« EclecticIQ 集成 Mandiant Advantage »
Elastic 文档 Elastic 集成 威胁情报

Maltiverse 集成

编辑

Maltiverse 集成

编辑

版本

1.4.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

合作伙伴

Maltiverse 是一个威胁情报平台。它充当威胁情报来源的代理,这些来源聚合了来自一百多个不同的公共、私人和社区来源的数据。一旦数据被摄入,IoC 评分算法会对 IoC 进行定性分类,并进行更改。最后,这些数据可以在威胁情报源中查询,该源可以交付给您的防火墙、SOAR、SIEM、EDR 或任何其他技术。

此集成获取 Maltiverse 威胁情报源,并将其添加到 Elastic 威胁情报中。它支持 hostnamehashipv4url 指标。

为了下载源,您需要在您的个人资料页面上注册并生成 API 密钥。

IoC 过期

编辑

由于我们只想保留有价值的信息并避免重复数据,因此 Maltiverse Elastic 集成强制指标轮换到一个名为 logs-ti_maltiverse_latest.indicator 的自定义索引中。请参考此索引以设置警报等。

工作原理
编辑

这要归功于随集成一起安装的转换规则。该转换规则解析从 Maltiverse 中提取的 data_stream 内容,并且仅添加新的指标。

data_stream 和最新索引都分别通过 ILM 和转换中的保留策略应用了过期。

日志

编辑
指标
编辑
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

date

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

input.type

输入类型。

keyword

labels.is_ioc_transform_source

指示 IOC 是在原始源数据流中还是在最新的目标索引中。

constant_keyword

maltiverse.address

注册地址

keyword

maltiverse.address.address

maltiverse.address 的多字段。

match_only_text

maltiverse.as_name

AS 注册名称

keyword

maltiverse.as_name.as_name

maltiverse.as_name 的多字段。

match_only_text

maltiverse.asn_cidr

关联的 CIDR

keyword

maltiverse.asn_country_code

与 ASN 关联的国家/地区代码

keyword

maltiverse.asn_date

ASN 注册日期

date

maltiverse.asn_registry

ASN 注册表

keyword

maltiverse.blacklist.count

指标的报告数量

long

maltiverse.blacklist.description

我们看到了什么

keyword

maltiverse.blacklist.description.description

maltiverse.blacklist.description 的多字段。

match_only_text

maltiverse.blacklist.external_references

flattened

maltiverse.blacklist.first_seen

首次发现

date

maltiverse.blacklist.labels

keyword

maltiverse.blacklist.last_seen

最后一次发现

date

maltiverse.blacklist.source

活动报告者

keyword

maltiverse.cidr

关联的 CIDR

keyword

maltiverse.city

城市

keyword

maltiverse.classification

威胁分类

keyword

maltiverse.country_code

威胁的国家/地区代码

keyword

maltiverse.creation_time

创建日期

date

maltiverse.domain_consonants

long

maltiverse.domain_length

long

maltiverse.email

电子邮件地址

keyword

maltiverse.entropy

double

maltiverse.feed

IoC 的来源

keyword

maltiverse.hostname

keyword

maltiverse.ip_addr

IP 地址

ip

maltiverse.is_alive

boolean

maltiverse.is_cdn

布尔值描述标记

boolean

maltiverse.is_cnc

布尔值描述标记

boolean

maltiverse.is_distributing_malware

布尔值描述标记

boolean

maltiverse.is_hosting

布尔值描述标记

boolean

maltiverse.is_iot_threat

布尔值描述标记

boolean

maltiverse.is_known_attacker

布尔值描述标记

boolean

maltiverse.is_known_scanner

布尔值描述标记

boolean

maltiverse.is_mining_pool

布尔值描述标记

boolean

maltiverse.is_open_proxy

布尔值描述标记

boolean

maltiverse.is_phishing

boolean

maltiverse.is_sinkhole

布尔值描述标记

boolean

maltiverse.is_storing_phishing

boolean

maltiverse.is_tor_node

布尔值描述标记

boolean

maltiverse.is_vpn_node

布尔值描述标记

boolean

maltiverse.last_online_time

keyword

maltiverse.location

经度和纬度。

geo_point

maltiverse.modification_time

上次修改日期

date

maltiverse.number_of_blacklisted_domains_resolving

关联的已列入黑名单的域名解析

long

maltiverse.number_of_domains_resolving

关联的域名解析

long

maltiverse.number_of_offline_malicious_urls_allocated

已分配的 URL

long

maltiverse.number_of_online_malicious_urls_allocated

已分配的 URL

long

maltiverse.number_of_whitelisted_domains_resolving

关联的已列入白名单的域名解析

long

maltiverse.postal_code

keyword

maltiverse.registrant_name

注册人姓名

keyword

maltiverse.registrant_name.registrant_name

maltiverse.registrant_name 的多字段。

match_only_text

maltiverse.resolved_ip

flattened

maltiverse.tag

威胁标签

keyword

maltiverse.type

威胁类型

keyword

maltiverse.urlchecksum

keyword

threat.indicator.first_seen

情报源首次报告发现此指标的日期和时间。

date

threat.indicator.last_seen

情报源上次报告发现此指标的日期和时间。

date

threat.indicator.modified_at

情报源上次修改此指标信息的日期和时间。

date
示例

indicator 的示例事件如下所示

{
    "@timestamp": "2022-11-05T05:37:57.000Z",
    "agent": {
        "ephemeral_id": "c371b9d1-ae14-4272-9d73-3ef7bf7e46f9",
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "ti_maltiverse.indicator",
        "namespace": "34244",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "threat"
        ],
        "created": "2024-08-02T05:34:15.473Z",
        "dataset": "ti_maltiverse.indicator",
        "id": "NsHdp9tZZtzo6Kzlv6Z1TmPP47U=",
        "ingested": "2024-08-02T05:34:27Z",
        "kind": "enrichment",
        "original": "{\"blacklist\":{\"count\":1,\"description\":\"QakBot\",\"first_seen\":\"2022-11-03 06:23:53\",\"labels\":[\"malicious-activity\"],\"last_seen\":\"2022-11-05 05:37:57\",\"source\":\"ThreatFox Abuse.ch\"},\"classification\":\"malicious\",\"creation_time\":\"2022-11-03 06:23:53\",\"domain\":\"autooutletllc.com\",\"hostname\":\"autooutletllc.com\",\"is_alive\":false,\"is_cnc\":true,\"is_distributing_malware\":false,\"is_iot_threat\":false,\"is_phishing\":false,\"last_online_time\":\"2022-11-05 05:37:57\",\"modification_time\":\"2022-11-05 05:37:57\",\"tag\":[\"bb05\",\"iso\",\"qakbot\",\"qbot\",\"quakbot\",\"tr\",\"w19\",\"zip\",\"oakboat\",\"pinkslipbot\"],\"tld\":\"com\",\"type\":\"url\",\"url\":\"https://autooutletllc.com/spares.php\",\"urlchecksum\":\"4aa7a29969dc1dffa5cad5af6cb343b9a9b40ea9646fed619d4c8d6472629128\"}",
        "severity": 9,
        "type": [
            "indicator"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "maltiverse": {
        "blacklist": {
            "labels": [
                "malicious-activity"
            ]
        },
        "classification": "malicious",
        "creation_time": "2022-11-03T06:23:53.000Z",
        "feed": "test",
        "hostname": "autooutletllc.com",
        "is_alive": false,
        "is_cnc": true,
        "is_distributing_malware": false,
        "is_iot_threat": false,
        "is_phishing": false,
        "last_online_time": "2022-11-05T05:37:57.000Z",
        "modification_time": "2022-11-05T05:37:57.000Z",
        "type": "url",
        "urlchecksum": "4aa7a29969dc1dffa5cad5af6cb343b9a9b40ea9646fed619d4c8d6472629128"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "ti_maltiverse-indicator",
        "bb05",
        "iso",
        "qakbot",
        "qbot",
        "quakbot",
        "tr",
        "w19",
        "zip",
        "oakboat",
        "pinkslipbot"
    ],
    "threat": {
        "feed": {
            "reference": "https://maltiverse.com/feed/test"
        },
        "indicator": {
            "confidence": "High",
            "description": "QakBot",
            "first_seen": "2022-11-03T06:23:53.000Z",
            "last_seen": "2022-11-05T05:37:57.000Z",
            "marking": {
                "tlp": "WHITE"
            },
            "provider": "ThreatFox Abuse.ch",
            "reference": "https://maltiverse.com/url/4aa7a29969dc1dffa5cad5af6cb343b9a9b40ea9646fed619d4c8d6472629128",
            "sightings": 1,
            "type": "url",
            "url": {
                "full": "https://autooutletllc.com/spares.php",
                "registered_domain": "autooutletllc.com",
                "top_level_domain": "com"
            }
        }
    }
}

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

1.4.0

增强 (查看拉取请求)
不要在主提取管道中删除 event.original

8.13.0 或更高版本

1.3.0

增强 (查看拉取请求)
event.kind 设置为 "pipeline_error" 的文档添加 "preserve_original_event" 标记。

8.13.0 或更高版本

1.2.5

Bug 修复 (查看拉取请求)
在提取管道中引用变量时,请使用三重大括号 Mustache 模板。

8.13.0 或更高版本

1.2.4

Bug 修复 (查看拉取请求)
在提取管道中引用变量时,请使用三重大括号 Mustache 模板。

8.13.0 或更高版本

1.2.3

Bug 修复 (查看拉取请求)
修复 labels.is_ioc_transform_source 值

8.13.0 或更高版本

1.2.2

Bug 修复 (查看拉取请求)
在转换中添加缺失字段

8.13.0 或更高版本

1.2.1

Bug 修复 (查看拉取请求)
修复威胁字段上的 ECS 日期映射。

8.13.0 或更高版本

1.2.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义以删除 ecs@mappings 组件模板使之冗余的 ECS 字段。

8.13.0 或更高版本

1.1.1

Bug 修复 (查看拉取请求)
为检测规则添加缺失字段。

8.12.0 或更高版本

1.1.0

增强 (查看拉取请求)
将敏感值设置为秘密。

8.12.0 或更高版本

1.0.1

增强 (查看拉取请求)
已更改所有者

8.8.0 或更高版本

1.0.0

增强 (查看拉取请求)
将包作为 GA 发布。

8.8.0 或更高版本

0.8.0

增强 (查看拉取请求)
将请求跟踪器日志计数限制为 5。

0.7.0

增强 (查看拉取请求)
ECS 版本已更新为 8.11.0。

0.6.0

增强 (查看拉取请求)
改进 event.original 检查以避免在设置时出现错误。

0.5.0

增强 (查看拉取请求)
设置合作伙伴所有者类型。

0.4.0

Bug 修复 (查看拉取请求)
将非 ECS 字段移出根目录。

0.3.0

增强 (查看拉取请求)
添加 DLM 策略。将 owner.type 添加到包清单。将 format_version 更新为 3.0.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和已保存的搜索标记为“安全解决方案”,并显示在安全解决方案 UI 中。

0.2.1

Bug 修复 (查看拉取请求)
删除点分隔的 YAML 键。

0.2.0

增强 (查看拉取请求)
添加对 HTTP 请求跟踪日志记录的支持。

0.1.0

增强 (查看拉取请求)
初始实施

« EclecticIQ 集成 Mandiant Advantage »