Questa pagina offre una guida strutturata ai campi dei metadati di sicurezza di rete utilizzati nella Vectra AI . Definisce gli attributi dello schema comune, i campi relativi alla connettività a livello di sessione, la telemetria specifica per protocollo (DNS, HTTP, SMB, LDAP, ecc.), i metadati di autenticazione (Kerberos, NTLM, RADIUS), gli attributi di corrispondenza a livello di rilevamento e le impronte digitali delle comunicazioni crittografate (SSL/TLS, SSH, X.509). Questi flussi di metadati normalizzati consentono l'analisi comportamentale, la correlazione tra domini e la visibilità del traffico crittografato senza richiedere l'acquisizione completa dei pacchetti. Insieme, costituiscono la base per l'osservabilità scalabile della rete e le indagini di sicurezza in ambienti aziendali ibridi.
Questi flussi di metadati normalizzati supportano la ricerca delle minacce, l'arricchimento dei metadati e l'analisi forense dei metadati, consentendo l'analisi comportamentale, la correlazione tra domini e la visibilità del traffico crittografato, senza richiedere l'acquisizione completa dei pacchetti. Insieme, costituiscono la base per un'osservabilità e un'analisi scalabili della rete in ambienti aziendali ibridi.
Campi di metadati di rete comuni a tutti i flussi di telemetria (ad eccezione del DHCP)
Questi campi compaiono in quasi tutti i flussi di metadati e definiscono lo schema di connessione condiviso utilizzato per tutti i tipi di metadati. Essi contengono gli identificatori di origine e di risposta, le porte, i nomi host, gli indicatori di località, le attribuzioni dei sensori, i timestamp e un UID di connessione stabile.
| Campo |
Descrizione |
| id.versione_IP* | Versione IP |
| id.orig_h | Indirizzo endpoint di origine endpoint |
| id.orig_p | Porta endpoint di origine |
| id.resp_h | Indirizzo endpoint di risposta |
| id.resp_p | Porta endpoint di risposta |
| orig. locale | Valore booleano che indica se la connessione è stata avviata localmente |
| local_resp | Valore booleano che indica se la connessione ha ricevuto una risposta a livello locale |
| orig_hostname* | endpoint di origine |
| orig_huid* | Identificatore univoco dell'host di origine, se locale |
| orig_sluid* | Identificatore univoco della sessione dell'host di origine |
| resp_hostname* | endpoint di risposta |
| resp_huid* | Identificatore univoco dell'host che risponde, se locale |
| resp_sluid* | Identificatore univoco della sessione dell'host che risponde, se locale |
| ID sensore | Identificatore univoco del sensore Vectra che ha rilevato il traffico sottostante all'origine del record di metadati |
| ts | Data e ora di generazione del record di metadati. È espressa nel formato data (ad es. 9 maggio 2018, 10:09:25.366) |
| uid | ID univoco della connessione |
Considerare questi campi come chiavi di join di riferimento. Essi fungono da punto di riferimento per i flussi di lavoro di arricchimento dei metadati, consentendo di ricondurre i record relativi a protocolli, autenticazioni e rilevamenti alla stessa sessione e alla stessa entità. Nell'ambito della ricerca delle minacce e dell'analisi forense dei metadati, questa coerenza garantisce un'analisi incrociata affidabile tra i diversi livelli di telemetria.
La maggior parte delle tabelle di protocollo che seguono estendono questo schema pur mantenendo il contesto condiviso. Ciò garantisce l'integrità dell'attribuzione e la continuità della sessione tra i flussi di metadati di rete.
Campi dei metadati dei beacon e modelli di comunicazione comportamentale
I metadati dei beacon descrivono le comunicazioni ripetute tra un'origine e una destinazione nel corso di più sessioni. I campi riportati di seguito riportano l'identificatore del beacon, gli intervalli temporali, il numero di sessioni, il volume di byte per direzione, il contesto del protocollo/servizio e l'impronta digitale del client utilizzati per sintetizzare lo schema.
L'analisi dei beacon viene spesso utilizzata nella ricerca delle minacce per identificare i callback di comando e controllo, i cicli di automazione e le comunicazioni in uscita persistenti. Anziché esaminare i pacchetti, gli analisti si basano su tipi di metadati che descrivono la periodicità e la coerenza.
|
| Campo | Descrizione |
|---|
| tipo_di_beacon | Il tipo di beacon. Il tipo "single_resp_multiple_sessions" indica un beacon diretto a una destinazione e composto da più sessioni |
| beacon_uid | L'ID univoco del beacon |
| durata | Durata complessiva del BeaconUid |
| ora_del_primo_evento | Data e ora della prima sessione rilevata per questo beacon_uid |
| ja3 | Hash Ja3 del client basato sui parametri SSL del client |
| ora_dell'ultimo_evento | Data e ora dell'ultima sessione rilevata per questo beacon_uid |
| bytes_IP_originale | Totale di byte inviati dal mittente al destinatario per questo beacon_uid |
| proto | Valore del protocollo L4. 6 corrisponde al TCP, 17 all'UDP |
| nome_prototipo | Nome del protocollo L4 (TCP o UDP) |
| domini_resp | I domini dei risponditori in questo evento |
| resp_ip_bytes | Totale di byte inviati dal risponditore al mittente per questo beacon_uid |
| servizio | Servizio (ad es. "http" o "tls") |
| numero di sessioni | Il numero di sessioni che compongono il beacon_uid |
| uid | L'ID univoco della prima connessione relativa all'evento beacon segnalato |
| ts | Data e ora di generazione del record di metadati. È espressa nel formato data (ad es. 9 maggio 2018, 10:09:25.366) |
| uid | ID univoco della connessione |
Utilizza questi campi per valutare la durata, la frequenza e il volume direzionale. Passa quindi ai metadati DNS, HTTP o SSL/TLS per ottenere un contesto comportamentale più approfondito durante l'analisi forense dei metadati.
Smettila di cercare il "perché" dietro i rilevamenti di rete
Il beaconing è solo uno dei segnali comportamentali. Quando vengono rilevati metadati di rete sospetti, gli analisti devono comunque capire quale endpoint o identità endpoint li abbia generati. Senza questo collegamento, le indagini si arenano.
Vedi la correlazione tra endpoint
Campi dei metadati DCE-RPC e attributi delle chiamate di procedura remota
I metadati DCE-RPC registrano il comportamento delle chiamate di procedura remota comunemente associato all'amministrazione di Windows e all'interazione con i servizi. Questi campi codificano il contesto del dominio, endpoint , le operazioni invocate, l'attribuzione del nome utente e i tempi di richiesta/risposta.
Nel threat hunting, i metadati DCE-RPC consentono di individuare sequenze di esecuzione remota anomale e modelli di utilizzo dei privilegi senza ricorrere endpoint .
|
| Campo | Descrizione |
|---|
| dominio* | Dominio dell'host |
| endpoint | Endpoint ricavato dall'UUID (ad es. IXnRemote, IWbemLoginClientID) |
| nome host* | Nome host su cui l'utente ha effettuato l'accesso |
| operazione | Operazione indicata nella chiamata (ad es. "RemoteCreateInstance") |
| rtt | Tempo di andata e ritorno della richiesta – risposta |
| nome utente* | Nome utente o nome dell'account con cui è stato effettuato l'accesso. I nomi che terminano con "$" sono nomi di computer (non nomi di account utente) |
Durante l'analisi forense dei metadati, utilizzare i nomi delle operazioni e il contesto relativo a nome utente/host per distinguere le normali attività amministrative dai movimenti laterali.
Campi dei metadati DHCP e attributi di configurazione di rete
I metadati DHCP registrano le assegnazioni dinamiche di indirizzi e configurazioni che consentono ai dispositivi di connettersi alla rete. Questi tipi di metadati associano gli indirizzi IP assegnati agli indirizzi MAC e ai nomi host, registrando al contempo la durata del lease e l'attribuzione dei server DHCP/DNS.
Poiché il ricambio degli indirizzi IP complica le indagini, i record DHCP forniscono un arricchimento dei metadati fondamentale per garantire la continuità dell'attribuzione.
|
| Campo | Descrizione |
|---|
| IP assegnato | IP assegnato in risposta |
| dhcp_server_ip* | Indirizzo IP del server DHCP |
| indirizzi IP dei server DNS* | Indirizzi IP dei server DNS dalle opzioni DHCP. Opzione DHCP 6 |
| durata del contratto di locazione | Durata del lease DHCP. Opzione DHCP 51 |
| mac | Indirizzo MAC nella richiesta |
| orig_hostname* | Nome host dalle opzioni DHCP. Opzione DHCP 12 |
| trans_id | ID transazione |
| ts | Data e ora di generazione del record di metadati. È espressa nel formato data (ad es. 9 maggio 2018, 10:09:25.366) |
| uid | ID univoco della connessione |
Utilizzare i campi DHCP per garantire la continuità delle indagini in caso di modifica degli indirizzi IP, basando l'identificazione sugli attributi a livello di dispositivo anziché su indirizzi temporanei.
Campi dei metadati DNS e attributi delle risposte alle query
I metadati DNS descrivono il comportamento della risoluzione dei domini, inclusi l'intento della query, la gestione della ricorsione, i codici di risposta, i flag di troncamento, i valori TTL e il numero di record.
I metadati di rete DNS sono fondamentali per la ricerca delle minacce perché consentono di individuare infrastrutture di staging, fluttuazioni dei domini, attività di ricognizione e tentativi falliti di callback senza bisogno di ispezionare il payload.
I metadati DNS consentono di avere una visione d'insieme su:
- Quali domini sono stati consultati e da chi
- Se la ricorsione era stata richiesta o era disponibile
- In che modo sono state fornite le risposte autorevoli
- Quali codici di risposta e valori TTL sono stati rilevati
|
| Campo | Descrizione |
|---|
| AA | Risposta autorevole. Vero se il server è autorevole per la query |
| risposte† | Elenco delle risposte alla richiesta |
| autore | Elenco delle risposte attendibili per la ricerca |
| proto | Protocollo della transazione DNS: 6 (per TCP) o 17 (per UDP) |
| qclass / nome_qclass | Valore che specifica la classe di query (ad es. 1 / Internet [IN]) |
| qtype / nome_qtype | tipo di record / nome descrittivo (ad es. A, AAAA, PTR, TXT) |
| query† | Nome di dominio oggetto della ricerca |
| RA | Ricorsione disponibile. Vero se il server supporta le query ricorsive |
| RD | Si richiede la ricorsione. Vero se è stata richiesta una ricerca ricorsiva della query |
| codice / nome_codice | Valore del codice di risposta nella risposta DNS (ad es. NXDOMAIN, NODATA) |
| respinto | La richiesta DNS è stata respinta dal server |
| saw_query | Se la query DNS completa è stata rilevata |
| vedi risposta | Se è stata visualizzata la risposta DNS completa |
| TC | Indicatore di troncamento. Vero se il messaggio è stato troncato |
| TTL | Elenco dei TTL ricavati dalle risposte |
| numero_totale_risposte | Il numero totale di record di risorse nella sezione "Answer" di un messaggio di risposta |
| numero_totale_di_risposte | Il numero totale di record di risorse presenti nelle sezioni "Answer", "Authority" e "Additional" di un messaggio di risposta |
| trans_id | Identificatore a 16 bit assegnato dal client DNS |
Utilizza l'analisi forense dei metadati DNS per interpretare l'intento e il risultato, cosa è stato richiesto, cosa è stato restituito e se la risoluzione ha dato esito negativo, quindi passa ai metadati TLS o HTTP per ampliare l'analisi.
Campi dei metadati HTTP e attributi della sessione web
I metadati HTTP riassumono il comportamento a livello web senza memorizzare i payload completi. Questi campi rilevano il contesto derivato dalle intestazioni, i metodi, gli URI, gli indicatori di inoltro tramite proxy, gli attributi di identificazione e le metriche direzionali relative a byte e pacchetti.
Nelle indagini sui metadati di rete, i campi HTTP forniscono un contesto a livello di applicazione per l'individuazione delle minacce, inclusi trasferimenti di file sospetti, callback automatizzati e strutture di intestazione anomale.
|
| Campo | Descrizione |
|---|
| accettare | Il valore dell'intestazione Accept nella richiesta, se presente, viene troncato a 256 byte |
| accept_encoding | Il valore dell'intestazione Accept-Encoding nella richiesta, se presente, viene troncato a 256 byte |
| cookie* | Valore dell'intestazione del cookie, troncato a 256 byte |
| cookie_vars* | Le variabili nel campo dei cookie, senza i valori |
| ospite | Valore dell'intestazione Host, troncato a 256 byte |
| host_multihomed* | Attributo booleano che indica se l'indirizzo presente nell'intestazione host risulta associato a uno o più indirizzi IP |
| is_proxied* | Valore booleano che indica una richiesta tramite proxy |
| ja4h | L'impronta digitale JA4H del client HTTP |
| metodo | Metodo di richiesta HTTP |
| orig_ip_bytes* | Byte inviati dal mittente al destinatario |
| tipi_mime_originali | Intestazione del tipo di contenuto nella richiesta dell'originatore |
| orig_pkts* | Numero di pacchetti inviati dal mittente al destinatario |
| dati_post | Dati binari del corpo della richiesta POST. Troncato a una dimensione di 2 kB |
| tramite proxy | Valore dell'intestazione X-Forwarded-For (ad es. X-FORWARDED-FOR -> 10.10.15.192) |
| pagina di provenienza | Valore dell'intestazione Referrer, troncato a 256 byte |
| lunghezza del corpo della richiesta | Byte del payload HTTP nella richiesta |
| request_cache_control* | Il valore dell'intestazione Cache-Control nella richiesta, se presente, viene troncato a 256 byte |
| numero_di_intestazioni_di_richiesta* | Conteggio delle intestazioni nella richiesta |
| nome_file_resp | Il nome del file restituito dal server (se presente) |
| resp_ip_bytes* | Byte inviati dal destinatario al mittente |
| resp_mime_types | Valore dell'intestazione Content-Type nella risposta, troncato a 256 byte |
| resp_pkts* | Numero di pacchetti inviati dal destinatario al mittente |
| lunghezza del corpo della risposta | Byte del payload HTTP nella risposta |
| response_cache_control* | Il valore dell'intestazione Cache-Control nella risposta, se presente, viene troncato a 256 byte |
| response_content_disposition | Il valore dell'intestazione Content-Disposition (che specifica i nomi dei file da scaricare come allegati, ad esempio "attachment; filename="filename.jpg"") |
| scadenza_risposta* | Intestazione "Expires" nella risposta, se presente |
| numero_di_intestazioni_di_risposta* | Numero di intestazioni nella risposta |
| codice_stato | Il codice di stato nella risposta HTTP |
| messaggio di stato | Il messaggio di stato corrispondente al codice di stato |
| uri | URI utilizzato nella richiesta, troncato a 512 byte |
| user_agent | Valore dell'intestazione User-Agent proveniente dal client |
Utilizzare i metadati HTTP per ricostruire il comportamento sul web, quindi metterli in relazione con i metadati DNS e TLS per confermare l'identità della destinazione e le caratteristiche di crittografia.
Metadati di connettività iSession e attributi di rete a livello di sessione
I metadati iSession definiscono il modello di sessione normalizzato utilizzato in tutti i protocolli. Essi rilevano lo stato della connessione, l'affidabilità direzionale, gli indicatori temporali, le varianti di fingerprinting, il contesto VLAN e il conteggio direzionale di byte/pacchetti.
Questa astrazione a livello di sessione consente un arricchimento scalabile dei metadati standardizzando la modalità di rappresentazione dei metadati di rete, indipendentemente dal protocollo.
|
| Campo | Descrizione |
|---|
| domanda | Applicazioni associate a questa sessione |
| client_luid_proxy | Vero se l'indirizzo di origine della connessione è stato registrato come proxy |
| stato_connessione | Stato della connessione. Può assumere i seguenti valori: S0, S1, SF, REJ, S2, S3, RSTO, RSTR, RSTOS0, RSTRH, SH, SHR o OTH |
| dir_confidence | Livello di affidabilità dell'assegnazione client/server da 0 a 100 |
| durata | Durata della connessione in ms |
| first_orig_resp_data_pkt* | Codifica Base64 dei primi 16 byte del pacchetto inviato dal mittente al destinatario, rappresentata come stringa |
| primo_tempo_patt_dati_risposta_orig_* | Data e ora del primo pacchetto di dati inviato dal mittente al destinatario |
| tempo_del_primo_pacchetto_di_risposta_originale* | Data e ora del primo pacchetto inviato dal mittente al destinatario |
| first_resp_orig_data_pkt* | Codifica Base64 dei primi 16 byte del pacchetto inviato dal destinatario al mittente, rappresentata come stringa |
| ora_patt_pkt_orig_primo_risposta* | Data e ora del primo pacchetto inviato dal destinatario al mittente |
| first_resp_orig_data_pkt_time* | Data e ora del primo pacchetto di dati inviato dal destinatario al mittente |
| ja4lc | L'impronta digitale JA4LC della distanza luminosa del cliente |
| ja4ls | L'impronta digitale JA4LS della distanza luminosa del server |
| ja4t | L'impronta digitale JA4T del pacchetto TCP SYN del client |
| ja4ts | L'impronta digitale JA4TS dei pacchetti TCP SYN ACK del server |
| bytes_IP_originale | Byte inviati dal mittente al destinatario |
| pacchetti originali | Numero di pacchetti inviati dal mittente al destinatario |
| orig_vlan_id* | VLAN_id del mittente, se presente |
| proto | Valore del protocollo L4. 6 corrisponde al TCP, 17 all'UDP |
| nome_prototipo | Nome del protocollo L4 (TCP, UDP o ICMP) |
| proxy_verso_destinazione_interna | È vero se l'indirizzo di destinazione effettivo dopo il proxy è un IP interno |
| resp_domain* | Calcolato in base allo SNI TLS, all'host HTTP o al nome dell'IP di destinazione (esattamente in questo ordine) |
| resp_ip_bytes | Byte inviati dal destinatario al mittente |
| resp_multihomed* | Attributo booleano che indica se è stato osservato che il dominio è associato a uno o più indirizzi IP |
| pacchi_resp | Numero di pacchetti inviati dal destinatario al mittente |
| resp_vlan_id* | ID VLAN del rispondente, se presente |
| servizio | Servizio (ad es. "smb") |
| server_luid_proxy | È vero se l'indirizzo di destinazione della connessione è stato registrato come proxy |
| ora_di_inizio_sessione | Data e ora di inizio della sessione |
Considera iSession come il fulcro della ricerca delle minacce. Assicura una continuità stabile delle sessioni tra i diversi tipi di metadati relativi a protocolli, autenticazione e rilevamento.
Valori dello stato della connessione e indicatori del ciclo di vita della sessione TCP
I valori dello stato della connessione indicano l'andamento di una sessione: stabilita, rifiutata, ripristinata, semi-aperta o incompleta. Questi indicatori sono tipi di metadati comportamentali che rivelano attività di scansione, sondaggio, comunicazioni instabili o sessioni interrotte.
|
| Stato | Descrizione |
|---|
| S0 | Rilevato un tentativo di connessione, nessuna risposta. |
| S1 | Connessione stabilita, non interrotta. |
| SF | Inizio e fine normali. Si noti che si tratta dello stesso simbolo utilizzato per lo stato S1. È possibile distinguere i due stati in quanto, per S1, nel riepilogo non saranno presenti conteggi di byte, mentre per SF saranno presenti. |
| REJ | Tentativo di connessione rifiutato |
| S2 | Connessione stabilita e rilevato un tentativo di chiusura da parte del mittente (ma nessuna risposta da parte del destinatario) |
| S3 | Connessione stabilita e rilevato un tentativo di chiusura da parte del destinatario (ma nessuna risposta da parte del mittente) |
| RST0 | Connessione stabilita, il mittente ha interrotto la connessione (ha inviato un RST) |
| RSTR | Il risponditore ha inviato un RST |
| RSTOS0 | Il mittente ha inviato un SYN seguito da un RST, ma non abbiamo mai ricevuto un SYN-ACK dal destinatario. |
| RSTRH | Il destinatario ha inviato un SYN ACK seguito da un RST; non abbiamo mai ricevuto un SYN dal (presunto) mittente. |
| SH | Il mittente ha inviato un SYN seguito da un FIN, ma non abbiamo mai ricevuto un SYN-ACK dal destinatario (pertanto la connessione è rimasta "parzialmente" aperta). |
| SHR | Il destinatario ha inviato un SYN ACK seguito da un FIN; non abbiamo mai ricevuto un SYN dal mittente. |
| Altro | Non si rilevano messaggi SYN, solo traffico in corso (un esempio è una "connessione parziale" che non è stata successivamente chiusa). |
Utilizza gli stati del ciclo di vita insieme ai campi relativi alla tempistica e al volume per stabilire le priorità dei modelli di ricognizione durante l'analisi forense dei metadati.
Campi dei metadati Kerberos e attributi dei ticket di autenticazione
I metadati Kerberos registrano l'emissione dei ticket, il tipo di autenticazione, la valutazione dei privilegi, la negoziazione dell'algoritmo di cifratura e gli stati di successo o errore. Questi tipi di metadati a livello di identità sono fondamentali per individuare l'uso improprio delle credenziali e l'escalation dei privilegi.
I metadati Kerberos consentono di avere una visione d'insieme su:
- Livelli di autorizzazione per account e servizi (basso, medio, alto)
- Tipi di richiesta e risposta dei ticket (AS, TGT)
- Utilizzo e negoziazione degli algoritmi di crittografia
- Condizioni di autenticazione riuscita e di errore
|
| Campo | Descrizione |
|---|
| privilegio_account | Livello di privilegio dell'account. I punteggi possono rientrare in tre categorie: Basso (1, 2), Medio (3, 4, 5, 6, 7) e Alto (8, 9) |
| ID account | Identificatore univoco dell'account (formato principal@REALM) |
| numero_di_dati_rappresentativi | Numero totale di record PA-DATA visualizzati su AS-REP prima del troncamento |
| tipi_di_dati_rappresentativi | Numeri interi di tipo PA-DATA dai messaggi AS-REP (max 12) |
| as_rep_padata_types_string | Nomi di tipo PA-DATA leggibili dall'utente per i messaggi AS-REP (max. 12) |
| numero_dati_di_riempimento_richiesti | Numero totale di record PA-DATA visualizzati in AS-REQ prima del troncamento |
| tipi_di_dati_di_requisiti | Numeri interi di tipo PA-DATA dai messaggi AS-REQ (max 12) |
| as_req_padata_types_string | Nomi di tipo PA-DATA leggibili dall'utente per i messaggi AS-REQ (max 12) |
| cliente | Nome del cliente, compreso il dominio |
| fonte_dati | La fonte del record, ovvero "rete" o "registro" |
| codice_errore | Codice di errore in caso di esito negativo |
| messaggio_di_errore | Messaggio di errore in caso di esito negativo |
| orig_host_privilegio_osservato* | Il livello di rischio riflette il rischio osservato sulla base dell'attività di un account che sembra operare dall'host. I punteggi possono rientrare in tre categorie: Basso (1, 2), Medio (3, 4, 5, 6, 7) e Alto (8, 9) |
| protocollo* | Protocollo L4. 6 (TCP) o 17 (UDP) |
| codifica_ripetuta | Il tipo di crittografia dei ticket di risposta |
| timestamp_risposta* | Data e ora della risposta |
| cifre richieste | I tipi di crittografia dei ticket di richiesta |
| tipo_richiesta | Tipo di richiesta (AS o TGT) |
| servizio | Servizio richiesto, compreso il dominio |
| privilegio di servizio | Livello di privilegio del servizio. I punteggi possono rientrare in tre categorie: Basso (1, 2), Medio (3, 4, 5, 6, 7) e Alto (8, 9) |
| ID servizio | Identificatore univoco del servizio (formato principal@REALM) |
| successo | Indipendentemente dal fatto che la richiesta abbia avuto esito positivo o meno |
| codice_biglietto | Codifica dei ticket rilevata nelle risposte AS-REP e TGS-REP |
Utilizza le categorie di privilegi e i tipi di richiesta per concentrare la ricerca delle minacce su account e servizi ad alto impatto, per poi passare alla telemetria LDAP o di sessione a scopo di verifica.
Campi dei metadati LDAP e attributi delle query di directory
I metadati LDAP riassumono il comportamento delle operazioni di ricerca e di binding nella directory, inclusi l'ambito della query, la selezione degli attributi, il numero di risultati e le condizioni di errore.
L'analisi forense dei metadati delle directory è particolarmente utile per individuare le operazioni di enumerazione che precedono gli abusi legati all'autenticazione.
|
| Campo | Descrizione |
|---|
| attributi | Una serie di attributi da includere nei risultati che corrispondono ai criteri di ricerca e vengono restituiti |
| oggetto_base | Base del sottoalbero in cui deve essere limitata la ricerca |
| numero di errori di associazione | Se si verificano errori di associazione, il numero di errori |
| durata | Durata della sessione |
| numero_di_payload_SASL_crittografati | Se si utilizza la crittografia SASL, il numero di payload SASL crittografati rilevati |
| errore | Il messaggio di errore in caso di errore (ad es. "0000208D: NameErr ...") |
| numero di errori di accesso | Il numero di errori di accesso |
| è chiuso | Flag booleano che indica se è stata rilevata la chiusura |
| è una query | Flag booleano che indica se la query è stata rilevata nella richiesta |
| dn corrispondente | Il nome distinto corrispondente |
| ID messaggio | ID messaggio |
| richiesta | Criteri da utilizzare per individuare quali voci rientranti nell'ambito di applicazione debbano essere restituite |
| ambito_della_query | La porzione dell'albero secondario di destinazione da prendere in considerazione (ad es. wholeSubtree) |
| bytes di risposta | Numero di byte nella risposta |
| risultato | Il risultato della query contenuta in questa richiesta |
| bytes richiesti | Numero di byte nella richiesta |
| codice_risultato | Il codice di risultato (riuscita o errore) nella risposta |
| numero_risultati | Il numero di voci presenti nel risultato |
Utilizza il volume dei risultati e i modelli di errore per distinguere le ricerche di routine dalle attività di individuazione su larga scala nell'ambito dei flussi di lavoro di threat hunting.
Match i campi Match e gli attributi delle firme di allerta
Match rappresentano i risultati valutati del rilevamento, piuttosto che i dati telemetrici grezzi. Questi tipi di metadati descrivono l'identità della firma, la gravità, lo stato di revisione, l'ambito di distribuzione e il contesto del pacchetto.
Questo livello riflette il modo in cui i metadati di rete sono stati interpretati dalla logica di rilevamento.
|
| Campo | Descrizione |
|---|
| eve_json.alert.categoria | Categoria del messaggio di avviso |
| eve_json.alert.gid | Identificatore univoco per un gruppo di firme. Il valore predefinito è 1 per la maggior parte delle firme. |
| eve_json.alert.metadata.prodotto_interessato | Fornisce informazioni dettagliate sul prodotto interessato |
| eve_json.alert.metadata.bersaglio_dell'attacco | Indica se l'obiettivo dell'attacco è il client, il server, entrambi o altro |
| eve_json.alert.metadata.data_creazione | Indica la data di creazione della firma |
| eve_json.alert.metadata.distribuzione | Indica dove deve essere applicata la firma |
| eve_json.alert.metadata.malware | Indica la Malware associata alla firma |
| eve_json.alert.metadata.policy | Fornisce dettagli sulla politica di avviso |
| eve_json.alert.metadata.gravità_della_firma | Descrive il livello di gravità associato alla firma |
| eve_json.alert.metadata.tag | Indica eventuali informazioni relative ai tag assegnate alla firma dall'autore |
| eve_json.alert.metadata.data_di_aggiornamento | Indica la data dell'ultimo aggiornamento della firma |
| eve_json.alert.rev | Numero di revisione della firma di allerta che indica se la firma è stata aggiornata |
| eve_json.alert.rule | Indicare la regola che ha attivato l'avviso |
| eve_json.alert.gravità | Numero che indica il livello di gravità dell'allerta |
| eve_json.alert.firma | Il nome della regola. Basato sul testo "msg" presente nella firma |
| eve_json.alert.id_firma | Identificatore della firma di allerta |
| eve_json.alert.xff | Valore di x-forwarded-for |
| eve_json.direzione | Indica la direzione del traffico dell'avviso |
| eve_json.pacchetto | Indica il pacchetto che ha attivato la firma |
| eve_json.payload | Fornisce le informazioni relative al payload del pacchetto codificato in Base64 |
| eve_json.payload_printable | Fornisce il contenuto presentato in formato ASCII |
| eve_json.proto | Nome del protocollo L4 |
Utilizza i metadati della corrispondenza per capire perché si è attivato un rilevamento, quindi torna ai metadati del protocollo e della sessione sottostanti per ricostruire l'intero evento.
Campi dei metadati NTLM e attributi della risposta di autenticazione
I metadati NTLM registrano i tentativi di autenticazione e i relativi risultati, inclusi host, dominio, nome utente, codice di stato e esito dell'operazione.
In contesti in cui NTLM rimane attivo, questi tipi di metadati sono fondamentali per individuare eventuali abusi dell'autenticazione di fallback.
|
| Campo | Descrizione |
|---|
| dominio | Dominio dell'host |
| nome host | Nome host su cui l'utente ha effettuato l'accesso |
| stato | Codice di stato nella risposta |
| successo | Se la richiesta ha avuto esito positivo o meno |
| nome utente | Nome utente o nome dell'account con cui si è effettuato l'accesso |
Utilizza i fallimenti ripetuti o i modelli di successo anomali come segnali per l'individuazione delle minacce, quindi effettua una correlazione con i metadati SMB o RDP.
Campi dei metadati RDP e attributi delle sessioni di desktop remoto
I metadati RDP registrano le caratteristiche delle sessioni remote interattive, tra cui l'identità del client, la versione, le impostazioni di visualizzazione e gli indicatori di crittografia.
Questi tipi di metadati consentono di analizzare i modelli di accesso amministrativo senza decriptare i contenuti.
|
| Campo | Descrizione |
|---|
| versione_cliente | Versione del client RDP utilizzata dal computer client. Se la connessione è crittografata, il valore sarà "sconosciuto" |
| ID prodotto del cliente | ID prodotto del computer client |
| nome_cliente | Nome del computer client |
| cookie | Valore del cookie utilizzato dal computer client (nome utente) |
| altezza del piano di lavoro | Altezza del desktop del computer client. 0 se crittografato |
| larghezza_schermo | Larghezza dello schermo del computer client. 0 se crittografato |
| configurazione della tastiera | Configurazione della tastiera (lingua) del computer client (ad es. "US" "Configurazione tastiera crittografata") |
| risultato | Se crittografato, il valore del risultato è "crittografato"; in caso contrario, sarà vuoto |
Identificare i modelli di accesso remoto previsti e segnalare eventuali anomalie durante l'analisi forense dei metadati.
Campi dei metadati RADIUS e attributi di contabilizzazione dell'autenticazione
I record di metadati RADIUS registrano le operazioni di autenticazione e di contabilizzazione relative al controllo degli accessi, inclusi gli identificatori di sessione, la durata, i contatori di pacchetti/byte, l'indirizzamento e gli indicatori di policy.
Questi tipi di metadati di rete consentono di tracciare i percorsi di accesso remoto tramite VPN, NAC o sistemi wireless.
|
| Campo |
Descrizione |
| autenticazione_account |
Indica in che modo l'utente è stato autenticato |
| tempo_di_ritardo_account |
Indica da quanto tempo il mittente sta tentando di inviare il messaggio |
| account_input_gigawords |
Indica quante volte il contatore "Acct-Input" è tornato a zero per gli inserimenti |
| account_input_octet |
Quanti byte sono stati ricevuti |
| pacchetti_di_input_dell'account |
Quanti pacchetti ha ricevuto il sistema |
| output_account_gigaword |
Indica quante volte il contatore Acct-Input ha effettuato il riporto per l'uscita |
| octet_di_uscita_dell'account |
Quanti byte sono stati impostati |
| pacchetti_in_uscita_dell'account |
Quanti pacchetti ha inviato il sistema |
| ID sessione account |
Si tratta di un ID univoco che identifica la sessione di contabilità RADIUS, inviata in un pacchetto separato. |
| durata_sessione_account |
Durata del servizio ricevuto dall'utente |
| ID chiamante |
Questo è l'identificativo della stazione chiamante |
| informazioni_di_contatto |
Individuare la velocità della connessione o altre informazioni relative alla connessione |
| prefisso_IPv6_delegato |
Pool IPv6 da cui è stato assegnato l'indirizzo IPv6 |
| nome_visualizzato_dst |
Nome DNS della destinazione |
| dst_host_luid |
Questo è l'ID dell'host di destinazione con ID host |
| dst_luid |
Il LUID del server RADIUS |
| dst_luid_esterno |
Il valore è "True" se la destinazione è esterna |
| timestamp_evento |
È simile a "ts", ma si tratta del timestamp del dispositivo, non di Vectra |
| id_filtro |
Questo identifica tutte le ACL attualmente in uso |
| indirizzo_incorniciato |
Questo campo è presente nella richiesta che identifica endpoint l'autenticazione |
| interfaccia incorniciata |
Indica l'interfaccia utilizzata quando l'utente si connette al sistema |
| indirizzo_IP_in_frame |
Indirizzo IP del endpoint che si connette al sistema |
| prefisso_IPv6_incorniciato |
Indica il prefisso IPv6 incorniciato dell'utente |
| protocollo_incorniciato |
Identifica il protocollo Framed utilizzato quando l'utente si connette al sistema |
Utilizzare i campi di contesto contabili e NAS per verificare l'ambito e la durata dell'accesso prima di passare all'analisi delle attività SMB o RDP.
Campi estesi dei metadati RADIUS e attributi di controllo dell'accesso alla rete
I metadati RADIUS estesi forniscono ulteriori dettagli sul dispositivo e sul contesto di applicazione: identificatori e porte NAS, timeout di sessione e di inattività, endpoint del tunnel, indicatori di origine esterna, tempi di risposta e l'eventuale rilevamento di campi sensibili (come la password). Questi campi aiutano a comprendere come sono state attuate le decisioni relative all'accesso.
|
| Campo |
Descrizione |
| tempo di inattività |
Tempo massimo di inattività di una sessione prima che venga disconnessa |
| registrato |
L'attributo booleano indica se la richiesta è stata precedentemente registrata |
| mac |
Indirizzo MAC, se presente come campo nel messaggio RADIUS |
| identificatore_nas |
Identifica il ruolo richiesto dal client che effettua l'autenticazione |
| indirizzo_IP_di_rete |
Si tratta di un formato di indirizzo IP; può trattarsi dell'IP del dispositivo, Endpoint o di un sistema intermedio, a seconda dell'implementazione |
| porta_nas |
Numero di porta fisica del dispositivo che autentica l'utente |
| ID porta NAS |
Stringa di testo che identifica la porta fornita dal client |
| tipo_porta_nas |
Si tratta del tipo di connessione della porta (ad es. Ethernet, Wi-Fi ecc.) |
| password_vista |
Attributo booleano che indica se la password è stata visualizzata |
| tipo_raggio |
Il valore indica se si tratta di una richiesta di accesso o di contabilizzazione |
| rispondi_messaggio |
Messaggio di risposta alla richiesta del server. Viene spesso visualizzato all'utente che sta effettuando l'autenticazione. |
| data e ora della risposta |
Data e ora di ricezione del messaggio di risposta |
| risultato |
Autenticazione riuscita o fallita |
| tipo_di_servizio |
Tipo di servizio richiesto dall'utente |
| timeout_sessione |
Questa è la durata massima della sessione |
| nome_visualizzato |
Nome DNS della sorgente |
| src_host_luid |
Questo è l'ID dello Src con l'ID host |
| src_luid |
Il LUID del client RADIUS |
| src_luid_external |
Il valore è "True" se la fonte è esterna |
| ttl |
Il tempo trascorso tra la prima richiesta e la ricezione del messaggio "Access-Accept" o di un errore. Se il campo è vuoto, significa che né la richiesta né la risposta sono state ricevute. |
| tunnel_client |
Indirizzo (IPv4, IPv6 o FQDN) dell'estremità del tunnel che ha avviato la connessione, se presente. Questo dato viene ricavato dallEndpoint . |
| nome utente |
Questo è il nome utente, se presente nel messaggio RADIUS |
Utilizza il NAS e il contesto del tunnel per individuare con precisione dove è stato concesso l'accesso, quale servizio è stato richiesto e per quanto tempo è rimasto attivo; ciò risulta particolarmente utile quando si tracciano i percorsi di accesso remoto verso attività SMB/RDP interne.
Campi dei metadati dei file SMB e attributi delle operazioni sui file
I metadati dei file SMB registrano le operazioni a livello di file, tra cui la creazione, la ridenominazione, il comportamento di eliminazione alla chiusura, il contesto del percorso, la versione SMB e l'attribuzione all'utente.
Questi tipi di metadati sono fondamentali per le indagini relative al ransomware e alla diffusione laterale.
|
| Campo | Descrizione |
|---|
| azione | Provvedimenti adottati in merito al fascicolo |
| cancella_alla_chiusura* | Indicatore che segnala se l'attributo `delete_on_close` è abilitato. Se abilitato, l'operazione di chiusura del file può comportarne l'eliminazione qualora si tratti dell'ultima chiusura del file |
| dominio* | Dominio del server SMB |
| nome host* | Nome host del client SMB |
| percorso | Il percorso estratto dal file ad albero è stato trasferito da o verso |
| nome_precedente | Se è stata rilevata un'operazione di rinominazione, questo sarà il nome precedente del file |
| nome | Nome del file, se presente |
| nome utente* | Nome utente o nome dell'account con cui è stato effettuato l'accesso. I nomi che terminano con "$" sono nomi di computer (non nomi di account utente) |
| versione | Versione SMB (SMBv1 o SMBv2) |
Utilizza le azioni sui file e i modelli di rinominazione per individuare comportamenti dannosi durante la ricerca delle minacce.
Campi dei metadati di mappatura SMB e attributi di connessione condivisa
I metadati di mappatura SMB rilevano le connessioni ad albero e l'accesso alle condivisioni prima dell'interazione con i file.
Questo livello consente di arricchire i metadati collegando l'identità dell'utente al contesto di accesso condiviso.
|
| Campo | Descrizione |
|---|
| dominio* | Dominio del server SMB |
| nome host* | Nome host del client SMB |
| percorso | Nome del percorso ad albero |
| servizio | Tipo di re-originatore dell'albero |
| nome utente* | Nome utente o nome dell'account con cui è stato effettuato l'accesso. I nomi che terminano con "$" sono nomi di computer (non nomi di account utente) |
| versione | Versione SMB (SMBv1 o SMBv2) |
Utilizza gli eventi di mappatura per stabilire la genealogia degli accessi prima di analizzare le operazioni a livello di file.
Campi dei metadati SMTP e attributi dell'intestazione delle e-mail
I metadati SMTP acquisiscono gli attributi dell'intestazione dei messaggi e i risultati dell'autenticazione, inclusi SPF, DKIM, DMARC, l'utilizzo di TLS e l'IP di origine. I metadati di rete relativi alle e-mail supportano l'individuazione delle minacce per individuare phishing e comportamenti di mittenti falsificati.
|
| Campo | Descrizione |
|---|
| cc | Contenuto dell'intestazione CC, formattato come elenco separato da virgole |
| data | Contenuto dell'intestazione "Data" |
| stato_dkim | superato/non superato/nessuno. In base all'intestazione "Authentication-results" |
| stato_dmarc | superato/non superato/nessuno. In base all'intestazione "Authentication-results" |
| ricevuto per la prima volta | Contenuto dell'intestazione "Received", che indica il primo server SMTP a ricevere questo messaggio (ovvero il server mittente) |
| da | Contenuto dell'intestazione "Da" |
| ciao | Contenuto dell'intestazione Helo |
| in risposta a | Contenuto dell'intestazione In-Reply-To |
| mittente | Indirizzi e-mail presenti nell'intestazione "Da" |
| msgid | Contenuto dell'intestazione MsgID |
| rcpt_to | Indirizzi e-mail presenti nell'intestazione Rcpt, formattati come elenco separato da virgole |
| rispondi a | Contenuto dell'intestazione Reply-To |
| secondo_ricevuto | Contenuto dell'intestazione "Received" (seconda), che indica il secondo server SMTP a ricevere questo messaggio |
| argomento | Contenuto dell'intestazione "Oggetto" |
| stato_spf_helo | In base all'intestazione "Received-SPF" in SMTP. Questa intestazione indica lo stato SPF (Sender Policy Framework). Può assumere uno dei seguenti valori: pass/fail/neutral/softfail/none/temperror/permerror. Vedi: https://tools.ietf.org/html/rfc7208#section-9.1 |
| stato_spf_mailfrom | Uno tra: superato/bocciato/neutro/errore parziale/nessuno/errore temporaneo/errore permanente |
| TLS | Indica che la connessione è passata al protocollo TLS |
| a | Contenuto dell'intestazione "To", formattato come elenco separato da virgole |
| user_agent | Valore dell'intestazione User-Agent proveniente dal client |
| x_ip_di_origine | Contenuto dell'intestazione X-Originating-IP |
Utilizzare i risultati dell'autenticazione e i metadati della catena di inoltro per la verifica forense della legittimità del mittente.
Campi dei metadati SSH e attributi di negoziazione delle sessioni crittografate
I metadati SSH registrano i dettagli della negoziazione, tra cui le versioni client/server, lo scambio di chiavi, la selezione dell'algoritmo di cifratura, l'algoritmo MAC e gli hash di identificazione. Questi tipi di metadati consentono di identificare strumenti amministrativi anomali e comportamenti non autorizzati della shell remota.
|
| Campo | Descrizione |
|---|
| cliente | La stringa della versione del cliente |
| algoritmo_di_crittografia | L'algoritmo di crittografia utilizzato |
| algoritmo_di_compressione | L'algoritmo di compressione utilizzato |
| hassh | Hash del client basato sui parametri SSH del client |
| hassh_server | haashServer: hash del server basato sui parametri SSH del client |
| chiave_host | L'impronta digitale della chiave del server |
| algoritmo_chiave_host | L'algoritmo della chiave host del server |
| kex_alg | L'algoritmo di scambio delle chiavi utilizzato |
| mac_alg | L'algoritmo di firma (MAC) utilizzato |
| server | La stringa della versione del server |
| versione | Versione principale di SSH (1 o 2) |
Utilizza i campi relativi agli algoritmi e alle impronte digitali per definire i parametri di riferimento degli strumenti amministrativi previsti e individuare client o modelli di negoziazione insoliti, quindi passa all'analisi della connettività della sessione per comprenderne la durata, la direzione e il volume per la stessa sessione SSH.
Campi dei metadati SSL/TLS e attributi delle sessioni crittografate
I metadati SSL/TLS registrano le caratteristiche della negoziazione dell'handshake e dello scambio di certificati per le sessioni crittografate. I campi riportati di seguito includono le versioni del protocollo, la suite di cifratura scelta, i parametri della curva, le estensioni client/server, gli identificatori dell'emittente e del soggetto, l'SNI e le impronte digitali JA3/JA4, oltre allo stato di instaurazione della connessione.
|
| Campo | Descrizione |
|---|
| domanda | Applicazioni associate a questa sessione |
| codice | Suite di cifratura SSL/TLS selezionata dal server |
| numero_curva_cliente* | Numero della curva ellittica inviato dal client |
| client_ec_point_format* | Formato dei punti delle curve ellittiche supportato dal client |
| client_extension* | Estensioni client |
| emittente del cliente | Emittente di certificati client |
| client_luid_proxy | Vero se l'indirizzo di origine della connessione è stato registrato come proxy |
| Oggetto della richiesta | Soggetto del certificato del cliente |
| versione_cliente* | Stringa della versione SSL inviata dal client |
| numero_versione_cliente* | Numero di versione SSL inviato dal client |
| curva | Numero di curva ellittica per ECDHE |
| fondata | Flag che indica se questa sessione SSL è stata stabilita correttamente o se è stata interrotta durante la fase di handshake |
| emittente | Emittente del certificato del server |
| ja3 | Hash JA3 del client basato sui parametri SSL del client |
| ja3s | Hash JA3S del server basato sui parametri SSL del server |
| ja4 | L'impronta digitale JA4 del client TLS |
| ja4s | L'impronta digitale JA4S della risposta del server TLS |
| protocollo successivo | Il protocollo successivo scelto dal server tramite l'estensione del protocollo del livello applicativo, se presente |
| proxy_verso_destinazione_interna | È vero se l'indirizzo di destinazione effettivo dopo il proxy è un IP interno |
| estensioni_server | Estensioni del server |
| server_luid_proxy | È vero se l'indirizzo di destinazione della connessione è stato registrato come proxy |
| nome_server | Valore SNI |
| argomento | Oggetto del certificato del server |
| versione | Versione SSL/TLS scelta dal server |
| numero_versione | Versione numerica SSL/TLS selezionata dal server |
| versione/numero_versione | Numero di versione SSL |
Utilizzare le impronte digitali TLS e il contesto SNI/certificato per identificare le implementazioni client/server e l'identità della destinazione, quindi passare al formato X.509 per esaminare le proprietà del certificato e la copertura SAN ai fini di un'analisi più approfondita dell'affidabilità.
Campi dei metadati dei certificati X.509 e attributi dei certificati digitali
I metadati X.509 registrano l'identità del certificato e le caratteristiche di affidabilità, tra cui la composizione del soggetto/emittente, i periodi di validità, i valori SAN, la lunghezza della chiave, l'algoritmo di firma e l'impronta digitale JA4X. Questi tipi di metadati consentono l'analisi forense dei metadati basata sui certificati e l'individuazione di infrastrutture sospette.
|
| Campo | Descrizione |
|---|
| domanda | Applicazioni associate a questa sessione |
| basic_constraints.ca | Indicatore che segnala se il soggetto del certificato è un'autorità di certificazione |
| basic_constraints.lunghezza_percorso | Profondità massima dei percorsi di certificazione validi che includono questo certificato |
| certificate.cn | Nome comune che identifica il nome dell'host del certificato |
| certificato.curva | Curva, se certificato CE |
| certificato.esponente | Esponente di spicco |
| emittente del certificato | Combinazione di paese, organizzazioni, nome comune, emittente, URI |
| certificato.key_alg | Nome dell'algoritmo a chiave pubblica utilizzato nella trasmissione dei dati, ad esempio la crittografia RSA |
| certificato.lunghezza_chiave | Numero di bit utilizzati nella crittografia, ad esempio crittografia a 2.048 bit |
| certificato.tipo_chiave | Tre tipi di chiavi, a seconda dell'algoritmo utilizzato |
| certificato.non_valido_dopo | Periodo di validità del certificato |
| certificato.non_valido_prima_del | Periodo di validità del certificato |
| certificato_autogenerato | Flag booleano che indica se il certificato è auto-emesso o supportato da un'autorità di certificazione |
| certificato.seriale | Numero di serie univoco assegnato dall'autorità di certificazione o dall'autorità che ha firmato il certificato. Di solito è composto da 40 caratteri esadecimali |
| certificate.sig_alg | Nome dell'algoritmo di firma |
| oggetto del certificato | Titolare del certificato (nome distinto) |
| versione del certificato | Versione del certificato del server (SSL V3, TLS V1, TLS V2, ecc.) |
| client_luid_proxy | Vero se l'indirizzo di origine della connessione è stato registrato come proxy |
| ja4x | L'impronta digitale JA4X del certificato TLS X.509 |
| proxy_verso_destinazione_interna | È vero se l'indirizzo di destinazione effettivo dopo il proxy è un IP interno |
| san.dns | Specificare un elenco di nomi host aggiuntivi per un singolo certificato, insieme ai nomi DNS associati al SAN (Subject Alternative Name) |
| san.email | Indirizzo e-mail associato al SAN |
| san.ip | Indirizzo IP della SAN nel certificato digitale |
| san.altri_campi | Altri settori della SAN |
| san.uri | Nome URL associato al SAN |
| versione/numero_versione | Numero di versione SSL |
| server_luid_proxy | È vero se l'indirizzo di destinazione della connessione è stato registrato come proxy |
Utilizzare gli attributi X.509 per valutare il livello di affidabilità e i modelli di riutilizzo, quindi incrociare i dati con i metadati TLS e DNS per completare la catena investigativa.
