Модель данных Domain
Обратите внимание!
Для обеспечения совместимости и единообразия данные приведены к стандарту ECS (Elastic Common Schema). При этом используются дополнительные поля, которые начинаются с заглавной буквы. Эти поля не входят в ECS, но необходимы для обогащения информации по данному типу IoC.
Данные поля представленные ниже должны присутствовать в документах индекса описывающие индикаторы компрометации (IoC).
Категоризация
| Поле | Описание |
|---|---|
event.category | Высокоуровневая категория события (принимает значение threat). |
event.type | Тип события в рамках категории (принимает значение indicator). |
event.risk_score | Числовой рейтинг риска, присвоенный событию поставщиком лога (принимает число от 0 до 100). |
Основная информация
| Поле | Описание |
|---|---|
threat.indicator.name | Индикатор компрометации. Основное поле для сопоставления. |
threat.indicator.type | Тип индикатора. |
threat.indicator.domain | Полное доменное имя (FQDN). Может дублировать name. |
Threat.indicator.tld | Домен верхнего уровня. |
Оценка и классификация
| Поле | Описание |
|---|---|
Threat.indicator.severity | Оценка критичности от SIEM (например: Low, Medium, High). |
threat.indicator.confidence | Оценка достоверности от поставщика IoC (например: Low, Medium, High). |
Threat.indicator.risk_score | Числовой рейтинг риска, рассчитанный SIEM (расчет производится как event.risk_score / 10). |
Threat.indicator.category | Категория угрозы, к которой относится IoC (например: phishing, C2, malware). |
event.provider | Поставщик данных об угрозах (например: ThreatFox, CTT). |
threat.indicator.provider | Альтернативное поле для источника/поставщика IoC. |
Обогащение и контекст
| Поле | Описание |
|---|---|
Threat.indicator.resolved.registrant | Регистрант домена (владелец). |
Threat.indicator.resolved.registrar | Регистратор домена. |
threat.indicator.description | Текстовое описание или дополнительная информация об угрозе. |
tags | Список тегов. |
Threat.indicator.blacklists | Список черных списков, в которых был замечен данный IoC. |
Информация о вредоносном ПО
| Поле | Описание |
|---|---|
Threat.indicator.malware.name | Название семейства ВПО (например: Emotet, Qakbot). |
Threat.indicator.malware.printable | Представитель (штамм) ВПО. |
Временные характеристики
| Поле | Описание |
|---|---|
threat.indicator.first_seen | Дата и время первого обнаружения IoC поставщиком. |
threat.indicator.last_seen | Дата и время последнего обновления информации об IoC. |
Threat.indicator.lifetime | Время жизни индикатора. |
Управление ложными срабатываниями
| Поле | Описание |
|---|---|
Threat.indicator.fp.alarm | Флаг, указывающий на возможное ложное срабатывание. |
Threat.indicator.fp.description | Описание причины, по которой IoC может быть ложным срабатыванием. |
Модель данных для корреляции
Данные поля представленные ниже должны присутствовать в документах индексов описывающие сетевое взаимодействие пользователя. Для всех таких источников, которые содержат информацию, требуется добавить алиас: sm_threat_intelligence_alerts_domain.
Сетевая информация
| Поле | Описание |
|---|---|
network.transport | Транспортный протокол (например: tcp, udp). |
network.type | Тип сети (например: ipv4, ipv6). |
source.ip | IP-адрес источника. |
source.port | Порт источника. |
destination.address | Адрес назначения, который проверяется по базе IoC. |
destination.ip | IP-адрес назначения. |
destination.port | Порт назначения. |
Информация о наблюдателе
| Поле | Описание |
|---|---|
observer.product | Продукт, сгенерировавший событие (например: Cisco ASA, Kaspersky Security Center). |
observer.type | Тип наблюдателя (например: firewall, antivirus, proxy). |
observer.hostname | Имя хоста устройства-наблюдателя. |
Информация об участниках
| Поле | Описание |
|---|---|
host.hostname | Имя хоста, на котором произошло событие. |
user.name | Имя пользователя, который инициировал действие. |