›

ESET 威胁情报集成

版本	1.4.0 ( 查看全部 )
兼容的 Kibana 版本	8.13.0 或更高版本
支持的 Serverless 项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	合作伙伴

此集成连接到 ESET 威胁情报 TAXII 版本 2 服务器。它包括以下数据集，用于检索日志

数据集	TAXII2 集合名称
apt	apt stix 2.1
botnet	botnet stix 2.1
cc	botnet.cc stix 2.1
domains	domain stix 2.1
files	file stix 2.1
ip	ip stix 2.1
url	url stix 2.1

入侵指标 (IOC) 的过期

编辑

摄取的 IOC 在一定时间后过期。为每个源索引创建了一个 Elastic Transform，以便最终用户只能使用活跃的 IOC。每个转换都会创建一个名为 logs-ti_eset_latest.dest_* 的目标索引，该索引仅包含活跃且未过期的 IOC。目标索引将别名为 logs-ti_eset_latest.<feed name>。

源数据流	目标索引模式	目标别名
`logs-ti_eset.apt-*`	logs-ti_eset_latest.dest_apt-*	logs-ti_eset_latest.apt
`logs-ti_eset.botnet-*`	logs-ti_eset_latest.dest_botnet-*	logs-ti_eset_latest.botnet
`logs-ti_eset.cc-*`	logs-ti_eset_latest.dest_cc-*	logs-ti_eset_latest.cc
`logs-ti_eset.domains-*`	logs-ti_eset_latest.dest_domains-*	logs-ti_eset_latest.domains
`logs-ti_eset.files-*`	logs-ti_eset_latest.dest_files-*	logs-ti_eset_latest.files
`logs-ti_eset.ip-*`	logs-ti_eset_latest.dest_ip-*	logs-ti_eset_latest.ip
`logs-ti_eset.url-*`	logs-ti_eset_latest.dest_url-*	logs-ti_eset_latest.url

ILM 策略

编辑

ILM 策略被添加到源索引中，因此不会导致无限增长。这些源索引中的数据将在摄入日期起的一定天数后删除

索引	删除时间	过期时间
`logs-ti_eset.apt`	365 天	365 天
`logs-ti_eset.botnet`	7 天	48 小时
`logs-ti_eset.cc`	7 天	48 小时
`logs-ti_eset.domains`	7 天	48 小时
`logs-ti_eset.files`	7 天	48 小时
`logs-ti_eset.ip`	7 天	48 小时
`logs-ti_eset.url`	7 天	48 小时

要求

编辑

必须安装 Elastic Agent。有关更多信息，请参阅此链接此处。

安装和管理 Elastic Agent

编辑

您有几种安装和管理 Elastic Agent 的选项

安装 Fleet 管理的 Elastic Agent（推荐）

编辑

使用此方法，您安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理，因为它使您的代理的管理和升级变得相当容易。

以独立模式安装 Elastic Agent（高级用户）

编辑

使用此方法，您安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户。

在容器化环境中安装 Elastic Agent

编辑

您可以在容器内运行 Elastic Agent，使用 Fleet Server 或独立运行。所有版本的 Elastic Agent 的 Docker 映像都可从 Elastic Docker 注册表获得，并且我们提供了在 Kubernetes 上运行的部署清单。

运行 Elastic Agent 有一些最低要求，有关更多信息，请参阅此链接此处。

设置

编辑

在 Elastic 中启用集成

编辑

在 Kibana 中，转到管理 > 集成。
在“搜索集成”搜索栏中，键入 ESET 威胁情报。
从搜索结果中单击“ESET 威胁情报”集成。
单击“添加 ESET 威胁情报”按钮以添加集成。
配置所有必需的集成参数，包括您在入职过程中从 ESET 收到的用户名和密码。有关更多信息，请访问 ESET 威胁情报页面。
启用您感兴趣并有权访问的数据流。
保存集成。

日志

编辑

僵尸网络

编辑

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.image.id	云实例的映像 ID。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
eset.id	事件对象的 UID。	keyword
eset.labels	威胁标签。	keyword
eset.valid_until	事件过期日期。	日期
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
host.containerized	如果主机是容器。	布尔值
host.os.build	操作系统版本信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
input.type	输入类型。	keyword
labels.is_ioc_transform_source	指示 IOC 是否位于原始源数据流中，或位于最新的目标索引中。	constant_keyword
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源上次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

示例

botnet 的示例事件如下

{
    "@timestamp": "2023-10-18T02:05:09.000Z",
    "agent": {
        "ephemeral_id": "e3582713-6bf8-43c3-af56-ccec81f7e8f4",
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "ti_eset.botnet",
        "namespace": "22700",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "snapshot": false,
        "version": "8.13.0"
    },
    "eset": {
        "id": "indicator--80dc09fa-563f-4a9c-ad1d-655d8dffa37f",
        "labels": [
            "malicious-activity"
        ],
        "valid_until": "2023-10-20T02:05:09.000Z"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "threat"
        ],
        "created": "2024-08-02T05:02:05.881Z",
        "dataset": "ti_eset.botnet",
        "ingested": "2024-08-02T05:02:17Z",
        "kind": "enrichment",
        "original": "{\"created\":\"2023-10-18T02:05:09.000Z\",\"description\":\"Each of these file hashes indicates that a variant of Win32/Rescoms.B backdoor is present.\",\"id\":\"indicator--80dc09fa-563f-4a9c-ad1d-655d8dffa37f\",\"labels\":[\"malicious-activity\"],\"modified\":\"2023-10-18T02:05:09.000Z\",\"name\":\"373d34874d7bc89fd4cefa6272ee80bf\",\"pattern\":\"[file:hashes.'SHA-256'='b0e914d1bbe19433cc9df64ea1ca07fe77f7b150b511b786e46e007941a62bd7'] OR [file:hashes.'SHA-1'='373d34874d7bc89fd4cefa6272ee80bf'] OR [file:hashes.'MD5'='373d34874d7bc89fd4cefa6272ee80bf']\",\"pattern_type\":\"stix\",\"pattern_version\":\"2.1\",\"spec_version\":\"indicator\",\"type\":\"indicator\",\"valid_from\":\"2023-10-18T02:05:09Z\",\"valid_until\":\"2023-10-20T02:05:09Z\"}",
        "type": [
            "indicator"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "eset-botnet"
    ],
    "threat": {
        "feed": {
            "name": "ESET Botnet stix 2.1"
        },
        "indicator": {
            "confidence": "High",
            "description": "Each of these file hashes indicates that a variant of Win32/Rescoms.B backdoor is present.",
            "file": {
                "hash": {
                    "md5": "373d34874d7bc89fd4cefa6272ee80bf",
                    "sha1": "373d34874d7bc89fd4cefa6272ee80bf",
                    "sha256": "b0e914d1bbe19433cc9df64ea1ca07fe77f7b150b511b786e46e007941a62bd7"
                }
            },
            "last_seen": "2023-10-18T02:05:09.000Z",
            "modified_at": "2023-10-18T02:05:09.000Z",
            "name": "373d34874d7bc89fd4cefa6272ee80bf",
            "provider": "eset",
            "type": "file"
        }
    }
}

C&C

编辑

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.image.id	云实例的映像 ID。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
eset.id	事件对象的 UID。	keyword
eset.labels	威胁标签。	keyword
eset.valid_until	事件过期日期。	日期
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
host.containerized	如果主机是容器。	布尔值
host.os.build	操作系统版本信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
input.type	输入类型。	keyword
labels.is_ioc_transform_source	指示 IOC 是否位于原始源数据流中，或位于最新的目标索引中。	constant_keyword
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源上次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

示例

cc 的示例事件如下

{
    "@timestamp": "2023-10-19T02:00:09.000Z",
    "agent": {
        "ephemeral_id": "95cbae2d-d7d2-4290-85f5-52760bcda80a",
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "ti_eset.cc",
        "namespace": "98813",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "snapshot": false,
        "version": "8.13.0"
    },
    "eset": {
        "id": "indicator--34e0eaa0-d35d-4039-b801-8f05d4e16bea",
        "labels": [
            "malicious-activity"
        ],
        "valid_until": "2023-10-21T02:00:09.000Z"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "threat"
        ],
        "created": "2024-08-02T05:04:32.167Z",
        "dataset": "ti_eset.cc",
        "ingested": "2024-08-02T05:04:44Z",
        "kind": "enrichment",
        "original": "{\"created\":\"2023-10-19T02:00:09.000Z\",\"description\":\"C\\u0026C of Win32/Smokeloader.H trojan\",\"id\":\"indicator--34e0eaa0-d35d-4039-b801-8f05d4e16bea\",\"labels\":[\"malicious-activity\"],\"modified\":\"2023-10-19T02:00:09.000Z\",\"name\":\"https://example.com/some/path\",\"pattern\":\"[url:value='https://example.com/some/path']\",\"pattern_type\":\"stix\",\"pattern_version\":\"2.1\",\"spec_version\":\"indicator\",\"type\":\"indicator\",\"valid_from\":\"2023-10-19T02:00:09Z\",\"valid_until\":\"2023-10-21T02:00:09Z\"}",
        "type": [
            "indicator"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "eset-cc"
    ],
    "threat": {
        "feed": {
            "name": "ESET Botnet C&C stix 2.1"
        },
        "indicator": {
            "confidence": "High",
            "description": "C&C of Win32/Smokeloader.H trojan",
            "last_seen": "2023-10-19T02:00:09.000Z",
            "modified_at": "2023-10-19T02:00:09.000Z",
            "name": "https://example.com/some/path",
            "provider": "eset",
            "type": "url",
            "url": {
                "original": "https://example.com/some/path"
            }
        }
    }
}

域

编辑

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.image.id	云实例的映像 ID。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
eset.id	事件对象的 UID。	keyword
eset.labels	威胁标签。	keyword
eset.valid_until	事件过期日期。	日期
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
host.containerized	如果主机是容器。	布尔值
host.os.build	操作系统版本信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
input.type	输入类型。	keyword
labels.is_ioc_transform_source	指示 IOC 是否位于原始源数据流中，或位于最新的目标索引中。	constant_keyword
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源上次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

示例

domains 的示例事件如下

{
    "@timestamp": "2023-10-19T02:00:28.000Z",
    "agent": {
        "ephemeral_id": "76bad86d-2d9f-43d9-aa2b-f14fd7fc62ca",
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "ti_eset.domains",
        "namespace": "67132",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "snapshot": false,
        "version": "8.13.0"
    },
    "eset": {
        "id": "indicator--dfb05726-f2be-43c8-a5b2-48e78cc05286",
        "labels": [
            "malicious-activity"
        ],
        "valid_until": "2023-10-21T02:00:28.000Z"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "threat"
        ],
        "created": "2024-08-02T05:06:46.514Z",
        "dataset": "ti_eset.domains",
        "ingested": "2024-08-02T05:06:58Z",
        "kind": "enrichment",
        "original": "{\"created\":\"2023-10-19T02:00:28.000Z\",\"description\":\"Host is known to be actively distributing adware or other medium-risk software.\",\"id\":\"indicator--dfb05726-f2be-43c8-a5b2-48e78cc05286\",\"labels\":[\"malicious-activity\"],\"modified\":\"2023-10-19T02:00:28.000Z\",\"name\":\"example.com\",\"pattern\":\"[domain-name:value='example.com']\",\"pattern_type\":\"stix\",\"pattern_version\":\"2.1\",\"spec_version\":\"indicator\",\"type\":\"indicator\",\"valid_from\":\"2023-10-19T02:00:28Z\",\"valid_until\":\"2023-10-21T02:00:28Z\"}",
        "type": [
            "indicator"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "eset-domains"
    ],
    "threat": {
        "feed": {
            "name": "ESET Domain stix 2.1"
        },
        "indicator": {
            "confidence": "High",
            "description": "Host is known to be actively distributing adware or other medium-risk software.",
            "last_seen": "2023-10-19T02:00:28.000Z",
            "modified_at": "2023-10-19T02:00:28.000Z",
            "name": "example.com",
            "provider": "eset",
            "type": "url",
            "url": {
                "domain": "example.com",
                "original": "example.com"
            }
        }
    }
}

恶意文件

编辑

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.image.id	云实例的映像 ID。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
eset.id	事件对象的 UID。	keyword
eset.labels	威胁标签。	keyword
eset.valid_until	事件过期日期。	日期
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
host.containerized	如果主机是容器。	布尔值
host.os.build	操作系统版本信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
input.type	输入类型。	keyword
labels.is_ioc_transform_source	指示 IOC 是否位于原始源数据流中，或位于最新的目标索引中。	constant_keyword
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源上次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

示例

files 的示例事件如下

{
    "@timestamp": "2023-10-19T02:00:38.000Z",
    "agent": {
        "ephemeral_id": "dbb7a40e-8e54-45da-9658-416a3183fbab",
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "ti_eset.files",
        "namespace": "64810",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "snapshot": false,
        "version": "8.13.0"
    },
    "eset": {
        "id": "indicator--5d7e9ad6-7b48-42fa-8598-d474e8da1b0f",
        "labels": [
            "malicious-activity"
        ],
        "valid_until": "2023-10-21T02:00:38.000Z"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "threat"
        ],
        "created": "2024-08-02T05:09:00.102Z",
        "dataset": "ti_eset.files",
        "ingested": "2024-08-02T05:09:12Z",
        "kind": "enrichment",
        "original": "{\"created\":\"2023-10-19T02:00:38.000Z\",\"description\":\"Each of these file hashes indicates that a variant of HTML/Phishing.Agent.EVU trojan is present.\",\"id\":\"indicator--5d7e9ad6-7b48-42fa-8598-d474e8da1b0f\",\"labels\":[\"malicious-activity\"],\"modified\":\"2023-10-19T02:00:38.000Z\",\"name\":\"b0e914d1bbe19433cc9df64ea1ca07fe77f7b150b511b786e46e007941a62bd7\",\"pattern\":\"[file:hashes.'SHA-256'='b0e914d1bbe19433cc9df64ea1ca07fe77f7b150b511b786e46e007941a62bd7'] OR [file:hashes.'SHA-1'='b0e914d1bbe19433cc9df64ea1ca07fe77f7b150b511b786e46e007941a62bd7'] OR [file:hashes.'MD5'='b0e914d1bbe19433cc9df64ea1ca07fe77f7b150b511b786e46e007941a62bd7']\",\"pattern_type\":\"stix\",\"pattern_version\":\"2.1\",\"spec_version\":\"indicator\",\"type\":\"indicator\",\"valid_from\":\"2023-10-19T02:00:38Z\",\"valid_until\":\"2023-10-21T02:00:38Z\"}",
        "type": [
            "indicator"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "eset-files"
    ],
    "threat": {
        "feed": {
            "name": "ESET Malicious Files stix 2.1"
        },
        "indicator": {
            "confidence": "High",
            "description": "Each of these file hashes indicates that a variant of HTML/Phishing.Agent.EVU trojan is present.",
            "file": {
                "hash": {
                    "md5": "b0e914d1bbe19433cc9df64ea1ca07fe77f7b150b511b786e46e007941a62bd7",
                    "sha1": "b0e914d1bbe19433cc9df64ea1ca07fe77f7b150b511b786e46e007941a62bd7",
                    "sha256": "b0e914d1bbe19433cc9df64ea1ca07fe77f7b150b511b786e46e007941a62bd7"
                }
            },
            "last_seen": "2023-10-19T02:00:38.000Z",
            "modified_at": "2023-10-19T02:00:38.000Z",
            "name": "b0e914d1bbe19433cc9df64ea1ca07fe77f7b150b511b786e46e007941a62bd7",
            "provider": "eset",
            "type": "file"
        }
    }
}

IP

编辑

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.image.id	云实例的映像 ID。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
eset.id	事件对象的 UID。	keyword
eset.labels	威胁标签。	keyword
eset.valid_until	事件过期日期。	日期
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
host.containerized	如果主机是容器。	布尔值
host.os.build	操作系统版本信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
input.type	输入类型。	keyword
labels.is_ioc_transform_source	指示 IOC 是否位于原始源数据流中，或位于最新的目标索引中。	constant_keyword
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源上次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

示例

ip 的示例事件如下

{
    "@timestamp": "2023-10-19T02:20:06.000Z",
    "agent": {
        "ephemeral_id": "960f3ac1-589e-4bc0-a8d2-ba6745729a1a",
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "ti_eset.ip",
        "namespace": "85610",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "snapshot": false,
        "version": "8.13.0"
    },
    "eset": {
        "id": "indicator--905fad40-d804-4b89-ac9d-b616e0b8f6d3",
        "labels": [
            "malicious-activity"
        ],
        "valid_until": "2023-10-21T02:20:06.000Z"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "threat"
        ],
        "created": "2024-08-02T05:11:15.412Z",
        "dataset": "ti_eset.ip",
        "ingested": "2024-08-02T05:11:27Z",
        "kind": "enrichment",
        "original": "{\"created\":\"2023-10-19T02:20:06.000Z\",\"description\":\"Web services scanning and attacks\",\"id\":\"indicator--905fad40-d804-4b89-ac9d-b616e0b8f6d3\",\"labels\":[\"malicious-activity\"],\"modified\":\"2023-10-19T02:20:06.000Z\",\"name\":\"5.2.75.227\",\"pattern\":\"[ipv4-addr:value='5.2.75.227']\",\"pattern_type\":\"stix\",\"pattern_version\":\"2.1\",\"spec_version\":\"indicator\",\"type\":\"indicator\",\"valid_from\":\"2023-10-19T02:20:06Z\",\"valid_until\":\"2023-10-21T02:20:06Z\"}",
        "type": [
            "indicator"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "eset-ip"
    ],
    "threat": {
        "feed": {
            "name": "ESET IP stix 2.1"
        },
        "indicator": {
            "confidence": "High",
            "description": "Web services scanning and attacks",
            "ip": "5.2.75.227",
            "last_seen": "2023-10-19T02:20:06.000Z",
            "modified_at": "2023-10-19T02:20:06.000Z",
            "name": "5.2.75.227",
            "provider": "eset",
            "type": "ipv4-addr"
        }
    }
}

APT

编辑

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.image.id	云实例的映像 ID。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
eset.category	MISP 定义的事件类别。	keyword
eset.id	事件对象的 UID。	keyword
eset.meta_category	MISP 定义的事件子类别。	keyword
eset.name	描述事件的人类可读名称。	keyword
eset.type	事件的类型。	keyword
eset.valid_until	事件过期日期。	日期
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
host.containerized	如果主机是容器。	布尔值
host.os.build	操作系统版本信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
input.type	输入类型。	keyword
labels.is_ioc_transform_source	指示 IOC 是否位于原始源数据流中，或位于最新的目标索引中。	constant_keyword
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源上次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

示例

apt 的示例事件如下

{
    "@timestamp": "2023-09-29T08:48:42.000Z",
    "agent": {
        "ephemeral_id": "bd2c939d-5911-4c25-b463-5e05b9c631d1",
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "ti_eset.apt",
        "namespace": "69523",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "snapshot": false,
        "version": "8.13.0"
    },
    "eset": {
        "id": "indicator--a4cb9aa8-b12e-4141-ae33-509dfd9dd382",
        "meta_category": "file",
        "name": "file",
        "valid_until": "2024-09-28T08:48:42.000Z"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "threat"
        ],
        "created": "2024-08-02T04:59:53.515Z",
        "dataset": "ti_eset.apt",
        "ingested": "2024-08-02T05:00:03Z",
        "kind": "enrichment",
        "original": "{\"created\":\"2023-09-29T08:48:42.000Z\",\"created_by_ref\":\"identity--55f6ea5e-51ac-4344-bc8c-4170950d210f\",\"id\":\"indicator--a4cb9aa8-b12e-4141-ae33-509dfd9dd382\",\"kill_chain_phases\":[{\"kill_chain_name\":\"misp-category\",\"phase_name\":\"file\"}],\"labels\":[\"misp:name=\\\"file\\\"\",\"misp:meta-category=\\\"file\\\"\",\"misp:to_ids=\\\"True\\\"\"],\"modified\":\"2023-09-29T08:48:42.000Z\",\"pattern\":\"[file:hashes.MD5 = '7196b26572d2c357a17599b9a0d71d33' AND file:hashes.SHA1 = 'a3ee3d4bc8057cfde073a7acf3232cfb3cbb10c0' AND file:hashes.SHA256 = '6c9eab41d2e06702313ee6513a8b98adc083ee7bcd2c85821a8a3136c20d687e' AND file:name = 'KihqQGHs7zYOxqqNE0b9zO4w6d7ysXUWrfDf6vLOAW4MU3Fs.mp3' AND file:parent_directory_ref.path = 'Comchit ltr no 4200 dt 23-09-2023' AND file:x_misp_fullpath = 'Comchit ltr no 4200 dt 23-09-2023/KihqQGHs7zYOxqqNE0b9zO4w6d7ysXUWrfDf6vLOAW4MU3Fs.mp3' AND file:extensions.'windows-pebinary-ext'.imphash = 'fcab131627362db5898b1bcc15d7fd72' AND file:extensions.'windows-pebinary-ext'.pe_type = 'dll' AND file:extensions.'windows-pebinary-ext'.x_misp_compilation_timestamp = '2023-09-25 07:03:56+00:00' AND file:extensions.'windows-pebinary-ext'.x_misp_authentihash = '6c744b262dbf76fb20346a93cbedbb0668c90b5bb5027485109e3cfb41f48d8c']\",\"pattern_type\":\"stix\",\"pattern_version\":\"2.1\",\"spec_version\":\"indicator\",\"type\":\"indicator\",\"valid_from\":\"2023-09-26T07:00:04Z\"}",
        "type": [
            "indicator"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "eset-apt"
    ],
    "threat": {
        "feed": {
            "name": "ESET APT stix 2.1"
        },
        "indicator": {
            "confidence": "High",
            "file": {
                "hash": {
                    "md5": "7196b26572d2c357a17599b9a0d71d33",
                    "sha1": "a3ee3d4bc8057cfde073a7acf3232cfb3cbb10c0",
                    "sha256": "6c9eab41d2e06702313ee6513a8b98adc083ee7bcd2c85821a8a3136c20d687e"
                },
                "name": "KihqQGHs7zYOxqqNE0b9zO4w6d7ysXUWrfDf6vLOAW4MU3Fs.mp3"
            },
            "last_seen": "2023-09-29T08:48:42.000Z",
            "modified_at": "2023-09-29T08:48:42.000Z",
            "provider": "eset",
            "type": "file"
        }
    }
}

URL

编辑

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.image.id	云实例的映像 ID。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
eset.id	事件对象的 UID。	keyword
eset.labels	威胁标签。	keyword
eset.valid_until	事件过期日期。	日期
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
host.containerized	如果主机是容器。	布尔值
host.os.build	操作系统版本信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
input.type	输入类型。	keyword
labels.is_ioc_transform_source	指示 IOC 是否位于原始源数据流中，或位于最新的目标索引中。	constant_keyword
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源上次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

示例

url 的示例事件如下

{
    "@timestamp": "2023-10-19T02:00:13.000Z",
    "agent": {
        "ephemeral_id": "9dbf7300-beb1-41a6-ab96-8fd3b1fa2108",
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "ti_eset.url",
        "namespace": "17964",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "snapshot": false,
        "version": "8.13.0"
    },
    "eset": {
        "id": "indicator--8986619a-150b-453c-aaa8-bfe8694d05cc",
        "labels": [
            "benign"
        ],
        "valid_until": "2023-10-21T02:00:13.000Z"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "threat"
        ],
        "created": "2024-08-02T05:13:29.831Z",
        "dataset": "ti_eset.url",
        "ingested": "2024-08-02T05:13:41Z",
        "kind": "enrichment",
        "original": "{\"created\":\"2023-10-19T02:00:13.000Z\",\"description\":\"Host actively distributes high-severity threat in the form of executable code.\",\"id\":\"indicator--8986619a-150b-453c-aaa8-bfe8694d05cc\",\"labels\":[\"benign\"],\"modified\":\"2023-10-19T02:00:13.000Z\",\"name\":\"https://example.com/some/path\",\"pattern\":\"[url:value='https://example.com/some/path']\",\"pattern_type\":\"stix\",\"pattern_version\":\"2.1\",\"spec_version\":\"indicator\",\"type\":\"indicator\",\"valid_from\":\"2023-10-19T02:00:13Z\",\"valid_until\":\"2023-10-21T02:00:13Z\"}",
        "type": [
            "indicator"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "eset-url"
    ],
    "threat": {
        "feed": {
            "name": "ESET URL stix 2.1"
        },
        "indicator": {
            "confidence": "Low",
            "description": "Host actively distributes high-severity threat in the form of executable code.",
            "last_seen": "2023-10-19T02:00:13.000Z",
            "modified_at": "2023-10-19T02:00:13.000Z",
            "name": "https://example.com/some/path",
            "provider": "eset",
            "type": "url",
            "url": {
                "original": "https://example.com/some/path"
            }
        }
    }
}

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
1.4.0	增强 (查看拉取请求) 不要删除主摄取管道中的 `event.original`。	8.13.0 或更高版本
1.3.0	增强 (查看拉取请求) 向 `event.kind` 设置为 "pipeline_error" 的文档添加 "preserve_original_event" 标记。	8.13.0 或更高版本
1.2.5	Bug 修复 (查看拉取请求) 在摄取管道中引用变量时，使用三重大括号 Mustache 模板。	8.13.0 或更高版本
1.2.4	Bug 修复 (查看拉取请求) 修复 labels.is_ioc_transform_source 值	8.13.0 或更高版本
1.2.3	Bug 修复 (查看拉取请求) 在转换中添加缺少的字段	8.13.0 或更高版本
1.2.2	Bug 修复 (查看拉取请求) 修复威胁字段上的 ECS 日期映射。	8.13.0 或更高版本
1.2.1	Bug 修复 (查看拉取请求) 从自述文件中删除对 Kibana 版本的引用。	8.13.0 或更高版本
1.2.0	增强 (查看拉取请求) 将 kibana 约束更新为 ^8.13.0。修改了字段定义，以删除 ecs@mappings 组件模板使其变得冗余的 ECS 字段。	8.13.0 或更高版本
1.1.1	Bug 修复 (查看拉取请求) 调整转换目标索引的字段映射。	8.12.0 或更高版本
1.1.0	增强 (查看拉取请求) 改进对空响应的处理。	8.12.0 或更高版本
1.0.0	增强 (查看拉取请求) 将包发布为 GA。	8.12.0 或更高版本
0.1.0	增强 (查看拉取请求) ESET 威胁情报包	—

« ESET PROTECT etcd 集成 »