| @timestamp |
datetime_iso |
Да |
Временная метка |
| action |
keyword |
Да |
Действия, выполненные инициатором |
| event.anomaly.description |
text |
Нет |
Описание аномалии |
| event.anomaly.name |
text |
Нет |
Название аномалии |
| event.application.category |
[keyword] |
Нет |
Категория приложения |
| event.application.content-type |
keyword |
Нет |
Тип контента, на которое ссылается приложение, например PNG |
| event.application.description |
keyword |
Нет |
Дополнительное описание приложения |
| event.application.name |
keyword |
Нет |
Наименование приложения например Web Browsing, Amazon Base, Microsoft Azure Base |
| event.application.protocol |
keyword |
Нет |
Наименование протокола прикладного уровня, например FTP, WebDAV, Telnet |
| event.application.target |
keyword |
Нет |
Тип цели, с которой работает приложение URL, Resource |
| event.application.vendor |
keyword |
Нет |
Производитель приложения |
| event.application.version |
keyword |
Нет |
Версия приложения |
| event.auth.key.length |
integer |
Нет |
Длина ключа аутентификации |
| event.auth.method.description |
text |
Нет |
Описание метода, используемого для аутентификации RDP, Network Authentication, Command Line, Web-Client |
| event.auth.method.id |
keyword |
Нет |
Идентификатор метода аутентификации |
| event.auth.method.name |
keyword |
Нет |
Наименование метода аутентификации, например keyboard-interactive, public key, service, batch |
| event.auth.protocol.name |
keyword |
Нет |
Наименование метода аутентификации, например, SSH, NTML, Kerberos (AuthenticationPackageName in Windows) |
| event.auth.protocol.version |
keyword |
Нет |
Версия протокола аутентификации |
| event.blacklist |
blacklist |
Нет |
Черный список |
| event.bytes.received |
integer |
Нет |
Количество полученных байт в рамках сессии, Цель -> Инициатор |
| event.bytes.sent |
integer |
Нет |
Количество отправленных байт в рамках сессии, Инициатор -> Цель |
| event.bytes.total |
integer |
Нет |
Общее количество байт, отправленных в рамках сессии |
| event.category |
keyword |
Да |
Категория в рамках приложения/подсистемы |
| event.context.raw |
raw_text |
Нет |
Контекст события |
| event.correlation.id |
keyword |
Нет |
Идентификатор сессии, позволяющий связать события |
| event.correlation.sequence |
integer |
Нет |
Количество последовательных сессий |
| event.correlation.total |
integer |
Нет |
Количество сессий |
| event.description |
text |
Да |
Текстовое описание события |
| event.dns.answer.host.fqdn |
[domain] |
Нет |
FQDN-имя на которое получен DNS-ответ |
| event.dns.answer.host.hostname |
[domain] |
Нет |
Hostname на который получен DNS-ответ |
| event.dns.answer.host.ip |
[ip] |
Нет |
IP адрес на который получен DNS-ответ |
| event.dns.answer.original |
keyword |
Нет |
Оригинальный DNS-ответ |
| event.dns.id |
keyword |
Нет |
Идентификатор DNS-запроса |
| event.dns.query.host.fqdn |
[domain] |
Нет |
FQDN-имя запрашиваемое в рамках DNS-запроса |
| event.dns.query.host.hostname |
[domain] |
Нет |
Hostname, запрашиваемый в рамках DNS-запроса |
| event.dns.query.host.ip |
[ip] |
Нет |
IP-адрес, запрашиваемый в рамках DNS-запроса |
| event.dns.query.original |
keyword |
Нет |
Оригинальный DNS-запрос |
| event.dns.ttl |
integer |
Нет |
DNS time to live (время жизни) |
| event.dns.type |
keyword |
Нет |
Тип DNS-записи https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-4 |
| event.endtime |
datetime_iso |
Нет |
Время завершения события |
| event.eventlist |
keyword |
Нет |
Список событий |
| event.file.hash.md5 |
keyword |
Нет |
MD5-хеш файла |
| event.file.hash.sha1 |
keyword |
Нет |
SHA1-хеш файла |
| event.file.hash.sha256 |
keyword |
Нет |
SHA256-хеш файла |
| event.flow.id |
keyword |
Нет |
Идентификатор Flow |
| event.finding.id |
keyword |
Нет |
ID артефакта |
| event.finding.name |
keyword |
Нет |
Название артефакта |
| event.http.protocol.name |
keyword |
Нет |
Наименование HTTP-протокола (HTTP) |
| event.http.protocol.version |
keyword |
Нет |
Версия HTTP-протокола |
| event.logsource.application |
keyword |
Да |
Приложение породившее событие |
| event.logsource.host |
keyword |
Нет |
Хост источника события |
| event.logsource.input |
keyword |
Нет |
Input источника события |
| event.logsource.language |
keyword |
Нет |
Язык источника события |
| event.logsource.name |
keyword |
Да |
Наименование источника события |
| event.logsource.product |
keyword |
Да |
Наименование продукта источника |
| event.logsource.subsystem |
keyword |
Да |
Наименование подсистемы источника |
| event.logsource.vendor |
keyword |
Да |
Наименование вендора источника |
| event.packet.payload.printable |
text |
Нет |
Человекочитаемые данные из полезной нагрузки |
| event.packet.payload.raw |
raw_text |
Нет |
Данные полезной нагрузки |
| event.packet.raw |
raw_text |
Нет |
Сырые данные из пакета |
| event.packets.received |
integer |
Нет |
Количество пакетов, полученных в рамках сессии, Цель -> Инициатор |
| event.packets.sent |
integer |
Нет |
Количество пакетов, отправленных в рамках сессии, Инициатор -> Цель |
| event.packets.total |
integer |
Нет |
Количество пакетов, переданных в рамках сессии |
| event.result.analysis_output |
text |
Нет |
Результат анализа |
| event.result.description |
text |
Нет |
Описание результата |
| event.result.id |
keyword |
Нет |
ID результата |
| event.result.incident_identifier |
keyword |
Нет |
Идентификатор инцидента результата |
| event.result.mitigation |
text |
Нет |
|
| event.result.name |
keyword |
Нет |
Наименование результата |
| event.result.risk_impact |
text |
Нет |
|
| event.result.solution |
text |
Нет |
Решение |
| event.result.synopsis |
text |
Нет |
Краткое изложение |
| event.service.name |
keyword |
Нет |
Сервис, передающий событие, например HTTP |
| event.session.duration |
integer |
Нет |
Длительность сессии (в секундах) |
| event.session.endtime |
datetime_iso |
Нет |
Время окончания сессии |
| event.session.flags |
[keyword] |
Нет |
TCP-флаги окончания сессии |
| event.session.id |
keyword |
Нет |
Идентификатор сессии |
| event.session.starttime |
datetime_iso |
Нет |
Время начала сессии |
| event.severity |
float |
Да |
Severity события, получаемое из заголовка Syslog, по умолчанию: 0 |
| event.socket.protocol |
keyword |
Нет |
Протокол транспортного уровня, например, TCP, UDP |
| event.subcategory |
keyword |
Да |
Подкатегория события |
| event.timestamp |
datetime_iso |
Да |
Время, в которое произошло событие |
| event.tls.fingerprint |
keyword |
Нет |
TLS Certificate Fingerprint |
| event.tls.issuerdn |
text |
Нет |
TLS Certificate Issuer DN |
| event.tls.not-after |
datetime_iso |
Нет |
TLS Certificate date validation |
| event.tls.not-before |
datetime_iso |
Нет |
TLS Certificate date validation |
| event.tls.sni |
domain |
Нет |
TLS Certificate SNI |
| event.tls.subject |
text |
Нет |
TLS Certificate Subject |
| event.uuid |
keyword |
Нет |
UUID события |
| event.worker.host |
keyword |
Нет |
|
| event.worker.ip |
keyword |
Нет |
|
| initiator.antivirus.scan.endtime |
datetime_iso |
Нет |
Время окончания антивирусного сканирования |
| initiator.antivirus.scan.starttime |
datetime_iso |
Нет |
Время начала антивирусного сканирования |
| initiator.antivirus.scan.type |
keyword |
Нет |
Тип антивирусного сканирования, например: On-Access, Schedule Scan, Quick Scan, Custom Scan… |
| initiator.command.executed |
text |
Нет |
Выполненная команда |
| initiator.command.info |
keyword |
Нет |
Информация о команде |
| initiator.command.path.original |
keyword |
Нет |
|
| initiator.command.type |
keyword |
Нет |
Тип конманды |
| initiator.file.hash.md5 |
keyword |
Нет |
MD5-хеш файла |
| initiator.file.hash.sha1 |
keyword |
Нет |
SHA1-хеш файла |
| initiator.file.hash.sha256 |
keyword |
Нет |
SHA256-хеш файла |
| initiator.geoip |
geo |
Нет |
Данные GeoIP (автоматически проставляются подсистемой обработки событий) |
| initiator.host.fqdn |
[domain] |
Нет |
FQDN инициатора |
| initiator.host.hostname |
[domain] |
Нет |
Hostname инициатора |
| initiator.host.ip |
[ip] |
Нет |
IP инициатора |
| initiator.http.method |
keyword |
Нет |
https://wiki.squid-cache.org/SquidFaq/SquidLogs#Request_methods |
| initiator.http.user-agent |
user_agent |
Нет |
HTTP User Agent |
| initiator.interface.mac |
mac |
Нет |
MAC-адрес инициатора |
| initiator.interface.name |
keyword |
Нет |
Имя интерфейса инициатора |
| initiator.nat.ip |
ip |
Нет |
NAT IP-адрес |
| initiator.nat.port |
port |
Нет |
NAT порт |
| initiator.process.command |
text |
Нет |
Выполненная команда |
| initiator.process.guid |
keyword |
Нет |
GUID-процесса |
| initiator.process.id |
keyword |
Нет |
ID-процесса |
| initiator.process.hash.impash |
keyword |
Нет |
impash-процесса |
| initiator.process.hash.md5 |
keyword |
Нет |
md5-процесса |
| initiator.process.hash.sha1 |
keyword |
Нет |
sha1-процесса |
| initiator.process.hash.sha256 |
keyword |
Нет |
sha256-процесса |
| initiator.process.parent.id |
keyword |
Нет |
|
| initiator.process.hash.path.original |
keyword |
Нет |
|
| initiator.process.path.drive |
keyword |
Нет |
Диск, на котором запущен процесс C:, \ (сетевой каталог) |
| initiator.process.path.extension |
keyword |
Нет |
Расширение запущенного файла |
| initiator.process.path.full |
path |
Нет |
Полный путь до запущенного файла e.g. C:\Windows\System32\service.exe, \radarservices\company\secret.txt |
| initiator.process.path.name |
keyword |
Нет |
Имя процесса, например: service, secret |
| initiator.process.path.original |
keyword |
Нет |
Оригинальное имя процесса |
| initiator.process.path.path |
path |
Нет |
Каталог в котором запущен процесс |
| initiator.process.working-directory |
path |
Нет |
Рабочий каталог процесса |
| initiator.registry.path.original |
keyword |
Нет |
|
| initiator.session.id |
keyword |
Нет |
Logon-сессия связанная с инициатором (Windows: SubjectLogonID) |
| initiator.shell.name |
keyword |
Нет |
Название shell |
| initiator.shell.version |
keyword |
Нет |
Версия shell |
| initiator.socket.port |
port |
Нет |
Порт инициатора |
| initiator.user.domain |
keyword |
Нет |
Домен, которому принадлежит пользователь-инициатор |
| initiator.user.group.id |
keyword |
Нет |
ID группы пользователя-инициатора |
| initiator.user.group.name |
keyword |
Нет |
Имя группы пользователя-инициатора |
| initiator.user.id |
keyword |
Нет |
ID пользователя, например SID или UID |
| initiator.user.name |
keyword |
Нет |
Имя пользователя-инициатора |
| initiator.user.privileges.code |
[keyword] |
Нет |
|
| initiator.user.privileges.description |
[keyword] |
Нет |
|
| initiator.user.privileges.name |
[keyword] |
Нет |
|
| initiator.user.privileges.original |
[keyword] |
Нет |
|
| initiator.user.subcategory |
text |
Нет |
|
| initiator.vpn.host.ip |
[ip] |
Нет |
IP адрес, назначенный VPN-сервером |
| observer.blacklist |
blacklist |
Нет |
|
| observer.event.id |
keyword |
Нет |
ID-события |
| observer.event.type |
keyword |
Нет |
Тип события Windows Channel |
| observer.file.hash.md5 |
keyword |
Нет |
MD5-хеш файла |
| observer.file.hash.sha1 |
keyword |
Нет |
SHA1-хеш файла |
| observer.file.hash.sha256 |
keyword |
Нет |
SHA256-хеш файла |
| observer.socket.port |
port |
Нет |
Порт обзервера |
| observer.host.fqdn |
[domain] |
Нет |
FQDN обзервера |
| observer.host.hostname |
[domain] |
Нет |
Hostname обзервера |
| observer.host.ip |
[ip] |
Нет |
IP обзервера |
| observer.interface.in.mac |
mac |
Нет |
MAC-адрес интерфейса, на который получено событие |
| observer.interface.in.name |
keyword |
Нет |
Имя интерфейса, на который получено событие |
| observer.interface.out.mac |
mac |
Нет |
MAC-адрес интерфейса, с которого отправлено событие |
| observer.interface.out.name |
keyword |
Нет |
Имя интерфейса, с которого отправлено событие |
| observer.rule.category |
keyword |
Нет |
Категория правила, например в Suricata "Potentially Bad Traffic", "Misc Attack" |
| observer.rule.id |
keyword |
Нет |
ID правила, по которому сгенерировалось событие, например: Suricata SID, Firewall rule ID |
| observer.rule.metadata.affected-product |
keyword |
Нет |
Приложение, подверженное атаке |
| observer.rule.metadata.attack-target |
keyword |
Нет |
Тип атакуемой цели |
| observer.rule.metadata.deployment |
[keyword] |
Нет |
Тип развертывания |
| observer.rule.metadata.malware-family |
keyword |
Нет |
Семейство вредоносного кода, обнаруживаемое правилом |
| observer.rule.name |
keyword |
Нет |
Наименование правила |
| observer.rule.original |
text |
Нет |
Исходный текст правила |
| observer.rule.threshold.count |
integer |
Нет |
Сработавший порог по количеству для правила |
| observer.rule.threshold.seconds |
integer |
Нет |
Сработавший порог по времени для правила |
| observer.rule.threshold.track |
keyword |
Нет |
|
| observer.rule.threshold.type |
keyword |
Нет |
|
| observer.zone.in.name |
keyword |
Нет |
Имя сетевой зоны (inbound) |
| observer.zone.out.name |
keyword |
Нет |
Имя сетевой зоны (outbound) |
| outcome.description |
text |
Нет |
Описание результата |
| outcome.name |
keyword |
Нет |
Нормализованное представление результата |
| outcome.original |
keyword |
Нет |
Вендор-специфичное представление для результата |
| raw |
raw_text |
Нет |
Изначальное событие |
| executed.description |
text |
Нет |
Описание реакции на событие |
| reaction.executed.name |
keyword |
Нет |
Нормализованное представление реакции на событие |
| reaction.executed.original |
keyword |
Нет |
Вендор-специфичное представление реакции на событие |
| reaction.executed.reason |
keyword |
Нет |
Описание причины применения указанной реакции на событие |
| reaction.executed.user.domain |
keyword |
Нет |
Домен пользователя |
| reaction.executed.user.id |
keyword |
Нет |
ID пользователя |
| reaction.executed.user.name |
keyword |
Нет |
Логин пользователя |
| reaction.requested.description |
text |
Нет |
Описание требуемой реакции |
| reaction.requested.name |
keyword |
Нет |
Нормализованное представление требуемой реакции |
| reaction.requested.original |
keyword |
Нет |
Вендор-специфичное представление требуемой реакции |
| reaction.requested.reason |
keyword |
Нет |
Описание причин требуемой реакции |
| reportchain.collector.host.fqdn |
[domain] |
Да |
FQDN модуля Платформы Радар, получившего событие |
| reportchain.collector.host.hostname |
[domain] |
Нет |
Hostname модуля Платформы Радар, получившего событие |
| reportchain.collector.host.ip |
[ip] |
Нет |
IP модуля Платформы Радар, получившего событие |
| reportchain.collector.timestamp |
datetime_iso |
Да |
Время получения события Платформой Радар |
| reportchain.relay.host.fqdn |
[domain] |
Нет |
FQDN хоста, отправившего событие по syslog |
| reportchain.relay.host.hostname |
[domain] |
Нет |
Hostname хоста, отправившего событие по syslog |
| reportchain.relay.host.ip |
[ip] |
Нет |
IP хоста, отправившего событие по syslog |
| reportchain.relay.timestamp |
datetime_iso |
Нет |
Отметка времени получения события хостом с NxLog (временная отметка агента) |
| tags |
[keyword] |
Нет |
Тэги |
| target.auth.encryption |
keyword |
Нет |
Ticket Encryption Type |
| target.access_mask.original |
keyword |
Нет |
|
| target.auth.options.name |
keyword |
Нет |
Ticket Options |
| target.auth.options.original |
keyword |
Нет |
|
| target.auth.process.name |
keyword |
Нет |
Процесс, выполняющий аутентификацию sshd, Schannel, Advapi (LogonProcessName in Windows) |
| target.auth.service.domain |
keyword |
Нет |
|
| target.auth.service.id |
keyword |
Нет |
|
| target.auth.service.name |
keyword |
Нет |
Наименование сервиса в Kerberos Realm, которому был отправлен TGT-запрос |
| target.command.executed |
text |
Нет |
Выполненная команда |
| target.command.path.original |
keyword |
Нет |
Путь до запущенного процесса |
| target.config.changes.description |
[keyword] |
Нет |
Тип изменений в конфигурации |
| target.config.changes.id |
[keyword] |
Нет |
ID изменений в конфигурации |
| target.database.name |
keyword |
Нет |
Название БД |
| target.email.file.drive |
[path] |
Нет |
Информация о email-аттаче |
| target.email.file.extention |
[keyword] |
Нет |
Информация о email-аттаче |
| target.email.file.fullname |
[keyword] |
Нет |
Информация о email-аттаче |
| target.email.file.name |
[keyword] |
Нет |
Информация о email-аттаче |
| target.email.file.path |
[path] |
Нет |
Информация о email-аттаче |
| target.email.receivers |
[keyword] |
Нет |
Email-адреса получатели письма |
| target.email.sender |
keyword |
Нет |
Email-адрес отправителя |
| target.email.subject |
text |
Нет |
Тема письма |
| target.email.url.full |
[keyword] |
Нет |
URL в письме |
| target.email.url.host.fqdn |
[domain] |
Нет |
URL в письме |
| target.email.url.host.hostname |
[domain] |
Нет |
URL в письме |
| target.email.url.host.ip |
[ip] |
Нет |
URL в письме |
| target.file.content-type |
text |
Нет |
Content-Type файла |
| target.file.drive |
path |
Нет |
Диск, на котором находится файл |
| target.file.extension |
keyword |
Нет |
Расширение файла |
| target.file.fullname |
keyword |
Нет |
Полное имя файла |
| target.file.hash.md5 |
keyword |
Нет |
MD5-хеш файла |
| target.file.hash.sha1 |
keyword |
Нет |
SHA1-хеш файла |
| target.file.hash.sha256 |
keyword |
Нет |
SHA256-хеш файла |
| target.file.name |
keyword |
Нет |
Имя файла |
| target.file.path |
path |
Нет |
Полный путь до файла |
| target.file.size |
integer |
Нет |
Размер файла (в байтах) |
| target.host.geoip |
geo |
Нет |
Данные GeoIP (автоматически проставляются подсистемой обработки событий) |
| target.group.domain |
keyword |
Нет |
Домен группы |
| target.group.id |
keyword |
Нет |
ID группы |
| target.group.name |
keyword |
Нет |
Имя группы |
| target.host.fqdn |
[domain] |
Нет |
FQDN хоста |
| target.host.hostname |
[domain] |
Нет |
Hostname |
| target.host.ip |
[ip] |
Нет |
IP-адрес хоста |
| target.http.content-type |
keyword |
Нет |
Content type ответа, например, text/html |
| target.http.redirect.host.fqdn |
[domain] |
Нет |
Host part of the redirected URL |
| target.http.redirect.host.hostname |
[domain] |
Нет |
Host part of the redirected URL |
| target.http.redirect.host.ip |
[ip] |
Нет |
Host part of the redirected URL |
| target.http.redirect.path |
[text] |
Нет |
Path of the redirected URL http://hostname.tld:port/path |
| target.http.redirect.port |
[port] |
Нет |
Port of the redirected URL |
| target.http.redirect.protocol |
[keyword] |
Нет |
Protocol of the redirected URL (http or https) |
| target.http.referer.host.fqdn |
[domain] |
Нет |
Host part of the referer URL |
| target.http.referer.host.hostname |
[domain] |
Нет |
Host part of the referer URL |
| target.http.referer.host.ip |
[ip] |
Нет |
Host part of the referer URL |
| target.http.referer.path |
[text] |
Нет |
Path of the referer URL http://hostname.tld:port/path |
| target.http.referer.port |
[port] |
Нет |
Port of the referer URL |
| target.http.referer.protocol |
[keyword] |
Нет |
Protocol of the referer URL (http or https) |
| target.http.status.code |
integer |
Нет |
https://wiki.squid-cache.org/SquidFaq/SquidLogs#HTTP_status_codes |
| target.http.status.description |
text |
Нет |
https://wiki.squid-cache.org/SquidFaq/SquidLogs#HTTP_status_codes |
| target.http.status.name |
keyword |
Нет |
https://wiki.squid-cache.org/SquidFaq/SquidLogs#HTTP_status_codes |
| target.http.url.host.fqdn |
[domain] |
Нет |
Host part of the targeted URL |
| target.http.url.host.hostname |
[domain] |
Нет |
Host part of the targeted URL |
| target.http.url.host.ip |
[ip] |
Нет |
Host part of the targeted URL |
| target.http.url.path |
[text] |
Нет |
Path of the targeted URL http://hostname.tld:port/path |
| target.http.url.port |
[port] |
Нет |
Port of the targeted URL |
| target.http.url.protocol |
[keyword] |
Нет |
Protocol of the targeted URL (http or https) |
| target.interface.mac |
mac |
Нет |
МАС-адрес интерфейса |
| target.interface.name |
keyword |
Нет |
Имя интерфейса |
| target.nat.ip |
ip |
Нет |
NAT IP-адрес |
| target.nat.port |
port |
Нет |
NAT порт |
| target.object.attribute.name |
keyword |
Нет |
Атрибут объекта, который был модифицирован |
| target.object.attribute.value |
text |
Нет |
Значение атрибута |
| target.object.domain |
keyword |
Нет |
Домен объекта, который был модифицирован |
| target.object.id |
keyword |
Нет |
ID объекта, который был модифицирован |
| target.object.name |
keyword |
Нет |
Имя объекта, который был модифицирован |
| target.object.type |
keyword |
Нет |
Класс объекта, который был модифицирован |
| target.object.server |
keyword |
Нет |
Сервер объекта, который был модифицирован |
| target.object.handle.id |
keyword |
Нет |
|
| target.permissons.granted.name |
[keyword] |
Нет |
|
| target.permissons.granted.original |
[keyword] |
Нет |
|
| target.permissons.requested.description |
[keyword] |
Нет |
|
| target.permissons.requested.name |
[keyword] |
Нет |
|
| target.permissons.requested.original |
[keyword] |
Нет |
|
| target.policy.category.description |
text |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719 |
| target.policy.category.id |
keyword |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719 |
| target.policy.changes.description |
[text] |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719 |
| target.policy.changes.id |
[keyword] |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719 |
| target.policy.subcategory.description |
text |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719 |
| target.policy.subcategory.id |
keyword |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719 |
| target.process.args |
keyword |
Нет |
Аргументы |
| target.process.command |
text |
Нет |
Выполненная команда |
| target.process.guid |
keyword |
Нет |
GUID процесса |
| target.process.hash.impash |
keyword |
Нет |
impash-хеш файла |
| target.process.hash.md5 |
keyword |
Нет |
MD5-хеш файла |
| target.process.hash.sha1 |
keyword |
Нет |
SHA1-хеш файла |
| target.process.hash.sha256 |
keyword |
Нет |
SHA256-хеш файла |
| target.process.id |
keyword |
Нет |
ID процесса |
| target.process.integrity.description |
keyword |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688 |
| target.process.integrity.id |
keyword |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688 |
| target.process.integrity.id-hex |
keyword |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688 |
| target.process.integrity.name |
keyword |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688 |
| target.process.path.drive |
keyword |
Нет |
Диск на котором запущен процесс C:, \ (сетевой каталог) |
| target.process.path.extension |
keyword |
Нет |
Расширение запущенного файла |
| target.process.path.full |
path |
Нет |
Полный путь до запущенного файла e.g. C:\Windows\System32\service.exe, \radarservices\company\secret.txt |
| target.process.path.name |
keyword |
Нет |
Имя процесса, например: service, secret |
| target.process.path.original |
text |
Нет |
Оригинальное имя процесса |
| target.process.path.path |
path |
Нет |
Каталог, в котором запущен процесс |
| target.process.path.file.internal.name |
keyword |
Нет |
Имя файла |
| target.process.privileges.code |
keyword |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688 |
| target.process.privileges.description |
[keyword] |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688 |
| target.process.privileges.original |
[keyword] |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688 |
| target.process.privileges.description |
[keyword] |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688 |
| target.process.working-directory |
path |
Нет |
|
| target.registry.path.original |
keyword |
Нет |
|
| target.instance.name |
keyword |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688 |
| target.rule.action |
keyword |
Нет |
Действие, выполненное на межсетевом экране: allow, bypass, deny, log only, discard/reject |
| target.rule.chain |
keyword |
Нет |
Windows: inbound или outbound, Linux: цепочка iptables |
| target.rule.dst-addresses |
[keyword] |
Нет |
IP-адрес в правиле межсетевого экрана |
| target.rule.dst-ports |
[keyword] |
Нет |
Порт в правиле межсетевого экрана |
| target.rule.id |
keyword |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4946 |
| target.rule.name |
keyword |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4946 |
| target.rule.profiles |
[keyword] |
Нет |
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4946 |
| target.rule.src-addresses |
[keyword] |
Нет |
IP-адрес источника в правиле межсетевого экрана |
| target.rule.src-ports |
[keyword] |
Нет |
Порт источника в правиле межсетевого экрана |
| target.rule.status |
keyword |
Нет |
Индикатор активности правила |
| target.service.name |
keyword |
Нет |
Название сервиса |
| target.path.original |
keyword |
Нет |
|
| target.service.start_type.new.description |
keyword |
Нет |
|
| target.service.start_type.new.name |
keyword |
Нет |
|
| target.service.start_type.new.original |
keyword |
Нет |
|
| target.service.start_type.old.description |
keyword |
Нет |
|
| target.service.start_type.old.name |
keyword |
Нет |
|
| target.service.start_type.old.original |
keyword |
Нет |
|
| target.service.status.name |
keyword |
Нет |
|
| target.service.status.original |
keyword |
Нет |
|
| target.service.type.description |
keyword |
Нет |
|
| target.service.type.name |
keyword |
Нет |
|
| target.service.type.original |
keyword |
Нет |
|
| target.session.id |
keyword |
Нет |
ID сессии (Windows: TargetLogonID) |
| target.share.local_path.original |
keyword |
Нет |
|
| target.share.relative_name.original |
keyword |
Нет |
|
| target.share.remote_path.original |
keyword |
Нет |
|
| target.shell.name |
keyword |
Нет |
|
| target.shell.version |
keyword |
Нет |
Версия shell |
| target.syscall.id |
keyword |
Нет |
syscall id |
| target.syscall.name |
keyword |
Нет |
Системный вызов |
| target.task.args |
keyword |
Нет |
Аргументы выполнения |
| target.task.auth.method.name |
keyword |
Нет |
Метод аутентификации |
| target.task.command |
keyword |
Нет |
|
| target.task.description |
text |
Нет |
Описание |
| target.task.name |
keyword |
Нет |
Имя системного вызова |
| target.task.privileges.name |
keyword |
Нет |
|
| target.task.privileges.original |
keyword |
Нет |
|
| target.task.status.name |
keyword |
Нет |
|
| target.task.status.original |
keyword |
Нет |
|
| target.task.status.visibility.original |
keyword |
Нет |
|
| target.task.status.working-directory |
keyword |
Нет |
Рабочая директория |
| target.socket.port |
port |
Нет |
Порт |
| target.threat.category |
keyword |
Нет |
Категория угрозы, например: Potentially Unwanted Software |
| target.threat.confidence |
keyword |
Нет |
Уровень доверия результату детектирования |
| target.threat.content-type |
keyword |
Нет |
Content type угрозы: data, file, packet, url |
| target.threat.description |
text |
Нет |
Описание угрозы |
| target.threat.detection_delta |
integer |
Нет |
Окно реагирования |
| target.threat.origin.name |
keyword |
Нет |
|
| target.threat.origin.original |
keyword |
Нет |
|
| target.threat.severity |
keyword |
Нет |
Уровень угрозы |
| target.threat.status.original |
keyword |
Нет |
|
| target.threat.name |
keyword |
Нет |
Наименование угрозы PUA:Win32/FustionCore |
| target.user.category |
text |
Нет |
Категория пользователся |
| target.user.delegations |
[keyword] |
Нет |
Windows: AllowedToDelegateTo |
| target.user.description |
keyword |
Нет |
Описание пользователя |
| target.user.domain |
keyword |
Нет |
Домен пользователя |
| target.user.group.id |
keyword |
Нет |
ID группы пользователя |
| target.user.group.name |
keyword |
Нет |
Имя группы пользователя |
| target.home.path.original |
keyword |
Нет |
Путь к домашней дирректории |
| target.user.id |
keyword |
Нет |
ID пользователя, например, SID или UID |
| target.user.id-history |
[keyword] |
Нет |
Windows: SidHistory |
| target.user.name |
keyword |
Нет |
Имя пользователя |
| target.user.primary-group |
keyword |
Нет |
Windows: PrimaryGroupId |
| target.user.privileges.code |
[keyword] |
Нет |
|
| target.user.privileges.description |
[keyword] |
Нет |
|
| target.user.privileges.name |
[keyword] |
Нет |
|
| target.user.privileges.original |
[keyword] |
Нет |
|
| target.user.spn.delegators |
[keyword] |
Нет |
|
| target.user.spn.names |
[keyword] |
Нет |
|
| target.user.subcategory |
text |
Нет |
|
| target.user.uac.attribute.new-value |
keyword |
Нет |
|
| target.user.uac.attribute.old-value |
keyword |
Нет |
|
| target.user.uac.status |
[keyword] |
Нет |
|