Cybersixgill Darkfeed TAXII 集成
编辑Cybersixgill Darkfeed TAXII 集成
编辑此集成与商业 Cybersixgill Darkfeed TAXII 服务器连接。
日志
编辑威胁
编辑Cybersixgill Darkfeed 集成从 Cybersixgill 提供的凭据可用的 Darkfeed TAXII 服务收集威胁情报。
入侵指标 (IOC) 的过期
编辑摄取的 IOC 会在 IOC 过期时长 集成设置配置的持续时间后过期。创建 Elastic Transform 以便最终用户只能使用活动的 IOC。此转换创建名为 logs-ti_cybersixgill_latest.dest_threat-* 的目标索引,其中仅包含活动且未过期的 IOC。最新的目标索引还具有名为 logs-ti_cybersixgill_latest.threat 的别名。在查询活动指标或设置指标匹配规则时,仅使用最新的目标索引或别名,以避免过期 IOC 产生误报。仪表板也指向包含活动 IOC 的最新目标索引。请阅读下面的 ILM 策略,该策略旨在避免源数据流 .ds-logs-ti_cybersixgill.threat-* 索引上无限制地增长。
ILM 策略
编辑为了便于 IOC 过期,允许源数据流支持的索引 .ds-logs-ti_cybersixgill.threat-* 包含来自每个轮询间隔的重复项。ILM 策略 logs-ti_cybersixgill.threat-default_policy 被添加到这些源索引,因此不会导致无限增长。这意味着这些源索引中的数据将在摄取日期后的 5 天后删除。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
cybersixgill.actor |
指标的相关参与者。 |
关键字 |
cybersixgill.deleted_at |
指标过期(或将要过期)的时间戳。 |
日期 |
cybersixgill.expiration_duration |
配置的过期时长。 |
关键字 |
cybersixgill.feedname |
威胁情报源的名称。 |
关键字 |
cybersixgill.mitre.description |
指标的 mitre 描述 |
关键字 |
cybersixgill.title |
指标的标题。 |
关键字 |
cybersixgill.valid_from |
指标从哪个日期开始有效。 |
日期 |
cybersixgill.virustotal.pr |
Virustotal 阳性率。 |
关键字 |
cybersixgill.virustotal.url |
相关的 Virustotal URL。 |
关键字 |
data_stream.dataset |
数据流数据集名称。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
dataset.name |
数据集名称。 |
constant_keyword |
dataset.namespace |
数据集命名空间。 |
constant_keyword |
dataset.type |
数据集类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型。 |
关键字 |
labels.is_ioc_transform_source |
指示 IOC 是否在原始源数据流中,或在最新的目标索引中。 |
constant_keyword |
threat.feed.dashboard_id |
Kibana CTI UI 使用的仪表板 ID |
constant_keyword |
threat.feed.name |
显示友好的源名称 |
constant_keyword |
threat.indicator.first_seen |
情报来源首次报告看到此指标的日期和时间。 |
日期 |
threat.indicator.last_seen |
情报来源最后一次报告看到此指标的日期和时间。 |
日期 |
threat.indicator.modified_at |
情报来源最后一次修改此指标信息的日期和时间。 |
日期 |
示例
threat 的一个示例事件如下所示
{
"@timestamp": "2021-12-07T13:58:01.596Z",
"agent": {
"ephemeral_id": "9c2e1e11-18ae-413f-9523-290c561a4b61",
"id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"cybersixgill": {
"actor": "vaedzy",
"deleted_at": "2021-12-17T13:58:01.596Z",
"expiration_duration": "10d",
"feedname": "dark_web_hashes",
"mitre": {
"description": "Mitre attack tactics and technique reference"
},
"title": "[病毒样本] #Trickbot (2021-12-07)",
"virustotal": {
"pr": "medium",
"url": "https://virustotal.com/#/file/7bdf8b8594ec269da864ee662334f4da53d4820a3f0f8aa665a0fa096ca8f22d"
}
},
"data_stream": {
"dataset": "ti_cybersixgill.threat",
"namespace": "78677",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"threat"
],
"created": "2024-08-02T04:14:26.522Z",
"dataset": "ti_cybersixgill.threat",
"ingested": "2024-08-02T04:14:27Z",
"kind": "enrichment",
"original": "{\"confidence\":70,\"created\":\"2021-12-07T13:58:01.596Z\",\"description\":\"Hash attributed to malware that was discovered in the dark and deep web\",\"extensions\":{\"extension-definition--3de9ff00-174d-4d41-87c9-05a27a7e117c\":{\"extension_type\":\"toplevel-property-extension\"}},\"external_references\":[{\"positive_rate\":\"medium\",\"source_name\":\"VirusTotal\",\"url\":\"https://virustotal.com/#/file/7bdf8b8594ec269da864ee662334f4da53d4820a3f0f8aa665a0fa096ca8f22d\"},{\"description\":\"Mitre attack tactics and technique reference\",\"mitre_attack_tactic\":\"Build Capabilities\",\"mitre_attack_tactic_id\":\"TA0024\",\"mitre_attack_tactic_url\":\"https://attack.mitre.org/tactics/TA0024/\",\"source_name\":\"mitre-attack\"}],\"id\":\"indicator--302dab0f-64dc-42f5-b99e-702b28c1aaa9\",\"indicator_types\":[\"malicious-activity\"],\"lang\":\"en\",\"modified\":\"2021-12-07T13:58:01.596Z\",\"name\":\"4d0f21919d623bd1631ee15ca7429f28;5ce39ef0700b64bd0c71b55caf64ae45d8400965;7bdf8b8594ec269da864ee662334f4da53d4820a3f0f8aa665a0fa096ca8f22d\",\"pattern\":\"[file:hashes.MD5 = '4d0f21919d623bd1631ee15ca7429f28' OR file:hashes.'SHA-1' = '5ce39ef0700b64bd0c71b55caf64ae45d8400965' OR file:hashes.'SHA-256' = '7bdf8b8594ec269da864ee662334f4da53d4820a3f0f8aa665a0fa096ca8f22d']\",\"pattern_type\":\"stix\",\"sixgill_actor\":\"vaedzy\",\"sixgill_confidence\":70,\"sixgill_feedid\":\"darkfeed_012\",\"sixgill_feedname\":\"dark_web_hashes\",\"sixgill_post_virustotallink\":\"https://virustotal.com/#/file/7bdf8b8594ec269da864ee662334f4da53d4820a3f0f8aa665a0fa096ca8f22d\",\"sixgill_postid\":\"c0c9a0085fb5281cfb40a0ddb62e1d2c6a53eb7a\",\"sixgill_posttitle\":\"[病毒样本] #Trickbot (2021-12-07)\",\"sixgill_severity\":70,\"sixgill_source\":\"forum_kafan\",\"spec_version\":\"2.1\",\"type\":\"indicator\",\"valid_from\":\"2021-12-07T02:55:17Z\"}",
"severity": 70,
"type": [
"indicator"
]
},
"input": {
"type": "httpjson"
},
"tags": [
"preserve_original_event",
"forwarded",
"ti_cybersixgill"
],
"threat": {
"indicator": {
"confidence": "High",
"description": "Hash attributed to malware that was discovered in the dark and deep web",
"file": {
"hash": {
"md5": "4d0f21919d623bd1631ee15ca7429f28",
"sha1": "5ce39ef0700b64bd0c71b55caf64ae45d8400965",
"sha256": "7bdf8b8594ec269da864ee662334f4da53d4820a3f0f8aa665a0fa096ca8f22d"
}
},
"first_seen": "2021-12-07T02:55:17.000Z",
"last_seen": "2021-12-07T13:58:01.596Z",
"name": "7bdf8b8594ec269da864ee662334f4da53d4820a3f0f8aa665a0fa096ca8f22d",
"provider": "forum_kafan",
"reference": "https://portal.cybersixgill.com/#/search?q=_id:c0c9a0085fb5281cfb40a0ddb62e1d2c6a53eb7a",
"type": "file"
},
"tactic": {
"id": [
"TA0024"
],
"name": [
"Build Capabilities"
],
"reference": [
"https://attack.mitre.org/tactics/TA0024/"
]
}
}
}
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.32.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.31.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.31.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.30.5 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.30.4 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.30.3 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.30.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.30.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.30.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.29.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.29.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.28.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.28.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.27.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.26.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.25.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.25.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.24.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.23.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.22.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.21.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
— |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.8.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.6.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.4.1 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.3.2 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.3.1 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |