ThreatConnect
编辑ThreatConnect
编辑ThreatConnect 是一种广泛使用的威胁情报平台 (TIP),旨在帮助组织聚合、分析和共享与网络安全威胁相关的信息。该平台提供工具和功能,使安全团队能够协作处理威胁情报、管理事件并做出明智的决策,以增强其整体网络安全态势。此 ThreatConnect 集成使您能够在 Elastic Security 中使用和分析 ThreatConnect 数据,包括指标事件,从而为您在 Elastic Security 中云环境提供可见性和上下文信息。
数据流
编辑ThreatConnect 集成收集指标作为主要数据类型。相关的组和相关的指标通过 Elastic 自定义映射字段引入。
指标在 ThreatConnect 中表示具有一定情报价值的原子信息片段。
有关 ThreatConnect 的 REST API 的参考。
要求
编辑必须安装 Elastic Agent。有关详细信息,请参阅此处的链接。
版本
编辑Elastic Stack 的最低要求版本为 8.12.0。
ThreatConnect 平台的最低要求版本为 7.3.1。此集成模块使用 ThreatConnect V3 API。
安装和管理 Elastic Agent
编辑您有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您将安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您将安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立模式。所有版本的 Elastic Agent 的 Docker 映像均可从 Elastic Docker 注册表获得,并且我们提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅此处的链接。
最低要求的 kibana.version 为 8.11.0。此模块已针对 ThreatConnect API 版本 v3 进行测试。ThreatConnect 平台的最低要求版本必须为 7.3.1。
设置
编辑要从 ThreatConnect 收集数据,需要您的 ThreatConnect 实例的以下参数
编辑- 访问 ID
- 密钥
- URL
要创建 API 用户帐户,请参阅此文章。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理”>“集成”。
- 在“搜索集成”搜索栏中,键入 ThreatConnect。
- 从搜索结果中单击“ThreatConnect”集成。
- 单击“添加 ThreatConnect”按钮以添加集成。
- 配置所有必需的集成参数,包括访问 ID、密钥和 URL,以启用从 ThreatConnect REST API 的数据收集。
- 保存集成。
指标过期
编辑摄取的指标在一定时间后过期。将创建一个 Elastic 转换,以方便最终用户仅使用活动指标。由于我们希望仅保留有价值的信息并避免重复数据,因此 ThreatConnect Elastic 集成强制情报指标轮换到名为 logs-ti_threatconnect_latest.dest_indicator-* 的自定义索引中。请参考此索引以设置警报等。
处理孤立指标
编辑为了防止可能永远不会在目标索引中过期的孤立指标,用户可以在设置集成时配置 IOC 过期时长参数。此参数在达到指定的持续时间后删除目标索引 logs-ti_threatconnect_latest.dest_indicator 内的所有数据。
工作原理
编辑这得益于随集成一起安装的转换规则。转换规则解析从 ThreatConnect 中提取的数据流内容,并且仅添加新指标。
数据流和最新索引都通过 ILM 和转换中的保留策略分别应用了过期。
日志参考
编辑指标
编辑这是 指标 数据集。
示例
以下是 indicator 的示例事件
{
"@timestamp": "2023-12-05T06:38:53.000Z",
"agent": {
"ephemeral_id": "bfc8c3c8-d6ef-467f-a80c-6c75059c9a7c",
"id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "ti_threatconnect.indicator",
"namespace": "53159",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"threat"
],
"dataset": "ti_threatconnect.indicator",
"id": "[email protected]",
"ingested": "2024-08-02T06:30:51Z",
"kind": "enrichment",
"original": "{\"active\":true,\"activeLocked\":false,\"address\":\"[email protected]\",\"associatedGroups\":{\"data\":[{\"createdBy\":{\"firstName\":\"test\",\"id\":69,\"lastName\":\"user\",\"owner\":\"Elastic\",\"pseudonym\":\"testW\",\"userName\":\"[email protected]\"},\"dateAdded\":\"2023-12-05T06:38:33Z\",\"downVoteCount\":\"0\",\"id\":609427,\"lastModified\":\"2023-12-05T06:43:21Z\",\"legacyLink\":\"https://app.threatconnect.com/auth/vulnerability/vulnerability.xhtml?vulnerability=609427\",\"name\":\"Test2 \",\"ownerId\":51,\"ownerName\":\"Elastic\",\"type\":\"Vulnerability\",\"upVoteCount\":\"0\",\"webLink\":\"https://app.threatconnect.com/#/details/groups/609427/overview\"},{\"createdBy\":{\"firstName\":\"test\",\"id\":69,\"lastName\":\"user\",\"owner\":\"Elastic\",\"pseudonym\":\"testW\",\"userName\":\"[email protected]\"},\"dateAdded\":\"2023-12-04T07:18:52Z\",\"documentDateAdded\":\"2023-12-04T07:18:53Z\",\"documentType\":\"PDF\",\"downVoteCount\":\"0\",\"fileName\":\"testthreatgroup.pdf\",\"fileSize\":24467,\"generatedReport\":true,\"id\":601237,\"lastModified\":\"2023-12-05T06:38:46Z\",\"legacyLink\":\"https://app.threatconnect.com/auth/report/report.xhtml?report=601237\",\"name\":\"TestThreatGroup\",\"ownerId\":51,\"ownerName\":\"Elastic\",\"status\":\"Success\",\"type\":\"Report\",\"upVoteCount\":\"0\",\"webLink\":\"https://app.threatconnect.com/#/details/groups/601237/overview\"}]},\"associatedIndicators\":{\"data\":[{\"active\":true,\"activeLocked\":false,\"address\":\"[email protected]\",\"confidence\":61,\"dateAdded\":\"2023-08-25T12:57:24Z\",\"id\":891599,\"lastModified\":\"2023-12-05T06:50:06Z\",\"legacyLink\":\"https://app.threatconnect.com/auth/indicators/details/emailaddress.xhtml?emailaddress=testing%40poverts.com\\u0026owner=Elastic\",\"ownerId\":51,\"ownerName\":\"Elastic\",\"privateFlag\":false,\"rating\":3,\"summary\":\"[email protected]\",\"type\":\"EmailAddress\",\"webLink\":\"https://app.threatconnect.com/#/details/indicators/891599/overview\"},{\"active\":true,\"activeLocked\":false,\"dateAdded\":\"2023-08-24T06:28:17Z\",\"id\":738667,\"lastModified\":\"2023-12-05T06:47:59Z\",\"legacyLink\":\"https://app.threatconnect.com/auth/indicators/details/url.xhtml?orgid=738667\\u0026owner=Elastic\",\"ownerId\":51,\"ownerName\":\"Elastic\",\"privateFlag\":false,\"summary\":\"http://www.testingmcafeesites.com/testcat_pc.html\",\"text\":\"http://www.testingmcafeesites.com/testcat_pc.html\",\"type\":\"URL\",\"webLink\":\"https://app.threatconnect.com/#/details/indicators/738667/overview\"}]},\"attributes\":{},\"dateAdded\":\"2023-08-24T06:19:58Z\",\"id\":736758,\"lastModified\":\"2023-12-05T06:38:53Z\",\"legacyLink\":\"https://app.threatconnect.com/auth/indicators/details/emailaddress.xhtml?emailaddress=test.user%40elastic.co\\u0026owner=Elastic\",\"ownerId\":51,\"ownerName\":\"Elastic\",\"privateFlag\":false,\"securityLabels\":{\"data\":[{\"color\":\"FFC000\",\"dateAdded\":\"2016-08-31T00:00:00Z\",\"description\":\"This security label is used for information that requires support to be effectively acted upon, yet carries risks to privacy, reputation, or operations if shared outside of the organizations involved. Information with this label can be shared with members of an organization and its clients.\",\"id\":3,\"name\":\"TLP:AMBER\",\"owner\":\"System\"}]},\"summary\":\"[email protected]\",\"tags\":{\"data\":[{\"description\":\"Adversaries may steal monetary resources from targets through extortion, social engineering, technical theft, or other methods aimed at their own financial gain at the expense of the availability of these resources for victims. Financial theft is the ultimate objective of several popular campaign types including extortion by ransomware,(Citation: FBI-ransomware) business email compromise (BEC) and fraud,(Citation: FBI-BEC) \\\"pig butchering,\\\"(Citation: wired-pig butchering) bank hacking,(Citation: DOJ-DPRK Heist) and exploiting cryptocurrency networks.(Citation: BBC-Ronin) \\n\\nAdversaries may [Compromise Accounts](https://attack.mitre.org/techniques/T1586) to conduct unauthorized transfers of funds.(Citation: Internet crime report 2022) In the case of business email compromise or email fraud, an adversary may utilize [Impersonation](https://attack.mitre.org/techniques/T1656) of a trusted entity. Once the social engineering is successful, victims can be deceived into sending money to financial accounts controlled by an adversary.(Citation: FBI-BEC) This creates the potential for multiple victims (i.e., compromised accounts as well as the ultimate monetary loss) in incidents involving financial theft.(Citation: VEC)\\n\\nExtortion by ransomware may occur, for example, when an adversary demands payment from a victim after [Data Encrypted for Impact](https://attack.mitre.org/techniques/T1486) (Citation: NYT-Colonial) and [Exfiltration](https://attack.mitre.org/tactics/TA0010) of data, followed by threatening public exposure unless payment is made to the adversary.(Citation: Mandiant-leaks)\\n\\nDue to the potentially immense business impact of financial theft, an adversary may abuse the possibility of financial theft and seeking monetary gain to divert attention from their true goals such as [Data Destruction](https://attack.mitre.org/techniques/T1485) and business disruption.(Citation: AP-NotPetya)\",\"id\":463701,\"lastUsed\":\"2023-12-04T06:44:44Z\",\"name\":\"Financial Theft\",\"platforms\":{\"count\":6,\"data\":[\"Linux\",\"macOS\",\"Windows\",\"Office 365\",\"SaaS\",\"Google Workspace\"]},\"techniqueId\":\"T1657\"}]},\"threatAssessConfidence\":0,\"threatAssessRating\":0,\"threatAssessScore\":281,\"threatAssessScoreFalsePositive\":0,\"threatAssessScoreObserved\":0,\"type\":\"EmailAddress\",\"webLink\":\"https://app.threatconnect.com/#/details/indicators/736758/overview\"}",
"type": [
"indicator"
]
},
"input": {
"type": "cel"
},
"os": {
"family": [
"Linux",
"macOS",
"Windows",
"Office 365",
"SaaS",
"Google Workspace"
]
},
"related": {
"user": [
"test.user",
"test",
"user",
"[email protected]"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"threatconnect-indicator"
],
"threat": {
"indicator": {
"email": {
"address": "[email protected]"
},
"marking": {
"tlp": [
"AMBER"
]
},
"provider": "ThreatConnect",
"reference": [
"https://app.threatconnect.com/auth/indicators/details/emailaddress.xhtml?emailaddress=test.user%40elastic.co&owner=Elastic",
"https://app.threatconnect.com/#/details/indicators/736758/overview"
],
"type": [
"email-addr"
]
},
"technique": {
"id": [
"T1657"
]
}
},
"threat_connect": {
"indicator": {
"active": {
"locked": false,
"value": true
},
"address": "[email protected]",
"associated_groups": {
"data": [
{
"created_by": {
"first_name": "test",
"id": "69",
"last_name": "user",
"owner": "Elastic",
"pseudonym": "testW",
"user_name": "[email protected]"
},
"date_added": "2023-12-05T06:38:33.000Z",
"down_vote_count": "0",
"id": "609427",
"last_modified": "2023-12-05T06:43:21.000Z",
"legacy_link": "https://app.threatconnect.com/auth/vulnerability/vulnerability.xhtml?vulnerability=609427",
"name": "Test2 ",
"owner": {
"id": "51",
"name": "Elastic"
},
"type": "Vulnerability",
"up_vote_count": "0",
"web_link": "https://app.threatconnect.com/#/details/groups/609427/overview"
},
{
"created_by": {
"first_name": "test",
"id": "69",
"last_name": "user",
"owner": "Elastic",
"pseudonym": "testW",
"user_name": "[email protected]"
},
"date_added": "2023-12-04T07:18:52.000Z",
"document": {
"date_added": "2023-12-04T07:18:53.000Z",
"type": "PDF"
},
"down_vote_count": "0",
"file": {
"name": "testthreatgroup.pdf",
"size": "24467"
},
"generated_report": true,
"id": "601237",
"last_modified": "2023-12-05T06:38:46.000Z",
"legacy_link": "https://app.threatconnect.com/auth/report/report.xhtml?report=601237",
"name": "TestThreatGroup",
"owner": {
"id": "51",
"name": "Elastic"
},
"status": "Success",
"type": "Report",
"up_vote_count": "0",
"web_link": "https://app.threatconnect.com/#/details/groups/601237/overview"
}
]
},
"associated_indicators": {
"data": [
{
"active": {
"locked": false,
"value": true
},
"address": "[email protected]",
"confidence": 61,
"date_added": "2023-08-25T12:57:24.000Z",
"id": "891599",
"last_modified": "2023-12-05T06:50:06.000Z",
"legacy_link": "https://app.threatconnect.com/auth/indicators/details/emailaddress.xhtml?emailaddress=testing%40poverts.com&owner=Elastic",
"owner": {
"id": "51",
"name": "Elastic"
},
"private_flag": false,
"rating": 3,
"summary": "[email protected]",
"type": "EmailAddress",
"web_link": "https://app.threatconnect.com/#/details/indicators/891599/overview"
},
{
"active": {
"locked": false,
"value": true
},
"date_added": "2023-08-24T06:28:17.000Z",
"id": "738667",
"last_modified": "2023-12-05T06:47:59.000Z",
"legacy_link": "https://app.threatconnect.com/auth/indicators/details/url.xhtml?orgid=738667&owner=Elastic",
"owner": {
"id": "51",
"name": "Elastic"
},
"private_flag": false,
"summary": "http://www.testingmcafeesites.com/testcat_pc.html",
"text": "http://www.testingmcafeesites.com/testcat_pc.html",
"type": "URL",
"web_link": "https://app.threatconnect.com/#/details/indicators/738667/overview"
}
]
},
"date_added": "2023-08-24T06:19:58.000Z",
"deleted_at": "2024-03-04T06:38:53.000Z",
"expiration_duration": "90d",
"id": "736758",
"last_modified": "2023-12-05T06:38:53.000Z",
"legacy_link": "https://app.threatconnect.com/auth/indicators/details/emailaddress.xhtml?emailaddress=test.user%40elastic.co&owner=Elastic",
"owner": {
"id": "51",
"name": "Elastic"
},
"private_flag": false,
"security_labels": {
"data": [
{
"date_added": "2016-08-31T00:00:00.000Z",
"name": "TLP:AMBER"
}
]
},
"summary": "[email protected]",
"tags": {
"data": [
{
"last_used": "2023-12-04T06:44:44.000Z",
"name": "Financial Theft",
"technique": {
"id": "T1657"
}
}
]
},
"threat_assess": {
"confidence": 0,
"rating": 0,
"score": {
"false_positive": 0,
"observed": 0,
"value": 281
}
},
"type": "EmailAddress",
"web_link": "https://app.threatconnect.com/#/details/indicators/736758/overview"
}
},
"user": {
"domain": "elastic.co",
"email": "[email protected]",
"name": "test.user"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
labels.is_ioc_transform_source |
指示 IOC 是在原始源数据流中还是在最新的目标索引中。 |
constant_keyword |
log.offset |
日志偏移量。 |
long |
threat.feed.name |
显示友好的馈送名称。 |
constant_keyword |
threat.indicator.first_seen |
情报来源首次报告发现此指标的日期和时间。 |
日期 |
threat.indicator.last_seen |
情报来源上次报告发现此指标的日期和时间。 |
日期 |
threat.indicator.modified_at |
情报来源上次修改此指标信息的日期和时间。 |
日期 |
threat_connect.indicator.active.locked |
指示活动状态是否已锁定。 |
boolean |
threat_connect.indicator.active.value |
指示指标是否处于活动状态。 |
boolean |
threat_connect.indicator.address |
与电子邮件地址指标关联的电子邮件地址。 |
keyword |
threat_connect.indicator.as_number |
与 ASN 指标关联的 AS 号。 |
keyword |
threat_connect.indicator.associated_artifacts |
与指标关联的工件列表。 |
扁平化 |
threat_connect.indicator.associated_cases |
与指标关联的案例列表。 |
扁平化 |
threat_connect.indicator.associated_groups.data.assignments.data.type |
分配类型的有效值为“已分配”和“上报”。 |
keyword |
threat_connect.indicator.associated_groups.data.assignments.data.user.id |
分配给任务或任务将上报到的用户的唯一标识符。 |
keyword |
threat_connect.indicator.associated_groups.data.body |
电子邮件的正文。 |
keyword |
threat_connect.indicator.associated_groups.data.created_by.first_name |
用户的名字。 |
keyword |
threat_connect.indicator.associated_groups.data.created_by.id |
创建该组的用户的唯一标识符。 |
keyword |
threat_connect.indicator.associated_groups.data.created_by.last_name |
用户的姓氏。 |
keyword |
threat_connect.indicator.associated_groups.data.created_by.owner |
属性创建者的所有者。 |
keyword |
threat_connect.indicator.associated_groups.data.created_by.pseudonym |
用户的化名或别名。 |
keyword |
threat_connect.indicator.associated_groups.data.created_by.user_name |
用户的用户名。 |
keyword |
threat_connect.indicator.associated_groups.data.date_added |
添加组的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.document.date_added |
添加文档的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.document.type |
文档的类型。 |
keyword |
threat_connect.indicator.associated_groups.data.down_vote_count |
反对的情报评级。 |
keyword |
threat_connect.indicator.associated_groups.data.due_date |
任务的截止日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.email_date |
与电子邮件关联的日期。 |
日期 |
threat_connect.indicator.associated_groups.data.escalation_date |
应该上报任务的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.event_date |
事件发生的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.external.date.added |
在外部创建组的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.external.date.expires |
组在外部过期的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.external.last_modified |
上次在外部修改组的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.file.name |
文档的文件名。 |
keyword |
threat_connect.indicator.associated_groups.data.file.size |
文档的文件大小。 |
keyword |
threat_connect.indicator.associated_groups.data.file.text |
签名的文件文本。 |
keyword |
threat_connect.indicator.associated_groups.data.file.type |
签名的文件类型。可能的值为 Bro、ClamAV、CybOX、Iris Search Hash、KQL、OpenIOC、Regex、SPL、Sigma、Snort、Suricata、TQL Query、YARA。 |
keyword |
threat_connect.indicator.associated_groups.data.first_seen |
首次发现组的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.from |
电子邮件的主题。 |
keyword |
threat_connect.indicator.associated_groups.data.generated_report |
指示是否生成了报告。 |
boolean |
threat_connect.indicator.associated_groups.data.header |
电子邮件的标头。 |
keyword |
threat_connect.indicator.associated_groups.data.id |
组的唯一标识符。 |
keyword |
threat_connect.indicator.associated_groups.data.last_modified |
上次更新文档的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.last_seen |
上次发现组的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.legacy_link |
在 ThreatConnect Web 应用程序中指向该组详细信息的旧链接。 |
keyword |
threat_connect.indicator.associated_groups.data.malware |
指示文档是否为恶意软件。 |
boolean |
threat_connect.indicator.associated_groups.data.name |
组的名称。 |
keyword |
threat_connect.indicator.associated_groups.data.owner.id |
该组所属所有者的 ID。 |
keyword |
threat_connect.indicator.associated_groups.data.owner.name |
该组所属所有者的名称。 |
keyword |
threat_connect.indicator.associated_groups.data.password |
与文档关联的密码。 |
keyword |
threat_connect.indicator.associated_groups.data.publish_date |
报告发布的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.reminder_date |
发送任务提醒的日期和时间。 |
日期 |
threat_connect.indicator.associated_groups.data.score_breakdown |
分数的分解或解释,提供有关如何确定分数的其他信息。 |
keyword |
threat_connect.indicator.associated_groups.data.score_includes_body |
指示分数是否包含来自电子邮件正文的信息。 |
boolean |
threat_connect.indicator.associated_groups.data.status |
组类型的状态。 |
keyword |
threat_connect.indicator.associated_groups.data.subject |
电子邮件的“发件人”字段。 |
keyword |
threat_connect.indicator.associated_groups.data.to |
接收者的电子邮件地址。 |
keyword |
threat_connect.indicator.associated_groups.data.type |
正在创建的组的类型。可能的值:Adversary(对手)、AttackPattern(攻击模式)、Campaign(活动)、CourseofAction(行动方案)、Document(文档)、Email(电子邮件)、Event(事件)、Incident(事件)、IntrusionSet(入侵集)、Malware(恶意软件)、Report(报告)、Signature(签名)、Tactic(战术)、Task(任务)、Threat(威胁)、Tool(工具)、Vulnerability(漏洞)。 |
keyword |
threat_connect.indicator.associated_groups.data.up_vote |
使用此字段更新组的情报评级。 |
boolean |
threat_connect.indicator.associated_groups.data.up_vote_count |
赞成情报评级。 |
keyword |
threat_connect.indicator.associated_groups.data.web_link |
在 ThreatConnect Web 应用程序中指向该组详细信息的链接。 |
keyword |
threat_connect.indicator.associated_groups.data.xid |
组的 XID。 |
keyword |
threat_connect.indicator.associated_indicators.data.active.locked |
指示活动状态是否已锁定。 |
boolean |
threat_connect.indicator.associated_indicators.data.active.value |
指示指标是否处于活动状态。 |
boolean |
threat_connect.indicator.associated_indicators.data.address |
与电子邮件地址指标关联的电子邮件地址。 |
keyword |
threat_connect.indicator.associated_indicators.data.as_number |
与 ASN 指标关联的 AS 号。 |
keyword |
threat_connect.indicator.associated_indicators.data.block |
与 CIDR 指标关联的网络 IP 地址块。 |
keyword |
threat_connect.indicator.associated_indicators.data.confidence |
指标的置信度评级。 |
long |
threat_connect.indicator.associated_indicators.data.date_added |
添加指标的日期和时间。 |
日期 |
threat_connect.indicator.associated_indicators.data.description |
指标的描述。 |
keyword |
threat_connect.indicator.associated_indicators.data.dns_active |
指示 DNS 功能是否对主机指标处于活动状态。 |
boolean |
threat_connect.indicator.associated_indicators.data.external.date.added |
外部创建指标的日期和时间。 |
日期 |
threat_connect.indicator.associated_indicators.data.external.date.expires |
指标在外部过期的日期和时间。 |
日期 |
threat_connect.indicator.associated_indicators.data.external.last_modified |
上次在外部修改指标的日期和时间。 |
日期 |
threat_connect.indicator.associated_indicators.data.first_seen |
首次看到指标的日期和时间。 |
日期 |
threat_connect.indicator.associated_indicators.data.hashtag |
与主题标签指标关联的主题标签术语。 |
keyword |
threat_connect.indicator.associated_indicators.data.host_name |
与主机指标关联的主机名。 |
keyword |
threat_connect.indicator.associated_indicators.data.id |
指标的唯一标识符。 |
keyword |
threat_connect.indicator.associated_indicators.data.ip |
与地址指标关联的 IP 地址。 |
ip |
threat_connect.indicator.associated_indicators.data.key_name |
与注册表项指标关联的注册表项的名称。 |
keyword |
threat_connect.indicator.associated_indicators.data.last_modified |
上次修改指标的日期和时间。 |
日期 |
threat_connect.indicator.associated_indicators.data.last_seen |
上次看到指标的日期和时间。 |
日期 |
threat_connect.indicator.associated_indicators.data.legacy_link |
在 ThreatConnect Web 应用程序中指向指标详细信息的旧链接。 |
keyword |
threat_connect.indicator.associated_indicators.data.md5 |
与指标关联的 MD5 哈希值。 |
keyword |
threat_connect.indicator.associated_indicators.data.mutex |
用于识别与互斥锁关联的恶意软件文件的同步原语。 |
keyword |
threat_connect.indicator.associated_indicators.data.owner.id |
指标所有者的标识符。 |
keyword |
threat_connect.indicator.associated_indicators.data.owner.name |
拥有该指标的组织的名称。 |
keyword |
threat_connect.indicator.associated_indicators.data.private_flag |
指示指标是否标记为私有。 |
boolean |
threat_connect.indicator.associated_indicators.data.rating |
指标的威胁评级。 |
double |
threat_connect.indicator.associated_indicators.data.sha1 |
与文件指标关联的 SHA1 哈希。 |
keyword |
threat_connect.indicator.associated_indicators.data.sha256 |
与文件指标关联的 SHA256 哈希。 |
keyword |
threat_connect.indicator.associated_indicators.data.size |
与文件指标关联的文件大小。 |
keyword |
threat_connect.indicator.associated_indicators.data.subject |
与电子邮件主题指标关联的电子邮件的主题行。 |
keyword |
threat_connect.indicator.associated_indicators.data.summary |
指标的摘要或描述。 |
keyword |
threat_connect.indicator.associated_indicators.data.text |
与 URL 指标关联的 URL。 |
keyword |
threat_connect.indicator.associated_indicators.data.type |
指标的类型。 |
keyword |
threat_connect.indicator.associated_indicators.data.user_agent_string |
与用户代理指标关联的特征标识字符串。 |
keyword |
threat_connect.indicator.associated_indicators.data.value.name |
与注册表项指标关联的注册表值。 |
keyword |
threat_connect.indicator.associated_indicators.data.value.type |
可能的值:REG_NONE、REG_BINARY、REG_DWORD、REG_DWORD_LITTLE_ENDIAN、REG_DWORD_BIG_ENDIAN、REG_EXPAND_SZ、REG_LINK、REG_MULTI_SZ、REG_QWORD、REG_QWORD_LITTLE_ENDIAN、REG_SZ。 |
keyword |
threat_connect.indicator.associated_indicators.data.web_link |
在 ThreatConnect Web 应用程序中指向指标详细信息的链接。 |
keyword |
threat_connect.indicator.associated_indicators.data.whois_active |
指示 Whois 功能是否对主机指标处于活动状态。 |
boolean |
threat_connect.indicator.attributes.data.created_by.first_name |
创建受害者属性的用户的名字。 |
keyword |
threat_connect.indicator.attributes.data.created_by.id |
创建属性的用户的唯一标识符。 |
keyword |
threat_connect.indicator.attributes.data.created_by.last_name |
创建受害者属性的用户的姓氏。 |
keyword |
threat_connect.indicator.attributes.data.created_by.owner |
属性创建者的所有者。 |
keyword |
threat_connect.indicator.attributes.data.created_by.pseudonym |
用户的化名或别名。 |
keyword |
threat_connect.indicator.attributes.data.created_by.user_name |
创建受害者属性的用户的用户名。 |
keyword |
threat_connect.indicator.attributes.data.date_added |
添加属性的日期和时间。 |
日期 |
threat_connect.indicator.attributes.data.default |
指示该属性是否为其添加到指标的类型的默认属性(此字段仅适用于某些属性和数据类型)。 |
boolean |
threat_connect.indicator.attributes.data.id |
属性的唯一标识符。 |
keyword |
threat_connect.indicator.attributes.data.last_modified |
修改属性的日期和时间。 |
日期 |
threat_connect.indicator.attributes.data.pinned |
指示该属性是否在其添加到指标的“详细信息”屏幕上显示为“固定属性”。 |
boolean |
threat_connect.indicator.attributes.data.source |
属性的来源。 |
keyword |
threat_connect.indicator.attributes.data.type |
属性的类型。 |
keyword |
threat_connect.indicator.attributes.data.value |
属性的值。 |
keyword |
threat_connect.indicator.block |
与 CIDR 指标关联的网络 IP 地址块。 |
keyword |
threat_connect.indicator.confidence |
指标的置信度评级。 |
long |
threat_connect.indicator.custom_associations |
包括与指标具有自定义关联的指标。 |
扁平化 |
threat_connect.indicator.date_added |
添加指标的日期和时间。 |
日期 |
threat_connect.indicator.deleted_at |
IOC 过期/删除的日期。 |
日期 |
threat_connect.indicator.description |
指标的描述。 |
keyword |
threat_connect.indicator.dns_active |
指示 DNS 功能是否对主机指标处于活动状态。 |
boolean |
threat_connect.indicator.dns_resolution |
包括与主机指标相关的 DNS 解析数据。 |
扁平化 |
threat_connect.indicator.enrichment |
包括与指标相关的丰富数据。 |
扁平化 |
threat_connect.indicator.expiration_duration |
IOC 过期的时间长度。 |
keyword |
threat_connect.indicator.external.date.added |
外部创建指标的日期和时间。 |
日期 |
threat_connect.indicator.external.date.expires |
指标在外部过期的日期和时间。 |
日期 |
threat_connect.indicator.external_last.modified |
上次在外部修改指标的日期和时间。 |
日期 |
threat_connect.indicator.false_positive_reported_by_user |
指示用户是否报告了误报。 |
boolean |
threat_connect.indicator.false_positives |
误报的计数。 |
long |
threat_connect.indicator.file_actions |
与文件指标关联的文件操作列表。 |
扁平化 |
threat_connect.indicator.file_occurrences |
与文件指标关联的文件出现列表。 |
扁平化 |
threat_connect.indicator.first_seen |
首次看到指标的日期和时间。 |
日期 |
threat_connect.indicator.generic_custom_indicator_values |
包括覆盖自定义字段名称的字段:value1、value2 和 value3。 |
扁平化 |
threat_connect.indicator.geo_location |
包括与主机和 IP 指标相关的 GEO 位置信息。 |
扁平化 |
threat_connect.indicator.hashtag |
与主题标签指标关联的主题标签术语。 |
keyword |
threat_connect.indicator.host_name |
与主机指标关联的主机名。 |
keyword |
threat_connect.indicator.id |
指标的唯一标识符。 |
keyword |
threat_connect.indicator.investigation_links |
包括与指标类型相关的调查链接。 |
扁平化 |
threat_connect.indicator.ip |
与地址指标关联的 IP 地址。 |
ip |
threat_connect.indicator.key_name |
与注册表项指标关联的注册表项的名称。 |
keyword |
threat_connect.indicator.last_false_positive |
上次出现误报的日期和时间。 |
日期 |
threat_connect.indicator.last_modified |
上次修改指标的日期和时间。 |
日期 |
threat_connect.indicator.last_seen |
上次看到指标的日期和时间。 |
日期 |
threat_connect.indicator.legacy_link |
在 ThreatConnect Web 应用程序中指向指标详细信息的旧链接。 |
keyword |
threat_connect.indicator.md5 |
与指标关联的 MD5 哈希值。 |
keyword |
threat_connect.indicator.mutex |
用于识别与互斥锁关联的恶意软件文件的同步原语。 |
keyword |
threat_connect.indicator.observations |
包括观察字段。 |
扁平化 |
threat_connect.indicator.owner.id |
指标所有者的标识符。 |
keyword |
threat_connect.indicator.owner.name |
拥有该指标的组织的名称。 |
keyword |
threat_connect.indicator.private_flag |
指示指标是否标记为私有。 |
boolean |
threat_connect.indicator.rating |
指标的威胁评级。 |
double |
threat_connect.indicator.security_labels.data.date_added |
添加安全标签的日期和时间。 |
日期 |
threat_connect.indicator.security_labels.data.name |
安全分类的实际名称或标签。 |
keyword |
threat_connect.indicator.security_labels.data.owner |
拥有或管理安全标签的实体或系统。 |
keyword |
threat_connect.indicator.security_labels.data.source |
安全标签的来源。 |
keyword |
threat_connect.indicator.sha1 |
与文件指标关联的 SHA1 哈希。 |
keyword |
threat_connect.indicator.sha256 |
与文件指标关联的 SHA256 哈希。 |
keyword |
threat_connect.indicator.size |
与文件指标关联的文件大小。 |
keyword |
threat_connect.indicator.source |
指标的来源。 |
keyword |
threat_connect.indicator.subject |
与电子邮件主题指标关联的电子邮件的主题行。 |
keyword |
threat_connect.indicator.summary |
指标的摘要或描述。 |
keyword |
threat_connect.indicator.tags.data.last_used |
上次使用标签的日期和时间。 |
日期 |
threat_connect.indicator.tags.data.name |
标签的名称。 |
keyword |
threat_connect.indicator.tags.data.owner |
标签所属的组织、社区或来源。 |
keyword |
threat_connect.indicator.tags.data.platforms.count |
平台的计数。 |
long |
threat_connect.indicator.tags.data.platforms.data |
添加标签的平台。 |
keyword |
threat_connect.indicator.tags.data.technique.id |
标签技术的唯一标识符。 |
keyword |
threat_connect.indicator.text |
与 URL 指标关联的 URL。 |
keyword |
threat_connect.indicator.threat_assess.confidence |
与威胁评估关联的置信度级别。 |
double |
threat_connect.indicator.threat_assess.rating |
指示威胁评估级别的数值评级。 |
double |
threat_connect.indicator.threat_assess.score.false_positive |
与威胁评估分数关联的误报计数。 |
long |
threat_connect.indicator.threat_assess.score.observed |
与威胁评估分数关联的观测值。 |
long |
threat_connect.indicator.threat_assess.score.value |
分配给威胁的总体分数,指示其严重性或风险。 |
long |
threat_connect.indicator.tracked_users |
包括跟踪用户的观察结果和误报统计信息。 |
扁平化 |
threat_connect.indicator.type |
指示器的类型(例如,文件、IP 地址)。 |
keyword |
threat_connect.indicator.user_agent_string |
与用户代理指标关联的特征标识字符串。 |
keyword |
threat_connect.indicator.value.name |
与注册表项指标关联的注册表值。 |
keyword |
threat_connect.indicator.value.type |
可能的值:REG_NONE、REG_BINARY、REG_DWORD、REG_DWORD_LITTLE_ENDIAN、REG_DWORD_BIG_ENDIAN、REG_EXPAND_SZ、REG_LINK、REG_MULTI_SZ、REG_QWORD、REG_QWORD_LITTLE_ENDIAN、REG_SZ。 |
keyword |
threat_connect.indicator.web_link |
在 ThreatConnect Web 应用程序中指向指标详细信息的链接。 |
keyword |
threat_connect.indicator.who_is |
包含与主机指示器相关的 WhoIs 信息。 |
扁平化 |
threat_connect.indicator.whois_active |
指示 Whois 功能是否对主机指标处于活动状态。 |
boolean |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.5.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
0.6.1 |
错误修复 (查看拉取请求) |
— |
0.6.0 |
增强功能 (查看拉取请求) |
— |
0.5.1 |
错误修复 (查看拉取请求) |
— |
0.5.0 |
增强功能 (查看拉取请求) |
— |
0.4.0 |
增强功能 (查看拉取请求) |
— |
0.3.0 |
增强功能 (查看拉取请求) 增强功能 (查看拉取请求) 增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强功能 (查看拉取请求) |
— |