OpenCTI
编辑OpenCTI
编辑OpenCTI 集成允许您从 OpenCTI 威胁情报平台提取数据。
使用此集成从 OpenCTI 获取指示器数据。您可以在 OpenCTI 仪表板或 Kibana 的“发现”选项卡中监控和探索提取的数据。然后,Elastic Security 中的指示器匹配规则可以使用提取的指示器数据来生成关于检测到的威胁的警报。
数据流
编辑OpenCTI 集成收集一种类型的数据流:日志。
日志是随时间创建的记录列表。OpenCTI 集成收集的日志数据流中的每个事件都是一个指示器,可用于检测可疑或恶意的网络活动。数据从 OpenCTI 的 GraphQL API 获取。
要求
编辑此集成需要 Filebeat 8.9.0 或更高版本。
它已更新以支持 OpenCTI 5.12.24 版本,并且需要该版本或更高版本。
设置
编辑有关威胁情报集成的更多信息,包括添加集成所需的步骤,请参阅 Elastic Security 文档的 启用威胁情报集成页面。
添加 OpenCTI 集成时,您需要为目标 OpenCTI 实例提供基本 URL。它应该只是基本 URL(例如,https://demo.opencti.io),不应包含 API 或 UI 的其他路径。
要使用的最简单的身份验证方法是 API 密钥(持有者令牌)。您可以在 OpenCTI 用户界面中的个人资料页面上找到 API 密钥的值。高级集成设置可用于配置各种基于 OAuth2 的身份验证安排,并为 mTLS 身份验证和其他目的输入 SSL 设置。有关设置身份验证策略的 OpenCTI 端的信息,请参阅 OpenCTI 的身份验证文档。
日志
编辑指示器
编辑indicator 数据流包括以下类型的指示器 (threat.indicator.type):artifact、autonomous-system、bank-account、cryptocurrency-wallet、cryptographic-key、directory、domain-name、email-addr、email-message、email-mime-part-type、hostname、ipv4-addr、ipv6-addr、mac-addr、media-content、mutex、network-traffic、payment-card、phone-number、process、software、file、text、url、user-account、user-agent、windows-registry-key、windows-registry-value-type、x509-certificate、unknown。
OpenCTI 的数据模型密切遵循 STIX 标准。它支持使用 STIX 模式或其他语言定义的复杂指示器,并且每个指示器可以与一个或多个可观察对象相关。在 ECS 威胁字段中,重点是原子指示器。此集成会尽可能多地获取有关指示器及其相关可观察对象的数据,并在可能的情况下填充相关的 ECS 字段。它使用相关的可观察对象而不是指示器模式作为特定类型指示器字段的数据源。
非活动指示器的过期
编辑opencti.indicator.invalid_or_revoked_from 字段设置为指示器达到其 valid_until 时间或被标记为撤销的最早时间。从那时起,该指示器应不再被视为活动状态。
创建一个 Elastic Transform,为最终用户提供活动指示器的视图。此转换创建目标索引,这些索引可通过别名 logs-ti_opencti_latest.indicator 访问。查询活动指示器或设置指示器匹配规则时,请使用该别名以避免来自过期指示器的误报。
仪表板仅显示活动指示器,但“提取”仪表板除外,该仪表板显示来自源数据流和最新指示器索引的数据。
永不过期或撤销的指示器不会从最新指示器的索引中删除。如果指示器累积是一个问题,则可以在 OpenCTI 中上游管理,或通过手动从这些索引中删除指示器来管理。
为防止源数据流 logs-ti_opencti.indicator-* 的无限增长,它有一个索引生命周期管理 (ILM) 策略,该策略会在提取后 5 天删除记录。
示例
编辑这是一个 indicator 事件的示例
示例
indicator 的示例事件如下所示
{
"@timestamp": "2024-08-02T05:53:33.529Z",
"agent": {
"ephemeral_id": "a21855cb-722e-430f-8d9a-e6dfedf565b1",
"id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "ti_opencti.indicator",
"namespace": "82985",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"threat"
],
"created": "2018-02-05T08:04:53.000Z",
"dataset": "ti_opencti.indicator",
"id": "d019b01c-b637-4eb2-af53-6d527be3193d",
"ingested": "2024-08-02T05:53:45Z",
"kind": "enrichment",
"original": "{\"confidence\":15,\"created\":\"2018-02-05T08:04:53.000Z\",\"createdBy\":{\"identity_class\":\"organization\",\"name\":\"CthulhuSPRL.be\"},\"description\":\"\",\"externalReferences\":{\"edges\":[]},\"id\":\"d019b01c-b637-4eb2-af53-6d527be3193d\",\"is_inferred\":false,\"killChainPhases\":[],\"lang\":\"en\",\"modified\":\"2023-01-17T05:53:42.851Z\",\"name\":\"ec2-23-21-172-164.compute-1.amazonaws.com\",\"objectLabel\":[{\"value\":\"information-credibility-6\"},{\"value\":\"osint\"}],\"objectMarking\":[{\"definition\":\"TLP:GREEN\",\"definition_type\":\"TLP\"}],\"observables\":{\"edges\":[{\"node\":{\"entity_type\":\"Hostname\",\"id\":\"b0a91059-5637-4050-8dce-a976a607f75c\",\"observable_value\":\"ec2-23-21-172-164.compute-1.amazonaws.com\",\"standard_id\":\"hostname--2047cd44-ffae-5b34-b912-5856add59b59\",\"value\":\"ec2-23-21-172-164.compute-1.amazonaws.com\"}}],\"pageInfo\":{\"globalCount\":1}},\"pattern\":\"[hostname:value = 'ec2-23-21-172-164.compute-1.amazonaws.com']\",\"pattern_type\":\"stix\",\"pattern_version\":\"2.1\",\"revoked\":true,\"standard_id\":\"indicator--cde0a6e1-c622-52c4-b857-e9aeac56131b\",\"valid_from\":\"2018-02-05T08:04:53.000Z\",\"valid_until\":\"2019-02-05T08:04:53.000Z\",\"x_opencti_detection\":false,\"x_opencti_main_observable_type\":\"Hostname\",\"x_opencti_score\":40}",
"type": [
"indicator"
]
},
"input": {
"type": "cel"
},
"opencti": {
"indicator": {
"creator_identity_class": "organization",
"detection": false,
"invalid_or_revoked_from": "2019-02-05T08:04:53.000Z",
"is_inferred": false,
"lang": "en",
"observables_count": 1,
"pattern": "[hostname:value = 'ec2-23-21-172-164.compute-1.amazonaws.com']",
"pattern_type": "stix",
"pattern_version": "2.1",
"revoked": true,
"score": 40,
"standard_id": "indicator--cde0a6e1-c622-52c4-b857-e9aeac56131b",
"valid_from": "2018-02-05T08:04:53.000Z",
"valid_until": "2019-02-05T08:04:53.000Z"
},
"observable": {
"hostname": {
"entity_type": "Hostname",
"id": "b0a91059-5637-4050-8dce-a976a607f75c",
"standard_id": "hostname--2047cd44-ffae-5b34-b912-5856add59b59",
"value": "ec2-23-21-172-164.compute-1.amazonaws.com"
}
}
},
"related": {
"hosts": [
"ec2-23-21-172-164.compute-1.amazonaws.com"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"opencti-indicator",
"information-credibility-6",
"osint",
"ecs-indicator-detail"
],
"threat": {
"feed": {
"dashboard_id": "ti_opencti-83b2bef0-591c-11ee-ba5f-49a63bb985cd",
"description": "Indicator data from OpenCTI",
"name": "OpenCTI",
"reference": "https://docs.opencti.io/latest/usage/overview/"
},
"indicator": {
"confidence": "Low",
"marking": {
"tlp": "GREEN"
},
"modified_at": "2023-01-17T05:53:42.851Z",
"name": "ec2-23-21-172-164.compute-1.amazonaws.com",
"provider": "CthulhuSPRL.be",
"reference": "http://svc-opencti_stub:8080/dashboard/observations/indicators/d019b01c-b637-4eb2-af53-6d527be3193d",
"type": "hostname",
"url": {
"domain": "ec2-23-21-172-164.compute-1.amazonaws.com",
"registered_domain": "ec2-23-21-172-164.compute-1.amazonaws.com",
"top_level_domain": "compute-1.amazonaws.com"
}
}
}
}
导出的字段
编辑任何类型的指示器的字段都会在可能的情况下映射到 ECS 字段(主要是 threat.indicator.*),否则会使用供应商前缀(opencti.indicator.*)存储。
各种类型的相关可观察对象的字段始终存储在 opencti.observable.<type>.* 下,并且在可能的情况下,它们的值将复制到相应的 ECS 字段中。
related.* 字段也将填充任何相关数据。
时间戳的映射方式如下
| 源 | 目标 | 描述 |
|---|---|---|
- |
@timestamp |
管道接收事件的时间 |
- |
event.ingested |
事件到达中央数据存储的时间 |
created |
event.created |
指示器的创建时间 |
modified |
threat.indicator.modified_at |
指示器的上次修改时间 |
valid_from |
opencti.indicator.valid_from |
此指示器被视为与其相关的行为的有效指示器或表示的起始时间 |
valid_until |
opencti.indicator.valid_until |
此指示器应不再被视为与其相关的行为的有效指示器或表示的终止时间 |
- |
opencti.indicator.invalid_or_revoked_from |
指示器达到其 |
下表列出了所有 opencti.* 字段。
ECS 字段的文档可以在以下位置找到
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
管道接收事件的时间。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
input.type |
输入类型。 |
keyword |
labels.is_ioc_transform_source |
指示 IOC 是否在原始源数据流中,或在最新的目标索引中。 |
constant_keyword |
opencti.indicator.creator_identity_class |
此指示器创建者的类型(例如,“组织”)。 |
keyword |
opencti.indicator.detection |
指示器是否已被检测到。 |
boolean |
opencti.indicator.external_reference.description |
外部系统中相关记录的描述。 |
keyword |
opencti.indicator.external_reference.external_id |
外部系统中相关记录的非 STIX ID。 |
keyword |
opencti.indicator.external_reference.source_name |
相关记录外部源的名称。 |
keyword |
opencti.indicator.external_reference.url |
外部系统中相关记录的 URL。 |
keyword |
opencti.indicator.invalid_or_revoked_from |
此指示器应被视为无效或撤销的时间。 |
date |
opencti.indicator.is_inferred |
指示器是否是推断出来的。 |
boolean |
opencti.indicator.kill_chain_phase |
杀伤链名称和杀伤链阶段名称(例如,“[mitre-attack] 渗透”)。 |
keyword |
opencti.indicator.lang |
与指示器记录关联的语言。 |
keyword |
opencti.indicator.observables_count |
与此指示器相关的可观察对象的数量,该数量可能超过获取的数量。 |
long |
opencti.indicator.pattern |
此指示器的检测模式,以 STIX 模式或使用其他适当的语言(例如 SNORT、YARA 等)表示。 |
keyword |
opencti.indicator.pattern_type |
此指示器中使用的模式语言。 |
keyword |
opencti.indicator.pattern_version |
此指示器中使用的模式语言的版本。 |
keyword |
opencti.indicator.revoked |
指示器是否被撤销。 |
boolean |
opencti.indicator.score |
指示器的整数分数。 |
long |
opencti.indicator.standard_id |
基于指示器的一个或多个属性生成的,可预测的 STIX ID。 |
keyword |
opencti.indicator.valid_from |
此指示器被视为与其相关的行为的有效指示器或表示的起始时间。 |
date |
opencti.indicator.valid_until |
此指示器应不再被视为与其相关的行为的有效指示器或表示的终止时间。 |
date |
opencti.observable.artifact.additional_names |
工件的其他名称。 |
keyword |
opencti.observable.artifact.decryption_key |
加密二进制数据的解密密钥。 |
keyword |
opencti.observable.artifact.encryption_algorithm |
如果工件已加密,则二进制数据编码的加密算法类型。 |
keyword |
opencti.observable.artifact.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.artifact.hash.md5 |
url 或 payload_bin 内容的 MD5 哈希。 |
keyword |
opencti.observable.artifact.hash.sha1 |
url 或 payload_bin 内容的 SHA1 哈希。 |
keyword |
opencti.observable.artifact.hash.sha256 |
url 或 payload_bin 内容的 SHA-256 哈希。 |
keyword |
opencti.observable.artifact.hash.sha3_256 |
url 或 payload_bin 内容的 SHA3-256 哈希。 |
keyword |
opencti.observable.artifact.hash.sha3_512 |
url 或 payload_bin 内容的 SHA3-512 哈希。 |
keyword |
opencti.observable.artifact.hash.sha512 |
url 或 payload_bin 内容的 SHA-512 哈希。 |
keyword |
opencti.observable.artifact.hash.ssdeep |
url 或 payload_bin 内容的 SSDEEP 哈希。 |
keyword |
opencti.observable.artifact.hash.tlsh |
url 或 payload_bin 内容的 TLSH 哈希。 |
keyword |
opencti.observable.artifact.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.artifact.mime_type |
工件的 MIME 类型,当可行时,根据 IANA 媒体类型注册表中的“模板”列中定义的值给出。 |
keyword |
opencti.observable.artifact.payload_bin |
作为base64编码字符串,工件中包含的二进制数据。 |
keyword |
opencti.observable.artifact.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.artifact.url |
一个有效的 URL,解析后指向未编码的内容。 |
keyword |
opencti.observable.artifact.value |
可观测对象的主要值。 |
keyword |
opencti.observable.autonomous_system.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.autonomous_system.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.autonomous_system.name |
AS 的名称。 |
keyword |
opencti.observable.autonomous_system.number |
分配给 AS 的编号,通常由区域互联网注册机构 (RIR) 分配。 |
long |
opencti.observable.autonomous_system.rir |
将号码分配给 AS 的区域互联网注册机构 (RIR) 的名称。 |
keyword |
opencti.observable.autonomous_system.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.autonomous_system.value |
可观测对象的主要值。 |
keyword |
opencti.observable.bank_account.account_number |
银行帐号。 |
keyword |
opencti.observable.bank_account.bic |
银行标识代码 (BIC)。 |
keyword |
opencti.observable.bank_account.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.bank_account.iban |
国际银行帐号 (IBAN)。 |
keyword |
opencti.observable.bank_account.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.bank_account.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.bank_account.value |
可观测对象的主要值。 |
keyword |
opencti.observable.cryptocurrency_wallet.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.cryptocurrency_wallet.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.cryptocurrency_wallet.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.cryptocurrency_wallet.value |
加密货币钱包 ID。 |
keyword |
opencti.observable.cryptographic_key.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.cryptographic_key.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.cryptographic_key.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.cryptographic_key.value |
加密密钥。 |
keyword |
opencti.observable.directory.atime |
目录上次被访问的日期/时间。 |
date |
opencti.observable.directory.ctime |
目录被创建的日期/时间。 |
date |
opencti.observable.directory.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.directory.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.directory.mtime |
目录上次被写入/修改的日期/时间。 |
date |
opencti.observable.directory.path |
最初观察到的文件系统中目录的路径。 |
keyword |
opencti.observable.directory.path_enc |
使用 IANA 字符集注册表观察到的路径的编码。 |
keyword |
opencti.observable.directory.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.directory.value |
可观测对象的主要值。 |
keyword |
opencti.observable.domain_name.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.domain_name.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.domain_name.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.domain_name.value |
域名值,使用 RFC1034, RFC5890。 |
keyword |
opencti.observable.email_addr.display_name |
单个电子邮件显示名称,即使用 RFC5322 在邮件应用程序中向用户显示的名称。 |
keyword |
opencti.observable.email_addr.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.email_addr.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.email_addr.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.email_addr.value |
电子邮件地址的值,使用 RFC5322。 |
keyword |
opencti.observable.email_message.attribute_date |
电子邮件发送的日期/时间。 |
date |
opencti.observable.email_message.body |
包含电子邮件正文的字符串。 |
keyword |
opencti.observable.email_message.content_type |
电子邮件消息的“Content-Type”标头的值。 |
keyword |
opencti.observable.email_message.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.email_message.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.email_message.is_multipart |
指示电子邮件正文是否包含多个 MIME 部分。 |
boolean |
opencti.observable.email_message.message_id |
电子邮件消息的 Message-ID 字段。 |
keyword |
opencti.observable.email_message.received_lines |
可能包含在电子邮件标头中的一个或多个“Received”标头字段。 |
keyword |
opencti.observable.email_message.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.email_message.subject |
电子邮件消息的主题。 |
keyword |
opencti.observable.email_message.value |
可观测对象的主要值。 |
keyword |
opencti.observable.email_mime_part_type.body |
MIME 部分的内容。 |
keyword |
opencti.observable.email_mime_part_type.content_disposition |
MIME 部分的“Content-Disposition”标头字段的值。 |
keyword |
opencti.observable.email_mime_part_type.content_type |
MIME 部分的“Content-Type”标头字段的值。 |
keyword |
opencti.observable.email_mime_part_type.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.email_mime_part_type.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.email_mime_part_type.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.email_mime_part_type.value |
可观测对象的主要值。 |
keyword |
opencti.observable.file.additional_names |
文件的其他名称。 |
keyword |
opencti.observable.file.atime |
文件上次被访问的日期/时间。 |
date |
opencti.observable.file.content.decryption_key |
加密二进制数据的解密密钥。 |
keyword |
opencti.observable.file.content.encryption_algorithm |
如果文件已加密,则二进制数据编码的加密算法类型。 |
keyword |
opencti.observable.file.content.payload_bin |
作为 base64 编码字符串,文件中包含的二进制数据。 |
keyword |
opencti.observable.file.content.url |
一个有效的 URL,解析后指向未编码的内容。 |
keyword |
opencti.observable.file.ctime |
文件被创建的日期/时间。 |
date |
opencti.observable.file.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.file.hash.md5 |
文件的 MD5 哈希值。 |
keyword |
opencti.observable.file.hash.sha1 |
文件的 SHA1 哈希值。 |
keyword |
opencti.observable.file.hash.sha256 |
文件的 SHA-256 哈希值。 |
keyword |
opencti.observable.file.hash.sha3_256 |
文件的 SHA3-256 哈希值。 |
keyword |
opencti.observable.file.hash.sha3_512 |
文件的 SHA3-512 哈希值。 |
keyword |
opencti.observable.file.hash.sha512 |
文件的 SHA-512 哈希值。 |
keyword |
opencti.observable.file.hash.ssdeep |
文件的 SSDEEP 哈希值。 |
keyword |
opencti.observable.file.hash.tlsh |
文件的 TLSH 哈希值。 |
keyword |
opencti.observable.file.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.file.magic_number_hex |
与对应文件的特定文件格式关联的十六进制常量(“魔术数字”),如果适用。 |
keyword |
opencti.observable.file.mime_type |
文件的 MIME 类型,尽可能按照 IANA 媒体类型注册表中模板列中定义的值给出。 |
keyword |
opencti.observable.file.mtime |
文件上次被写入/修改的日期/时间。 |
date |
opencti.observable.file.name |
文件的名称。 |
keyword |
opencti.observable.file.name_enc |
使用 IANA 字符集注册表观察到的文件名的编码。 |
keyword |
opencti.observable.file.size |
文件的大小,以字节为单位。 |
long |
opencti.observable.file.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.file.value |
可观测对象的主要值。 |
keyword |
opencti.observable.hostname.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.hostname.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.hostname.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.hostname.value |
主机名。 |
keyword |
opencti.observable.ipv4_addr.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.ipv4_addr.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.ipv4_addr.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.ipv4_addr.value |
使用 CIDR 表示法表示的一个或多个 IPv4 地址的值。 |
keyword |
opencti.observable.ipv6_addr.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.ipv6_addr.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.ipv6_addr.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.ipv6_addr.value |
使用 CIDR 表示法表示的一个或多个 IPv6 地址的值。 |
keyword |
opencti.observable.mac_addr.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.mac_addr.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.mac_addr.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.mac_addr.value |
单个 MAC 地址的值。 |
keyword |
opencti.observable.media_content.content |
媒体内容项的内容。 |
keyword |
opencti.observable.media_content.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.media_content.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.media_content.media_category |
媒体内容项的类别。 |
keyword |
opencti.observable.media_content.publication_date |
媒体内容项的发布日期。 |
date |
opencti.observable.media_content.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.media_content.title |
媒体内容项的标题。 |
keyword |
opencti.observable.media_content.url |
媒体内容项的 URL。 |
keyword |
opencti.observable.media_content.value |
可观测对象的主要值。 |
keyword |
opencti.observable.mutex.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.mutex.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.mutex.name |
互斥对象的名称。 |
keyword |
opencti.observable.mutex.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.mutex.value |
可观测对象的主要值。 |
keyword |
opencti.observable.network_traffic.dst_byte_count |
从目标发送到源的字节数,为正整数。 |
long |
opencti.observable.network_traffic.dst_packets |
从目标发送到源的数据包数,为正整数。 |
long |
opencti.observable.network_traffic.dst_port |
网络流量中使用的目标端口,为整数。 |
long |
opencti.observable.network_traffic.end |
网络流量结束的日期/时间(如果已知)。 |
date |
opencti.observable.network_traffic.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.network_traffic.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.network_traffic.is_active |
指示网络流量是否仍在进行。 |
boolean |
opencti.observable.network_traffic.protocols |
在网络流量中观察到的协议及其对应的状态。 |
keyword |
opencti.observable.network_traffic.src_byte_count |
从源发送到目标的字节数,为正整数。 |
long |
opencti.observable.network_traffic.src_packets |
从源发送到目标的数据包数,为正整数。 |
long |
opencti.observable.network_traffic.src_port |
网络流量中使用的源端口,为整数。 |
long |
opencti.observable.network_traffic.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.network_traffic.start |
网络流量启动的日期/时间(如果已知)。 |
date |
opencti.observable.network_traffic.value |
可观测对象的主要值。 |
keyword |
opencti.observable.payment_card.card_number |
支付卡号。 |
keyword |
opencti.observable.payment_card.cvv |
支付卡的卡验证值 (CVV)。 |
keyword |
opencti.observable.payment_card.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.payment_card.expiration_date |
支付卡的到期日期。 |
date |
opencti.observable.payment_card.holder_name |
支付卡持有人的姓名。 |
long |
opencti.observable.payment_card.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.payment_card.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.payment_card.value |
可观测对象的主要值。 |
keyword |
opencti.observable.phone_number.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.phone_number.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.phone_number.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.phone_number.value |
电话号码。 |
keyword |
opencti.observable.process.aslr_enabled |
是否为进程启用地址空间布局随机化 (ASLR)(在 Windows 上)。 |
boolean |
opencti.observable.process.command_line |
执行进程时使用的完整命令行,包括进程名称和任何参数。 |
keyword |
opencti.observable.process.created_time |
进程被创建的日期/时间。 |
date |
opencti.observable.process.cwd |
进程的当前工作目录。 |
keyword |
opencti.observable.process.dep_enabled |
是否为进程启用数据执行保护 (DEP)(在 Windows 上)。 |
boolean |
opencti.observable.process.description |
进程的描述。 |
keyword |
opencti.observable.process.descriptions |
为(Windows)服务定义的描述。 |
keyword |
opencti.observable.process.display_name |
Windows GUI 控件中服务的显示名称。 |
keyword |
opencti.observable.process.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.process.environment_variables |
与进程关联的环境变量列表。 |
keyword |
opencti.observable.process.group_name |
(Windows)服务所属的加载顺序组的名称。 |
keyword |
opencti.observable.process.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.process.integrity_level |
进程在 Windows 中的完整性级别或可信度。 |
keyword |
opencti.observable.process.is_hidden |
进程是否隐藏。 |
boolean |
opencti.observable.process.owner_sid |
进程所有者的安全 ID (SID) 值(在 Windows 上)。 |
keyword |
opencti.observable.process.pid |
进程的进程 ID 或 PID。 |
long |
opencti.observable.process.priority |
进程在 Windows 中的当前优先级类。 |
keyword |
opencti.observable.process.service_dll.additional_names |
服务 DLL 文件的其他名称。 |
keyword |
opencti.observable.process.service_dll.atime |
服务 DLL 文件上次被访问的日期/时间。 |
date |
opencti.observable.process.service_dll.content.decryption_key |
服务 DLL 文件的加密二进制数据的解密密钥。 |
keyword |
opencti.observable.process.service_dll.content.encryption_algorithm |
如果服务 DLL 文件已加密,则二进制数据编码所使用的加密算法类型。 |
keyword |
opencti.observable.process.service_dll.content.payload_bin |
服务 DLL 文件中包含的二进制数据,以 base64 编码的字符串形式表示。 |
keyword |
opencti.observable.process.service_dll.content.url |
可解析为服务 DLL 文件未编码内容的有效 URL。 |
keyword |
opencti.observable.process.service_dll.ctime |
服务 DLL 文件被创建的日期/时间。 |
date |
opencti.observable.process.service_dll.hash.md5 |
服务 DLL 文件的 MD5 哈希值。 |
keyword |
opencti.observable.process.service_dll.hash.sha1 |
服务 DLL 文件的 SHA1 哈希值。 |
keyword |
opencti.observable.process.service_dll.hash.sha256 |
服务 DLL 文件的 SHA-256 哈希值。 |
keyword |
opencti.observable.process.service_dll.hash.sha3_256 |
服务 DLL 文件的 SHA3-256 哈希值。 |
keyword |
opencti.observable.process.service_dll.hash.sha3_512 |
服务 DLL 文件的 SHA3-512 哈希值。 |
keyword |
opencti.observable.process.service_dll.hash.sha512 |
服务 DLL 文件的 SHA-512 哈希值。 |
keyword |
opencti.observable.process.service_dll.hash.ssdeep |
服务 DLL 文件的 SSDEEP 哈希值。 |
keyword |
opencti.observable.process.service_dll.hash.tlsh |
服务 DLL 文件的 TLSH 哈希值。 |
keyword |
opencti.observable.process.service_dll.magic_number_hex |
与服务 DLL 文件对应的特定文件格式关联的十六进制常量(“魔数”),如果适用。 |
keyword |
opencti.observable.process.service_dll.mime_type |
服务 DLL 文件的 MIME 类型,尽可能使用 IANA 媒体类型注册表中“模板”列中定义的值。 |
keyword |
opencti.observable.process.service_dll.mtime |
服务 DLL 文件上次被写入/修改的日期/时间。 |
date |
opencti.observable.process.service_dll.name |
服务 DLL 文件的名称。 |
keyword |
opencti.observable.process.service_dll.name_enc |
使用 IANA 字符集注册表,观察到的服务 DLL 文件名称的编码。 |
keyword |
opencti.observable.process.service_dll.size |
服务 DLL 文件的大小,以字节为单位。 |
long |
opencti.observable.process.service_name |
(Windows)服务的名称。 |
keyword |
opencti.observable.process.service_status |
(Windows)服务的类型。 |
keyword |
opencti.observable.process.service_type |
(Windows)服务加载的 DLL,作为对一个或多个文件对象的引用。 |
keyword |
opencti.observable.process.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.process.start_type |
为(Windows)服务定义的启动选项。 |
keyword |
opencti.observable.process.startup_info |
进程(在 Windows 上)使用的 STARTUP_INFO 结构。 |
flattened |
opencti.observable.process.value |
可观测对象的主要值。 |
keyword |
opencti.observable.process.window_title |
进程(在 Windows 上)主窗口的标题。 |
keyword |
opencti.observable.software.cpe |
软件的通用平台枚举 (CPE) 条目,如果可用。 |
keyword |
opencti.observable.software.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.software.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.software.languages |
软件支持的语言,使用 RFC5646。 |
keyword |
opencti.observable.software.name |
软件的名称。 |
keyword |
opencti.observable.software.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.software.swid |
软件的软件识别 (SWID) 标签条目,如果可用。 |
keyword |
opencti.observable.software.value |
可观测对象的主要值。 |
keyword |
opencti.observable.software.vendor |
软件供应商的名称。 |
keyword |
opencti.observable.software.version |
软件的版本。 |
keyword |
opencti.observable.text.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.text.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.text.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.text.value |
文本。 |
keyword |
opencti.observable.url.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.url.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.url.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.url.value |
URL 的值,使用 RFC3986。 |
keyword |
opencti.observable.user_account.account_created |
账户创建的时间。 |
date |
opencti.observable.user_account.account_expires |
账户的到期日期。 |
date |
opencti.observable.user_account.account_first_login |
账户首次被访问的时间。 |
date |
opencti.observable.user_account.account_last_login |
账户上次被访问的时间。 |
date |
opencti.observable.user_account.account_login |
账户登录字符串,如果它与 user_id 不同。 |
keyword |
opencti.observable.user_account.account_type |
账户的类型。 |
keyword |
opencti.observable.user_account.can_escalate_privs |
该账户是否具有提升权限的能力。 |
boolean |
opencti.observable.user_account.credential |
明文凭证,不属于 PII。 |
keyword |
opencti.observable.user_account.credential_last_changed |
账户凭证上次更改的时间。 |
date |
opencti.observable.user_account.display_name |
账户的显示名称,如果适用,将在用户界面中显示。 |
keyword |
opencti.observable.user_account.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.user_account.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.user_account.is_disabled |
账户是否被禁用。 |
boolean |
opencti.observable.user_account.is_privileged |
该账户是否具有提升的权限。 |
boolean |
opencti.observable.user_account.is_service_account |
指示该账户是否与网络服务或系统进程(守护进程)关联,而不是与特定的个人关联。 |
boolean |
opencti.observable.user_account.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.user_account.user_id |
账户的标识符,可以是数字 ID、GUID、账户名称、电子邮件地址等。 |
keyword |
opencti.observable.user_account.value |
可观测对象的主要值。 |
keyword |
opencti.observable.user_agent.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.user_agent.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.user_agent.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.user_agent.value |
HTTP User-Agent 字符串。 |
keyword |
opencti.observable.windows_registry_key.attribute_key |
包括注册表配置单元在内的完整注册表项。 |
keyword |
opencti.observable.windows_registry_key.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.windows_registry_key.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.windows_registry_key.modified_time |
上次修改注册表项的日期/时间。 |
date |
opencti.observable.windows_registry_key.number_of_subkeys |
注册表项下包含的子项数量。 |
long |
opencti.observable.windows_registry_key.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.windows_registry_key.value |
可观测对象的主要值。 |
keyword |
opencti.observable.windows_registry_value_type.data |
注册表值中包含的数据。 |
keyword |
opencti.observable.windows_registry_value_type.data_type |
注册表值中使用的注册表 (REG_*) 数据类型。 |
keyword |
opencti.observable.windows_registry_value_type.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.windows_registry_value_type.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.windows_registry_value_type.name |
注册表值的名称。 |
keyword |
opencti.observable.windows_registry_value_type.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.windows_registry_value_type.value |
可观测对象的主要值。 |
keyword |
opencti.observable.x509_certificate.authority_key_identifier |
提供一种识别用于签署证书的私钥所对应的公钥的方法的标识符。 |
keyword |
opencti.observable.x509_certificate.basic_constraints |
一个多值扩展,指示证书是否为 CA 证书。 |
keyword |
opencti.observable.x509_certificate.certificate_policies |
一个或多个策略信息术语的序列,每个术语由对象标识符 (OID) 和可选的限定符组成。 |
keyword |
opencti.observable.x509_certificate.crl_distribution_points |
如何获取 CRL 信息。 |
keyword |
opencti.observable.x509_certificate.entity_type |
可观察对象的类型。 |
keyword |
opencti.observable.x509_certificate.extended_key_usage |
指示可以使用证书公钥的目的的用途列表。 |
keyword |
opencti.observable.x509_certificate.hash.md5 |
为证书的整个内容计算的 MD5 哈希值。 |
keyword |
opencti.observable.x509_certificate.hash.sha1 |
为证书的整个内容计算的 SHA1 哈希值。 |
keyword |
opencti.observable.x509_certificate.hash.sha256 |
为证书的整个内容计算的 SHA-256 哈希值。 |
keyword |
opencti.observable.x509_certificate.hash.sha3_256 |
为证书的整个内容计算的 SHA3-256 哈希值。 |
keyword |
opencti.observable.x509_certificate.hash.sha3_512 |
为证书的整个内容计算的 SHA3-512 哈希值。 |
keyword |
opencti.observable.x509_certificate.hash.sha512 |
为证书的整个内容计算的 SHA-512 哈希值。 |
keyword |
opencti.observable.x509_certificate.hash.ssdeep |
为证书的整个内容计算的 SSDEEP 哈希值。 |
keyword |
opencti.observable.x509_certificate.hash.tlsh |
为证书的整个内容计算的 TLSH 哈希值。 |
keyword |
opencti.observable.x509_certificate.id |
可观察对象在 OpenCTI 中的 ID。 |
keyword |
opencti.observable.x509_certificate.inhibit_any_policy |
在 anyPolicy 不再允许之前,路径中可能出现的其他证书的数量。 |
keyword |
opencti.observable.x509_certificate.is_self_signed |
证书是否是自签名的,即它是否由其认证身份的同一实体签名。 |
boolean |
opencti.observable.x509_certificate.issuer |
颁发证书的证书颁发机构的名称。 |
keyword |
opencti.observable.x509_certificate.issuer_alternative_name |
要绑定到证书颁发者的其他身份。 |
keyword |
opencti.observable.x509_certificate.key_usage |
一个多值扩展,由允许的密钥用途的名称列表组成。 |
keyword |
opencti.observable.x509_certificate.name_constraints |
在其中位于证书路径中后续证书的所有主体名称的命名空间。 |
keyword |
opencti.observable.x509_certificate.policy_constraints |
对颁发给 CA 的证书进行路径验证的任何约束。 |
keyword |
opencti.observable.x509_certificate.policy_mappings |
一个或多个 OID 对;每对都包括 issuerDomainPolicy 和 subjectDomainPolicy。 |
keyword |
opencti.observable.x509_certificate.private_key_usage_period_not_after |
私钥的有效期结束的日期,如果它与证书的有效期不同。 |
date |
opencti.observable.x509_certificate.private_key_usage_period_not_before |
私钥的有效期开始的日期,如果它与证书的有效期不同。 |
date |
opencti.observable.x509_certificate.serial_number |
由特定证书颁发机构颁发的证书的唯一标识符。 |
keyword |
opencti.observable.x509_certificate.signature_algorithm |
用于签署证书的算法的名称。 |
keyword |
opencti.observable.x509_certificate.standard_id |
一个可预测的 STIX ID,基于可观测对象的一个或多个属性生成。 |
keyword |
opencti.observable.x509_certificate.subject |
与证书主体公钥字段中存储的公钥关联的实体的名称。 |
keyword |
opencti.observable.x509_certificate.subject_alternative_name |
要绑定到证书主体的其他身份。 |
keyword |
opencti.observable.x509_certificate.subject_directory_attributes |
主体的识别属性(例如,国籍)。 |
keyword |
opencti.observable.x509_certificate.subject_key_identifier |
提供一种识别包含特定公钥的证书的方法的标识符。 |
keyword |
opencti.observable.x509_certificate.subject_public_key_algorithm |
用于加密发送给主体的数据的算法的名称。 |
keyword |
opencti.observable.x509_certificate.subject_public_key_exponent |
主体公钥的 RSA 密钥的指数部分,为整数。 |
long |
opencti.observable.x509_certificate.subject_public_key_modulus |
主体公钥的 RSA 密钥的模数部分。 |
keyword |
opencti.observable.x509_certificate.validity_not_after |
证书有效期结束的日期。 |
date |
opencti.observable.x509_certificate.validity_not_before |
证书有效期开始的日期。 |
date |
opencti.observable.x509_certificate.value |
可观测对象的主要值。 |
keyword |
opencti.observable.x509_certificate.version |
编码证书的版本。 |
keyword |
threat.indicator.file.hash.sha3_256 |
SHA3-256 哈希值。 |
keyword |
threat.indicator.file.hash.sha3_512 |
SHA3-512 哈希值。 |
keyword |
threat.indicator.first_seen |
情报源首次报告发现此指标的日期和时间。 |
date |
threat.indicator.last_seen |
情报源最后一次报告发现此指标的日期和时间。 |
date |
threat.indicator.modified_at |
情报源最后一次修改此指标信息的日期和时间。 |
date |
threat.indicator.type |
在 STIX 2.1 或 OpenCTI 中由网络可观察对象表示的指标类型 |
keyword |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.4.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.3.4 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.3.3 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.3.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.3.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.1.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.1.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.0.0 |
错误修复 (查看拉取请求) |
8.10.1 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.10.1 或更高版本 |
1.0.1 |
增强 (查看拉取请求) |
8.9.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.9.0 或更高版本 |
0.3.5 |
错误修复 (查看拉取请求) |
— |
0.3.4 |
增强 (查看拉取请求) |
— |
0.3.3 |
错误修复 (查看拉取请求) |
— |
0.3.2 |
错误修复 (查看拉取请求) |
— |
0.3.1 |
错误修复 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |