Перейти к содержанию

Поля таксономии

Поле Тип данных Шаблон “Разобрано” Шаблон “Нормализовано” Шаблон “Ошибка” Описание
@timestamp date Да Да Да Временная метка
action keyword Нет Да Нет Действия, выполненные инициатором
elastic_key keyword Да Да Да
error keyword Да Нет Да
event.alert keyword Нет Да Нет
event.anomaly.description keyword Нет Да Нет Описание аномалии
event.anomaly.name keyword Нет Да Нет Название аномалии
event.application.category keyword Нет Да Нет Категория приложения
event.application.content-type keyword Нет Да Нет Тип контента, на которое ссылается приложение, например PNG
event.application.description keyword Нет Да Нет Дополнительное описание приложения
event.application.name keyword Нет Да Нет Наименование приложения например Web Browsing, Amazon Base, Microsoft Azure Base
event.application.protocol keyword Нет Да Нет Наименование протокола прикладного уровня, например FTP, WebDAV, Telnet
event.application.risk keyword Нет Да Нет
event.application.target keyword Нет Да Нет Тип цели, с которой работает приложение URL, Resource
event.application.vendor keyword Нет Да Нет Производитель приложения
event.application.version keyword Нет Да Нет Версия приложения
event.auth.key.length keyword Нет Да Нет Длина ключа аутентификации
event.auth.method.description keyword Нет Да Нет Описание метода, используемого для аутентификации RDP, Network Authentication, Command Line, Web-Client
event.auth.method.id keyword Нет Да Нет Идентификатор метода аутентификации
event.auth.method.name keyword Нет Да Нет Наименование метода аутентификации, например keyboard-interactive, public key, service, batch
event.auth.protocol.name keyword Нет Да Нет Наименование метода аутентификации, например, SSH, NTML, Kerberos (AuthenticationPackageName in Windows)
event.auth.protocol.version keyword Нет Да Нет Версия протокола аутентификации
event.blacklist.domain.category keyword Нет Да Нет
event.blacklist.domain.confidence keyword Нет Да Нет
event.blacklist.domain.domain keyword Нет Да Нет
event.blacklist.domain.provider keyword Нет Да Нет
event.blacklist.domain.threat keyword Нет Да Нет
event.blacklist.file.category keyword Нет Да Нет
event.blacklist.file.confidence keyword Нет Да Нет
event.blacklist.file.md5 keyword Нет Да Нет
event.blacklist.file.provider keyword Нет Да Нет
event.blacklist.file.sha1 keyword Нет Да Нет
event.blacklist.file.sha256 keyword Нет Да Нет
event.blacklist.file.threat keyword Нет Да Нет
event.blacklist.ip.category keyword Нет Да Нет
event.blacklist.ip.confidence keyword Нет Да Нет
event.blacklist.ip.port keyword Нет Да Нет
event.blacklist.ip.protocol keyword Нет Да Нет
event.blacklist.ip.provider keyword Нет Да Нет
event.blacklist.ip.threat keyword Нет Да Нет
event.blacklist.url.category keyword Нет Да Нет
event.blacklist.url.confidence keyword Нет Да Нет
event.blacklist.url.domain keyword Нет Да Нет
event.blacklist.url.provider keyword Нет Да Нет
event.blacklist.url.threat keyword Нет Да Нет
event.blacklist.url.url keyword Нет Да Нет
event.bytes.received keyword Нет Да Нет Количество полученных байт в рамках сессии, Цель -> Инициатор
event.bytes.sent keyword Нет Да Нет Количество отправленных байт в рамках сессии, Инициатор -> Цель
event.bytes.total keyword Нет Да Нет Общее количество байт, отправленных в рамках сессии
event.category keyword Нет Да Нет Категория в рамках приложения/подсистемы
event.context.raw keyword Нет Да Нет Контекст события
event.correlation.id keyword Нет Да Нет Идентификатор сессии, позволяющий связать события
event.correlation.sequence keyword Нет Да Нет Количество последовательных сессий
event.correlation.total keyword Нет Да Нет Количество сессий
event.description keyword Нет Да Нет Текстовое описание события
event.dns.answer.host.fqdn keyword Нет Да Нет FQDN-имя на которое получен DNS-ответ
event.dns.answer.host.hostname keyword Нет Да Нет Hostname на который получен DNS-ответ
event.dns.answer.host.ip keyword Нет Да Нет IP адрес на который получен DNS-ответ
event.dns.answer.original keyword Нет Да Нет Оригинальный DNS-ответ
event.dns.id keyword Нет Да Нет Идентификатор DNS-запроса
event.dns.query.host.fqdn keyword Нет Да Нет FQDN-имя запрашиваемое в рамках DNS-запроса
event.dns.query.host.hostname keyword Нет Да Нет Hostname, запрашиваемый в рамках DNS-запроса
event.dns.query.host.ip keyword Нет Да Нет IP-адрес, запрашиваемый в рамках DNS-запроса
event.dns.query.original keyword Нет Да Нет Оригинальный DNS-запрос
event.dns.ttl keyword Нет Да Нет DNS time to live (время жизни)
event.dns.type keyword Нет Да Нет Тип DNS-записи https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-4
event.email.attachment.name keyword Нет Да Нет
event.email.message.id keyword Нет Да Нет
event.email.message.size keyword Нет Да Нет
event.email.result.description keyword Нет Да Нет
event.email.session.id keyword Нет Да Нет
event.endtime date Нет Да Нет Время завершения события
event.error.code keyword Нет Да Нет
event.error.description keyword Нет Да Нет
event.eventlist keyword Нет Да Нет Список событий
event.execution.process.id keyword Нет Да Нет
event.file.hash.md5 keyword Нет Да Нет MD5-хеш файла
event.file.hash.sha1 keyword Нет Да Нет SHA1-хеш файла
event.file.hash.sha256 keyword Нет Да Нет SHA256-хеш файла
event.finding.id keyword Нет Да Нет ID артефакта
event.finding.name keyword Нет Да Нет Название артефакта
event.flow.id keyword Нет Да Нет Идентификатор Flow
event.flow.ttl.max keyword Нет Да Нет
event.flow.ttl.min keyword Нет Да Нет
event.icmp.code.code keyword Нет Да Нет
event.icmp.code.description keyword Нет Да Нет
event.icmp.type.description keyword Нет Да Нет
event.icmp.type.type keyword Нет Да Нет
event.input.source keyword Да Да Да Название источника
event.logsource.application keyword Нет Да Нет Приложение породившее событие
event.logsource.host keyword Да Да Да Хост источника события
event.logsource.input keyword Да Да Да Input источника события
event.logsource.language keyword Нет Да Нет Язык источника события
event.logsource.name keyword Нет Да Нет Наименование источника события
event.logsource.product keyword Нет Да Нет Наименование продукта источника
event.logsource.subsystem keyword Нет Да Нет Наименование подсистемы источника
event.logsource.vendor keyword Нет Да Нет Наименование вендора источника
event.packet.payload.printable keyword Нет Да Нет Человекочитаемые данные из полезной нагрузки
event.packet.payload.raw keyword Нет Да Нет Данные полезной нагрузки
event.packet.raw keyword Нет Да Нет Сырые данные из пакета
event.packets.received keyword Нет Да Нет Количество пакетов, полученных в рамках сессии, Цель -> Инициатор
event.packets.sent keyword Нет Да Нет Количество пакетов, отправленных в рамках сессии, Инициатор -> Цель
event.packets.total keyword Нет Да Нет Количество пакетов, переданных в рамках сессии
event.record.id keyword Нет Да Нет
event.result.analysis_output keyword Нет Да Нет Результат анализа
event.result.description keyword Нет Да Нет Описание результата
event.result.id keyword Нет Да Нет ID результата
event.result.incident_identifier keyword Нет Да Нет Идентификатор инцидента результата
event.result.mitigation keyword Нет Да Нет
event.result.name keyword Нет Да Нет Наименование результата
event.result.risk_impact keyword Нет Да Нет
event.result.solution keyword Нет Да Нет Решение
event.result.synopsis keyword Нет Да Нет Краткое изложение
event.rpc.request keyword Нет Да Нет
event.rpc.response keyword Нет Да Нет
event.service.name keyword Нет Да Нет Сервис, передающий событие, например HTTP
event.session.duration keyword Нет Да Нет Длительность сессии (в секундах)
event.session.endtime date Нет Да Нет Время окончания сессии
event.session.flags keyword Нет Да Нет TCP-флаги окончания сессии
event.session.id keyword Нет Да Нет Идентификатор сессии
event.session.starttime date Нет Да Нет Время начала сессии
event.severity keyword Нет Да Нет Severity события, получаемое из заголовка Syslog, по умолчанию: 0
event.signature.id keyword Нет Да Нет
event.signature.name keyword Нет Да Нет
event.smb.access.type keyword Нет Да Нет
event.smb.disposition keyword Нет Да Нет
event.socket.protocol keyword Нет Да Нет Протокол транспортного уровня, например, TCP, UDP
event.starttime date Нет Да Нет
event.subcategory keyword Нет Да Нет Подкатегория события
event.tcp.ack keyword Нет Да Нет
event.tcp.flag keyword Нет Да Нет
event.tcp.syn keyword Нет Да Нет
event.tcp.winsize keyword Нет Да Нет
event.timestamp date Нет Да Нет Время, в которое произошло событие
event.tls.fingerprint keyword Нет Да Нет TLS Certificate Fingerprint
event.tls.issuerdn keyword Нет Да Нет TLS Certificate Issuer DN
event.tls.not-after date Нет Да Нет TLS Certificate date validation
event.tls.not-before date Нет Да Нет TLS Certificate date validation
event.tls.sni keyword Нет Да Нет TLS Certificate SNI
event.tls.subject keyword Нет Да Нет TLS Certificate Subject
event.tls.version keyword Нет Да Нет
event.uuid keyword Да Да Да UUID события
event.worker.host keyword Нет Да Нет
event.worker.ip keyword Нет Да Нет
id keyword Да Нет Да
initiator.antispyware.signature.age keyword Нет Да Нет
initiator.antispyware.signature.timestamp date Нет Да Нет
initiator.antispyware.signature.version keyword Нет Да Нет
initiator.antivirus.detection.id keyword Нет Да Нет
initiator.antivirus.detection.origin keyword Нет Да Нет
initiator.antivirus.detection.time keyword Нет Да Нет
initiator.antivirus.detection.type keyword Нет Да Нет
initiator.antivirus.last.full_scan.endtime keyword Нет Да Нет
initiator.antivirus.last.full_scan.source keyword Нет Да Нет
initiator.antivirus.last.full_scan.starttime keyword Нет Да Нет
initiator.antivirus.last.quick_scan.endtime keyword Нет Да Нет
initiator.antivirus.last.quick_scan.source keyword Нет Да Нет
initiator.antivirus.last.quick_scan.starttime keyword Нет Да Нет
initiator.antivirus.scan.endtime date Нет Да Нет Время окончания антивирусного сканирования
initiator.antivirus.scan.starttime date Нет Да Нет Время начала антивирусного сканирования
initiator.antivirus.scan.type keyword Нет Да Нет Тип антивирусного сканирования, например: On-Access, Schedule Scan, Quick Scan, Custom Scan…
initiator.antivirus.signature.age keyword Нет Да Нет
initiator.antivirus.signature.source keyword Нет Да Нет
initiator.antivirus.signature.timestamp date Нет Да Нет
initiator.antivirus.signature.version keyword Нет Да Нет
initiator.antivirus.sync.time date Нет Да Нет
initiator.blacklist.domain.category keyword Нет Да Нет
initiator.blacklist.domain.confidence keyword Нет Да Нет
initiator.blacklist.domain.domain keyword Нет Да Нет
initiator.blacklist.domain.provider keyword Нет Да Нет
initiator.blacklist.domain.threat keyword Нет Да Нет
initiator.blacklist.file.category keyword Нет Да Нет
initiator.blacklist.file.confidence keyword Нет Да Нет
initiator.blacklist.file.md5 keyword Нет Да Нет
initiator.blacklist.file.provider keyword Нет Да Нет
initiator.blacklist.file.sha1 keyword Нет Да Нет
initiator.blacklist.file.sha256 keyword Нет Да Нет
initiator.blacklist.file.threat keyword Нет Да Нет
initiator.blacklist.ip.category keyword Нет Да Нет
initiator.blacklist.ip.confidence keyword Нет Да Нет
initiator.blacklist.ip.port keyword Нет Да Нет
initiator.blacklist.ip.protocol keyword Нет Да Нет
initiator.blacklist.ip.provider keyword Нет Да Нет
initiator.blacklist.ip.threat keyword Нет Да Нет
initiator.blacklist.url.category keyword Нет Да Нет
initiator.blacklist.url.confidence keyword Нет Да Нет
initiator.blacklist.url.domain keyword Нет Да Нет
initiator.blacklist.url.provider keyword Нет Да Нет
initiator.blacklist.url.threat keyword Нет Да Нет
initiator.blacklist.url.url keyword Нет Да Нет
initiator.command.executed keyword Нет Да Нет Выполненная команда
initiator.command.info keyword Нет Да Нет Информация о команде
initiator.command.path.original keyword Нет Да Нет
initiator.command.type keyword Нет Да Нет Тип конманды
initiator.device.os keyword Нет Да Нет
initiator.device.type keyword Нет Да Нет
initiator.email.addr keyword Нет Да Нет
initiator.email.origin keyword Нет Да Нет
initiator.email.result.dsn keyword Нет Да Нет
initiator.email.result.status keyword Нет Да Нет
initiator.file.hash.md5 keyword Нет Да Нет MD5-хеш файла
initiator.file.hash.sha1 keyword Нет Да Нет SHA1-хеш файла
initiator.file.hash.sha256 keyword Нет Да Нет SHA256-хеш файла
initiator.group.name keyword Нет Да Нет
initiator.host.fqdn keyword Нет Да Нет FQDN инициатора
initiator.host.geoip.city keyword Нет Да Нет
initiator.host.geoip.continent keyword Нет Да Нет
initiator.host.geoip.country keyword Нет Да Нет
initiator.host.geoip.iso keyword Нет Да Нет
initiator.host.geoip.key keyword Нет Да Нет
initiator.host.geoip.location keyword Нет Да Нет
initiator.host.geoip.timezone keyword Нет Да Нет
initiator.host.hostname keyword Нет Да Нет Hostname инициатора
initiator.host.ip keyword Нет Да Нет IP инициатора
initiator.http.method keyword Нет Да Нет https://wiki.squid-cache.org/SquidFaq/SquidLogs#Request_methods
initiator.http.user-agent.device keyword Нет Да Нет
initiator.http.user-agent.full keyword Нет Да Нет
initiator.http.user-agent.major keyword Нет Да Нет
initiator.http.user-agent.minor keyword Нет Да Нет
initiator.http.user-agent.name keyword Нет Да Нет
initiator.http.user-agent.os keyword Нет Да Нет
initiator.http.user-agent.os_name keyword Нет Да Нет
initiator.http.user-agent.patch keyword Нет Да Нет
initiator.interface.mac keyword Нет Да Нет MAC-адрес инициатора
initiator.interface.name keyword Нет Да Нет Имя интерфейса инициатора
initiator.nat.ip keyword Нет Да Нет NAT IP-адрес
initiator.nat.port keyword Нет Да Нет NAT порт
initiator.object.name keyword Нет Да Нет
initiator.object.path keyword Нет Да Нет
initiator.object.type keyword Нет Да Нет
initiator.process.command keyword Нет Да Нет Выполненная команда
initiator.process.guid keyword Нет Да Нет GUID-процесса
initiator.process.hash.impash keyword Нет Да Нет impash-процесса
initiator.process.hash.md5 keyword Нет Да Нет md5-процесса
initiator.process.hash.sha1 keyword Нет Да Нет sha1-процесса
initiator.process.hash.sha256 keyword Нет Да Нет sha256-процесса
initiator.process.id keyword Нет Да Нет ID-процесса
initiator.process.parent.id keyword Нет Да Нет
initiator.process.parent.path.original keyword Нет Да Нет
initiator.process.path.drive keyword Нет Да Нет Диск, на котором запущен процесс C:, \ (сетевой каталог)
initiator.process.path.extension keyword Нет Да Нет Расширение запущенного файла
initiator.process.path.full keyword Нет Да Нет Полный путь до запущенного файла e.g. C:\Windows\System32\service.exe, \radarservices\company\secret.txt
initiator.process.path.name keyword Нет Да Нет Имя процесса, например: service, secret
initiator.process.path.original keyword Нет Да Нет Оригинальное имя процесса
initiator.process.path.path keyword Нет Да Нет Каталог в котором запущен процесс
initiator.process.working-directory keyword Нет Да Нет Рабочий каталог процесса
initiator.registry.path.original keyword Нет Да Нет
initiator.session.id keyword Нет Да Нет Logon-сессия связанная с инициатором (Windows: SubjectLogonID)
initiator.shell.name keyword Нет Да Нет Название shell
initiator.shell.version keyword Нет Да Нет Версия shell
initiator.socket.port keyword Нет Да Нет Порт инициатора
initiator.task.id keyword Нет Да Нет
initiator.task.name keyword Нет Да Нет
initiator.task.state keyword Нет Да Нет
initiator.task.type keyword Нет Да Нет
initiator.user.category keyword Нет Да Нет
initiator.user.description keyword Нет Да Нет
initiator.user.domain keyword Нет Да Нет Домен, которому принадлежит пользователь-инициатор
initiator.user.group.id keyword Нет Да Нет ID группы пользователя-инициатора
initiator.user.group.name keyword Нет Да Нет Имя группы пользователя-инициатора
initiator.user.id keyword Нет Да Нет ID пользователя, например SID или UID
initiator.user.name keyword Нет Да Нет Имя пользователя-инициатора
initiator.user.privileges.code keyword Нет Да Нет
initiator.user.privileges.description keyword Нет Да Нет
initiator.user.privileges.name keyword Нет Да Нет
initiator.user.privileges.original keyword Нет Да Нет
initiator.user.subcategory keyword Нет Да Нет
initiator.vpn.host.ip keyword Нет Да Нет IP адрес, назначенный VPN-сервером
mitre.attack keyword Нет Да Нет
mitre.tactic keyword Нет Да Нет
mitre.technique keyword Нет Да Нет
observer.blacklist.domain.category keyword Нет Да Нет
observer.blacklist.domain.confidence keyword Нет Да Нет
observer.blacklist.domain.domain keyword Нет Да Нет
observer.blacklist.domain.provider keyword Нет Да Нет
observer.blacklist.domain.threat keyword Нет Да Нет
observer.blacklist.file.category keyword Нет Да Нет
observer.blacklist.file.confidence keyword Нет Да Нет
observer.blacklist.file.md5 keyword Нет Да Нет
observer.blacklist.file.provider keyword Нет Да Нет
observer.blacklist.file.sha1 keyword Нет Да Нет
observer.blacklist.file.sha256 keyword Нет Да Нет
observer.blacklist.file.threat keyword Нет Да Нет
observer.blacklist.ip.category keyword Нет Да Нет
observer.blacklist.ip.confidence keyword Нет Да Нет
observer.blacklist.ip.port keyword Нет Да Нет
observer.blacklist.ip.protocol keyword Нет Да Нет
observer.blacklist.ip.provider keyword Нет Да Нет
observer.blacklist.ip.threat keyword Нет Да Нет
observer.blacklist.object.id keyword Нет Да Нет
observer.blacklist.url.category keyword Нет Да Нет
observer.blacklist.url.confidence keyword Нет Да Нет
observer.blacklist.url.domain keyword Нет Да Нет
observer.blacklist.url.provider keyword Нет Да Нет
observer.blacklist.url.threat keyword Нет Да Нет
observer.blacklist.url.url keyword Нет Да Нет
observer.event.id keyword Нет Да Нет ID-события
observer.event.type keyword Нет Да Нет Тип события Windows Channel
observer.file.hash.md5 keyword Нет Да Нет MD5-хеш файла
observer.file.hash.sha1 keyword Нет Да Нет SHA1-хеш файла
observer.file.hash.sha256 keyword Нет Да Нет SHA256-хеш файла
observer.group.name keyword Нет Да Нет
observer.host.fqdn keyword Нет Да Нет FQDN обзервера
observer.host.hostname keyword Нет Да Нет Hostname обзервера
observer.host.ip keyword Нет Да Нет IP обзервера
observer.interface.in.mac keyword Нет Да Нет MAC-адрес интерфейса, на который получено событие
observer.interface.in.name keyword Нет Да Нет Имя интерфейса, на который получено событие
observer.interface.out.mac keyword Нет Да Нет MAC-адрес интерфейса, с которого отправлено событие
observer.interface.out.name keyword Нет Да Нет Имя интерфейса, с которого отправлено событие
observer.object.id keyword Нет Да Нет
observer.object.name keyword Нет Да Нет
observer.process.id keyword Нет Да Нет
observer.rule.category keyword Нет Да Нет Категория правила, например в Suricata "Potentially Bad Traffic", "Misc Attack"
observer.rule.id keyword Нет Да Нет ID правила, по которому сгенерировалось событие, например: Suricata SID, Firewall rule ID
observer.rule.mark keyword Нет Да Нет
observer.rule.metadata.affected-product keyword Нет Да Нет Приложение, подверженное атаке
observer.rule.metadata.attack-target keyword Нет Да Нет Тип атакуемой цели
observer.rule.metadata.deployment keyword Нет Да Нет Тип развертывания
observer.rule.metadata.malware-family keyword Нет Да Нет Семейство вредоносного кода, обнаруживаемое правилом
observer.rule.name keyword Нет Да Нет Наименование правила
observer.rule.original keyword Нет Да Нет Исходный текст правила
observer.rule.threshold.count keyword Нет Да Нет Сработавший порог по количеству для правила
observer.rule.threshold.seconds keyword Нет Да Нет Сработавший порог по времени для правила
observer.rule.threshold.track keyword Нет Да Нет
observer.rule.threshold.type keyword Нет Да Нет
observer.service.name keyword Нет Да Нет
observer.socket.port keyword Нет Да Нет
observer.zone.in.name keyword Нет Да Нет Имя сетевой зоны (inbound)
observer.zone.out.name keyword Нет Да Нет Имя сетевой зоны (outbound)
outcome.description keyword Нет Да Нет Описание результата
outcome.name keyword Нет Да Нет Нормализованное представление результата
outcome.original keyword Нет Да Нет Вендор-специфичное представление для результата
raw keyword Да Да Да Изначальное событие
reaction.executed.name keyword Нет Да Нет Нормализованное представление реакции на событие
reaction.executed.original keyword Нет Да Нет Вендор-специфичное представление реакции на событие
reaction.executed.reason keyword Нет Да Нет Описание причины применения указанной реакции на событие
reaction.executed.user.domain keyword Нет Да Нет Домен пользователя
reaction.executed.user.id keyword Нет Да Нет ID пользователя
reaction.executed.user.name keyword Нет Да Нет Логин пользователя
reaction.requested.description keyword Нет Да Нет Описание требуемой реакции
reaction.requested.name keyword Нет Да Нет Нормализованное представление требуемой реакции
reaction.requested.original keyword Нет Да Нет Вендор-специфичное представление требуемой реакции
reaction.requested.reason keyword Нет Да Нет Описание причин требуемой реакции
reportchain.collector.host.fqdn keyword Нет Да Нет FQDN модуля Платформы Радар, получившего событие
reportchain.collector.host.hostname keyword Нет Да Нет Hostname модуля Платформы Радар, получившего событие
reportchain.collector.host.ip keyword Нет Да Нет IP модуля Платформы Радар, получившего событие
reportchain.collector.timestamp keyword Нет Да Нет Время получения события Платформой Радар
reportchain.relay.host.fqdn keyword Нет Да Нет FQDN хоста, отправившего событие по syslog
reportchain.relay.host.hostname keyword Нет Да Нет Hostname хоста, отправившего событие по syslog
reportchain.relay.host.ip keyword Нет Да Нет IP хоста, отправившего событие по syslog
reportchain.relay.timestamp date Нет Да Нет Отметка времени получения события хостом с NxLog (временная отметка агента)
tags keyword Нет Да Нет Тэги
target.access_mask.original keyword Нет Да Нет
target.auth.encryption.name keyword Нет Да Нет
target.auth.encryption.original keyword Нет Да Нет
target.auth.options.names keyword Нет Да Нет
target.auth.options.original keyword Нет Да Нет
target.auth.original keyword Нет Да Нет
target.auth.process.name keyword Нет Да Нет Процесс, выполняющий аутентификацию sshd, Schannel, Advapi (LogonProcessName in Windows)
target.auth.server keyword Нет Да Нет
target.auth.service.domain keyword Нет Да Нет
target.auth.service.id keyword Нет Да Нет
target.auth.service.name keyword Нет Да Нет Наименование сервиса в Kerberos Realm, которому был отправлен TGT-запрос
target.auth.service.original keyword Нет Да Нет
target.auth.service.transited keyword Нет Да Нет
target.auth.type.name keyword Нет Да Нет
target.auth.type.original keyword Нет Да Нет
target.blacklist.domain.category keyword Нет Да Нет
target.blacklist.domain.confidence keyword Нет Да Нет
target.blacklist.domain.domain keyword Нет Да Нет
target.blacklist.domain.provider keyword Нет Да Нет
target.blacklist.domain.threat keyword Нет Да Нет
target.blacklist.file.category keyword Нет Да Нет
target.blacklist.file.confidence keyword Нет Да Нет
target.blacklist.file.md5 keyword Нет Да Нет
target.blacklist.file.provider keyword Нет Да Нет
target.blacklist.file.sha1 keyword Нет Да Нет
target.blacklist.file.sha256 keyword Нет Да Нет
target.blacklist.file.threat keyword Нет Да Нет
target.blacklist.ip.category keyword Нет Да Нет
target.blacklist.ip.confidence keyword Нет Да Нет
target.blacklist.ip.port keyword Нет Да Нет
target.blacklist.ip.protocol keyword Нет Да Нет
target.blacklist.ip.provider keyword Нет Да Нет
target.blacklist.ip.threat keyword Нет Да Нет
target.blacklist.url.category keyword Нет Да Нет
target.blacklist.url.confidence keyword Нет Да Нет
target.blacklist.url.domain keyword Нет Да Нет
target.blacklist.url.provider keyword Нет Да Нет
target.blacklist.url.threat keyword Нет Да Нет
target.blacklist.url.url keyword Нет Да Нет
target.command.path.original keyword Нет Да Нет Путь до запущенного процесса
target.config.changes.description keyword Нет Да Нет Тип изменений в конфигурации
target.config.changes.id keyword Нет Да Нет ID изменений в конфигурации
target.config.changes.new_value keyword Нет Да Нет
target.config.changes.old_value keyword Нет Да Нет
target.container.depends keyword Нет Да Нет
target.container.id keyword Нет Да Нет
target.container.name keyword Нет Да Нет
target.container.number keyword Нет Да Нет
target.container.one_off keyword Нет Да Нет
target.container.original keyword Нет Да Нет
target.database.name keyword Нет Да Нет Название БД
target.device.os keyword Нет Да Нет
target.device.type keyword Нет Да Нет
target.email.addr keyword Нет Да Нет
target.email.address keyword Нет Да Нет
target.email.carboncopy keyword Нет Да Нет
target.email.origin keyword Нет Да Нет
target.email.receivers keyword Нет Да Нет Email-адреса получатели письма
target.email.result.dsn keyword Нет Да Нет
target.email.result.status keyword Нет Да Нет
target.email.sender keyword Нет Да Нет Email-адрес отправителя
target.email.subject keyword Нет Да Нет Тема письма
target.file.content-type keyword Нет Да Нет Content-Type файла
target.file.drive keyword Нет Да Нет Диск, на котором находится файл
target.file.extension keyword Нет Да Нет Расширение файла
target.file.fullname keyword Нет Да Нет Полное имя файла
target.file.hash.md5 keyword Нет Да Нет MD5-хеш файла
target.file.hash.sha1 keyword Нет Да Нет SHA1-хеш файла
target.file.hash.sha256 keyword Нет Да Нет SHA256-хеш файла
target.file.name keyword Нет Да Нет Имя файла
target.file.path keyword Нет Да Нет Полный путь до файла
target.file.size keyword Нет Да Нет Размер файла (в байтах)
target.group.domain keyword Нет Да Нет Домен группы
target.group.id keyword Нет Да Нет ID группы
target.group.name keyword Нет Да Нет Имя группы
target.host.fqdn keyword Нет Да Нет FQDN хоста
target.host.geoip.city keyword Нет Да Нет
target.host.geoip.continent keyword Нет Да Нет
target.host.geoip.country keyword Нет Да Нет
target.host.geoip.iso keyword Нет Да Нет
target.host.geoip.key keyword Нет Да Нет
target.host.geoip.location keyword Нет Да Нет
target.host.geoip.timezone keyword Нет Да Нет
target.host.hostname keyword Нет Да Нет Hostname
target.host.ip keyword Нет Да Нет IP-адрес хоста
target.http.content-type keyword Нет Да Нет Content type ответа, например, text/html
target.http.redirect.fragment keyword Нет Да Нет
target.http.redirect.host.fqdn keyword Нет Да Нет Host part of the redirected URL
target.http.redirect.host.hostname keyword Нет Да Нет Host part of the redirected URL
target.http.redirect.host.ip keyword Нет Да Нет Host part of the redirected URL
target.http.redirect.original keyword Нет Да Нет
target.http.redirect.params keyword Нет Да Нет
target.http.redirect.password keyword Нет Да Нет
target.http.redirect.path keyword Нет Да Нет Path of the redirected URL http://hostname.tld:port/path
target.http.redirect.port keyword Нет Да Нет Port of the redirected URL
target.http.redirect.protocol keyword Нет Да Нет Protocol of the redirected URL (http or https)
target.http.redirect.query keyword Нет Да Нет
target.http.redirect.source_type keyword Нет Да Нет
target.http.redirect.username keyword Нет Да Нет
target.http.referer.fragment keyword Нет Да Нет
target.http.referer.host.fqdn keyword Нет Да Нет Host part of the referer URL
target.http.referer.host.hostname keyword Нет Да Нет Host part of the referer URL
target.http.referer.host.ip keyword Нет Да Нет Host part of the referer URL
target.http.referer.original keyword Нет Да Нет
target.http.referer.params keyword Нет Да Нет
target.http.referer.password keyword Нет Да Нет
target.http.referer.path keyword Нет Да Нет Path of the referer URL http://hostname.tld:port/path
target.http.referer.port keyword Нет Да Нет Port of the referer URL
target.http.referer.protocol keyword Нет Да Нет Protocol of the referer URL (http or https)
target.http.referer.query keyword Нет Да Нет
target.http.referer.source_type keyword Нет Да Нет
target.http.referer.username keyword Нет Да Нет
target.http.status.code keyword Нет Да Нет https://wiki.squid-cache.org/SquidFaq/SquidLogs#HTTP_status_codes
target.http.status.description keyword Нет Да Нет https://wiki.squid-cache.org/SquidFaq/SquidLogs#HTTP_status_codes
target.http.status.name keyword Нет Да Нет https://wiki.squid-cache.org/SquidFaq/SquidLogs#HTTP_status_codes
target.http.url.fragment keyword Нет Да Нет
target.http.url.host.fqdn keyword Нет Да Нет Host part of the targeted URL
target.http.url.host.hostname keyword Нет Да Нет Host part of the targeted URL
target.http.url.host.ip keyword Нет Да Нет Host part of the targeted URL
target.http.url.original keyword Нет Да Нет
target.http.url.params keyword Нет Да Нет
target.http.url.password keyword Нет Да Нет
target.http.url.path keyword Нет Да Нет Path of the targeted URL http://hostname.tld:port/path
target.http.url.port keyword Нет Да Нет Port of the targeted URL
target.http.url.protocol keyword Нет Да Нет Protocol of the targeted URL (http or https)
target.http.url.query keyword Нет Да Нет
target.http.url.source_type keyword Нет Да Нет
target.http.url.username keyword Нет Да Нет
target.image.build_date date Нет Да Нет
target.image.id keyword Нет Да Нет
target.image.maintainer keyword Нет Да Нет
target.image.name keyword Нет Да Нет
target.image.original keyword Нет Да Нет
target.image.tag keyword Нет Да Нет
target.instance.name keyword Нет Да Нет
target.interface.mac keyword Нет Да Нет МАС-адрес интерфейса
target.interface.name keyword Нет Да Нет Имя интерфейса
target.nat.ip keyword Нет Да Нет NAT IP-адрес
target.nat.port keyword Нет Да Нет NAT порт
target.object.access.time keyword Нет Да Нет
target.object.attribute.name keyword Нет Да Нет Атрибут объекта, который был модифицирован
target.object.attribute.value keyword Нет Да Нет Значение атрибута
target.object.change.time keyword Нет Да Нет
target.object.creation.time keyword Нет Да Нет
target.object.domain keyword Нет Да Нет Домен объекта, который был модифицирован
target.object.handle.id keyword Нет Да Нет
target.object.id keyword Нет Да Нет ID объекта, который был модифицирован
target.object.modification.time keyword Нет Да Нет
target.object.name keyword Нет Да Нет Имя объекта, который был модифицирован
target.object.original keyword Нет Да Нет
target.object.server keyword Нет Да Нет Сервер объекта, который был модифицирован
target.object.type keyword Нет Да Нет Класс объекта, который был модифицирован
target.permissons.granted.name keyword Нет Да Нет
target.permissons.granted.original keyword Нет Да Нет
target.permissons.requested.description keyword Нет Да Нет
target.permissons.requested.name keyword Нет Да Нет
target.permissons.requested.original keyword Нет Да Нет
target.policy.category.description keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719
target.policy.category.id keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719
target.policy.changes.description keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719
target.policy.changes.id keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719
target.policy.name keyword Нет Да Нет
target.policy.subcategory.description keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719
target.policy.subcategory.id keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4719
target.process.args keyword Нет Да Нет Аргументы
target.process.command keyword Нет Да Нет Выполненная команда
target.process.guid keyword Нет Да Нет GUID процесса
target.process.hash.impash keyword Нет Да Нет impash-хеш файла
target.process.hash.md5 keyword Нет Да Нет MD5-хеш файла
target.process.hash.sha1 keyword Нет Да Нет SHA1-хеш файла
target.process.hash.sha256 keyword Нет Да Нет SHA256-хеш файла
target.process.id keyword Нет Да Нет ID процесса
target.process.id_hex keyword Нет Да Нет
target.process.integrity.description keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688
target.process.integrity.id keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688
target.process.integrity.name keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688
target.process.path.drive keyword Нет Да Нет Диск на котором запущен процесс C:, \ (сетевой каталог)
target.process.path.extension keyword Нет Да Нет Расширение запущенного файла
target.process.path.full keyword Нет Да Нет Полный путь до запущенного файла e.g. C:\Windows\System32\service.exe, \radarservices\company\secret.txt
target.process.path.name keyword Нет Да Нет Имя процесса, например: service, secret
target.process.path.original keyword Нет Да Нет Оригинальное имя процесса
target.process.path.path keyword Нет Да Нет Каталог, в котором запущен процесс
target.process.privileges.code keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688
target.process.privileges.description keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688
target.process.privileges.name keyword Нет Да Нет
target.process.privileges.original keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688
target.process.working-directory keyword Нет Да Нет
target.registry.path.original keyword Нет Да Нет
target.rule.action keyword Нет Да Нет Действие, выполненное на межсетевом экране: allow, bypass, deny, log only, discard/reject
target.rule.chain keyword Нет Да Нет Windows: inbound или outbound, Linux: цепочка iptables
target.rule.dst-addresses keyword Нет Да Нет IP-адрес в правиле межсетевого экрана
target.rule.dst-ports keyword Нет Да Нет Порт в правиле межсетевого экрана
target.rule.id keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4946
target.rule.name keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4946
target.rule.profiles keyword Нет Да Нет https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4946
target.rule.src-addresses keyword Нет Да Нет IP-адрес источника в правиле межсетевого экрана
target.rule.src-ports keyword Нет Да Нет Порт источника в правиле межсетевого экрана
target.rule.status keyword Нет Да Нет Индикатор активности правила
target.service.name keyword Нет Да Нет Название сервиса
target.service.path.original keyword Нет Да Нет
target.service.start_type.new.description keyword Нет Да Нет
target.service.start_type.new.name keyword Нет Да Нет
target.service.start_type.new.original keyword Нет Да Нет
target.service.start_type.old.description keyword Нет Да Нет
target.service.start_type.old.name keyword Нет Да Нет
target.service.start_type.old.original keyword Нет Да Нет
target.service.status.name keyword Нет Да Нет
target.service.status.original keyword Нет Да Нет
target.service.type.description keyword Нет Да Нет
target.service.type.name keyword Нет Да Нет
target.service.type.original keyword Нет Да Нет
target.session.id keyword Нет Да Нет ID сессии (Windows: TargetLogonID)
target.share.local_path.original keyword Нет Да Нет
target.share.relative_name.original keyword Нет Да Нет
target.share.remote_path.original keyword Нет Да Нет
target.shell.name keyword Нет Да Нет
target.shell.version keyword Нет Да Нет Версия shell
target.socket.port keyword Нет Да Нет
target.syscall.id keyword Нет Да Нет syscall id
target.syscall.name keyword Нет Да Нет Системный вызов
target.task.args keyword Нет Да Нет Аргументы выполнения
target.task.auth.method.name keyword Нет Да Нет Метод аутентификации
target.task.command keyword Нет Да Нет
target.task.description keyword Нет Да Нет Описание
target.task.id keyword Нет Да Нет
target.task.name keyword Нет Да Нет Имя системного вызова
target.task.privileges.name keyword Нет Да Нет
target.task.privileges.original keyword Нет Да Нет
target.task.status.name keyword Нет Да Нет
target.task.status.original keyword Нет Да Нет
target.task.status.visibility.original keyword Нет Да Нет
target.task.status.working_directory keyword Нет Да Нет Рабочая директория
target.threat.attempt.count keyword Нет Да Нет
target.threat.category keyword Нет Да Нет Категория угрозы, например: Potentially Unwanted Software
target.threat.confidence keyword Нет Да Нет Уровень доверия результату детектирования
target.threat.content_type keyword Нет Да Нет Content type угрозы: data, file, packet, url
target.threat.count keyword Нет Да Нет
target.threat.description keyword Нет Да Нет Описание угрозы
target.threat.detection_delta keyword Нет Да Нет Окно реагирования
target.threat.id keyword Нет Да Нет
target.threat.name keyword Нет Да Нет
target.threat.origin.name keyword Нет Да Нет
target.threat.origin.original keyword Нет Да Нет
target.threat.precision keyword Нет Да Нет
target.threat.severity keyword Нет Да Нет Уровень угрозы
target.threat.status.original keyword Нет Да Нет
target.user.category keyword Нет Да Нет Категория пользователся
target.user.delegations keyword Нет Да Нет Windows: AllowedToDelegateTo
target.user.description keyword Нет Да Нет Описание пользователя
target.user.domain keyword Нет Да Нет Домен пользователя
target.user.group.id keyword Нет Да Нет ID группы пользователя
target.user.group.name keyword Нет Да Нет Имя группы пользователя
target.user.home.path.original keyword Нет Да Нет Путь к домашней дирректории
target.user.id keyword Нет Да Нет ID пользователя, например, SID или UID
target.user.id-history keyword Нет Да Нет Windows: SidHistory
target.user.name keyword Нет Да Нет Имя пользователя
target.user.primary-group keyword Нет Да Нет Windows: PrimaryGroupId
target.user.privileges.code keyword Нет Да Нет
target.user.privileges.description keyword Нет Да Нет
target.user.privileges.name keyword Нет Да Нет
target.user.privileges.original keyword Нет Да Нет
target.user.spn.delegators keyword Нет Да Нет
target.user.spn.names keyword Нет Да Нет
target.user.subcategory keyword Нет Да Нет
target.user.uac.attribute.new-value keyword Нет Да Нет
target.user.uac.attribute.old-value keyword Нет Да Нет
target.user.uac.status.original keyword Нет Да Нет