Mit JSON Lines formatierte Ausgabe

Die Benachrichtigungskanäle unter Logging > Report Channels unterstützen mit JSON Lines formatierte Ausgaben.

Bemerkung

JSON Lines ist eine Sammlung von durch Zeilenumbrüche getrennten JSON-Objekten. Das interne Format entspricht dem Elastic Common Schema 1.4.

Die folgenden Ereignisse werden erzeugt. Der Name eines Ereignisses ist gleichzeitig der Wert des Felds event.action.

Die Nachverfolgung der Datenströme generiert Folgendes:

  • flow-update in regelmäßigen Abständen mit aktualisierten Informationen über einen Datenstrom.

  • flow-deleted wenn ein Datenstrom zerstört wird.

Bedrohungen werden wie folgt gemeldet:

  • mit ips-hit, wenn eine IPS-Regel trifft.

  • mit ioc-hit, wenn ein IoC-Treffer gefunden wird.

  • mit policy-hit, wenn eine Regel mit Policy-Hit-Flag in der Log-Aktion ausgelöst wird.

Die Policy Engine gibt außerdem Ereignisse des folgenden Typs aus:

  • policy-log für getroffene Policy-Regeln mit aktiviertem Logging.

Die Asset-Datenbank gibt Folgendes aus:

  • asset-created - ein einzelnes Asset wurde erstellt

  • asset-modified - ein Asset wurde aktualisiert

  • asset-deleted - ein Asset wurde entfernt

  • asset-auto-created - ein neues Asset wurde durch die automatische Erkennung erstellt

  • assetdb-loaded - die gesamte Asset-Datenbank wurde geladen und ersetzt

Die folgenden Felder werden in allen Meldungen verwendet:

  • @timestamp

  • ecs.version="1.4"

  • observer.hostname

  • observer.vendor="Genua"

  • observer.product="TD"

  • observer.type="ips"

  • event.action

  • event.category

  • event.kind

  • event.type

Meldungen der Typen flow-update, flow-deleted, ips-hit, ioc-hit, policy-hit und policy-log enthalten zusätzlich die folgenden Felder:

  • network.transport

  • network.type

  • network.protocol

  • network.app

  • network.flow_id - Sonderfeld

  • network.vlan_tag - Sonderfeld

  • {client, server}.packets

  • {client, server}.bytes

  • {client, server}.port

  • {client, server}.ip

  • {client, server}.mac

  • {client, server}.geo.country_iso_code

  • {client, server}.asset.id - Sonderfeld, optional

  • {client, server}.asset.name - Sonderfeld, optional

Meldungen der Typen policy-hit und policy-log enthalten zusätzlich die folgenden Felder:

  • rule.id

  • rule.name

  • rule.rulesetid - ID des Szenarios

  • rule.ruleset - Name des Szenarios

  • rule.action - dieses Feld kann continue, allowed, blocked oder teardown sein

Meldungen des Typs ips-hit enthalten zusätzlich die folgenden Felder:

  • ips.id - Integer, Identifikator der getroffenen IPS-Regel

  • ips.rev - Integer, Revisionsnummer der IPS-Regelsignatur

  • ips.description - String, Beschreibung der IPS-Regelsignatur

  • ips.plain - String, die IPS-Regelsignatur

  • ips.updated_at - String, Zeitstempel vom Update der IPS-Regelsignatur

  • ips.references - Array von Objekten, der Objektschlüssel gibt den Referenztyp an und der Objektwert enthält den eigentlichen Referenz-String

  • ips.tags - Array von Strings, Informationen über die Klassifizierung von IPS-Regeln

Meldungen des Typs ioc-hit enthalten zusätzlich die folgenden Felder:

  • ioc.kind - Typ des erkannten IoC, entweder ipv4, domain oder uri

  • ioc.value - der tatsächlich gefundene IoC

Meldungen der Typen ips-hit, policy-hit und policy-log enthalten zusätzlich:

  • event.severity, wobei

    • 1 = Info,

    • 2 = Benachrichtigung,

    • 3 = Warnung,

    • 4 = kritisch

Meldungen, in denen event.action="asset-*" ist, enthalten die Felder:

  • asset.id

  • asset.name