EclecticIQ 集成
编辑EclecticIQ 集成
编辑EclecticIQ 集成允许您从您的 EclecticIQ Intelligence Center 实例的出站馈送中摄取威胁情报可观察对象。
从 EclecticIQ Intelligence Center 出站馈送摄取的可观察对象可以在 Kibana 的 情报 → 指标中进行监控和探索。
数据流
编辑EclecticIQ 集成收集一种类型的数据流:日志。
从该集成收集的日志是从连接的 EclecticIQ Intelligence Center 出站馈送中摄取的威胁情报可观察对象的集合。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或在您自己的硬件上自行管理 Elastic Stack。
您还必须设置您的 EclecticIQ Intelligence Center 以便 Elasticsearch 连接到它。请参阅 设置 EclecticIQ Intelligence Center。
设置
编辑有关如何设置集成的分步说明,请参阅入门指南。
对于您要从中检索情报的每个 EclecticIQ Intelligence Center 出站馈送,您必须创建一个集成实例。
设置 EclecticIQ Intelligence Center
编辑在使用集成之前,您必须
- 在 EclecticIQ Intelligence Center 上设置出站馈送。
- 将集成连接到 EclectiCIQ Intelligence Center 实例。
在 EclecticIQ Intelligence Center 上设置出站馈送
编辑在 EclecticIQ Intelligence Center 上设置出站馈送:创建和配置出站馈送。
这些出站馈送必须具有以下属性
- 传输类型:HTTP 下载
- 内容类型:EclecticIQ 可观察对象 CSV
- 更新策略:追加、差异或替换。这必须与为集成实例设置的更新策略匹配。请参阅 更新策略。
- 授权组:必须设置一个或多个组。馈送必须经过身份验证。请参阅 EclecticIQ Intelligence Center 权限。
仅提取此出站馈送打包的可观察对象。
要查找 EclecticIQ Intelligence Center 出站馈送的 ID:。登录到 EclecticIQ Intelligence Center。 。导航到数据配置 > 出站馈送。 。选择一个出站馈送以打开它。 。检查浏览器的地址栏。 。此出站馈送的 ID 是
?detail=查询参数的值。例如:对于在地址栏中显示https://ic-playground.eclecticiq.com/main/configuration/outgoing-feeds?detail=6的出站馈送,其 ID 为6。
索引名称
编辑此集成检索并提供从 EclecticIQ Intelligence Center 检索的最新版本的威胁情报,该威胁情报位于以下索引中:logs-ti_eclecticiq_latest.observables-1
当威胁情报从配置的出站馈送使用的数据集中删除时,这些威胁情报会从该索引中删除。
在情报仪表板中,要仅查看来自 EclecticIQ Intelligence Center 的最新威胁情报,请使用以下内容筛选结果
_index : logs-ti_eclecticiq_latest.observables-1 and threat.indicator.type : *
或
NOT labels.is_ioc_transform_source: * AND and threat.feed.name: "EclecticIQ"
更新策略
编辑您必须为 EclecticIQ 集成实例和它从中检索数据的 EclecticIQ Intelligence Center 出站馈送设置相同的 更新策略。
更新策略决定了馈送在运行时如何从其配置的数据集中打包数据
- (推荐)差异仅打包自上次运行以来已从馈送的数据集中删除或添加到馈送数据集中的数据。
- 追加仅打包自上次运行以来已添加到馈送数据集中的数据。
-
(不推荐)替换每次运行时都会打包馈送数据集当前包含的所有数据。Elasticsearch 上已存在的记录会进行重复数据删除,但过时或从馈送数据集中删除的记录不会相应地从 Elasticsearch 中删除。
替换的已知问题:替换通常会从给定目标中删除所有数据,然后再将其替换为从给定馈送数据集中打包的所有数据。目前,集成不支持此功能。
支持的 EclecticIQ 可观察对象
编辑以下是此集成支持的 EclecticIQ 可观察对象列表。有关如何映射这些可观察对象的信息,请参阅 导出的字段。
-
asn -
domain -
email -
file -
file-size -
hash-md5 -
hash-md5 -
hash-sha1 -
hash-sha256 -
hash-sha384 -
hash-sha512 -
hash-ssdeep -
ipv4 -
ipv4-cidr -
ipv6 -
ipv6-cidr -
mac-48 -
mutex -
port -
process -
process-name -
uri -
winregistry -
certificate-serial-number -
malware -
rule -
user-agent -
organization -
email-subject -
host -
cve
已知问题
编辑Elastic Indicator Intelligence 仪表板中的某些威胁情报可观察对象会显示 -。该数据不会显示,但会保留在事件的 JSON 正文中。
示例
threat 的示例事件如下所示
{
"@timestamp": "2023-01-01T00:00:00.000Z",
"agent": {
"ephemeral_id": "cf201e4c-c043-4a07-baa4-2227c8fbb4c3",
"id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "ti_eclecticiq.threat",
"namespace": "14085",
"type": "logs"
},
"eclecticiq": {
"threat": {
"observable_id": "OwWGOybxVeL+USaXvDQSNonD5eU="
}
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"threat"
],
"created": "2023-06-08T12:00:30.028Z",
"dataset": "ti_eclecticiq.threat",
"id": "ZgAq/IXlrjc2J5AdLsDMWhENshI=",
"ingested": "2024-08-02T04:24:34Z",
"kind": "enrichment",
"provider": "Test",
"start": "2021-12-19T00:27:19.108Z",
"type": [
"indicator"
],
"url": "https://www.test.com/"
},
"host": {
"architecture": "aarch64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "8269eab9370b4429947d2a16c3058fcb",
"ip": [
"172.29.0.7"
],
"mac": [
"02-42-AC-1D-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "6.4.16-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)"
}
},
"input": {
"type": "cel"
},
"threat": {
"indicator": {
"first_seen": "2021-12-19T00:27:19.108Z",
"marking": {
"tlp": "GREEN"
},
"name": "example.com",
"type": "domain-name",
"url": {
"domain": "example.com"
}
}
}
}
导出的字段
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
eclecticiq.threat.deleted_at |
可观察对象从数据集中删除的日期 |
日期 |
eclecticiq.threat.observable_id |
可观察对象的 ID,基于种类和值。 |
keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
input.type |
输入类型 |
keyword |
labels.is_ioc_transform_source |
指示 IOC 是否位于原始源数据流或最新的目标索引中。 |
constant_keyword |
threat.feed.name |
显示友好的馈送名称 |
constant_keyword |
threat.indicator.first_seen |
情报源首次报告发现此指标的日期和时间。 |
日期 |
threat.indicator.last_seen |
情报源上次报告发现此指标的日期和时间。 |
日期 |
threat.indicator.modified_at |
情报源上次修改此指标信息的日期和时间。 |
日期 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.4 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.3 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) 错误修复 (查看拉取请求) |
— |
0.1.1 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |