Модель данных URL
Обратите внимание!
Для обеспечения совместимости и единообразия данные приведены к стандарту ECS (Elastic Common Schema). При этом используются дополнительные поля, которые начинаются с заглавной буквы. Эти поля не входят в ECS, но необходимы для обогащения информации по данному типу IoC.
Данные поля представленные ниже должны присутствовать в документах индекса описывающие индикаторы компрометации (IoC).
Основная информация
| Поле | Описание |
|---|---|
threat.indicator.name | Полный URL, который является индикатором компрометации. Основное поле для сопоставления. |
event.provider | Поставщик данных об угрозах. |
threat.indicator.type | Тип индикатора. Здесь будет значение url. |
threat.indicator.url.domain | Доменное имя, извлеченное из URL. |
threat.indicator.provider | Источник/поставщик IoC. |
Оценка и классификация
| Поле | Описание |
|---|---|
Threat.indicator.category | Категория угрозы, к которой относится IoC (например: phishing, malware_distribution). |
threat.indicator.confidence | Уровень достоверности от поставщика IoC (например: Low, Medium, High). |
Threat.indicator.severity | Оценка критичности от SIEM (например: Low, Medium, High). |
event.risk_score | Риск-балл, присвоенный индикатору поставщиком IoC (принимает число от 0 до 100). |
Threat.indicator.risk_score | Числовой рейтинг риска, рассчитанный SIEM (расчет производится как event.risk_score / 10). |
Информация о вредоносном ПО
| Поле | Описание |
|---|---|
Threat.indicator.malware.name | Название семейства ВПО, связанного с URL. |
Threat.indicator.malware.printable | Представитель (штамм) ВПО. |
Контекст и обогащение
| Поле | Описание |
|---|---|
threat.indicator.description | Текстовое описание или дополнительная информация об угрозе. |
tags | Список тегов или связанных уязвимостей. |
Threat.indicator.blacklists | Перечень черных списков, в которых был замечен данный IoC. |
Временные характеристики
| Поле | Описание |
|---|---|
threat.indicator.last_seen | Дата и время последнего обновления информации об IoC. |
threat.indicator.first_seen | Дата и время первого обнаружения IoC поставщиком. |
Threat.indicator.lifetime | Время жизни индикатора. |
Управление ложными срабатываниями
| Поле | Описание |
|---|---|
Threat.indicator.fp.alarm | Флаг, указывающий на возможное ложное срабатывание. |
Threat.indicator.fp.description | Описание причины, по которой IoC может быть ложным срабатыванием. |
Модель данных для корреляции
Данные поля представленные ниже должны присутствовать в документах индексов описывающие сетевое взаимодействие пользователя. Для всех таких источников, которые содержат информацию, требуется добавить алиас: sm_threat_intelligence_alerts_url.
Категоризация события
| Поле | Описание |
|---|---|
Access.Control.rule.Action | Действие, предпринятое системой контроля доступа (например: Block) |
Сетевая информация
| Поле | Описание |
|---|---|
url.original | Полный URL, к которому был зафиксирован доступ. Ключевое поле для корреляции. |
network.transport | Транспортный протокол (например, tcp). |
source.ip | IP-адрес источника. |
source.port | Порт источника. |
destination.ip | IP-адрес назначения. |
destination.port | Порт назначения. |
Информация об участниках
| Поле | Описание |
|---|---|
user.name | Имя пользователя, котоорый инициировал действие. |
host.name | Имя хоста, с которого был произведен доступ. |