Модель данных IP
Обратите внимание!
Для обеспечения совместимости и единообразия данные приведены к стандарту ECS (Elastic Common Schema). При этом используются дополнительные поля, которые начинаются с заглавной буквы. Эти поля не входят в ECS, но необходимы для обогащения информации по данному типу IoC.
Данные поля представленные ниже должны присутствовать в документах индекса описывающие индикаторы компрометации (IoC).
Основная информация
| Поле | Описание |
|---|---|
threat.indicator.name | IP-адрес, который является индикатором компрометации. Основное поле для сопоставления. |
event.provider | Поставщик данных об угрозах. |
threat.indicator.type | Тип индикатора. В данном случае будет значение ipv4-addr. |
threat.indicator.provider | Источник/поставщик IoC. |
Оценка и классификация
| Поле | Описание |
|---|---|
Threat.indicator.category | Категория угрозы, к которой относится IoC (например, C2, Scanner, Phishing). |
threat.indicator.confidence | Уровень достоверности от поставщика IoC (например: Low, Medium, High). |
Threat.indicator.severity | Оценка критичности от SIEM (например: Low, Medium High). |
event.risk_score | Риск-балл, присвоенный индикатору поставщиком IoC (принимает число от 0 до 100). |
Threat.indicator.risk_score | Числовой рейтинг риска, рассчитанный SIEM (расчет производится как event.risk_score / 10). |
Контекст и обогащение
| Поле | Описание |
|---|---|
threat.indicator.description | Текстовое описание или дополнительная информация об угрозе. |
tags | Список тегов или связанных уязвимостей. |
Threat.indicator.blacklists | Перечень черных списков, в которых был замечен данный IoC. |
threat.indicator.geo.country_name | Страна, связанная с IP-адресом. |
threat.indicator.geo.city | Город, связанный с IP-адресом. |
threat.indicator.geo.latitude | Географическая широта IP-адреса. |
threat.indicator.geo.longitude | Географическая долгота IP-адреса. |
Временные характеристики
| Поле | Описание |
|---|---|
threat.indicator.last_seen | Дата и время последнего обновления информации об IoC. |
threat.indicator.first_seen | Дата и время первого обнаружения IoC поставщиком. |
Threat.indicator.lifetime | Время жизни индикатора. |
Управление ложными срабатываниями
| Поле | Описание |
|---|---|
Threat.indicator.fp.alarm | Флаг, указывающий на возможное ложное срабатывание. |
Threat.indicator.fp.description | Описание причины, по которой IoC может быть ложным срабатыванием. |
Модель данных для корреляций
Данные поля представленные ниже должны присутствовать в документах индексов описывающие сетевое взаимодействие пользователя. Для всех таких источников, которые содержат информацию, требуется добавить алиас: sm_threat_intelligence_alerts_ip.
Информация о наблюдателе
| Поле | Описание |
|---|---|
observer.product | Продукт, сгенерировавший событие (например, Cisco ASA). |
observer.type | Тип наблюдателя (например, firewall). |
Сетевая информация
| Поле | Описание |
|---|---|
network.type | Тип сети (например, ipv4, ipv6). |
network.transport | Транспортный протокол (например, tcp, udp). |
destination.address | Адрес назначения (домен или IP), который проверяется по базе IoC. |
destination.ip | IP-адрес назначения. Ключевое поле для корреляции. |
destination.port | Порт назначения. |
source.ip | IP-адрес источника. |
Информация об участниках
| Поле | Описание |
|---|---|
user.name | Имя пользователя, который инициировал действие. |
host.hostname | Имя хоста, на котором произошло событие. |