- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 17. Схема полей событий
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 17. Схема полей событий
17. Схема полей событий
Название поля
1. Параметры корреляции
Тип данных
Описание
Название поля
correlation.name
Тип данных
Текстовое поле
Описание
Название правила корреляции, с помощью которого выявлено событие.
Название поля
correlation.count
Тип данных
Текстовое поле
Описание
Количество событий, прошедших процедуру агрегации.
Название поля
rule.id
Тип данных
Текстовое поле
Описание
Идентификатор правил корреляции и агрегации. Значение может быть не уникальным.
Название поля
rule.level
Тип данных
Текстовое поле
Описание
Уровень важности события
Название поля
group
Тип данных
Текстовое поле
Описание
Категория правила корреляции
Название поля
rule.mitre.id
Тип данных
Текстовое поле
Описание
Уникальный идентификатор техники Mittre Att&ck
Название поля
rule.mitre.tactic
Тип данных
Текстовое поле
Описание
Название тактики Mittre Att&ck
Название поля
rule.mitre.technique
Тип данных
Текстовое поле
Описание
Название тактики Mittre Att&ck
Название поля
rule.groups
Тип данных
Текстовое поле
Описание
Группа или список групп, которым принадлежит правило
Название поля
2. Информационные поля
Тип данных
Описание
Название поля
rule.desciption
Тип данных
Текстовое поле
Описание
Текстовое описание правила
Название поля
3. Адресаты
Тип данных
Описание
Название поля
3.1 Отправитель
Тип данных
Описание
Название поля
src.fqdn
Тип данных
Текстовое поле
Описание
Полное доменное имя (FQDN) узла-источника
Название поля
src.host
Тип данных
Текстовое поле
Описание
IP-адрес или название узла-источника
Название поля
src.hostname
Тип данных
Текстовое поле
Описание
Название узла-источника
Название поля
src.ip
Тип данных
Текстовое поле
Описание
IP-адрес (IPv4 или IPv6 ) узла-источника
Название поля
src.mac
Тип данных
Текстовое поле
Описание
MAC-адрес узла-источника
Название поля
src.port
Тип данных
Текстовое поле
Описание
Порт узла-источника
Название поля
src.interface
Тип данных
Текстовое поле
Описание
Название интерфейса источника
Название поля
assigned_src_host
Тип данных
Текстовое поле
Описание
FQDN внешнего узла-источника
Название поля
assigned_src_ip
Тип данных
Текстовое поле
Описание
IP-адрес внешнего узла-источника
Название поля
assigned_src_port
Тип данных
Текстовое поле
Описание
Порт внешнего узла-источника
Название поля
3.2 Получатель
Тип данных
Описание
Название поля
dst.fqdn
Тип данных
Текстовое поле
Описание
Полное доменное имя (FQDN) узла назначения
Название поля
dst.host
Тип данных
Текстовое поле
Описание
IP-адрес или название узла-назначения
Название поля
dst.hostname
Тип данных
Текстовое поле
Описание
Имя узла-назначения
Название поля
dst.ip
Тип данных
Текстовое поле
Описание
IP-адрес (IPv4 или IPv6) назначения
Название поля
dst.mac
Тип данных
Текстовое поле
Описание
MAC-адрес назначения
Название поля
dst.port
Тип данных
Текстовое поле
Описание
Порт назначения
Название поля
dst.interface
Тип данных
Текстовое поле
Описание
Название интерфейса назначения
Название поля
assigned_dst_host
Тип данных
Текстовое поле
Описание
FQDN внешнего узла-назначения
Название поля
assigned_dst_ip
Тип данных
Текстовое поле
Описание
IP-адрес внешнего узла-назначения
Название поля
assigned_dst_port
Тип данных
Текстовое поле
Описание
Порт внешнего узла-назначения
Название поля
4. Роли во взаимодействии
Тип данных
Описание
Название поля
4.1 Субъект
Тип данных
Описание
Название поля
subject
Тип данных
Текстовое поле
Описание
Субъект, производящий действие над объектом
Название поля
subject.account.dn
Тип данных
Текстовое поле
Описание
Уникальное в рамках Active Directory имя учетной записи (Distinguished Name) – субъекта, производящего действие над объектом
Название поля
subject.account.domain
Тип данных
Текстовое поле
Описание
Домен учетной записи – субъекта, производящего действие над объектом
Название поля
subject.account.fullname
Тип данных
Текстовое поле
Описание
Имя пользователя, указанное для учетной записи – субъекта, производящего действие над объектом
Название поля
subject.account.group
Тип данных
Текстовое поле
Описание
Перечень групп, в которых состоит учетная запись – субъект, производящий действие над объектом
Название поля
subject.account.id
Тип данных
Текстовое поле
Описание
Идентификатор учетной записи – субъекта, производящего действие над объектом
Название поля
subject.account.name
Тип данных
Текстовое поле
Описание
Логин учетной записи – субъекта, производящего действие над объектом
Название поля
subject.account.privileges
Тип данных
Текстовое поле
Описание
Привилегии учетной записи - субъекта, производящего действие над объектом
Название поля
subject.account.provider
Тип данных
Текстовое поле
Описание
Хранилище учетной записи - субъекта, производящего действие над объектом
Название поля
subject.account.session_id
Тип данных
Текстовое поле
Описание
Идентификатор сессии учетной записи - субъекта, производящего действие над объектом
Название поля
subject.application.name
Тип данных
Текстовое поле
Описание
Название приложения - субъекта, производящего действие над объектом
Название поля
subject.application.account.domain
Тип данных
Текстовое поле
Описание
Домен учетной записи в приложении - субъекте, производящем действие над объектом
| Название поля | Тип данных | Описание |
|---|---|---|
1. Параметры корреляции | ||
correlation.name | Текстовое поле | Название правила корреляции, с помощью которого выявлено событие. |
correlation.count | Текстовое поле | Количество событий, прошедших процедуру агрегации. |
rule.id | Текстовое поле | Идентификатор правил корреляции и агрегации. Значение может быть не уникальным. |
rule.level | Текстовое поле | Уровень важности события |
group | Текстовое поле | Категория правила корреляции |
rule.mitre.id | Текстовое поле | Уникальный идентификатор техники Mittre Att&ck |
rule.mitre.tactic | Текстовое поле | Название тактики Mittre Att&ck |
rule.mitre.technique | Текстовое поле | Название тактики Mittre Att&ck |
rule.groups | Текстовое поле | Группа или список групп, которым принадлежит правило |
2. Информационные поля | ||
rule.desciption | Текстовое поле | Текстовое описание правила |
3. Адресаты | ||
3.1 Отправитель | ||
src.fqdn | Текстовое поле | Полное доменное имя (FQDN) узла-источника |
src.host | Текстовое поле | IP-адрес или название узла-источника |
src.hostname | Текстовое поле | Название узла-источника |
src.ip | Текстовое поле | IP-адрес (IPv4 или IPv6 ) узла-источника |
src.mac | Текстовое поле | MAC-адрес узла-источника |
src.port | Текстовое поле | Порт узла-источника |
src.interface | Текстовое поле | Название интерфейса источника |
assigned_src_host | Текстовое поле | FQDN внешнего узла-источника |
assigned_src_ip | Текстовое поле | IP-адрес внешнего узла-источника |
assigned_src_port | Текстовое поле | Порт внешнего узла-источника |
3.2 Получатель | ||
dst.fqdn | Текстовое поле | Полное доменное имя (FQDN) узла назначения |
dst.host | Текстовое поле | IP-адрес или название узла-назначения |
dst.hostname | Текстовое поле | Имя узла-назначения |
dst.ip | Текстовое поле | IP-адрес (IPv4 или IPv6) назначения |
dst.mac | Текстовое поле | MAC-адрес назначения |
dst.port | Текстовое поле | Порт назначения |
dst.interface | Текстовое поле | Название интерфейса назначения |
assigned_dst_host | Текстовое поле | FQDN внешнего узла-назначения |
assigned_dst_ip | Текстовое поле | IP-адрес внешнего узла-назначения |
assigned_dst_port | Текстовое поле | Порт внешнего узла-назначения |
4. Роли во взаимодействии | ||
4.1 Субъект | ||
subject | Текстовое поле | Субъект, производящий действие над объектом |
subject.account.dn | Текстовое поле | Уникальное в рамках Active Directory имя учетной записи (Distinguished Name) – субъекта, производящего действие над объектом |
subject.account.domain | Текстовое поле | Домен учетной записи – субъекта, производящего действие над объектом |
subject.account.fullname | Текстовое поле | Имя пользователя, указанное для учетной записи – субъекта, производящего действие над объектом |
subject.account.group | Текстовое поле | Перечень групп, в которых состоит учетная запись – субъект, производящий действие над объектом |
subject.account.id | Текстовое поле | Идентификатор учетной записи – субъекта, производящего действие над объектом |
subject.account.name | Текстовое поле | Логин учетной записи – субъекта, производящего действие над объектом |
subject.account.privileges | Текстовое поле | Привилегии учетной записи - субъекта, производящего действие над объектом |
subject.account.provider | Текстовое поле | Хранилище учетной записи - субъекта, производящего действие над объектом |
subject.account.session_id | Текстовое поле | Идентификатор сессии учетной записи - субъекта, производящего действие над объектом |
subject.application.name | Текстовое поле | Название приложения - субъекта, производящего действие над объектом |
subject.application.account.domain | Текстовое поле | Домен учетной записи в приложении - субъекте, производящем действие над объектом |
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 17. Схема полей событий
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 17. Схема полей событий
17. Схема полей событий
Название поля
1. Параметры корреляции
Тип данных
Описание
Название поля
correlation.name
Тип данных
Текстовое поле
Описание
Название правила корреляции, с помощью которого выявлено событие.
Название поля
correlation.count
Тип данных
Текстовое поле
Описание
Количество событий, прошедших процедуру агрегации.
Название поля
rule.id
Тип данных
Текстовое поле
Описание
Идентификатор правил корреляции и агрегации. Значение может быть не уникальным.
Название поля
rule.level
Тип данных
Текстовое поле
Описание
Уровень важности события
Название поля
group
Тип данных
Текстовое поле
Описание
Категория правила корреляции
Название поля
rule.mitre.id
Тип данных
Текстовое поле
Описание
Уникальный идентификатор техники Mittre Att&ck
Название поля
rule.mitre.tactic
Тип данных
Текстовое поле
Описание
Название тактики Mittre Att&ck
Название поля
rule.mitre.technique
Тип данных
Текстовое поле
Описание
Название тактики Mittre Att&ck
Название поля
rule.groups
Тип данных
Текстовое поле
Описание
Группа или список групп, которым принадлежит правило
Название поля
2. Информационные поля
Тип данных
Описание
Название поля
rule.desciption
Тип данных
Текстовое поле
Описание
Текстовое описание правила
Название поля
3. Адресаты
Тип данных
Описание
Название поля
3.1 Отправитель
Тип данных
Описание
Название поля
src.fqdn
Тип данных
Текстовое поле
Описание
Полное доменное имя (FQDN) узла-источника
Название поля
src.host
Тип данных
Текстовое поле
Описание
IP-адрес или название узла-источника
Название поля
src.hostname
Тип данных
Текстовое поле
Описание
Название узла-источника
Название поля
src.ip
Тип данных
Текстовое поле
Описание
IP-адрес (IPv4 или IPv6 ) узла-источника
Название поля
src.mac
Тип данных
Текстовое поле
Описание
MAC-адрес узла-источника
Название поля
src.port
Тип данных
Текстовое поле
Описание
Порт узла-источника
Название поля
src.interface
Тип данных
Текстовое поле
Описание
Название интерфейса источника
Название поля
assigned_src_host
Тип данных
Текстовое поле
Описание
FQDN внешнего узла-источника
Название поля
assigned_src_ip
Тип данных
Текстовое поле
Описание
IP-адрес внешнего узла-источника
Название поля
assigned_src_port
Тип данных
Текстовое поле
Описание
Порт внешнего узла-источника
Название поля
3.2 Получатель
Тип данных
Описание
Название поля
dst.fqdn
Тип данных
Текстовое поле
Описание
Полное доменное имя (FQDN) узла назначения
Название поля
dst.host
Тип данных
Текстовое поле
Описание
IP-адрес или название узла-назначения
Название поля
dst.hostname
Тип данных
Текстовое поле
Описание
Имя узла-назначения
Название поля
dst.ip
Тип данных
Текстовое поле
Описание
IP-адрес (IPv4 или IPv6) назначения
Название поля
dst.mac
Тип данных
Текстовое поле
Описание
MAC-адрес назначения
Название поля
dst.port
Тип данных
Текстовое поле
Описание
Порт назначения
Название поля
dst.interface
Тип данных
Текстовое поле
Описание
Название интерфейса назначения
Название поля
assigned_dst_host
Тип данных
Текстовое поле
Описание
FQDN внешнего узла-назначения
Название поля
assigned_dst_ip
Тип данных
Текстовое поле
Описание
IP-адрес внешнего узла-назначения
Название поля
assigned_dst_port
Тип данных
Текстовое поле
Описание
Порт внешнего узла-назначения
Название поля
4. Роли во взаимодействии
Тип данных
Описание
Название поля
4.1 Субъект
Тип данных
Описание
Название поля
subject
Тип данных
Текстовое поле
Описание
Субъект, производящий действие над объектом
Название поля
subject.account.dn
Тип данных
Текстовое поле
Описание
Уникальное в рамках Active Directory имя учетной записи (Distinguished Name) – субъекта, производящего действие над объектом
Название поля
subject.account.domain
Тип данных
Текстовое поле
Описание
Домен учетной записи – субъекта, производящего действие над объектом
Название поля
subject.account.fullname
Тип данных
Текстовое поле
Описание
Имя пользователя, указанное для учетной записи – субъекта, производящего действие над объектом
Название поля
subject.account.group
Тип данных
Текстовое поле
Описание
Перечень групп, в которых состоит учетная запись – субъект, производящий действие над объектом
Название поля
subject.account.id
Тип данных
Текстовое поле
Описание
Идентификатор учетной записи – субъекта, производящего действие над объектом
Название поля
subject.account.name
Тип данных
Текстовое поле
Описание
Логин учетной записи – субъекта, производящего действие над объектом
Название поля
subject.account.privileges
Тип данных
Текстовое поле
Описание
Привилегии учетной записи - субъекта, производящего действие над объектом
Название поля
subject.account.provider
Тип данных
Текстовое поле
Описание
Хранилище учетной записи - субъекта, производящего действие над объектом
Название поля
subject.account.session_id
Тип данных
Текстовое поле
Описание
Идентификатор сессии учетной записи - субъекта, производящего действие над объектом
Название поля
subject.application.name
Тип данных
Текстовое поле
Описание
Название приложения - субъекта, производящего действие над объектом
Название поля
subject.application.account.domain
Тип данных
Текстовое поле
Описание
Домен учетной записи в приложении - субъекте, производящем действие над объектом
| Название поля | Тип данных | Описание |
|---|---|---|
1. Параметры корреляции | ||
correlation.name | Текстовое поле | Название правила корреляции, с помощью которого выявлено событие. |
correlation.count | Текстовое поле | Количество событий, прошедших процедуру агрегации. |
rule.id | Текстовое поле | Идентификатор правил корреляции и агрегации. Значение может быть не уникальным. |
rule.level | Текстовое поле | Уровень важности события |
group | Текстовое поле | Категория правила корреляции |
rule.mitre.id | Текстовое поле | Уникальный идентификатор техники Mittre Att&ck |
rule.mitre.tactic | Текстовое поле | Название тактики Mittre Att&ck |
rule.mitre.technique | Текстовое поле | Название тактики Mittre Att&ck |
rule.groups | Текстовое поле | Группа или список групп, которым принадлежит правило |
2. Информационные поля | ||
rule.desciption | Текстовое поле | Текстовое описание правила |
3. Адресаты | ||
3.1 Отправитель | ||
src.fqdn | Текстовое поле | Полное доменное имя (FQDN) узла-источника |
src.host | Текстовое поле | IP-адрес или название узла-источника |
src.hostname | Текстовое поле | Название узла-источника |
src.ip | Текстовое поле | IP-адрес (IPv4 или IPv6 ) узла-источника |
src.mac | Текстовое поле | MAC-адрес узла-источника |
src.port | Текстовое поле | Порт узла-источника |
src.interface | Текстовое поле | Название интерфейса источника |
assigned_src_host | Текстовое поле | FQDN внешнего узла-источника |
assigned_src_ip | Текстовое поле | IP-адрес внешнего узла-источника |
assigned_src_port | Текстовое поле | Порт внешнего узла-источника |
3.2 Получатель | ||
dst.fqdn | Текстовое поле | Полное доменное имя (FQDN) узла назначения |
dst.host | Текстовое поле | IP-адрес или название узла-назначения |
dst.hostname | Текстовое поле | Имя узла-назначения |
dst.ip | Текстовое поле | IP-адрес (IPv4 или IPv6) назначения |
dst.mac | Текстовое поле | MAC-адрес назначения |
dst.port | Текстовое поле | Порт назначения |
dst.interface | Текстовое поле | Название интерфейса назначения |
assigned_dst_host | Текстовое поле | FQDN внешнего узла-назначения |
assigned_dst_ip | Текстовое поле | IP-адрес внешнего узла-назначения |
assigned_dst_port | Текстовое поле | Порт внешнего узла-назначения |
4. Роли во взаимодействии | ||
4.1 Субъект | ||
subject | Текстовое поле | Субъект, производящий действие над объектом |
subject.account.dn | Текстовое поле | Уникальное в рамках Active Directory имя учетной записи (Distinguished Name) – субъекта, производящего действие над объектом |
subject.account.domain | Текстовое поле | Домен учетной записи – субъекта, производящего действие над объектом |
subject.account.fullname | Текстовое поле | Имя пользователя, указанное для учетной записи – субъекта, производящего действие над объектом |
subject.account.group | Текстовое поле | Перечень групп, в которых состоит учетная запись – субъект, производящий действие над объектом |
subject.account.id | Текстовое поле | Идентификатор учетной записи – субъекта, производящего действие над объектом |
subject.account.name | Текстовое поле | Логин учетной записи – субъекта, производящего действие над объектом |
subject.account.privileges | Текстовое поле | Привилегии учетной записи - субъекта, производящего действие над объектом |
subject.account.provider | Текстовое поле | Хранилище учетной записи - субъекта, производящего действие над объектом |
subject.account.session_id | Текстовое поле | Идентификатор сессии учетной записи - субъекта, производящего действие над объектом |
subject.application.name | Текстовое поле | Название приложения - субъекта, производящего действие над объектом |
subject.application.account.domain | Текстовое поле | Домен учетной записи в приложении - субъекте, производящем действие над объектом |