- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 17. Схема полей событий
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 17. Схема полей событий
17. Схема полей событий
Название поля
1. Параметры корреляции
Тип данных
Описание
Название поля
correlation.name
Тип данных
Текстовое поле
Описание
Название правила корреляции, с помощью которого выявлено событие.
Название поля
correlation.count
Тип данных
Текстовое поле
Описание
Количество событий, прошедших процедуру агрегации.
Название поля
rule.id
Тип данных
Текстовое поле
Описание
Идентификатор правил корреляции и агрегации. Значение может быть не уникальным.
Название поля
rule.level
Тип данных
Текстовое поле
Описание
Уровень важности события
Название поля
group
Тип данных
Текстовое поле
Описание
Категория правила корреляции
Название поля
rule.mitre.id
Тип данных
Текстовое поле
Описание
Уникальный идентификатор техники Mittre Att&ck
Название поля
rule.mitre.tactic
Тип данных
Текстовое поле
Описание
Название тактики Mittre Att&ck
Название поля
rule.mitre.technique
Тип данных
Текстовое поле
Описание
Название тактики Mittre Att&ck
Название поля
rule.groups
Тип данных
Текстовое поле
Описание
Группа или список групп, которым принадлежит правило
Название поля
2. Информационные поля
Тип данных
Описание
Название поля
rule.desciption
Тип данных
Текстовое поле
Описание
Текстовое описание правила
Название поля
3. Адресаты
Тип данных
Описание
Название поля
3.1 Отправитель
Тип данных
Описание
Название поля
src.fqdn
Тип данных
Текстовое поле
Описание
Полное доменное имя (FQDN) узла источника
Название поля
src.host
Тип данных
Текстовое поле
Описание
IP-адрес или название узла источника
Название поля
src.hostname
Тип данных
Текстовое поле
Описание
Название узла источника
Название поля
src.ip
Тип данных
Текстовое поле
Описание
IP-адрес (IPv4 или IPv6 )узла источника
Название поля
src.mac
Тип данных
Текстовое поле
Описание
MAC-адрес узла источника
Название поля
src.port
Тип данных
Текстовое поле
Описание
Порт узла источника
Название поля
src.interface
Тип данных
Текстовое поле
Описание
Название интерфейса источника
Название поля
assigned_src_host
Тип данных
Текстовое поле
Описание
FQDN внешнего узла – источника
Название поля
assigned_src_ip
Тип данных
Текстовое поле
Описание
IP-адрес внешнего узла – источника
Название поля
assigned_src_port
Тип данных
Текстовое поле
Описание
Порт внешнего узла – источника
| Название поля | Тип данных | Описание |
|---|---|---|
1. Параметры корреляции | ||
correlation.name | Текстовое поле | Название правила корреляции, с помощью которого выявлено событие. |
correlation.count | Текстовое поле | Количество событий, прошедших процедуру агрегации. |
rule.id | Текстовое поле | Идентификатор правил корреляции и агрегации. Значение может быть не уникальным. |
rule.level | Текстовое поле | Уровень важности события |
group | Текстовое поле | Категория правила корреляции |
rule.mitre.id | Текстовое поле | Уникальный идентификатор техники Mittre Att&ck |
rule.mitre.tactic | Текстовое поле | Название тактики Mittre Att&ck |
rule.mitre.technique | Текстовое поле | Название тактики Mittre Att&ck |
rule.groups | Текстовое поле | Группа или список групп, которым принадлежит правило |
2. Информационные поля | ||
rule.desciption | Текстовое поле | Текстовое описание правила |
3. Адресаты | ||
3.1 Отправитель | ||
src.fqdn | Текстовое поле | Полное доменное имя (FQDN) узла источника |
src.host | Текстовое поле | IP-адрес или название узла источника |
src.hostname | Текстовое поле | Название узла источника |
src.ip | Текстовое поле | IP-адрес (IPv4 или IPv6 )узла источника |
src.mac | Текстовое поле | MAC-адрес узла источника |
src.port | Текстовое поле | Порт узла источника |
src.interface | Текстовое поле | Название интерфейса источника |
assigned_src_host | Текстовое поле | FQDN внешнего узла – источника |
assigned_src_ip | Текстовое поле | IP-адрес внешнего узла – источника |
assigned_src_port | Текстовое поле | Порт внешнего узла – источника |
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 17. Схема полей событий
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 17. Схема полей событий
17. Схема полей событий
Название поля
1. Параметры корреляции
Тип данных
Описание
Название поля
correlation.name
Тип данных
Текстовое поле
Описание
Название правила корреляции, с помощью которого выявлено событие.
Название поля
correlation.count
Тип данных
Текстовое поле
Описание
Количество событий, прошедших процедуру агрегации.
Название поля
rule.id
Тип данных
Текстовое поле
Описание
Идентификатор правил корреляции и агрегации. Значение может быть не уникальным.
Название поля
rule.level
Тип данных
Текстовое поле
Описание
Уровень важности события
Название поля
group
Тип данных
Текстовое поле
Описание
Категория правила корреляции
Название поля
rule.mitre.id
Тип данных
Текстовое поле
Описание
Уникальный идентификатор техники Mittre Att&ck
Название поля
rule.mitre.tactic
Тип данных
Текстовое поле
Описание
Название тактики Mittre Att&ck
Название поля
rule.mitre.technique
Тип данных
Текстовое поле
Описание
Название тактики Mittre Att&ck
Название поля
rule.groups
Тип данных
Текстовое поле
Описание
Группа или список групп, которым принадлежит правило
Название поля
2. Информационные поля
Тип данных
Описание
Название поля
rule.desciption
Тип данных
Текстовое поле
Описание
Текстовое описание правила
Название поля
3. Адресаты
Тип данных
Описание
Название поля
3.1 Отправитель
Тип данных
Описание
Название поля
src.fqdn
Тип данных
Текстовое поле
Описание
Полное доменное имя (FQDN) узла источника
Название поля
src.host
Тип данных
Текстовое поле
Описание
IP-адрес или название узла источника
Название поля
src.hostname
Тип данных
Текстовое поле
Описание
Название узла источника
Название поля
src.ip
Тип данных
Текстовое поле
Описание
IP-адрес (IPv4 или IPv6 )узла источника
Название поля
src.mac
Тип данных
Текстовое поле
Описание
MAC-адрес узла источника
Название поля
src.port
Тип данных
Текстовое поле
Описание
Порт узла источника
Название поля
src.interface
Тип данных
Текстовое поле
Описание
Название интерфейса источника
Название поля
assigned_src_host
Тип данных
Текстовое поле
Описание
FQDN внешнего узла – источника
Название поля
assigned_src_ip
Тип данных
Текстовое поле
Описание
IP-адрес внешнего узла – источника
Название поля
assigned_src_port
Тип данных
Текстовое поле
Описание
Порт внешнего узла – источника
| Название поля | Тип данных | Описание |
|---|---|---|
1. Параметры корреляции | ||
correlation.name | Текстовое поле | Название правила корреляции, с помощью которого выявлено событие. |
correlation.count | Текстовое поле | Количество событий, прошедших процедуру агрегации. |
rule.id | Текстовое поле | Идентификатор правил корреляции и агрегации. Значение может быть не уникальным. |
rule.level | Текстовое поле | Уровень важности события |
group | Текстовое поле | Категория правила корреляции |
rule.mitre.id | Текстовое поле | Уникальный идентификатор техники Mittre Att&ck |
rule.mitre.tactic | Текстовое поле | Название тактики Mittre Att&ck |
rule.mitre.technique | Текстовое поле | Название тактики Mittre Att&ck |
rule.groups | Текстовое поле | Группа или список групп, которым принадлежит правило |
2. Информационные поля | ||
rule.desciption | Текстовое поле | Текстовое описание правила |
3. Адресаты | ||
3.1 Отправитель | ||
src.fqdn | Текстовое поле | Полное доменное имя (FQDN) узла источника |
src.host | Текстовое поле | IP-адрес или название узла источника |
src.hostname | Текстовое поле | Название узла источника |
src.ip | Текстовое поле | IP-адрес (IPv4 или IPv6 )узла источника |
src.mac | Текстовое поле | MAC-адрес узла источника |
src.port | Текстовое поле | Порт узла источника |
src.interface | Текстовое поле | Название интерфейса источника |
assigned_src_host | Текстовое поле | FQDN внешнего узла – источника |
assigned_src_ip | Текстовое поле | IP-адрес внешнего узла – источника |
assigned_src_port | Текстовое поле | Порт внешнего узла – источника |