› ›

Mandiant Advantage

版本	1.6.0 ( 查看全部 )
兼容的 Kibana 版本	8.13.0 或更高版本
支持的 Serverless 项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	合作伙伴

概述

编辑

Mandiant Advantage 集成允许用户从 Threat Intelligence Advantage 模块检索 IOC（入侵指标）。

这些指标可用于 Elastic Security 中的关联，以帮助发现潜在威胁。Mandiant 威胁情报为安全从业人员提供了对当前对其业务至关重要的威胁的无与伦比的可见性和专业知识。

我们的威胁情报由来自 30 个国家/地区的 500 多名威胁情报分析师编制，他们通过卧底对抗活动、事件取证、恶意基础设施重建和构成 Mandiant Intel Grid 中嵌入的深厚知识的行为者识别过程来研究行为者。

数据流

编辑

Mandiant Advantage 集成收集一种类型的数据流：threat_intelligence

威胁情报

编辑

IOC 通过 Mandiant 威胁情报 API 检索。

兼容性

编辑

此集成已针对威胁情报 API v4 进行测试。

要求

编辑

您需要 Elasticsearch 来存储和搜索数据，以及 Kibana 来可视化和管理数据。您可以使用我们在 Elastic Cloud 上的托管 Elasticsearch 服务（推荐），或者在您自己的硬件上自行管理 Elastic Stack。

设置

编辑

有关如何设置集成的分步说明，请参阅入门指南。

有关如何获取威胁情报 API v4 凭证的说明，请参阅 Mandiant 文档门户。

筛选 IOC

编辑

该集成允许您通过使用以下配置参数来筛选提取的 IOC 数量

初始间隔
- 根据指标的 last_update 日期，开始从过去收集指标数据的时间。
- 此参数支持的单位为 h/m/s。默认值为 720h（即 30 天）
- 如果您不希望在集成首次运行时提取太多历史数据，可以缩短此间隔。
最小 IC-Score
- 将收集 IC-Score 大于或等于给定值的指标。
- 如果将值设置为 0，则将收集具有任何 IC-Score 的指标。
- 您可以将其设置为不同的值，例如 80，以确保仅提取高置信度指标。

日志参考

编辑

威胁情报

编辑

使用 Mandiant 威胁情报 API 随时间检索 IOC。

示例

threat_intelligence 的示例事件如下所示

{
    "@timestamp": "2023-01-26T08:19:05.976Z",
    "agent": {
        "ephemeral_id": "6c2fce20-5eb3-4d82-8d3f-317839b5f840",
        "id": "4b0cd8f9-b1e6-47f3-bdb8-024cdea5fb03",
        "name": "elastic-agent-68415",
        "type": "filebeat",
        "version": "8.14.3"
    },
    "data_stream": {
        "dataset": "ti_mandiant_advantage.threat_intelligence",
        "namespace": "36354",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "4b0cd8f9-b1e6-47f3-bdb8-024cdea5fb03",
        "snapshot": false,
        "version": "8.14.3"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "threat"
        ],
        "created": "2024-09-02T08:29:29.223Z",
        "dataset": "ti_mandiant_advantage.threat_intelligence",
        "ingested": "2024-09-02T08:29:30Z",
        "kind": "enrichment",
        "module": "ti_mandiant_advantage_threat_intelligence",
        "original": "{\"campaigns\":[{\"id\":\"campaign--bff76355-4d90-5f1f-b402-565a8fb2ac61\",\"name\":\"GLOBAL.21.005\",\"title\":\"Exploitation of CVE-2021-44228 (aka \\\"Log4Shell\\\") in Various Products\"}],\"first_seen\":\"2021-06-19T23:34:03.000Z\",\"id\":\"ipv4--55ba8198-79a1-5f13-b537-632c8bad942f\",\"is_publishable\":true,\"last_seen\":\"2022-12-26T23:34:03.000Z\",\"last_updated\":\"2023-01-26T08:19:05.976Z\",\"misp\":{\"akamai\":false,\"alexa\":false,\"alexa_1M\":false,\"amazon-aws\":false,\"apple\":false,\"automated-malware-analysis\":false,\"bank-website\":false,\"cisco_1M\":false,\"cisco_top1000\":false,\"cisco_top10k\":false,\"cisco_top20k\":false,\"cisco_top5k\":false,\"cloudflare\":false,\"common-contact-emails\":false,\"common-ioc-false-positive\":false,\"covid\":false,\"covid-19-cyber-threat-coalition-whitelist\":false,\"covid-19-krassi-whitelist\":false,\"crl-hostname\":false,\"crl-ip\":false,\"dax30\":false,\"disposable-email\":false,\"dynamic-dns\":false,\"eicar.com\":false,\"empty-hashes\":false,\"fastly\":false,\"google\":false,\"google-chrome-crux-1million\":false,\"google-gcp\":false,\"google-gmail-sending-ips\":false,\"googlebot\":false,\"ipv6-linklocal\":false,\"majestic_million\":false,\"majestic_million_1M\":false,\"microsoft\":false,\"microsoft-attack-simulator\":false,\"microsoft-azure\":false,\"microsoft-azure-appid\":false,\"microsoft-azure-china\":false,\"microsoft-azure-germany\":false,\"microsoft-azure-us-gov\":false,\"microsoft-office365\":false,\"microsoft-office365-cn\":false,\"microsoft-office365-ip\":false,\"microsoft-win10-connection-endpoints\":false,\"moz-top500\":false,\"mozilla-CA\":false,\"mozilla-IntermediateCA\":false,\"multicast\":false,\"nioc-filehash\":false,\"ovh-cluster\":false,\"parking-domain\":false,\"parking-domain-ns\":false,\"phone_numbers\":false,\"public-dns-hostname\":false,\"public-dns-v4\":false,\"public-dns-v6\":false,\"public-ipfs-gateways\":false,\"rfc1918\":false,\"rfc3849\":false,\"rfc5735\":false,\"rfc6598\":false,\"rfc6761\":false,\"second-level-tlds\":false,\"security-provider-blogpost\":false,\"sinkholes\":false,\"smtp-receiving-ips\":false,\"smtp-sending-ips\":false,\"stackpath\":false,\"tenable-cloud-ipv4\":false,\"tenable-cloud-ipv6\":false,\"ti-falsepositives\":false,\"tlds\":false,\"tranco\":false,\"tranco10k\":false,\"university_domains\":false,\"url-shortener\":false,\"vpn-ipv4\":false,\"vpn-ipv6\":false,\"whats-my-ip\":false,\"wikimedia\":false},\"mscore\":58,\"reports\":[{\"audience\":[\"cyber espionage\",\"fusion\"],\"id\":\"report--2781217d-3b75-5e22-b3f7-8db3e09d2b70\",\"published_date\":\"2022-05-11T19:53:16.583Z\",\"report_id\":\"22-00011950\",\"title\":\"APT29 Targets European Diplomatic Entities with ROOTSAW Dropper and New BEATDROP Variants Using Dropbox and Slack for C\\u0026C\",\"type\":\"Event Coverage/Implication\"}],\"sources\":[{\"category\":[],\"first_seen\":\"2022-02-23T10:10:01.828+0000\",\"last_seen\":\"2022-02-23T10:10:01.828+0000\",\"osint\":true,\"source_name\":\"blocklist_de\"},{\"category\":[\"exploit/vuln-scanning\",\"exploit\"],\"first_seen\":\"2021-06-19T23:34:03.810+0000\",\"last_seen\":\"2022-12-26T23:34:03.998+0000\",\"osint\":true,\"source_name\":\"blocklist_net_ua\"},{\"category\":[],\"first_seen\":\"2022-06-03T23:39:01.621+0000\",\"last_seen\":\"2022-06-03T23:39:01.621+0000\",\"osint\":false,\"source_name\":\"Mandiant\"},{\"category\":[],\"first_seen\":\"2022-06-20T20:20:01.549+0000\",\"last_seen\":\"2022-06-20T20:20:01.549+0000\",\"osint\":true,\"source_name\":\"the_haleys_ssh_dict_attack\"}],\"type\":\"ipv4\",\"value\":\"1.128.3.4\"}",
        "risk_score": 58,
        "type": [
            "indicator"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "mandiant": {
        "threat_intelligence": {
            "ioc": {
                "campaigns": [
                    {
                        "id": "campaign--bff76355-4d90-5f1f-b402-565a8fb2ac61",
                        "name": "GLOBAL.21.005",
                        "title": "Exploitation of CVE-2021-44228 (aka \"Log4Shell\") in Various Products"
                    }
                ],
                "categories": [
                    "exploit/vuln-scanning",
                    "exploit"
                ],
                "first_seen": "2021-06-19T23:34:03.000Z",
                "id": "ipv4--55ba8198-79a1-5f13-b537-632c8bad942f",
                "is_publishable": true,
                "last_seen": "2022-12-26T23:34:03.000Z",
                "last_update_date": "2023-01-26T08:19:05.976Z",
                "misp_warning_list_misses": [
                    "covid",
                    "smtp-receiving-ips",
                    "eicar.com",
                    "majestic_million",
                    "alexa",
                    "sinkholes",
                    "cisco_top1000",
                    "crl-hostname",
                    "microsoft",
                    "microsoft-office365",
                    "googlebot",
                    "microsoft-azure-germany",
                    "microsoft-attack-simulator",
                    "microsoft-azure",
                    "rfc5735",
                    "parking-domain",
                    "tranco10k",
                    "dax30",
                    "public-dns-v4",
                    "dynamic-dns",
                    "public-dns-v6",
                    "covid-19-cyber-threat-coalition-whitelist",
                    "common-ioc-false-positive",
                    "cisco_1M",
                    "google-gmail-sending-ips",
                    "microsoft-azure-china",
                    "stackpath",
                    "google",
                    "cloudflare",
                    "moz-top500",
                    "tlds",
                    "tranco",
                    "university_domains",
                    "smtp-sending-ips",
                    "cisco_top20k",
                    "empty-hashes",
                    "nioc-filehash",
                    "amazon-aws",
                    "url-shortener",
                    "microsoft-office365-ip",
                    "microsoft-azure-us-gov",
                    "microsoft-win10-connection-endpoints",
                    "majestic_million_1M",
                    "mozilla-CA",
                    "microsoft-office365-cn",
                    "whats-my-ip",
                    "vpn-ipv6",
                    "public-ipfs-gateways",
                    "rfc3849",
                    "rfc6761",
                    "security-provider-blogpost",
                    "tenable-cloud-ipv4",
                    "cisco_top5k",
                    "tenable-cloud-ipv6",
                    "apple",
                    "public-dns-hostname",
                    "mozilla-IntermediateCA",
                    "microsoft-azure-appid",
                    "rfc1918",
                    "ti-falsepositives",
                    "akamai",
                    "bank-website",
                    "alexa_1M",
                    "automated-malware-analysis",
                    "rfc6598",
                    "google-gcp",
                    "multicast",
                    "ovh-cluster",
                    "phone_numbers",
                    "fastly",
                    "google-chrome-crux-1million",
                    "cisco_top10k",
                    "second-level-tlds",
                    "wikimedia",
                    "disposable-email",
                    "common-contact-emails",
                    "parking-domain-ns",
                    "vpn-ipv4",
                    "ipv6-linklocal",
                    "covid-19-krassi-whitelist",
                    "crl-ip"
                ],
                "mscore": 58,
                "reports": [
                    {
                        "audience": [
                            "cyber espionage",
                            "fusion"
                        ],
                        "id": "report--2781217d-3b75-5e22-b3f7-8db3e09d2b70",
                        "published_date": "2022-05-11T19:53:16.583Z",
                        "report_id": "22-00011950",
                        "title": "APT29 Targets European Diplomatic Entities with ROOTSAW Dropper and New BEATDROP Variants Using Dropbox and Slack for C&C",
                        "type": "Event Coverage/Implication"
                    }
                ],
                "sources": [
                    {
                        "first_seen": "2022-02-23T10:10:01.828+0000",
                        "last_seen": "2022-02-23T10:10:01.828+0000",
                        "osint": true,
                        "source_name": "blocklist_de"
                    },
                    {
                        "category": [
                            "exploit/vuln-scanning",
                            "exploit"
                        ],
                        "first_seen": "2021-06-19T23:34:03.810+0000",
                        "last_seen": "2022-12-26T23:34:03.998+0000",
                        "osint": true,
                        "source_name": "blocklist_net_ua"
                    },
                    {
                        "first_seen": "2022-06-03T23:39:01.621+0000",
                        "last_seen": "2022-06-03T23:39:01.621+0000",
                        "osint": false,
                        "source_name": "Mandiant"
                    },
                    {
                        "first_seen": "2022-06-20T20:20:01.549+0000",
                        "last_seen": "2022-06-20T20:20:01.549+0000",
                        "osint": true,
                        "source_name": "the_haleys_ssh_dict_attack"
                    }
                ],
                "type": "ipv4",
                "value": "1.128.3.4"
            }
        }
    },
    "related": {
        "ip": [
            "1.128.3.4"
        ]
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "mandiant-threat-intelligence-indicator"
    ],
    "threat": {
        "feed": {
            "name": "Mandiant Threat Intelligence"
        },
        "indicator": {
            "as": {
                "number": 1221,
                "organization": {
                    "name": "Telstra Pty Ltd"
                }
            },
            "confidence": "Medium",
            "first_seen": "2021-06-19T23:34:03.000Z",
            "ip": "1.128.3.4",
            "last_seen": "2022-12-26T23:34:03.000Z",
            "marking": {
                "tlp": "RED",
                "tlp_version": "2.0"
            },
            "modified_at": "2023-01-26T08:19:05.976Z",
            "provider": [
                "blocklist_de",
                "blocklist_net_ua",
                "Mandiant",
                "the_haleys_ssh_dict_attack"
            ],
            "type": "ipv4-addr"
        }
    }
}

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.account.id	用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。	关键字
cloud.image.id	云实例的镜像 ID。	关键字
data_stream.dataset	数据流数据集。	常量_关键字
data_stream.namespace	数据流命名空间。	常量_关键字
data_stream.type	数据流类型。	常量_关键字
event.dataset	事件数据集	常量_关键字
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统代号（如果有）。	关键字
input.type	输入类型	关键字
log.offset	日志偏移量	长整型
mandiant.threat_intelligence.ioc.associated_hashes	相关哈希及其类型的列表。	对象
mandiant.threat_intelligence.ioc.attributed_associations	此指标与其他恶意软件家族或行为者的归因关联列表。	对象
mandiant.threat_intelligence.ioc.campaigns	相关活动列表。	对象
mandiant.threat_intelligence.ioc.categories	与此指标关联的类别。	关键字
mandiant.threat_intelligence.ioc.first_seen	IOC 首次出现日期。	日期
mandiant.threat_intelligence.ioc.id	IOC 内部 ID。	关键字
mandiant.threat_intelligence.ioc.is_exclusive	该指标是否为 Mandiant 独有。	布尔值
mandiant.threat_intelligence.ioc.is_publishable	该指标是否可发布。	布尔值
mandiant.threat_intelligence.ioc.last_seen	IOC 最后一次出现日期。	日期
mandiant.threat_intelligence.ioc.last_update_date	IOC 最后更新日期。	日期
mandiant.threat_intelligence.ioc.misp_warning_list_hits	该指标在哪些 MISP 警告列表中找到。	关键字
mandiant.threat_intelligence.ioc.misp_warning_list_misses	该指标未在哪些 MISP 警告列表中找到。	关键字
mandiant.threat_intelligence.ioc.mscore	介于 0 - 100 之间的 M-Score (IC-Score)。	整数
mandiant.threat_intelligence.ioc.reports	相关报告列表。	对象
mandiant.threat_intelligence.ioc.sources.*		关键字
mandiant.threat_intelligence.ioc.sources.osint		布尔值
mandiant.threat_intelligence.ioc.type	IOC 类型。	关键字
mandiant.threat_intelligence.ioc.value	IOC 值。	关键字
threat.indicator.first_seen	情报源首次报告发现此指标的日期和时间。	日期
threat.indicator.last_seen	情报源上次报告发现此指标的日期和时间。	日期
threat.indicator.modified_at	情报源上次修改此指标信息的日期和时间。	日期

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
1.6.0	增强 ( 查看拉取请求 ) 添加对代理配置的支持。	8.13.0 或更高版本
1.5.0	增强 ( 查看拉取请求 ) 添加处理器定义可能性。	8.13.0 或更高版本
1.4.2	错误修复 ( 查看拉取请求 ) 使用完整事件构造文档 `_id`，以防止索引重复指标。	8.13.0 或更高版本
1.4.1	错误修复 ( 查看拉取请求 ) 在转换中添加缺失字段。错误修复 ( 查看拉取请求 ) 修复源子字段的映射。	8.13.0 或更高版本
1.4.0	增强 ( 查看拉取请求 ) 添加可选的额外字段。	8.13.0 或更高版本
1.3.1	错误修复 ( 查看拉取请求 ) 修复威胁字段上的 ECS 日期映射。	8.13.0 或更高版本
1.3.0	增强 ( 查看拉取请求 ) ECS 版本更新至 8.11.0。将 kibana 约束更新为 ^8.13.0。修改了字段定义以删除 ecs@mappings 组件模板导致多余的 ECS 字段。	8.13.0 或更高版本
1.2.0	增强 ( 查看拉取请求 ) 改进对空响应的处理。	8.12.0 或更高版本
1.1.1	错误修复 ( 查看拉取请求 ) 删除无效的字段定义。	8.12.0 或更高版本
1.1.0	增强 ( 查看拉取请求 ) 将敏感值设置为机密。	8.12.0 或更高版本
1.0.1	增强 ( 查看拉取请求 ) 已更改所有者	8.6.2 或更高版本
1.0.0	增强 ( 查看拉取请求 ) 发布软件包作为 GA。	8.6.2 或更高版本
0.1.0	增强 ( 查看拉取请求 ) Mandiant Advantage Elastic Integration 的初始版本。	—

« Maltiverse 集成 MISP 集成 »