Mit JSON Lines formatierte Ausgabe
Die Benachrichtigungskanäle unter Logging > Report Channels unterstützen mit JSON Lines formatierte Ausgaben.
Bemerkung
JSON Lines ist eine Sammlung von durch Zeilenumbrüche getrennten JSON-Objekten. Das interne Format entspricht dem Elastic Common Schema 1.4.
Die folgenden Ereignisse werden erzeugt. Der Name eines Ereignisses ist gleichzeitig der Wert des Felds event.action
.
Die Nachverfolgung der Datenströme generiert Folgendes:
flow-update
in regelmäßigen Abständen mit aktualisierten Informationen über einen Datenstrom.flow-deleted
wenn ein Datenstrom zerstört wird.
Bedrohungen werden wie folgt gemeldet:
mit
ips-hit
, wenn eine IPS-Regel trifft.mit
ioc-hit
, wenn ein IoC-Treffer gefunden wird.mit
policy-hit
, wenn eine Regel mit Policy-Hit-Flag in der Log-Aktion ausgelöst wird.
Die Policy Engine gibt außerdem Ereignisse des folgenden Typs aus:
policy-log
für getroffene Policy-Regeln mit aktiviertem Logging.
Die Asset-Datenbank gibt Folgendes aus:
asset-created
- ein einzelnes Asset wurde erstelltasset-modified
- ein Asset wurde aktualisiertasset-deleted
- ein Asset wurde entferntasset-auto-created
- ein neues Asset wurde durch die automatische Erkennung erstelltassetdb-loaded
- die gesamte Asset-Datenbank wurde geladen und ersetzt
Die folgenden Felder werden in allen Meldungen verwendet:
@timestamp
ecs.version="1.4"
observer.hostname
observer.vendor="Genua"
observer.product="TD"
observer.type="ips"
event.action
event.category
event.kind
event.type
Meldungen der Typen flow-update
, flow-deleted
, ips-hit
, ioc-hit
, policy-hit
und policy-log
enthalten zusätzlich die folgenden Felder:
network.transport
network.type
network.protocol
network.app
network.flow_id
- Sonderfeldnetwork.vlan_tag
- Sonderfeld{client, server}.packets
{client, server}.bytes
{client, server}.port
{client, server}.ip
{client, server}.mac
{client, server}.geo.country_iso_code
{client, server}.asset.id
- Sonderfeld, optional{client, server}.asset.name
- Sonderfeld, optional
Meldungen der Typen policy-hit
und policy-log
enthalten zusätzlich die folgenden Felder:
rule.id
rule.name
rule.rulesetid
- ID des Szenariosrule.ruleset
- Name des Szenariosrule.action
- dieses Feld kanncontinue
,allowed
,blocked
oderteardown
sein
Meldungen des Typs ips-hit
enthalten zusätzlich die folgenden Felder:
ips.id
- Integer, Identifikator der getroffenen IPS-Regelips.rev
- Integer, Revisionsnummer der IPS-Regelsignaturips.description
- String, Beschreibung der IPS-Regelsignaturips.plain
- String, die IPS-Regelsignaturips.updated_at
- String, Zeitstempel vom Update der IPS-Regelsignaturips.references
- Array von Objekten, der Objektschlüssel gibt den Referenztyp an und der Objektwert enthält den eigentlichen Referenz-Stringips.tags
- Array von Strings, Informationen über die Klassifizierung von IPS-Regeln
Meldungen des Typs ioc-hit
enthalten zusätzlich die folgenden Felder:
ioc.kind
- Typ des erkannten IoC, entwederipv4
,domain
oderuri
ioc.value
- der tatsächlich gefundene IoC
Meldungen der Typen ips-hit
, policy-hit
und policy-log
enthalten zusätzlich:
event.severity
, wobei1
= Info,2
= Benachrichtigung,3
= Warnung,4
= kritisch
Meldungen, in denen event.action="asset-*"
ist, enthalten die Felder:
asset.id
asset.name