Elastic 安全 ECS 字段参考
编辑Elastic 安全 ECS 字段参考编辑
本节列出了 Elastic 通用模式 (ECS) 字段,这些字段由 Elastic 安全使用,为用户提供最佳的 SIEM 和安全分析体验。这些字段用于显示数据、提供规则预览、通过预构建的检测规则启用检测、在规则分类和调查期间提供上下文、升级到案例等等。
我们建议您使用 Elastic Agent 集成或 Beats 将您的数据发送到 Elastic 安全。Elastic Agent 集成和 Beat 模块(例如,Filebeat 模块)符合 ECS,这意味着它们发送到 Elastic 安全的数据将自动填充相关的 ECS 字段。如果您计划使用自定义实现将您的数据映射到 ECS 字段(请参阅 如何将数据映射到 ECS),请确保 始终必需的字段 已填充。理想情况下,所有相关的 ECS 字段都应该填充。
有关 Elastic Endpoint 生成的文档中可能出现的 ECS 字段的详细信息,请参阅 Endpoint 事件文档。
始终必需的字段编辑
Elastic 安全要求所有事件和威胁情报数据规范化为 ECS。为了正常运行,所有数据必须包含以下 ECS 字段
-
@timestamp -
ecs.version -
event.kind -
event.category -
event.type
进程事件所需的字段编辑
Elastic 安全依赖于这些字段来分析和显示进程数据
-
process.name -
process.pid
主机事件所需的字段编辑
Elastic 安全依赖于这些字段来分析和显示主机数据
-
host.name -
host.id
Elastic 安全可能会使用这些字段来显示其他主机数据
-
cloud.instance.id -
cloud.machine.type -
cloud.provider -
cloud.region -
host.architecture -
host.ip -
host.mac -
host.os.family -
host.os.name -
host.os.platform -
host.os.version
身份验证字段编辑
Elastic 安全依赖于这些字段和值来分析和显示主机身份验证数据
-
event.category:authentication -
event.outcome:success或event.outcome:failure
Elastic 安全也可能使用此字段来显示其他主机身份验证数据
-
user.name
不常见的进程字段编辑
Elastic 安全依赖于此字段来分析和显示主机不常见的进程数据
-
process.name
Elastic 安全也可能使用这些字段来显示不常见的进程数据
-
agent.type -
event.action -
event.code -
event.dataset -
event.module -
process.args -
user.id -
user.name
网络事件所需的字段编辑
Elastic 安全依赖于这些字段来分析和显示网络数据
-
destination.geo.location(显示 地图数据 所必需) -
destination.ip -
source.geo.location(显示地图数据所需) -
source.ip
Elastic 安全也可能使用这些字段来分析和显示网络数据
-
destination.as.number -
destination.as.organization.name -
destination.bytes -
destination.domain -
destination.geo.country_iso_code -
source.as.number -
source.as.organization.name -
source.bytes -
source.domain -
source.geo.country_iso_code
DNS 查询字段编辑
Elastic 安全依赖于这些字段来分析和显示 DNS 数据
-
dns.question.name -
dns.question.registered_domain
Elastic 安全也可能使用此字段来显示 DNS 数据
-
dns.question.type如果您想能够过滤掉 PTR 记录,请确保相关的事件具有
dns.question.type字段,其值为PTR。
HTTP 请求字段编辑
Elastic 安全依赖于这些字段来分析和显示 HTTP 请求数据
-
http.request.method -
http.response.status_code -
url.domain -
url.path
TLS 字段编辑
Elastic 安全依赖于此字段来分析和显示 TLS 数据
-
tls.server.hash.sha1
Elastic 安全也可能使用这些字段来分析和显示 TLS 数据
-
tls.server.issuer -
tls.server.ja3s -
tls.server.not_after -
tls.server.subject
事件和外部警报所需的字段编辑
Elastic 安全依赖于此字段来分析和显示事件和外部警报数据
-
event.kind对于外部警报,
event.kind字段的值必须为alert。
Elastic 安全也可能使用这些字段来分析和显示事件和外部警报数据
-
destination.bytes -
destination.geo.city_name -
destination.geo.continent_name -
destination.geo.country_iso_code -
destination.geo.country_name -
destination.geo.region_iso_code -
destination.geo.region_name -
destination.ip -
destination.packets -
destination.port -
dns.question.name -
dns.question.type -
dns.resolved_ip -
dns.response_code -
event.action -
event.code -
event.created -
event.dataset -
event.duration -
event.end -
event.hash -
event.id -
event.module -
event.original -
event.outcome -
event.provider -
event.risk_score_norm -
event.risk_score -
event.severity -
event.start -
event.timezone -
file.ctime -
file.device -
file.extension -
file.gid -
file.group -
file.inode -
file.mode -
file.mtime -
file.name -
file.owner -
file.path -
file.size -
file.target_path -
file.type -
file.uid -
host.id -
host.ip -
http.request.body.bytes -
http.request.body.content -
http.request.method -
http.request.referrer -
http.response.body.bytes -
http.response.body.content -
http.response.status_code -
http.version -
message -
network.bytes -
network.community_id -
network.direction -
network.packets -
network.protocol -
network.transport -
pe.original_file_name -
process.args -
process.executable -
process.hash.md5 -
process.hash.sha1 -
process.hash.sha256 -
process.name -
process.parent.executable -
process.parent.name -
process.pid -
process.ppid -
process.title -
process.working_directory -
rule.reference -
source.bytes -
source.geo.city_name -
source.geo.continent_name -
source.geo.country_iso_code -
source.geo.country_name -
source.geo.region_iso_code -
source.geo.region_name -
source.ip -
source.packets -
source.port -
user.domain -
user.name