- Elastic 集成
- 集成快速参考
- 1Password
- Abnormal Security
- ActiveMQ
- Active Directory 实体分析
- Airflow
- Akamai
- Apache
- API(自定义)
- Arbor Peakflow SP 日志
- Arista NG 防火墙
- Atlassian
- Auditd
- Auth0
- authentik
- AWS
- Amazon CloudFront
- Amazon DynamoDB
- Amazon EBS
- Amazon EC2
- Amazon ECS
- Amazon EMR
- AWS API 网关
- Amazon GuardDuty
- AWS Health
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Stream
- Amazon Managed Streaming for Apache Kafka (MSK)
- Amazon NAT 网关
- Amazon RDS
- Amazon Redshift
- Amazon S3
- Amazon S3 Storage Lens
- Amazon Security Lake
- Amazon SNS
- Amazon SQS
- Amazon VPC
- Amazon VPN
- AWS Bedrock
- AWS 账单
- AWS CloudTrail
- AWS CloudWatch
- AWS ELB
- AWS Fargate
- AWS Inspector
- AWS Lambda
- AWS 日志(自定义)
- AWS 网络防火墙
- AWS Route 53
- AWS Security Hub
- AWS Transit Gateway
- AWS 使用情况
- AWS WAF
- Azure
- Barracuda
- BitDefender
- Bitwarden
- blacklens.io
- Blue Coat Director 日志
- BBOT (Bighuge BLS OSINT 工具)
- Box 事件
- Bravura Monitor
- Broadcom ProxySG
- Canva
- Cassandra
- CEL 自定义 API
- Ceph
- Check Point
- Cilium Tetragon
- CISA 已知被利用的漏洞
- Cisco
- Cisco Meraki 指标
- Citrix
- Claroty CTD
- Cloudflare
- 云资产清单
- CockroachDB 指标
- 通用事件格式 (CEF)
- Containerd
- CoreDNS
- Corelight
- Couchbase
- CouchDB
- Cribl
- CrowdStrike
- Cyberark
- Cybereason
- CylanceProtect 日志
- 自定义 Websocket 日志
- Darktrace
- 数据泄露检测
- DGA
- Digital Guardian
- Docker
- Elastic APM
- Elastic Fleet Server
- Elastic Security
- Elastic Stack 监控
- ESET PROTECT
- ESET 威胁情报
- etcd
- Falco
- F5
- 文件完整性监控
- FireEye 网络安全
- First EPSS
- Forcepoint Web Security
- ForgeRock
- Fortinet
- Gigamon
- GitHub
- GitLab
- Golang
- Google Cloud
- GoFlow2 日志
- Hadoop
- HAProxy
- Hashicorp Vault
- HTTP 端点日志(自定义)
- IBM MQ
- IIS
- Imperva
- InfluxDb
- Infoblox
- Iptables
- Istio
- Jamf Compliance Reporter
- Jamf Pro
- Jamf Protect
- Jolokia 输入
- Journald 日志(自定义)
- JumpCloud
- Kafka
- Keycloak
- Kubernetes
- LastPass
- 横向移动检测
- Linux 指标
- 利用现有工具进行攻击检测
- 日志(自定义)
- Lumos
- Lyve Cloud
- Mattermost
- Memcached
- Menlo Security
- Microsoft
- Mimecast
- ModSecurity 审核
- MongoDB
- MongoDB Atlas
- MySQL
- Nagios XI
- NATS
- NetFlow 记录
- Netskope
- 网络信标识别
- 网络数据包捕获
- Nginx
- Okta
- Oracle
- OpenCanary
- Osquery
- Palo Alto
- pfSense
- PHP-FPM
- PingOne
- Pleasant Password Server
- PostgreSQL
- Prometheus
- Proofpoint TAP
- Proofpoint On Demand
- Pulse Connect Secure
- Qualys VMDR
- QNAP NAS
- RabbitMQ 日志
- Radware DefensePro 日志
- Rapid7
- Redis
- Salesforce
- SentinelOne
- ServiceNow
- Slack 日志
- Snort
- Snyk
- SonicWall 防火墙
- Sophos
- Spring Boot
- SpyCloud Enterprise Protection
- SQL 输入
- Squid 日志
- SRX
- STAN
- Statsd 输入
- Sublime Security
- Suricata
- StormShield SNS
- Symantec
- Symantec Endpoint Security
- Linux 版 Sysmon
- Sysdig
- 系统
- 系统审核
- Tanium
- TCP 日志(自定义)
- Teleport
- Tenable
- 威胁情报
- ThreatConnect
- 威胁地图
- Thycotic Secret Server
- Tines
- Traefik
- Trellix
- Trend Micro
- TYCHON 无代理
- UDP 日志(自定义)
- 通用分析
- Vectra Detect
- VMware
- WatchGuard Firebox
- WebSphere 应用程序服务器
- Windows
- Wiz
- Zeek
- ZeroFox
- Zero Networks
- ZooKeeper 指标
- Zoom
- Zscaler
EclecticIQ 集成
编辑EclecticIQ 集成
编辑EclecticIQ 集成允许您从您的 EclecticIQ Intelligence Center 实例的出站馈送中摄取威胁情报可观察对象。
从 EclecticIQ Intelligence Center 出站馈送摄取的可观察对象可以在 Kibana 的 情报 → 指标中进行监控和探索。
数据流
编辑EclecticIQ 集成收集一种类型的数据流:日志。
从该集成收集的日志是从连接的 EclecticIQ Intelligence Center 出站馈送中摄取的威胁情报可观察对象的集合。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或在您自己的硬件上自行管理 Elastic Stack。
您还必须设置您的 EclecticIQ Intelligence Center 以便 Elasticsearch 连接到它。请参阅 设置 EclecticIQ Intelligence Center。
设置
编辑有关如何设置集成的分步说明,请参阅入门指南。
对于您要从中检索情报的每个 EclecticIQ Intelligence Center 出站馈送,您必须创建一个集成实例。
设置 EclecticIQ Intelligence Center
编辑在使用集成之前,您必须
- 在 EclecticIQ Intelligence Center 上设置出站馈送。
- 将集成连接到 EclectiCIQ Intelligence Center 实例。
在 EclecticIQ Intelligence Center 上设置出站馈送
编辑在 EclecticIQ Intelligence Center 上设置出站馈送:创建和配置出站馈送。
这些出站馈送必须具有以下属性
- 传输类型:HTTP 下载
- 内容类型:EclecticIQ 可观察对象 CSV
- 更新策略:追加、差异或替换。这必须与为集成实例设置的更新策略匹配。请参阅 更新策略。
- 授权组:必须设置一个或多个组。馈送必须经过身份验证。请参阅 EclecticIQ Intelligence Center 权限。
仅提取此出站馈送打包的可观察对象。
要查找 EclecticIQ Intelligence Center 出站馈送的 ID:。登录到 EclecticIQ Intelligence Center。 。导航到数据配置 > 出站馈送。 。选择一个出站馈送以打开它。 。检查浏览器的地址栏。 。此出站馈送的 ID 是
?detail=查询参数的值。例如:对于在地址栏中显示https://ic-playground.eclecticiq.com/main/configuration/outgoing-feeds?detail=6的出站馈送,其 ID 为6。
索引名称
编辑此集成检索并提供从 EclecticIQ Intelligence Center 检索的最新版本的威胁情报,该威胁情报位于以下索引中:logs-ti_eclecticiq_latest.observables-1
当威胁情报从配置的出站馈送使用的数据集中删除时,这些威胁情报会从该索引中删除。
在情报仪表板中,要仅查看来自 EclecticIQ Intelligence Center 的最新威胁情报,请使用以下内容筛选结果
_index : logs-ti_eclecticiq_latest.observables-1 and threat.indicator.type : *
或
NOT labels.is_ioc_transform_source: * AND and threat.feed.name: "EclecticIQ"
更新策略
编辑您必须为 EclecticIQ 集成实例和它从中检索数据的 EclecticIQ Intelligence Center 出站馈送设置相同的 更新策略。
更新策略决定了馈送在运行时如何从其配置的数据集中打包数据
- (推荐)差异仅打包自上次运行以来已从馈送的数据集中删除或添加到馈送数据集中的数据。
- 追加仅打包自上次运行以来已添加到馈送数据集中的数据。
-
(不推荐)替换每次运行时都会打包馈送数据集当前包含的所有数据。Elasticsearch 上已存在的记录会进行重复数据删除,但过时或从馈送数据集中删除的记录不会相应地从 Elasticsearch 中删除。
替换的已知问题:替换通常会从给定目标中删除所有数据,然后再将其替换为从给定馈送数据集中打包的所有数据。目前,集成不支持此功能。
支持的 EclecticIQ 可观察对象
编辑以下是此集成支持的 EclecticIQ 可观察对象列表。有关如何映射这些可观察对象的信息,请参阅 导出的字段。
-
asn -
domain -
email -
file -
file-size -
hash-md5 -
hash-md5 -
hash-sha1 -
hash-sha256 -
hash-sha384 -
hash-sha512 -
hash-ssdeep -
ipv4 -
ipv4-cidr -
ipv6 -
ipv6-cidr -
mac-48 -
mutex -
port -
process -
process-name -
uri -
winregistry -
certificate-serial-number -
malware -
rule -
user-agent -
organization -
email-subject -
host -
cve
已知问题
编辑Elastic Indicator Intelligence 仪表板中的某些威胁情报可观察对象会显示 -。该数据不会显示,但会保留在事件的 JSON 正文中。
示例
threat 的示例事件如下所示
{ "@timestamp": "2023-01-01T00:00:00.000Z", "agent": { "ephemeral_id": "cf201e4c-c043-4a07-baa4-2227c8fbb4c3", "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb", "name": "docker-fleet-agent", "type": "filebeat", "version": "8.13.0" }, "data_stream": { "dataset": "ti_eclecticiq.threat", "namespace": "14085", "type": "logs" }, "eclecticiq": { "threat": { "observable_id": "OwWGOybxVeL+USaXvDQSNonD5eU=" } }, "ecs": { "version": "8.11.0" }, "elastic_agent": { "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb", "snapshot": false, "version": "8.13.0" }, "event": { "agent_id_status": "verified", "category": [ "threat" ], "created": "2023-06-08T12:00:30.028Z", "dataset": "ti_eclecticiq.threat", "id": "ZgAq/IXlrjc2J5AdLsDMWhENshI=", "ingested": "2024-08-02T04:24:34Z", "kind": "enrichment", "provider": "Test", "start": "2021-12-19T00:27:19.108Z", "type": [ "indicator" ], "url": "https://www.test.com/" }, "host": { "architecture": "aarch64", "containerized": false, "hostname": "docker-fleet-agent", "id": "8269eab9370b4429947d2a16c3058fcb", "ip": [ "172.29.0.7" ], "mac": [ "02-42-AC-1D-00-07" ], "name": "docker-fleet-agent", "os": { "codename": "focal", "family": "debian", "kernel": "6.4.16-linuxkit", "name": "Ubuntu", "platform": "ubuntu", "type": "linux", "version": "20.04.6 LTS (Focal Fossa)" } }, "input": { "type": "cel" }, "threat": { "indicator": { "first_seen": "2021-12-19T00:27:19.108Z", "marking": { "tlp": "GREEN" }, "name": "example.com", "type": "domain-name", "url": { "domain": "example.com" } } } }
导出的字段
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
eclecticiq.threat.deleted_at |
可观察对象从数据集中删除的日期 |
日期 |
eclecticiq.threat.observable_id |
可观察对象的 ID,基于种类和值。 |
keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
input.type |
输入类型 |
keyword |
labels.is_ioc_transform_source |
指示 IOC 是否位于原始源数据流或最新的目标索引中。 |
constant_keyword |
threat.feed.name |
显示友好的馈送名称 |
constant_keyword |
threat.indicator.first_seen |
情报源首次报告发现此指标的日期和时间。 |
日期 |
threat.indicator.last_seen |
情报源上次报告发现此指标的日期和时间。 |
日期 |
threat.indicator.modified_at |
情报源上次修改此指标信息的日期和时间。 |
日期 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.4 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.3 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) 错误修复 (查看拉取请求) |
— |
0.1.1 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |
On this page