趋势科技 Vision One
编辑趋势科技 Vision One
编辑概述
编辑趋势科技 Vision One 集成允许您监控警报、审计和检测活动。趋势科技 Vision One 指的是通过单个趋势科技 Vision One 平台或托管的趋势科技 Vision One 服务,跨电子邮件、端点、服务器、云工作负载和网络进行检测和响应的能力。
使用趋势科技 Vision One 集成来收集和解析来自 REST API 的数据。然后将该数据可视化在 Kibana 中。
数据流
编辑趋势科技 Vision One 集成收集三种类型的事件的日志:警报、审计和检测。
警报 显示有关工作台警报的信息。有关更多详细信息,请参阅文档 https://automation.trendmicro.com/xdr/api-v3#tag/Workbench/paths/1v3.01workbench~1alerts/get[此处]。
审计 显示与指定搜索条件匹配的日志条目。有关更多详细信息,请参阅文档 此处。
检测 显示来自检测数据源的搜索结果。有关更多详细信息,请参阅文档 https://automation.trendmicro.com/xdr/api-v3#tag/Search/paths/1v3.01search~1detections/get[此处]。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或在您的硬件上自管理 Elastic Stack。
此模块已针对 趋势科技 Vision One API 版本 3.0 进行测试。
用户生成的身份验证令牌在生成一年后过期。
设置
编辑要从趋势科技 Vision One API 收集数据,用户必须拥有 API 令牌。要创建 API 令牌,请按照以下步骤操作
编辑- 登录到趋势科技 Vision One 控制台。
- 在趋势科技 Vision One 控制台上,转到 管理 → API 密钥。
-
生成新的身份验证令牌。单击 添加 API 密钥。指定新 API 密钥的设置。
- 名称:一个有意义的名称,可以帮助您识别 API 密钥。
-
角色:分配给密钥的用户角色。API 密钥可以使用预定义或自定义用户角色。可以通过导航到 管理 → 用户角色 → 添加角色 来创建自定义角色。该角色必须具有适当的 API 访问权限才能获取相关数据。下表概述了从趋势科技 Vision API 获取相关数据所需的应用程序和功能的访问权限。
数据流 应用程序 权限 警报
工作台
查看、筛选和搜索.审计
审计日志
查看、筛选和搜索,导出和下载。检测
搜索
查看、筛选和搜索.有关更多详细信息,请参阅 帐户角色权限。
- 过期时间:API 密钥保持有效的时间。默认情况下,身份验证令牌在创建一年后过期。但是,主管理员可以随时删除和重新生成令牌。
- 状态:API 密钥是否已启用。
-
详细信息:有关 API 密钥的额外信息。
单击 添加。
- 复制身份验证令牌。
有关设置 API 令牌的更多详细信息,请参阅 获取身份验证令牌。
日志参考
编辑警报
编辑这是 警报 数据集。
示例
警报 的示例事件如下所示
{
"@timestamp": "2023-04-30T00:01:16.000Z",
"agent": {
"ephemeral_id": "332ba8f3-c3fa-4c28-a2db-d290177c13e5",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "trend_micro_vision_one.alert",
"namespace": "19452",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"email"
],
"created": "2024-06-12T03:27:26.911Z",
"dataset": "trend_micro_vision_one.alert",
"id": "WB-9002-20200427-0002",
"ingested": "2024-06-12T03:27:38Z",
"kind": "alert",
"original": "{\"alertProvider\":\"SAE\",\"createdDateTime\":\"2020-04-30T00:01:15Z\",\"description\":\"A backdoor was possibly implanted after a user received a possible spear phishing email message.\",\"id\":\"WB-9002-20200427-0002\",\"impactScope\":{\"accountCount\":0,\"desktopCount\":0,\"emailAddressCount\":0,\"entities\":[{\"entityId\":\"5257b401-2fd7-469c-94fa-39a4f11eb925\",\"entityType\":\"host\",\"entityValue\":\"[email protected]\",\"provenance\":[\"Alert\"],\"relatedEntities\":[\"CODERED\\\\\\\\\\user\"],\"relatedIndicatorIds\":[1]}],\"serverCount\":0},\"indicators\":[{\"field\":\"request url\",\"filterIds\":[\"f862df72-7f5e-4b2b-9f7f-9148e875f908\"],\"id\":1,\"provenance\":[\"Alert\"],\"relatedEntities\":[\"[email protected]\"],\"type\":\"url\",\"value\":\"http://www.example.com/ab001.zip\"}],\"investigationStatus\":\"New\",\"matchedRules\":[{\"id\":\"5f52d1f1-53e7-411a-b74f-745ee81fa30b\",\"matchedFilters\":[{\"id\":\"ccf86fc1-688f-4131-a46f-1d7a6ee2f88e\",\"matchedDateTime\":\"2019-08-02T04:00:01Z\",\"matchedEvents\":[{\"matchedDateTime\":\"2019-08-02T04:00:01Z\",\"type\":\"TELEMETRY_REGISTRY\",\"uuid\":\"fa9ff47c-e1b8-459e-a3d0-a5b104b854a5\"}],\"mitreTechniqueIds\":[\"T1192\"],\"name\":\"(T1192) Spearphishing Link\"}],\"name\":\"Possible SpearPhishing Email\"}],\"model\":\"Possible APT Attack\",\"schemaVersion\":\"1.0\",\"score\":63,\"severity\":\"critical\",\"updatedDateTime\":\"2023-04-30T00:01:16Z\",\"workbenchLink\":\"https://THE_WORKBENCH_URL\"}",
"severity": 63,
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"log": {
"level": "critical"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"trend_micro_vision_one-alert"
],
"trend_micro_vision_one": {
"alert": {
"alert_provider": "SAE",
"created_date": "2020-04-30T00:01:15.000Z",
"description": "A backdoor was possibly implanted after a user received a possible spear phishing email message.",
"id": "WB-9002-20200427-0002",
"impact_scope": {
"account_count": 0,
"desktop_count": 0,
"email_address_count": 0,
"entities": [
{
"id": "5257b401-2fd7-469c-94fa-39a4f11eb925",
"provenance": [
"Alert"
],
"related_entities": [
"CODERED\\\\\user"
],
"related_indicator_id": [
1
],
"type": "host",
"value": {
"account_value": "[email protected]"
}
}
],
"server_count": 0
},
"indicators": [
{
"field": "request url",
"filter_id": [
"f862df72-7f5e-4b2b-9f7f-9148e875f908"
],
"id": 1,
"provenance": [
"Alert"
],
"related_entities": [
"[email protected]"
],
"type": "url",
"value": "http://www.example.com/ab001.zip"
}
],
"investigation_status": "New",
"matched_rule": [
{
"filter": [
{
"date": "2019-08-02T04:00:01.000Z",
"events": [
{
"date": "2019-08-02T04:00:01.000Z",
"type": "TELEMETRY_REGISTRY",
"uuid": "fa9ff47c-e1b8-459e-a3d0-a5b104b854a5"
}
],
"id": "ccf86fc1-688f-4131-a46f-1d7a6ee2f88e",
"mitre_technique_id": [
"T1192"
],
"name": "(T1192) Spearphishing Link"
}
],
"id": "5f52d1f1-53e7-411a-b74f-745ee81fa30b",
"name": "Possible SpearPhishing Email"
}
],
"model": "Possible APT Attack",
"schema_version": "1.0",
"score": 63,
"severity": "critical",
"workbench_link": "https://THE_WORKBENCH_URL"
}
},
"url": {
"original": "https://THE_WORKBENCH_URL",
"scheme": "https"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移 |
长整型 |
trend_micro_vision_one.alert.alert_provider |
警报提供程序。 |
关键字 |
trend_micro_vision_one.alert.campaign |
对活动对象的对象引用。 |
关键字 |
trend_micro_vision_one.alert.created_by |
创建者。 |
关键字 |
trend_micro_vision_one.alert.created_date |
ISO 8601 格式(UTC 时间的 yyyy-MM-ddThh:mm:ssZ)的日期时间,表示警报的创建日期时间。 |
日期 |
trend_micro_vision_one.alert.description |
触发警报的检测模型的描述。 |
关键字 |
trend_micro_vision_one.alert.id |
工作台 ID。 |
关键字 |
trend_micro_vision_one.alert.impact_scope.account_count |
受影响的帐户数。 |
长整型 |
trend_micro_vision_one.alert.impact_scope.desktop_count |
受影响的桌面数。 |
长整型 |
trend_micro_vision_one.alert.impact_scope.email_address_count |
受影响的电子邮件地址数。 |
长整型 |
trend_micro_vision_one.alert.impact_scope.entities.id |
关键字 |
|
trend_micro_vision_one.alert.impact_scope.entities.provenance |
关键字 |
|
trend_micro_vision_one.alert.impact_scope.entities.related_entities |
关键字 |
|
trend_micro_vision_one.alert.impact_scope.entities.related_indicator_id |
关键字 |
|
trend_micro_vision_one.alert.impact_scope.entities.type |
关键字 |
|
trend_micro_vision_one.alert.impact_scope.entities.value.account_value |
帐户或电子邮件地址。 |
关键字 |
trend_micro_vision_one.alert.impact_scope.entities.value.guid |
GUID。 |
关键字 |
trend_micro_vision_one.alert.impact_scope.entities.value.id |
影响范围实体 ID。 |
关键字 |
trend_micro_vision_one.alert.impact_scope.entities.value.ips |
一组 IP。 |
IP |
trend_micro_vision_one.alert.impact_scope.entities.value.name |
主机名。 |
关键字 |
trend_micro_vision_one.alert.impact_scope.entities.value.related_entities |
相关实体。 |
关键字 |
trend_micro_vision_one.alert.impact_scope.entities.value.related_indicator_id |
相关指示符 ID。 |
长整型 |
trend_micro_vision_one.alert.impact_scope.entities.value.type |
影响范围实体类型。 |
关键字 |
trend_micro_vision_one.alert.impact_scope.server_count |
受影响的服务器数。 |
长整型 |
trend_micro_vision_one.alert.indicators.field |
指示符的详细描述。 |
关键字 |
trend_micro_vision_one.alert.indicators.fields |
指示符的详细描述。 |
关键字 |
trend_micro_vision_one.alert.indicators.filter_id |
相关的匹配筛选器 ID。 |
关键字 |
trend_micro_vision_one.alert.indicators.first_seen_date |
来自相关实体的首次发现日期时间,采用 ISO 8601 格式的日期时间(UTC 时间的 yyyy-MM-ddThh:mm:ssZ)。 |
日期 |
trend_micro_vision_one.alert.indicators.id |
指示符 ID。 |
关键字 |
trend_micro_vision_one.alert.indicators.last_seen_date |
来自相关实体的最后一次发现日期时间,采用 ISO 8601 格式的日期时间(UTC 时间的 yyyy-MM-ddThh:mm:ssZ)。 |
日期 |
trend_micro_vision_one.alert.indicators.matched_indicator.pattern_id |
匹配的指示符模式 ID。 |
关键字 |
trend_micro_vision_one.alert.indicators.provenance |
出处。 |
关键字 |
trend_micro_vision_one.alert.indicators.related_entities |
相关实体。 |
关键字 |
trend_micro_vision_one.alert.indicators.type |
指示符类型。 |
关键字 |
trend_micro_vision_one.alert.indicators.value |
指示符值。 |
关键字 |
trend_micro_vision_one.alert.industry |
行业。 |
关键字 |
trend_micro_vision_one.alert.investigation_status |
工作台警报状态。 |
关键字 |
trend_micro_vision_one.alert.matched_indicator_count |
匹配的指示符模式计数。 |
长整型 |
trend_micro_vision_one.alert.matched_indicators_pattern.id |
模式 ID。 |
关键字 |
trend_micro_vision_one.alert.matched_indicators_pattern.matched_log |
模式匹配的日志。 |
关键字 |
trend_micro_vision_one.alert.matched_indicators_pattern.pattern |
STIX 指示符将是一个模式。 |
关键字 |
trend_micro_vision_one.alert.matched_indicators_pattern.tags |
STIX 定义的标签。 |
关键字 |
trend_micro_vision_one.alert.matched_rule.filter.date |
ISO 8601 格式(UTC 时间的 yyyy-MM-ddThh:mm:ssZ)的日期时间。 |
日期 |
trend_micro_vision_one.alert.matched_rule.filter.events.date |
匹配的事件日期。 |
日期 |
trend_micro_vision_one.alert.matched_rule.filter.events.type |
匹配的事件类型。 |
关键字 |
trend_micro_vision_one.alert.matched_rule.filter.events.uuid |
匹配的事件 UUID。 |
关键字 |
trend_micro_vision_one.alert.matched_rule.filter.id |
匹配的筛选器 ID。 |
关键字 |
trend_micro_vision_one.alert.matched_rule.filter.mitre_technique_id |
Mitre 技术 ID。 |
关键字 |
trend_micro_vision_one.alert.matched_rule.filter.name |
筛选器名称。 |
关键字 |
trend_micro_vision_one.alert.matched_rule.id |
触发的规则。 |
关键字 |
trend_micro_vision_one.alert.matched_rule.name |
匹配的规则名称。 |
关键字 |
trend_micro_vision_one.alert.model |
触发警报的检测模型的名称。 |
关键字 |
trend_micro_vision_one.alert.region_and_country |
区域/国家。 |
关键字 |
trend_micro_vision_one.alert.report_link |
一个参考 URL,链接到报告详细信息分析。对于趋势科技研究报告,该链接将链接到趋势博客。 |
关键字 |
trend_micro_vision_one.alert.schema_version |
JSON 架构的版本,而不是警报触发内容的版本。 |
关键字 |
trend_micro_vision_one.alert.score |
根据匹配的检测模型的严重性和影响范围分配给警报的总体严重性。 |
长整型 |
trend_micro_vision_one.alert.severity |
工作台警报严重性。 |
关键字 |
trend_micro_vision_one.alert.total_indicator_count |
指示符模式总数。 |
长整型 |
trend_micro_vision_one.alert.workbench_link |
工作台 URL。 |
关键字 |
审计
编辑这是 审计 数据集。
示例
审计 的示例事件如下所示
{
"@timestamp": "2022-02-24T07:29:48.000Z",
"agent": {
"ephemeral_id": "652abe8f-556a-4a24-9e9d-dc2990f84a38",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "trend_micro_vision_one.audit",
"namespace": "46929",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"authentication"
],
"created": "2024-06-12T03:28:27.263Z",
"dataset": "trend_micro_vision_one.audit",
"ingested": "2024-06-12T03:28:39Z",
"kind": "event",
"original": "{\"accessType\":\"Console\",\"activity\":\"string\",\"category\":\"Logon and Logoff\",\"details\":{\"property1\":\"string\",\"property2\":\"string\"},\"loggedDateTime\":\"2022-02-24T07:29:48Z\",\"loggedRole\":\"Master Administrator\",\"loggedUser\":\"Root Account\",\"result\":\"Unsuccessful\"}",
"outcome": "failure",
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"related": {
"user": [
"Root Account"
]
},
"source": {
"user": {
"name": "Root Account",
"roles": [
"Master Administrator"
]
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"trend_micro_vision_one-audit"
],
"trend_micro_vision_one": {
"audit": {
"access_type": "Console",
"activity": "string",
"category": "Logon and Logoff",
"details": {
"property1": "string",
"property2": "string"
},
"logged_role": "Master Administrator",
"logged_user": "Root Account",
"result": "Unsuccessful"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移 |
长整型 |
trend_micro_vision_one.audit.access_type |
活动的来源。 |
关键字 |
trend_micro_vision_one.audit.activity |
执行的活动。 |
关键字 |
trend_micro_vision_one.audit.category |
类别。 |
关键字 |
trend_micro_vision_one.audit.details |
包含要从“details”字段检索的元素列表的对象。 |
扁平化 |
trend_micro_vision_one.audit.logged_role |
帐户的角色。 |
关键字 |
trend_micro_vision_one.audit.logged_user |
用于执行活动的帐户。 |
关键字 |
trend_micro_vision_one.audit.result |
结果。 |
关键字 |
detection
编辑这是 detection 数据集。
示例
一个 detection 的示例事件如下所示
{
"@timestamp": "2020-10-15T01:16:32.000Z",
"agent": {
"ephemeral_id": "b136ddab-1cc6-49c5-b9c2-4a4fcf650fe2",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "trend_micro_vision_one.detection",
"namespace": "99796",
"type": "logs"
},
"destination": {
"domain": "Workgroup",
"ip": [
"81.2.69.142"
],
"port": 53
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "clean",
"agent_id_status": "verified",
"category": [
"intrusion_detection"
],
"created": "2024-06-12T03:29:29.064Z",
"dataset": "trend_micro_vision_one.detection",
"id": "100117",
"ingested": "2024-06-12T03:29:41Z",
"kind": "event",
"original": "{\"act\":\"Clean\",\"actResult\":\"Quarantined successfully\",\"app\":\"HTTP\",\"appGroup\":\"HTTP\",\"aptRelated\":\"0\",\"behaviorCat\":\"Grey-Detection\",\"blocking\":\"Web reputation\",\"cat\":50,\"cccaDetection\":\"Yes\",\"cccaDetectionSource\":\"GLOBAL_INTELLIGENCE\",\"cccaRiskLevel\":3,\"clientFlag\":\"dst\",\"cnt\":\"1\",\"component\":[\"PATTERN_VSAPI 17.101.92 2021-09-30 04:23:27-07:00\"],\"compressedFileSize\":\"0\",\"detectionType\":\"File\",\"deviceDirection\":\"outbound\",\"deviceGUID\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\",\"deviceMacAddress\":\"00-00-5E-00-53-23\",\"deviceProcessName\":\"/snap/core/10126/usr/lib/snapd/snapd\",\"dhost\":\"samplehost\",\"domainName\":\"Workgroup\",\"dpt\":53,\"dst\":[\"81.2.69.142\"],\"dstGroup\":\"Default\",\"end\":\"2021-09-30T09:40:04-08:00\",\"endpointGUID\":\"1234-1234-1234\",\"endpointHostName\":\"abc-docker\",\"endpointIp\":[\"81.2.69.142\"],\"endpointMacAddress\":\"00-00-5E-00-53-23\",\"engType\":\"Virus Scan Engine (OS 2003, x64)\",\"engVer\":\"12.500.1004\",\"eventId\":\"100117\",\"eventName\":\"INTEGRITY_MONITORING_EVENT\",\"eventSubName\":\"Attack Discovery\",\"eventTime\":1602724592000,\"eventTimeDT\":\"2021-06-10T01:38:38+00:00\",\"fileHash\":\"3395856ce81f2b7382dee72602f798b642f14140\",\"fileName\":[\"Unconfirmed 145081.crdownload\"],\"fileOperation\":\"Deleted\",\"filePath\":\"/etc/systemd/system\",\"filePathName\":\"/etc/systemd/system/snap-xxxx-1246.xxxx\",\"fileSize\":\"0\",\"firstAct\":\"Clean\",\"firstActResult\":\"Unable to clean file\",\"fullPath\":\"C:\\\\\\\\\\Users\\\\\\\\\\user1\\\\\\\\\\Downloads\\\\\\\\\\Unconfirmed 145081.crdownload\",\"hostName\":\"samplehost\",\"httpReferer\":\"http://www.example.com/\",\"interestedHost\":\"abc-docker\",\"interestedIp\":[\"81.2.69.192\"],\"interestedMacAddress\":\"00-00-5E-00-53-23\",\"mDevice\":[\"81.2.69.192\"],\"mDeviceGUID\":\"C5B09EDD-C725-907F-29D9-B8C30D18C48F\",\"malName\":\"Eicar_test_1\",\"malType\":\"Virus/Malware\",\"mitreMapping\":[\"T1090 (TA0005)\"],\"mitreVersion\":\"v6\",\"mpname\":\"Cloud One - Workload Security\",\"mpver\":\"Deep Security/20.0.222\",\"objectCmd\":[\"C:\\\\\\\\\\Program Files (x86)\\\\\\\\\\Microsoft\\\\\\\\\\Edge\\\\\\\\\\Application\\\\\\\\\\msedge.exe --profile-directory=Default\"],\"objectFileHashMd5\":\"761AEFF7E6B110970285B9C20C9E1DCA\",\"objectFileHashSha1\":\"00496B4D53CEFE031B9702B3385C9F4430999932\",\"objectFileHashSha256\":\"7778ED68F4646BAA38C4F36B16A1AE393ACECD694948102B5CF0773AB08237D7\",\"objectFileName\":\"Unconfirmed 142899.crdownload:SmartScreen\",\"objectFilePath\":\"C:\\\\\\\\\\Users\\\\\\\\\\user1\\\\\\\\\\Downloads\\\\\\\\\\Unconfirmed 142899.crdownload:SmartScreen\",\"objectName\":\"CloudEndpointService.exe\",\"objectPid\":7660,\"objectSigner\":[\"OS\"],\"parentCmd\":\"C:\\\\\\\\\\os\\\\\\\\\\system32\\\\\\\\\\svchost.exe -k DcomLaunch -p\",\"parentFileHashSha1\":\"00496B4D53CEFE031B9702B3385C9F4430999932\",\"parentFileHashSha256\":\"7778ED68F4646BAA38C4F36B16A1AE393ACECD694948102B5CF0773AB08237D7\",\"parentFilePath\":\"C:\\\\\\\\\\os\\\\\\\\\\System32\\\\\\\\\\svchost.exe\",\"peerHost\":\"samplehost\",\"peerIp\":[\"81.2.69.192\"],\"pname\":\"Apex One\",\"processCmd\":\"-ServerName:App.AppX9yct9q388jvt4h7y0gn06smzkxcsnt8m.mca\",\"processFileHashMd5\":\"761AEFF7E6B110970285B9C20C9E1DCA\",\"processFileHashSha1\":\"00496B4D53CEFE031B9702B3385C9F4430999932\",\"processFileHashSha256\":\"7778ED68F4646BAA38C4F36B16A1AE393ACECD694948102B5CF0773AB08237D7\",\"processFilePath\":\"C:\\\\\\\\\\Program Files (x86)\\\\\\\\\\os\\\\\\\\\\Application\\\\\\\\\\msedge.exe\",\"processName\":\"string\",\"processPid\":0,\"processSigner\":\"OS Publisher\",\"productCode\":\"sao\",\"pver\":\"20.0.0.877\",\"request\":\"https://example.com\",\"requestClientApplication\":\"Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1\",\"rt\":\"2020-10-15T01:16:32.000Z\",\"rt_utc\":\"2020-10-15T01:16:32.000Z\",\"searchDL\":\"DDL\",\"spt\":58871,\"src\":\"81.2.69.192\",\"srcGroup\":\"Default\",\"tacticId\":[\"TA0005\"],\"tags\":[\"XSAE.F2140\",\"XSAE.F3066\"],\"threatName\":\"Malicious_identified_CnC_querying_on_UDP_detected\",\"uuid\":\"1234-1234-1234\"}",
"severity": 50,
"type": [
"info"
]
},
"file": {
"hash": {
"md5": "761AEFF7E6B110970285B9C20C9E1DCA",
"sha1": "00496B4D53CEFE031B9702B3385C9F4430999932",
"sha256": "7778ED68F4646BAA38C4F36B16A1AE393ACECD694948102B5CF0773AB08237D7"
},
"name": [
"Unconfirmed 145081.crdownload"
],
"path": "/etc/systemd/system/snap-xxxx-1246.xxxx",
"size": 0
},
"host": {
"hostname": "samplehost",
"id": "1234-1234-1234",
"ip": [
"81.2.69.142"
],
"mac": [
"00-00-5E-00-53-23"
],
"name": "abc-docker"
},
"http": {
"request": {
"referrer": "http://www.example.com/"
}
},
"input": {
"type": "httpjson"
},
"network": {
"direction": "outbound",
"protocol": "http"
},
"observer": {
"hostname": "samplehost",
"mac": [
"00-00-5E-00-53-23"
]
},
"process": {
"command_line": "-ServerName:App.AppX9yct9q388jvt4h7y0gn06smzkxcsnt8m.mca",
"name": "string",
"pid": 0
},
"related": {
"hash": [
"761AEFF7E6B110970285B9C20C9E1DCA",
"00496B4D53CEFE031B9702B3385C9F4430999932",
"7778ED68F4646BAA38C4F36B16A1AE393ACECD694948102B5CF0773AB08237D7",
"3395856ce81f2b7382dee72602f798b642f14140"
],
"hosts": [
"samplehost",
"abc-docker"
],
"ip": [
"81.2.69.142",
"81.2.69.192"
]
},
"source": {
"ip": "81.2.69.192",
"port": 58871
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"trend_micro_vision_one-detection"
],
"threat": {
"tactic": {
"id": [
"TA0005"
]
}
},
"trend_micro_vision_one": {
"detection": {
"action": "Clean",
"action_result": "Quarantined successfully",
"behavior_category": "Grey-Detection",
"block": "Web reputation",
"client_flag": "dst",
"component_version": [
"PATTERN_VSAPI 17.101.92 2021-09-30 04:23:27-07:00"
],
"compressed_file_size": 0,
"destination": {
"ip": [
"81.2.69.142"
],
"ip_group": "Default",
"port": 53
},
"detection": "Yes",
"detection_source": "GLOBAL_INTELLIGENCE",
"detection_type": "File",
"device": {
"direction": "outbound",
"guid": "C5B09EDD-C725-907F-29D9-B8C30D18C48F",
"host": "samplehost",
"id": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"ip": [
"81.2.69.192"
],
"mac": "00-00-5E-00-53-23",
"process_name": "/snap/core/10126/usr/lib/snapd/snapd"
},
"domain": {
"name": "Workgroup"
},
"end_time": "2021-09-30T17:40:04.000Z",
"endpoint": {
"guid": "1234-1234-1234",
"hostname": "abc-docker",
"ip": [
"81.2.69.142"
],
"mac": "00-00-5E-00-53-23"
},
"engine_type": "Virus Scan Engine (OS 2003, x64)",
"engine_version": "12.500.1004",
"event_id": "100117",
"event_name": "INTEGRITY_MONITORING_EVENT",
"event_time_dt": "2021-06-10T01:38:38.000Z",
"file_hash": "3395856ce81f2b7382dee72602f798b642f14140",
"file_name": [
"Unconfirmed 145081.crdownload"
],
"file_operation": "Deleted",
"file_path": "/etc/systemd/system",
"file_path_name": "/etc/systemd/system/snap-xxxx-1246.xxxx",
"file_size": 0,
"first_action": "Clean",
"first_action_result": "Unable to clean file",
"full_path": "C:\\\\\Users\\\\\user1\\\\\Downloads\\\\\Unconfirmed 145081.crdownload",
"hostname": "samplehost",
"http_referer": "http://www.example.com/",
"interested": {
"host": "abc-docker",
"ip": [
"81.2.69.192"
],
"mac": "00-00-5E-00-53-23"
},
"malware_name": "Eicar_test_1",
"malware_type": "Virus/Malware",
"mproduct": {
"name": "Cloud One - Workload Security",
"version": "Deep Security/20.0.222"
},
"object": {
"cmd": [
"C:\\\\\Program Files (x86)\\\\\Microsoft\\\\\Edge\\\\\Application\\\\\msedge.exe --profile-directory=Default"
],
"file": {
"hash": {
"md5": "761AEFF7E6B110970285B9C20C9E1DCA",
"sha1": "00496B4D53CEFE031B9702B3385C9F4430999932",
"sha256": "7778ED68F4646BAA38C4F36B16A1AE393ACECD694948102B5CF0773AB08237D7"
},
"name": "Unconfirmed 142899.crdownload:SmartScreen",
"path": "C:\\\\\Users\\\\\user1\\\\\Downloads\\\\\Unconfirmed 142899.crdownload:SmartScreen"
},
"name": "CloudEndpointService.exe",
"pid": 7660,
"signer": [
"OS"
]
},
"parent": {
"cmd": "C:\\\\\os\\\\\system32\\\\\svchost.exe -k DcomLaunch -p",
"file": {
"hash": {
"sha1": "00496B4D53CEFE031B9702B3385C9F4430999932",
"sha256": "7778ED68F4646BAA38C4F36B16A1AE393ACECD694948102B5CF0773AB08237D7"
},
"path": "C:\\\\\os\\\\\System32\\\\\svchost.exe"
}
},
"peer": {
"host": "samplehost",
"ip": [
"81.2.69.192"
]
},
"process": {
"cmd": "-ServerName:App.AppX9yct9q388jvt4h7y0gn06smzkxcsnt8m.mca",
"file": {
"hash": {
"md5": "761AEFF7E6B110970285B9C20C9E1DCA",
"sha1": "00496B4D53CEFE031B9702B3385C9F4430999932",
"sha256": "7778ED68F4646BAA38C4F36B16A1AE393ACECD694948102B5CF0773AB08237D7"
},
"path": "C:\\\\\Program Files (x86)\\\\\os\\\\\Application\\\\\msedge.exe"
},
"name": "string",
"pid": 0,
"signer": "OS Publisher"
},
"product": {
"code": "sao",
"name": "Apex One",
"version": "20.0.0.877"
},
"protocol": "HTTP",
"protocol_group": "HTTP",
"related_apt": false,
"request": "https://example.com",
"request_client_application": "Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1",
"risk_level": 3,
"rt": "2020-10-15T01:16:32.000Z",
"rt_utc": "2020-10-15T01:16:32.000Z",
"search_data_lake": "DDL",
"security_analytics": {
"engine": {
"name": [
"T1090 (TA0005)"
],
"version": "v6"
}
},
"severity_level": 50,
"source": {
"group": "Default",
"ip": "81.2.69.192",
"port": 58871
},
"sub_name": "Attack Discovery",
"tactic_id": [
"TA0005"
],
"tags": [
"XSAE.F2140",
"XSAE.F3066"
],
"threat_name": "Malicious_identified_CnC_querying_on_UDP_detected",
"total_count": 1,
"uuid": "1234-1234-1234"
}
},
"url": {
"domain": "example.com",
"original": "https://example.com",
"scheme": "https"
},
"user_agent": {
"device": {
"name": "iPhone"
},
"name": "Mobile Safari",
"original": "Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1",
"os": {
"full": "iOS 12.1",
"name": "iOS",
"version": "12.1"
},
"version": "12.0"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移 |
长整型 |
trend_micro_vision_one.detection.action |
检测产品的操作。 |
关键字 |
trend_micro_vision_one.detection.action_result |
检测产品的操作结果。 |
关键字 |
trend_micro_vision_one.detection.aggregated_count |
聚合计数。 |
长整型 |
trend_micro_vision_one.detection.behavior_category |
BM 模式中匹配的策略类别(策略部分),此处将始终为“灰度检测”。 |
关键字 |
trend_micro_vision_one.detection.block |
阻止原因。 |
关键字 |
trend_micro_vision_one.detection.client_flag |
0:未知 1:源 2:目标。 |
关键字 |
trend_micro_vision_one.detection.client_ip |
客户端 IP。 |
IP |
trend_micro_vision_one.detection.component_version |
产品组件版本。 |
关键字 |
trend_micro_vision_one.detection.compressed_file_size |
压缩后的文件大小。 |
长整型 |
trend_micro_vision_one.detection.destination.ip |
目标 IP 地址。 |
IP |
trend_micro_vision_one.detection.destination.ip_group |
目标 IP 地址组。 |
关键字 |
trend_micro_vision_one.detection.destination.port |
目标端口。 |
长整型 |
trend_micro_vision_one.detection.detection |
是(当它出现且值为 1 时标记它)。 |
关键字 |
trend_micro_vision_one.detection.detection_source |
Deep Discovery Inspector 使用的检测源。 |
关键字 |
trend_micro_vision_one.detection.detection_type |
产品检测类型。 |
关键字 |
trend_micro_vision_one.detection.device.direction |
0:入站 1:出站 2:未知(如果无法正确解析,则分配 2)。 |
关键字 |
trend_micro_vision_one.detection.device.guid |
设备 GUID。 |
关键字 |
trend_micro_vision_one.detection.device.host |
设备主机。 |
关键字 |
trend_micro_vision_one.detection.device.id |
设备标识。 |
关键字 |
trend_micro_vision_one.detection.device.ip |
设备 IP 列表。 |
IP |
trend_micro_vision_one.detection.device.mac |
Mac 地址。 |
关键字 |
trend_micro_vision_one.detection.device.process_name |
设备中的进程名称。 |
关键字 |
trend_micro_vision_one.detection.domain.name |
域名。 |
关键字 |
trend_micro_vision_one.detection.end_time |
结束时间。 |
日期 |
trend_micro_vision_one.detection.endpoint.guid |
用于标识的端点 GUID。 |
关键字 |
trend_micro_vision_one.detection.endpoint.hostname |
生成事件的端点的主机名。 |
关键字 |
trend_micro_vision_one.detection.endpoint.ip |
端点 IP 地址列表。 |
IP |
trend_micro_vision_one.detection.endpoint.mac |
端点 Mac 地址。 |
关键字 |
trend_micro_vision_one.detection.engine_type |
产品扫描引擎类型。 |
关键字 |
trend_micro_vision_one.detection.engine_version |
产品扫描引擎版本。 |
关键字 |
trend_micro_vision_one.detection.event_id |
事件 ID。 |
关键字 |
trend_micro_vision_one.detection.event_name |
预定义的事件枚举器。 |
关键字 |
trend_micro_vision_one.detection.event_time_dt |
检测时间。 |
日期 |
trend_micro_vision_one.detection.file_hash |
检测文件哈希值。 |
关键字 |
trend_micro_vision_one.detection.file_name |
检测文件名。 |
关键字 |
trend_micro_vision_one.detection.file_operation |
检测文件的操作。 |
关键字 |
trend_micro_vision_one.detection.file_path |
不包含文件名的完整文件路径。 |
关键字 |
trend_micro_vision_one.detection.file_path_name |
完整文件路径。 |
关键字 |
trend_micro_vision_one.detection.file_size |
检测文件大小。 |
长整型 |
trend_micro_vision_one.detection.file_type |
检测文件类型。 |
关键字 |
trend_micro_vision_one.detection.first_action |
首次操作。 |
关键字 |
trend_micro_vision_one.detection.first_action_result |
首次操作结果。 |
关键字 |
trend_micro_vision_one.detection.full_path |
文件完整路径。 |
关键字 |
trend_micro_vision_one.detection.hostname |
主机名。 |
关键字 |
trend_micro_vision_one.detection.http_referer |
http 引用 URL。 |
关键字 |
trend_micro_vision_one.detection.interested.host |
事件响应成员的突出显示指示器。 |
关键字 |
trend_micro_vision_one.detection.interested.ip |
事件响应成员的突出显示指示器。 |
IP |
trend_micro_vision_one.detection.interested.mac |
事件响应成员的突出显示指示器。 |
关键字 |
trend_micro_vision_one.detection.malware_name |
恶意软件名称。 |
关键字 |
trend_micro_vision_one.detection.malware_type |
恶意软件类型。 |
关键字 |
trend_micro_vision_one.detection.mime_type |
Mime 类型。 |
关键字 |
trend_micro_vision_one.detection.mproduct.name |
产品名称。 |
关键字 |
trend_micro_vision_one.detection.mproduct.version |
产品版本。 |
关键字 |
trend_micro_vision_one.detection.object.cmd |
Attack Discovery 检测到的进程用于执行其他进程的命令行。 |
关键字 |
trend_micro_vision_one.detection.object.file.hash.md5 |
文件哈希 Md5 值。 |
关键字 |
trend_micro_vision_one.detection.object.file.hash.sha1 |
文件哈希 Sha1 值。 |
关键字 |
trend_micro_vision_one.detection.object.file.hash.sha256 |
文件哈希 Sha256 值。 |
关键字 |
trend_micro_vision_one.detection.object.file.name |
文件名。 |
关键字 |
trend_micro_vision_one.detection.object.file.path |
文件路径。 |
关键字 |
trend_micro_vision_one.detection.object.name |
检测对象名称。 |
关键字 |
trend_micro_vision_one.detection.object.pid |
检测对象 Pid。 |
长整型 |
trend_micro_vision_one.detection.object.signer |
签名者。 |
关键字 |
trend_micro_vision_one.detection.os.name |
支持的值:Linux、Windows、macOS、macOSX。 |
关键字 |
trend_micro_vision_one.detection.parent.cmd |
父进程的命令行。 |
关键字 |
trend_micro_vision_one.detection.parent.file.hash.sha1 |
父文件 sha1。 |
关键字 |
trend_micro_vision_one.detection.parent.file.hash.sha256 |
父文件 sha256。 |
关键字 |
trend_micro_vision_one.detection.parent.file.path |
父文件路径。 |
关键字 |
trend_micro_vision_one.detection.peer.host |
对等主机名。 |
关键字 |
trend_micro_vision_one.detection.peer.ip |
对等 IP 列表。 |
IP |
trend_micro_vision_one.detection.policy.logkey |
策略日志键。 |
关键字 |
trend_micro_vision_one.detection.policy.name |
策略名称。 |
关键字 |
trend_micro_vision_one.detection.policy.uuid |
策略 uuid。 |
关键字 |
trend_micro_vision_one.detection.principal_name |
主体名称。 |
关键字 |
trend_micro_vision_one.detection.process.cmd |
用于启动此进程的命令行。 |
关键字 |
trend_micro_vision_one.detection.process.file.hash.md5 |
进程文件哈希 MD5 值。 |
关键字 |
trend_micro_vision_one.detection.process.file.hash.sha1 |
进程文件哈希 Sha1 值。 |
关键字 |
trend_micro_vision_one.detection.process.file.hash.sha256 |
进程文件哈希 Sha256 值。 |
关键字 |
trend_micro_vision_one.detection.process.file.path |
进程文件路径。 |
关键字 |
trend_micro_vision_one.detection.process.name |
进程名称。 |
关键字 |
trend_micro_vision_one.detection.process.pid |
进程 Pid。 |
长整型 |
trend_micro_vision_one.detection.process.signer |
进程签名者。 |
关键字 |
trend_micro_vision_one.detection.product.code |
产品代码名称。 |
关键字 |
trend_micro_vision_one.detection.product.name |
产品名称。 |
关键字 |
trend_micro_vision_one.detection.product.version |
产品版本。 |
关键字 |
trend_micro_vision_one.detection.profile |
配置文件 |
关键字 |
trend_micro_vision_one.detection.protocol |
Deep Discovery Inspector 检测到的协议。 |
关键字 |
trend_micro_vision_one.detection.protocol_group |
Deep Discovery Inspector 检测到的协议组。 |
关键字 |
trend_micro_vision_one.detection.related_apt |
0:False, 1:True。 |
布尔值 |
trend_micro_vision_one.detection.request |
URL。 |
关键字 |
trend_micro_vision_one.detection.request_base |
请求基础。 |
关键字 |
trend_micro_vision_one.detection.request_client_application |
浏览器用户代理。 |
关键字 |
trend_micro_vision_one.detection.risk_level |
SLF_CCCA_RISKLEVEL_UNKNOWN (0) SLF_CCCA_RISKLEVEL_LOW (1) SLF_CCCA_RISKLEVEL_MEDIUM (2) SLF_CCCA_RISKLEVEL_HIGH (3)。 |
长整型 |
trend_micro_vision_one.detection.rt |
检测时间。 |
日期 |
trend_micro_vision_one.detection.rt_utc |
检测 UTC 时间。 |
日期 |
trend_micro_vision_one.detection.search_data_lake |
数据湖名称。 |
关键字 |
trend_micro_vision_one.detection.security_analytics.engine.name |
安全分析引擎。 |
关键字 |
trend_micro_vision_one.detection.security_analytics.engine.version |
安全分析引擎版本。 |
关键字 |
trend_micro_vision_one.detection.sender |
发件人。 |
关键字 |
trend_micro_vision_one.detection.severity_level |
严重性评分。 |
长整型 |
trend_micro_vision_one.detection.source.group |
源 IP 地址组。 |
关键字 |
trend_micro_vision_one.detection.source.ip |
源 IP 地址。 |
IP |
trend_micro_vision_one.detection.source.port |
源端口。 |
长整型 |
trend_micro_vision_one.detection.sub_name |
检测事件订阅名称。 |
关键字 |
trend_micro_vision_one.detection.suid |
Suid。 |
关键字 |
trend_micro_vision_one.detection.tactic_id |
安全代理或产品策略。 |
关键字 |
trend_micro_vision_one.detection.tags |
由安全分析引擎过滤器检测到。 |
关键字 |
trend_micro_vision_one.detection.threat_name |
威胁名称。 |
关键字 |
trend_micro_vision_one.detection.total_count |
总计数。 |
长整型 |
trend_micro_vision_one.detection.url_cat |
URL 类别。 |
关键字 |
trend_micro_vision_one.detection.user.domain |
用户域。 |
关键字 |
trend_micro_vision_one.detection.uuid |
日志唯一 ID。 |
关键字 |
变更日志
编辑变更日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.23.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.22.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.21.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.21.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.20.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.19.1 |
Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.19.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.18.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.17.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.16.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.15.1 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.2 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
0.3.1 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.2 |
Bug 修复 (查看拉取请求) |
— |
0.2.1 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |