集名称。	常量关键字
data_stream.namespace	数据流命名空间。	常量关键字
data_stream.type	数据流类型。	常量关键字
event.dataset	事件数据集	常量关键字
event.module	事件模块	常量关键字
host.containerized	如果主机是容器。	布尔
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统的代号（如果有）。	关键字
input.type	Filebeat 输入的类型。	关键字
labels.is_ioc_transform_source	指示 IOC 是否在原始源数据流中，或在最新的目标索引中。	常量关键字
log.flags	日志文件的标志。	关键字
log.offset	日志文件中条目的偏移量。	长整数
threat.feed.dashboard_id	用于 Kibana CTI UI 的仪表板 ID	常量关键字
threat.feed.name	显示友好的源名称	常量关键字
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源最后一次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

变更日志

编辑

变更日志

版本	详细信息	Kibana 版本
2.5.0	增强 (查看拉取请求) 不要在主摄取管道中删除 `event.original`。	8.13.0 或更高版本
2.4.0	增强 (查看拉取请求) 将“preserve_original_event”标签添加到 `event.kind` 设置为“pipeline_error”的文档。	8.13.0 或更高版本
2.3.5	Bug 修复 (查看拉取请求) 在引用摄取管道中的变量时，使用三花括号 Mustache 模板。	8.13.0 或更高版本
2.3.4	Bug 修复 (查看拉取请求) 在引用摄取管道中的变量时，使用三花括号 Mustache 模板。	8.13.0 或更高版本
2.3.3	Bug 修复 (查看拉取请求) 修复 labels.is_ioc_transform_source 值	8.13.0 或更高版本
2.3.2	Bug 修复 (查看拉取请求) 在转换中添加缺失的字段	8.13.0 或更高版本
2.3.1	Bug 修复 (查看拉取请求) 修复威胁字段上的 ECS 日期映射。	8.13.0 或更高版本
2.3.0	增强 (查看拉取请求) 改进 API 请求失败的错误报告。	8.13.0 或更高版本
2.2.0	增强 (查看拉取请求) 将 kibana 约束更新为 ^8.13.0。修改了字段定义，以删除 ecs@mappings 组件模板中多余的 ECS 字段。	8.13.0 或更高版本
2.1.0	增强 (查看拉取请求) 改进 malwarebazaar 数据流中的错误处理和报告。	8.12.0 或更高版本
2.0.1	错误修复 (查看拉取请求) 调整转换目标索引的字段映射。	8.12.0 或更高版本
2.0.0	增强 (查看拉取请求) 支持 IoC 过期	8.12.0 或更高版本
1.25.0	增强 (查看拉取请求) 将清单格式版本更新为 v3.0.3。	8.7.1 或更高版本
1.24.1	增强 (查看拉取请求) 更改了所有者	8.7.1 或更高版本
1.24.0	增强 (查看拉取请求) 将请求跟踪器日志计数限制为五。	8.7.1 或更高版本
1.23.0	增强 (查看拉取请求) ECS 版本更新至 8.11.0。	8.7.1 或更高版本
1.22.0	增强 (查看拉取请求) 改进了 event.original 检查，以避免在设置时出现错误。	8.7.1 或更高版本
1.21.0	增强 (查看拉取请求) ECS 版本更新至 8.10.0。	8.7.1 或更高版本
1.20.0	增强 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了带点的 YAML 键。向软件包清单添加了 owner.type: elastic。	8.7.1 或更高版本
1.19.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便将集成的仪表板和已保存的搜索标记为“安全解决方案”，并显示在安全解决方案 UI 中。	8.7.1 或更高版本
1.18.0	增强 (查看拉取请求) 将 package-spec 更新为 2.9.0。	8.7.1 或更高版本
1.17.0	增强 (查看拉取请求) 将软件包更新为 ECS 8.9.0。	8.7.1 或更高版本
1.16.0	增强 (查看拉取请求) 文档化持续时间单位。	8.7.1 或更高版本
1.15.2	错误修复 (查看拉取请求) 将 ThreatFox 的初始间隔更改为整数，并注明有效值为 1-7	8.7.1 或更高版本
1.15.1	错误修复 (查看拉取请求) 删除具有空字符串值的字段	8.7.1 或更高版本
1.15.0	增强 (查看拉取请求) 将可视化转换为 Lens。	8.7.1 或更高版本
1.14.0	增强 (查看拉取请求) 记录有效的持续时间单位。	8.7.1 或更高版本
1.13.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	8.7.1 或更高版本
1.12.0	增强 (查看拉取请求) 将软件包更新为 ECS 8.8.0。	8.7.1 或更高版本
1.11.0	增强 (查看拉取请求) 添加一个新标志以启用请求跟踪	8.7.1 或更高版本
1.10.0	增强 (查看拉取请求) 将软件包更新为 ECS 8.7.0。	8.0.0 或更高版本
1.9.0	增强 (查看拉取请求) 将软件包更新为 ECS 8.6.0。	8.0.0 或更高版本
1.8.0	增强 (查看拉取请求) 将软件包更新为 ECS 8.5.0。	8.0.0 或更高版本
1.7.1	错误修复 (查看拉取请求) 将 abusech.malwarebazaar.code_sign 更改为嵌套字段	8.0.0 或更高版本
1.7.0	增强 (查看拉取请求) 添加 Threat Fox 数据流	8.0.0 或更高版本
1.6.0	增强 (查看拉取请求) 将软件包更新为 ECS 8.4.0	8.0.0 或更高版本
1.5.1	错误修复 (查看拉取请求) 修复代理 URL 文档渲染。	8.0.0 或更高版本
1.5.0	增强 (查看拉取请求) 更新类别以包含 `threat_intel`。	8.0.0 或更高版本
1.4.0	增强 (查看拉取请求) 将软件包更新为 ECS 8.3.0。	8.0.0 或更高版本
1.3.2	增强 (查看拉取请求) 在自述文件中添加了指向 AbuseCH 文档的链接	8.0.0 或更高版本
1.3.1	增强 (查看拉取请求) 更新软件包描述	8.0.0 或更高版本
1.3.0	增强 (查看拉取请求) 更新至 ECS 8.2	8.0.0 或更高版本
1.2.3	增强 (查看拉取请求) 添加 event.created 的映射	8.0.0 或更高版本
1.2.2	增强 (查看拉取请求) 添加多字段文档	8.0.0 或更高版本
1.2.1	错误修复 (查看拉取请求) 修复 `threat.indicator.file.x509.not_before/not_after` 中的字段映射冲突	—
1.2.0	增强 (查看拉取请求) 更新至 ECS 8.0	8.0.0 或更高版本
1.1.5	错误修复 (查看拉取请求) 从仪表板中删除额外的标签	8.0.0 或更高版本
1.1.4	错误修复 (查看拉取请求) 使用新的 GeoIP 数据库重新生成测试文件	8.0.0 或更高版本
1.1.3	错误修复 (查看拉取请求) 将测试公共 IP 更改为受支持的子集	—
1.1.2	增强 (查看拉取请求) 修复 base-fields.yml 中的拼写错误	—
1.1.1	增强 (查看拉取请求) 更新 threat.feed.name 的 ECS 字段	—
1.1.0	增强 (查看拉取请求) 添加仪表板并对管道进行微调	8.0.0 或更高版本
1.0.4	增强 (查看拉取请求) 在清单中提高最低版本	8.0.0 或更高版本
1.0.3	增强 (查看拉取请求) 提高最低版本	—
1.0.2	增强 (查看拉取请求) 更新标题和描述。	—
1.0.1	增强 (查看拉取请求) 修复不可见的软件包图标	—
1.0.0	增强 (查看拉取请求) 初始版本	—

« 威胁情报 Alienvault OTX 集成 »