Модель данных Hash
Обратите внимание!
Для обеспечения совместимости и единообразия данные приведены к стандарту ECS (Elastic Common Schema). При этом используются дополнительные поля, которые начинаются с заглавной буквы. Эти поля не входят в ECS, но необходимы для обогащения информации по данному типу IoC.
Данные поля представленные ниже должны присутствовать в документах индекса описывающие индикаторы компрометации (IoC).
Основная информация
| Поле | Описание |
|---|---|
threat.indicator.name | Массив значений хэша, который является индикатором (MD5, SHA1 и SHA256). Основное поле для сопоставления. |
threat.indicator.type | Тип индикатора. Здесь всегда будет значение file. |
event.provider | Поставщик данных об угрозах (например: CTT, ThreatFox). |
threat.indicator.provider | Альтернативное поле для источника/поставщика IoC. |
Детали файла
| Поле | Описание |
|---|---|
threat.indicator.file.name | Оригинальное или известное имя файла, связанного с хэшем. |
threat.indicator.file.md5 | Хэш-сумма файла по алгоритму MD5. |
threat.indicator.file.sha1 | Хэш-сумма файла по алгоритму SHA1. |
threat.indicator.file.sha256 | Хэш-сумма файла по алгоритму SHA256. |
Оценка и классификация
| Поле | Описание |
|---|---|
Threat.indicator.severity | Оценка критичности от SIEM (например: Low, Medium, High). |
threat.indicator.confidence | Уровень достоверности от поставщика IoC (например: Low, Medium, High). |
Threat.indicator.risk_score | Числовой рейтинг риска, рассчитанный SIEM (расчет производится как event.risk_score / 10). |
Threat.indicator.category | Категория угрозы, к которой относится IoC (например: malware, ransomware, dropper). |
event.risk_score | Риск-балл, присвоенный индикатору поставщиком IoC (принимает число от 0 до 100). |
Контекст угрозы
| Поле | Описание |
|---|---|
Threat.indicator.ttp | Связанные тактики, техники и процедуры (TTPs) по матрице MITRE ATT&CK. |
threat.indicator.description | Текстовое описание или дополнительная информация об угрозе. |
tags | Список тегов или связанных уязвимостей. |
Threat.indicator.blacklists | Перечень черных списков, в которых был замечен данный IoC. |
Временные характеристики
| Поле | Описание |
|---|---|
threat.indicator.first_seen | Дата и время первого обнаружения IoC поставщиком. |
threat.indicator.last_seen | Дата и время последнего обновления информации об IoC. |
Threat.indicator.lifetime | Время жизни индикатора. |
Управление ложными срабатываниями
| Поле | Описание |
|---|---|
Threat.indicator.fp.alarm | Флаг, указывающий на возможное ложное срабатывание. |
Threat.indicator.fp.description | Описание причины, по которой IoC может быть ложным срабатыванием. |
Модель данных для корреляции
Данные поля представленные ниже должны присутствовать в документах индексов описывающие файловое взаимодействие пользователя. Для всех таких источников, которые содержат информацию, требуется добавить алиас: sm_threat_intelligence_alerts_hash.
Информация о файле
| Поле | Описание |
|---|---|
file.name | Имя файла, обнаруженного в событии. |
file.path | Полный путь к файлу на хосте. |
file.hash.md5 | MD5-хэш файла из события. Ключевое поле для корреляции. |
file.hash.sha1 | SHA1-хэш файла из события. Ключевое поле для корреляции. |
file.hash.sha256 | SHA256-хэш файла из события. Ключевое поле для корреляции. |
Информация о хосте и пользователе
| Поле | Описание |
|---|---|
host.name | Имя хоста, на котором произошло событие. |
winlog.user.name | Имя пользователя, в контексте которого произошло событие. |