› ›

警报模式

Elastic Security 将检测规则生成的警报存储在隐藏的 Elasticsearch 索引中。在 8.x 版本中，索引模式为 .alerts-security.alerts-<space-id->。在 7.x 版本中，索引模式为 .siem-signals-<space-id>，并且一些字段名称不同。下表包括当前名称并交叉引用了旧的字段名称。

建议用户不要在警报文档中使用 _source 字段，而是使用搜索 API 中的 fields 选项以编程方式获取这些文档中使用的字段列表。了解更多关于从搜索中检索所选字段的信息。

下面列出的非 ECS 字段为 Beta 版，可能会发生更改。

7.x 信号字段	8.x 警报字段	描述
`@timestamp`	`@timestamp`	ECS 字段，表示警报创建或最近更新的时间。
`message`	`message`	ECS 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`tags`	`tags`	ECS 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`labels`	`labels`	ECS 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`ecs.version`	`ecs.version`	警报的 ECS 映射版本。
`event.kind`	`event.kind`	ECS 字段，对于警报文档始终为 `signal`。
`event.category`	`event.category`	ECS 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`event.type`	`event.type`	ECS 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`event.outcome`	`event.outcome`	ECS 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`agent.*`	`agent.*`	ECS `agent.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`client.*`	`client.*`	ECS `client.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`cloud.*`	`cloud.*`	ECS `cloud.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`container.*`	`container.*`	ECS `container.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`data_stream.*`	`data_stream.*`	ECS `data_stream.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。注意：这些字段在源文档中可能是常量关键字，但会作为关键字复制到警报文档中。
`destination.*`	`destination.*`	ECS `destination.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`dll.*`	`dll.*`	ECS `dll.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`dns.*`	dns.*	ECS `dns.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`error.*`	`error.*`	ECS `error.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`event.*`	`event.*`	ECS `event.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。注意：上面的分类字段（`event.kind`、`event.category`、`event.type`、`event.outcome`）在上面单独列出。
`file.*`	`file.*`	ECS `file.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`group.*`	`group.*`	ECS `group.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`host.*`	`host.*`	ECS `host.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`http.*`	`http.*`	ECS `http.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`log.*`	`log.*`	ECS `log.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`network.*`	`network.*`	ECS `network.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`observer.*`	`observer.*`	ECS `observer.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`orchestrator.*`	`orchestrator.*`	ECS `orchestrator.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`organization.*`	`organization.*`	ECS `organization.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`package.*`	`package.*`	ECS `package.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`process.*`	`process.*`	ECS `process.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`registry.*`	`registry.*`	ECS `registry.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`related.*`	`related.*`	ECS `related.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`rule.*`	`rule.*`	ECS `rule.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。注意：这些字段与生成警报的检测规则无关。
`server.*`	`server.*`	ECS `server.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`service.*`	`service.*`	ECS `service.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`source.*`	`source.*`	ECS `source.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`span.*`	`span.*`	ECS `span.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`threat.*`	`threat.*`	ECS `threat.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`tls.*`	`tls.*`	ECS `tls.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`trace.*`	`trace.*`	ECS `trace.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`transaction.*`	`transaction.*`	ECS `transaction.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`url.*`	`url.*`	ECS `url.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`user.*`	`user.*`	ECS `user.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`user_agent.*`	`user_agent.*`	ECS `user_agent.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`vulnerability.*`	`vulnerability.*`	ECS `vulnerability.*` 字段，如果存在，则从源文档复制，用于自定义查询和指示符匹配规则。
`signal.ancestors.*`	`kibana.alert.ancestors.*`	类型：对象
`signal.depth`	`kibana.alert.depth`	类型：Long
N/A	`kibana.alert.new_terms`	生成此警报的新术语的值。类型：关键字
`signal.original_event.*`	`kibana.alert.original_event.*`	类型：对象
`signal.original_time`	`kibana.alert.original_time`	从源事件 (`@timestamp`) 复制的值。类型：日期
`signal.reason`	`kibana.alert.reason`	类型：关键字
`signal.rule.author`	`kibana.alert.rule.author`	创建规则的 `author` 的值。请参阅配置高级规则设置。类型：关键字
`signal.rule.building_block_type`	`kibana.alert.building_block_type`	从生成此警报的规则中获取的 `building_block_type` 的值。请参阅配置高级规则设置。类型：关键字
`signal.rule.created_at`	`kibana.alert.rule.created_at`	从生成此警报的规则中获取的 `created.at` 的值。类型：日期
`signal.rule.created_by`	`kibana.alert.rule.created_by`	类型：关键字
`signal.rule.description`	`kibana.alert.rule.description`	类型：关键字
`signal.rule.enabled`	`kibana.alert.rule.enabled`	类型：关键字
`signal.rule.false_positives`	`kibana.alert.rule.false_positives`	类型：关键字
`signal.rule.from`	`kibana.alert.rule.from`	类型：关键字
`signal.rule.id`	`kibana.alert.rule.uuid`	类型：关键字
`signal.rule.immutable`	`kibana.alert.rule.immutable`	类型：关键字
`signal.rule.interval`	`kibana.alert.rule.interval`	类型：关键字
`signal.rule.license`	`kibana.alert.rule.license`	类型：关键字
`signal.rule.max_signals`	`kibana.alert.rule.max_signals`	类型：long
`signal.rule.name`	`kibana.alert.rule.name`	类型：关键字
`signal.rule.note`	`kibana.alert.rule.note`	类型：关键字
`signal.rule.references`	`kibana.alert.rule.references`	类型：关键字
`signal.rule.risk_score`	`kibana.alert.risk_score`	类型：float
`signal.rule.rule_id`	`kibana.alert.rule.rule_id`	类型：关键字
`signal.rule.rule_name_override`	`kibana.alert.rule.rule_name_override`	类型：关键字
`signal.rule.severity`	`kibana.alert.severity`	警报严重性，由警报创建时的 `rule_type` 填充。必须具有 `low`、`medium`、`high`、`critical` 的值。类型：关键字
`signal.rule.tags`	`kibana.alert.rule.tags`	类型：关键字
`signal.rule.threat.*`	`kibana.alert.rule.threat.*`	类型：对象
`signal.rule.timeline_id`	`kibana.alert.rule.timeline_id`	类型：关键字
`signal.rule.timeline_title`	`kibana.alert.rule.timeline_title`	类型：关键字
`signal.rule.timestamp_override`	`kibana.alert.rule.timestamp_override`	类型：关键字
`signal.rule.to`	`kibana.alert.rule.to`	类型：关键字
`signal.rule.type`	`kibana.alert.rule.type`	类型：关键字
`signal.rule.updated_at`	`kibana.alert.rule.updated_at`	类型：日期
`signal.rule.updated_by`	`kibana.alert.rule.updated_by`	类型：关键字
`signal.rule.version`	`kibana.alert.rule.version`	一个表示规则版本的数字。类型：关键字
N/A	`kibana.alert.rule.revision`	一个数字，每次您编辑规则时都会递增。类型：long
`signal.status`	`kibana.alert.workflow_status`	类型：关键字
N/A	`kibana.alert.workflow_status_updated_at`	上次更新警报状态的时间戳。类型：日期
`signal.threshold_result.*`	`kibana.alert.threshold_result.*`	类型：对象
`signal.group.id`	`kibana.alert.group.id`	类型：关键字
`signal.group.index`	`kibana.alert.group.index`	类型：整数
`signal.rule.index`	`kibana.alert.rule.parameters.index`	类型：扁平化
`signal.rule.language`	`kibana.alert.rule.parameters.language`	类型：扁平化
`signal.rule.query`	`kibana.alert.rule.parameters.query`	类型：扁平化
`signal.rule.risk_score_mapping`	`kibana.alert.rule.parameters.risk_score_mapping`	类型：扁平化
`signal.rule.saved_id`	`kibana.alert.rule.parameters.saved_id`	类型：扁平化
`signal.rule.severity_mapping`	`kibana.alert.rule.parameters.severity_mapping`	类型：扁平化
`signal.rule.threat_filters`	`kibana.alert.rule.parameters.threat_filters`	类型：扁平化
`signal.rule.threat_index`	`kibana.alert.rule.parameters.threat_index`	指标索引的名称。类型：扁平化
`signal.rule.threat_indicator_path`	`kibana.alert.rule.parameters.threat_indicator_path`	类型：扁平化
`signal.rule.threat_language`	`kibana.alert.rule.parameters.threat_language`	类型：扁平化
`signal.rule.threat_mapping.*`	`kibana.alert.rule.parameters.threat_mapping.*`	控制将在指标和源文档中比较哪些字段。类型：扁平化
`signal.rule.threat_query`	`kibana.alert.rule.parameters.threat_query`	类型：扁平化
`signal.rule.threshold.*`	`kibana.alert.rule.parameters.threshold.*`	类型：扁平化
N/A	`kibana.space_ids`	类型：关键字
N/A	`kibana.alert.rule.consumer`	类型：关键字
N/A	`kibana.alert.status`	类型：关键字
N/A	`kibana.alert.rule.category`	类型：关键字
N/A	`kibana.alert.rule.execution.uuid`	类型：关键字
N/A	`kibana.alert.rule.producer`	类型：关键字
N/A	`kibana.alert.rule.rule_type_id`	类型：关键字
N/A	`kibana.alert.suppression.terms.field`	用于分组警报以进行抑制的字段。类型：关键字
N/A	`kibana.alert.suppression.terms.value`	抑制字段中的值。类型：关键字
N/A	`kibana.alert.suppression.start`	抑制组中第一个文档的时间戳。类型：日期
N/A	`kibana.alert.suppression.end`	抑制组中最后一个文档的时间戳。类型：日期
N/A	`kibana.alert.suppression.docs_count`	被抑制的警报数量。类型：long
N/A	`kibana.alert.url`	警报的可共享 URL。仅当您在 `kibana.yml` 文件中设置了 `server.publicBaseUrl` 配置设置时，才会显示此字段。类型：long
N/A	`kibana.alert.workflow_tags`	添加到警报的标签列表。此字段可以包含一个值数组，例如：`["False Positive", "production"]` 类型：关键字
N/A	`kibana.alert.workflow_assignee_ids`	分配给警报的用户列表。用户配置文件的唯一标识符（UID）数组，例如：`["u_1-0CcWliOCQ9T2MrK5YDjhpxZ_AcxPKt3pwaICcnAUY_0, u_2-0CcWliOCQ9T2MrK5YDjhpxZ_AcxPKt3pwaICcnAUY_1"]` UID 链接到用户首次登录部署时自动创建的用户配置文件。这些配置文件包含姓名、电子邮件、个人资料头像和其他用户设置。类型：string[]
N/A	`kibana.alert.intended_timestamp`	显示警报的估计时间戳，如果警报是在源事件最初发生时创建的。此字段中的值由规则的运行方式决定计划运行：由计划运行创建的警报具有与 `@timestamp` 字段相同的时间戳，该字段显示警报的创建时间。手动运行：由手动运行创建的警报的时间戳位于手动运行指定的时间范围内。例如，如果您将规则设置为手动运行 `10/01/2024 05:00 PM` 到 `10/07/2024 05:00 PM` 的事件数据，则 `kibana.alert.intended_timestamp` 值将是该范围内的日期和时间。类型：日期
N/A	`kibana.alert.rule.execution.type`	显示警报是由手动运行还是计划运行创建的。值可以是 `manual` 或 `scheduled`。类型：关键字

« 时间线模式故障排除 »