Elastic Security ECS 字段参考
编辑Elastic Security ECS 字段参考
编辑本节列出了 Elastic Common Schema (ECS) 字段,Elastic Security 使用这些字段为用户提供最佳的 SIEM 和安全分析体验。这些字段用于显示数据、提供规则预览、通过预构建的检测规则启用检测、在规则分类和调查期间提供上下文、升级到案例等等。
我们建议您使用 Elastic Agent 集成或 Beats 将数据发送到 Elastic Security。Elastic Agent 集成和 Beat 模块(例如,Filebeat 模块)符合 ECS 标准,这意味着它们发送到 Elastic Security 的数据将自动填充相关的 ECS 字段。如果您计划使用自定义实现将数据映射到 ECS 字段(请参阅 如何将数据映射到 ECS),请确保填充始终需要的字段。理想情况下,所有相关的 ECS 字段都应填充。
有关哪些 ECS 字段可以出现在 Elastic Endpoint 生成的文档中的详细信息,请参阅Endpoint 事件文档。
始终需要的字段
编辑Elastic Security 要求将所有事件和威胁情报数据规范化为 ECS。为了正常运行,所有数据必须包含以下 ECS 字段
-
@timestamp -
ecs.version -
event.kind -
event.category -
event.type
进程事件所需的字段
编辑Elastic Security 依赖这些字段来分析和显示进程数据
-
process.name -
process.pid
主机事件所需的字段
编辑Elastic Security 依赖这些字段来分析和显示主机数据
-
host.name -
host.id
Elastic Security 可能会使用这些字段来显示其他主机数据
-
cloud.instance.id -
cloud.machine.type -
cloud.provider -
cloud.region -
host.architecture -
host.ip -
host.mac -
host.os.family -
host.os.name -
host.os.platform -
host.os.version
身份验证字段
编辑Elastic Security 依赖这些字段和值来分析和显示主机身份验证数据
-
event.category:authentication -
event.outcome:success或event.outcome:failure
Elastic Security 也可能会使用此字段来显示其他主机身份验证数据
-
user.name
不常见的进程字段
编辑Elastic Security 依赖此字段来分析和显示主机不常见的进程数据
-
process.name
Elastic Security 也可能会使用这些字段来显示不常见的进程数据
-
agent.type -
event.action -
event.code -
event.dataset -
event.module -
process.args -
user.id -
user.name
网络事件所需的字段
编辑Elastic Security 依赖这些字段来分析和显示网络数据
-
destination.geo.location(显示地图数据所必需) -
destination.ip -
source.geo.location(显示地图数据所必需) -
source.ip
Elastic Security 也可能会使用这些字段来分析和显示网络数据
-
destination.as.number -
destination.as.organization.name -
destination.bytes -
destination.domain -
destination.geo.country_iso_code -
source.as.number -
source.as.organization.name -
source.bytes -
source.domain -
source.geo.country_iso_code
DNS 查询字段
编辑Elastic Security 依赖这些字段来分析和显示 DNS 数据
-
dns.question.name -
dns.question.registered_domain
Elastic Security 也可能会使用此字段来显示 DNS 数据
-
dns.question.type如果要能够过滤掉 PTR 记录,请确保相关事件具有值为
PTR的dns.question.type字段。
HTTP 请求字段
编辑Elastic Security 依赖这些字段来分析和显示 HTTP 请求数据
-
http.request.method -
http.response.status_code -
url.domain -
url.path
TLS 字段
编辑Elastic Security 依赖此字段来分析和显示 TLS 数据
-
tls.server.hash.sha1
Elastic Security 也可能会使用这些字段来分析和显示 TLS 数据
-
tls.server.issuer -
tls.server.ja3s -
tls.server.not_after -
tls.server.subject
事件和外部警报所需的字段
编辑Elastic Security 依赖此字段来分析和显示事件和外部警报数据
-
event.kind对于外部警报,
event.kind字段的值必须为alert。
Elastic Security 也可能会使用这些字段来分析和显示事件和外部警报数据
-
destination.bytes -
destination.geo.city_name -
destination.geo.continent_name -
destination.geo.country_iso_code -
destination.geo.country_name -
destination.geo.region_iso_code -
destination.geo.region_name -
destination.ip -
destination.packets -
destination.port -
dns.question.name -
dns.question.type -
dns.resolved_ip -
dns.response_code -
event.action -
event.code -
event.created -
event.dataset -
event.duration -
event.end -
event.hash -
event.id -
event.module -
event.original -
event.outcome -
event.provider -
event.risk_score_norm -
event.risk_score -
event.severity -
event.start -
event.timezone -
file.ctime -
file.device -
file.extension -
file.gid -
file.group -
file.inode -
file.mode -
file.mtime -
file.name -
file.owner -
file.path -
file.size -
file.target_path -
file.type -
file.uid -
host.id -
host.ip -
http.request.body.bytes -
http.request.body.content -
http.request.method -
http.request.referrer -
http.response.body.bytes -
http.response.body.content -
http.response.status_code -
http.version -
message -
network.bytes -
network.community_id -
network.direction -
network.packets -
network.protocol -
network.transport -
pe.original_file_name -
process.args -
process.executable -
process.hash.md5 -
process.hash.sha1 -
process.hash.sha256 -
process.name -
process.parent.executable -
process.parent.name -
process.pid -
process.ppid -
process.title -
process.working_directory -
rule.reference -
source.bytes -
source.geo.city_name -
source.geo.continent_name -
source.geo.country_iso_code -
source.geo.country_name -
source.geo.region_iso_code -
source.geo.region_name -
source.ip -
source.packets -
source.port -
user.domain -
user.name