ZeroFox 云平台集成

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的镜像 ID。

关键词

data_stream.dataset

数据流数据集名称。

常量关键词

data_stream.namespace

数据流命名空间。

常量关键词

data_stream.type

数据流类型。

常量关键词

dataset.name

数据集名称。

常量关键词

dataset.namespace

数据集命名空间。

常量关键词

dataset.type

数据集类型。

常量关键词

event.dataset

事件数据集

常量关键词

event.module

事件模块

常量关键词

host.containerized

如果主机是容器。

布尔值

host.os.build

操作系统构建信息。

关键词

host.os.codename

操作系统代号（如果有）。

关键词

input.type

Filebeat 输入类型。

关键词

zerofox.content_actions

关键词

zerofox.darkweb_term

关键词

zerofox.entity.entity_group.id

实体组标识符。

整数

zerofox.entity.entity_group.name

实体组名称。

关键词

zerofox.entity.id

实体标识符。

关键词

zerofox.entity.image

实体默认图像 URL。

关键词

zerofox.entity.labels.id

实体标签标识符

关键词

zerofox.entity.labels.name

实体标签文本

关键词

zerofox.entity.name

实体名称。

关键词

zerofox.entity_account

关键词

zerofox.entity_term.deleted

布尔值

zerofox.entity_term.id

关键词

zerofox.entity_term.name

关键词

zerofox.escalated

布尔值

zerofox.last_modified

日期

zerofox.metadata

扁平化

zerofox.notes

文本

zerofox.perpetrator.account_number

关键词

zerofox.perpetrator.content

关键词

zerofox.perpetrator.destination_account_number

关键词

zerofox.perpetrator.display_name

关键词

zerofox.perpetrator.id

关键词

zerofox.perpetrator.image

关键词

zerofox.perpetrator.name

关键词

zerofox.perpetrator.network

关键词

zerofox.perpetrator.parent_post_account_number

关键词

zerofox.perpetrator.parent_post_number

关键词

zerofox.perpetrator.parent_post_url

关键词

zerofox.perpetrator.post_number

关键词

zerofox.perpetrator.post_type

关键词

zerofox.perpetrator.timestamp

关键词

zerofox.perpetrator.type

关键词

zerofox.perpetrator.url

关键词

zerofox.perpetrator.username

关键词

zerofox.protected_account

关键词

zerofox.protected_locations

关键词

zerofox.protected_social_object

关键词

zerofox.reviewed

布尔值

zerofox.reviews

关键词

zerofox.status

关键词

zerofox.tags

关键词

1.27.0

增强 (查看拉取请求)
不要在主提取管道中删除 event.original。

8.13.0 或更高版本

1.26.0

增强 (查看拉取请求)
向 event.kind 设置为 "pipeline_error" 的文档添加 "preserve_original_event" 标记。

8.13.0 或更高版本

1.25.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义，以删除 ecs@mappings 组件模板冗余的 ECS 字段。

8.13.0 或更高版本

1.24.0

增强 (查看拉取请求)
改进了对空响应的处理。

8.12.0 或更高版本

1.23.0

增强 (查看拉取请求)
将敏感值设置为秘密。

8.12.0 或更高版本

1.22.1

增强 (查看拉取请求)
更改了所有者

8.7.1 或更高版本

1.22.0

增强 (查看拉取请求)
将请求跟踪器日志计数限制为 5。

8.7.1 或更高版本

1.21.0

增强 (查看拉取请求)
ECS 版本更新至 8.11.0。

8.7.1 或更高版本

1.20.0

增强 (查看拉取请求)
改进了 event.original 检查，以避免在设置时出现错误。

8.7.1 或更高版本

1.19.0

增强 (查看拉取请求)
设置合作伙伴所有者类型。

8.7.1 或更高版本

1.18.0

增强 (查看拉取请求)
ECS 版本更新至 8.10.0。

8.7.1 或更高版本

1.17.0

增强 (查看拉取请求)
软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点分隔的 YAML 键。向软件包清单添加了 owner.type: elastic。

8.7.1 或更高版本

1.16.0

增强 (查看拉取请求)
添加 tags.yml 文件，以便集成的仪表板和保存的搜索都标记有 “安全解决方案”，并在安全解决方案 UI 中显示。

8.7.1 或更高版本

1.15.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.9.0。

8.7.1 或更高版本

1.14.0

增强 (查看拉取请求)
记录持续时间单位。

8.7.1 或更高版本

1.13.0

增强 (查看拉取请求)
记录有效的持续时间单位。

8.7.1 或更高版本

1.12.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

8.7.1 或更高版本

1.11.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.8.0。

8.7.1 或更高版本

1.10.0

增强 (查看拉取请求)
将软件包规范版本更新至 2.7.0。

8.7.1 或更高版本

1.9.0

增强 (查看拉取请求)
添加一个新标志以启用请求跟踪

8.7.1 或更高版本

1.8.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.7.0。

7.14 或更高版本
8.0.0 或更高版本

1.7.1

增强 (查看拉取请求)
添加了类别和/或子类别。

7.14 或更高版本
8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.6.0。

7.14 或更高版本
8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.5.0。

7.14 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.4.0

7.14 或更高版本
8.0.0 或更高版本

1.4.1

增强 (查看拉取请求)
更新软件包名称和描述以与标准措辞对齐

7.14 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.3.0。

7.14 或更高版本
8.0.0 或更高版本

1.3.1

增强 (查看拉取请求)
更新了自述文件，添加了指向 zerofox 自述文件的链接

7.14 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
更新至 ECS 8.2

7.14 或更高版本
8.0.0 或更高版本

1.2.1

增强 (查看拉取请求)
添加多字段文档

7.14 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
更新至 ECS 8.0

7.14 或更高版本
8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

7.14 或更高版本
8.0.0 或更高版本

1.0.3

增强 (查看拉取请求)
与指南统一

7.14 或更高版本

1.0.2

增强 (查看拉取请求)
更新标题和描述。

—

1.0.1

错误修复 (查看拉取请求)
修复检查 forwarded 标记的逻辑

—

1.0.0

增强 (查看拉取请求)
GA 软件包

—

0.2.0

增强 (查看拉取请求)
更新至 ECS 1.12.0

—

0.1.1

增强 (查看拉取请求)
转义文档中的特殊字符

—

0.1.0

增强 (查看拉取请求)
初始发布

—