Questa pagina fornisce un riferimento strutturato dei campi dei metadati di sicurezza della rete utilizzati nella Vectra AI . Definisce gli attributi comuni dello schema, i campi di connettività a livello di sessione, la telemetria specifica del protocollo (DNS, HTTP, SMB, LDAP, ecc.), i metadati di autenticazione (Kerberos, NTLM, RADIUS), gli attributi di corrispondenza a livello di rilevamento e le impronte digitali delle comunicazioni crittografate (SSL/TLS, SSH, X.509). Questi flussi di metadati normalizzati consentono l'analisi comportamentale, la correlazione tra domini e la visibilità del traffico crittografato senza richiedere l'acquisizione completa dei pacchetti. Insieme, costituiscono la base per l'osservabilità della rete scalabile e l'indagine sulla sicurezza in ambienti aziendali ibridi.
Questi flussi di metadati normalizzati supportano la ricerca delle minacce, l'arricchimento dei metadati e l'analisi forense dei metadati consentendo l'analisi comportamentale, la correlazione tra domini e la visibilità del traffico crittografato, senza richiedere l'acquisizione completa dei pacchetti. Insieme, costituiscono la base per l'osservabilità e l'indagine scalabile della rete in ambienti aziendali ibridi.
Campi metadati di rete comuni a tutti i flussi di telemetria (eccetto DHCP)
Questi campi compaiono in quasi tutti i flussi di metadati e definiscono lo schema di connessione condiviso utilizzato tra i diversi tipi di metadati. Essi acquisiscono gli identificatori di origine e di risposta, le porte, i nomi host, i flag di località, l'attribuzione dei sensori, i timestamp e un UID di connessione stabile.
| Campo |
Descrizione |
| id.ip_ver* | Versione IP |
| id.orig_h | Indirizzo endpoint di origine |
| id.orig_p | Porta endpoint di origine |
| id.resp_h | Indirizzo endpoint di risposta |
| id.resp_p | Porta endpoint di risposta |
| local_orig | Booleano che indica se la connessione è stata originata localmente |
| local_resp | Booleano che indica se la connessione ha ricevuto risposta a livello locale |
| orig_hostname* | endpoint di origine |
| orig_huid* | Identificatore univoco dell'host di origine se è locale |
| orig_sluid* | Identificatore univoco per la sessione host di origine |
| nome_host_risposta* | endpoint di risposta |
| resp_huid* | Identificatore univoco dell'host rispondente se è locale |
| resp_sluid* | Identificatore univoco per la sessione host rispondente se è locale |
| sensore_uid | Identificatore univoco per il sensore Vectra che ha osservato il traffico sottostante che ha generato il record di metadati |
| ts | Timestamp relativo al momento in cui è stato generato il record dei metadati. È in formato data (ad esempio, 9 maggio 2018, 10:09:25.366). |
| uid | ID univoco della connessione |
Considerate questi campi come chiavi di join di base. Essi fungono da punto di riferimento per i flussi di lavoro di arricchimento dei metadati, consentendo di ricollegare i record relativi a protocolli, autenticazioni e rilevamenti alla stessa sessione ed entità. Nella ricerca delle minacce e nell'analisi forense dei metadati, questa coerenza consente un'affidabile rotazione tra i livelli di telemetria.
La maggior parte delle tabelle di protocollo che seguono estendono questo schema ereditando questo contesto condiviso. Ciò preserva l'integrità dell'attribuzione e la continuità della sessione attraverso i flussi di metadati di rete.
Campi dei metadati dei beacon e modelli di comunicazione comportamentale
I metadati del beacon descrivono le comunicazioni ripetute tra un'origine e una destinazione in più sessioni. I campi sottostanti riportano l'identificatore del beacon, i limiti temporali, il conteggio delle sessioni, il volume di byte per direzione, il contesto del protocollo/servizio e l'impronta digitale del client utilizzata per riassumere il modello.
L'analisi dei beacon viene spesso utilizzata nella ricerca delle minacce per identificare callback di comando e controllo, loop di automazione e comunicazioni in uscita persistenti. Anziché ispezionare i pacchetti, gli analisti si affidano a tipi di metadati che descrivono periodicità e coerenza.
|
| Campo | Descrizione |
|---|
| tipo_faro | Il tipo di beacon. Il tipo "single_resp_multiple_sessions" indica un beacon verso una destinazione composto da più sessioni. |
| beacon_uid | L'ID univoco del beacon |
| durata | Durata totale del BeaconUid |
| ora_primo_evento | Timestamp della prima sessione osservata per questo beacon_uid |
| ja3 | Hash Ja3 del client basato sui parametri SSL del client |
| ora_ultimo_evento | Timestamp dell'ultima sessione osservata per questo beacon_uid |
| byte_ip_orig | Totale byte inviati dal mittente al destinatario per questo beacon_uid |
| proto | Valore del protocollo L4. 6 è TCP, 17 è UDP |
| proto_name | Nome protocollo L4 (TCP o UDP) |
| domini_risposta | I domini dei risponditori in questo evento |
| byte_ip_risposta | Totale byte inviati dal risponditore al mittente per questo beacon_uid |
| servizio | Servizio (ad esempio "http" o "tls") |
| numero_di_sessioni | Il numero di sessioni che compongono il beacon_uid |
| uid | L'ID univoco della prima connessione per l'evento beacon segnalato |
| ts | Timestamp relativo al momento in cui è stato generato il record dei metadati. È in formato data (ad esempio, 9 maggio 2018, 10:09:25.366). |
| uid | ID univoco della connessione |
Utilizza questi campi per valutare la durata, la frequenza e il volume direzionale. Quindi passa ai metadati DNS, HTTP o SSL/TLS per ottenere un contesto comportamentale più approfondito durante l'analisi forense dei metadati.
Smetti di cercare il "cosa" dietro i rilevamenti di rete
Il beaconing è solo un segnale comportamentale. Quando vengono attivati metadati di rete sospetti, gli analisti devono comunque capire quale endpoint o identità endpoint li ha generati. Senza questo collegamento, le indagini si bloccano.
Vedi correlazione endpoint
Campi metadati DCE-RPC e attributi di chiamata di procedura remota
I metadati DCE-RPC acquisiscono il comportamento delle chiamate di procedura remota comunemente associate all'amministrazione di Windows e all'interazione dei servizi. Questi campi codificano il contesto del dominio, endpoint , le operazioni invocate, l'attribuzione del nome utente e i tempi di richiesta/risposta.
Nella ricerca delle minacce, i metadati DCE-RPC aiutano a individuare sequenze di esecuzione remota anomale e modelli di utilizzo dei privilegi senza richiedere endpoint .
|
| Campo | Descrizione |
|---|
| dominio* | Dominio dell'host |
| endpoint | Endpoint ricercato dall'uuid (ad esempio IXnRemote, IWbemLoginClientID) |
| nome host* | Nome host su cui l'utente ha effettuato l'accesso |
| operazione | Operazione visualizzata nella chiamata (ad esempio "RemoteCreateInstance") |
| rtt | Tempo di andata e ritorno della richiesta - risposta |
| nome utente* | Nome utente o nome dell'account con cui è stato effettuato l'accesso. I nomi che terminano con "$" sono nomi di computer (non nomi di account utente). |
Utilizzare i nomi delle operazioni e il contesto nome utente/host per distinguere i flussi di lavoro amministrativi di routine dalle attività di movimento laterale durante l'analisi forense dei metadati.
Campi metadati DHCP e attributi di configurazione di rete
I metadati DHCP registrano gli indirizzi dinamici e le assegnazioni di configurazione che collocano i dispositivi sulla rete. Questi tipi di metadati collegano gli IP assegnati agli indirizzi MAC e ai nomi host, registrando al contempo la durata del lease e l'attribuzione del server DHCP/DNS.
Poiché il turnover degli indirizzi IP complica le indagini, i registri DHCP forniscono un arricchimento essenziale dei metadati per mantenere la continuità dell'attribuzione.
|
| Campo | Descrizione |
|---|
| ip_assegnato | IP assegnato in risposta |
| dhcp_server_ip* | Indirizzo IP del server DHCP |
| dns_server_ips* | Indirizzi IP dei server DNS dalle opzioni DHCP. Opzione DHCP 6 |
| tempo_di_locazione | Tempo di lease DHCP. Opzione DHCP 51 |
| mac | Indirizzo MAC nella richiesta |
| orig_hostname* | Nome host dalle opzioni DHCP. Opzione DHCP 12 |
| trans_id | ID transazione |
| ts | Timestamp relativo al momento in cui è stato generato il record dei metadati. È in formato data (ad esempio, 9 maggio 2018, 10:09:25.366). |
| uid | ID univoco della connessione |
Utilizza i campi DHCP per stabilizzare le indagini quando gli indirizzi IP cambiano, ancorando l'identità agli attributi a livello di dispositivo piuttosto che all'indirizzamento effimero.
Campi dei metadati DNS e attributi delle risposte alle query
I metadati DNS rappresentano il comportamento di risoluzione dei domini, inclusi l'intento della query, la gestione della ricorsione, i codici di risposta, i flag di troncamento, i valori TTL e il conteggio dei record.
I metadati della rete DNS sono fondamentali per la ricerca delle minacce perché rivelano l'infrastruttura di staging, il domain fluxing, la ricognizione e i tentativi di callback falliti senza ispezione del payload.
I metadati DNS consentono la visibilità su:
- Quali domini sono stati interrogati e da chi
- Se la ricorsione è stata richiesta o è disponibile
- Come sono state restituite le risposte autorevoli
- Quali codici di risposta e valori TTL sono stati osservati
|
| Campo | Descrizione |
|---|
| AA | Risposta autorevole. Vero se il server è autorevole per la query. |
| risposte† | Elenco delle risposte alla domanda |
| auth | Elenco delle risposte autorevoli per la query |
| proto | Protocollo di transazione DNS: 6 (per TCP) o 17 (per UDP) |
| qclass / qclass_name | Valore che specifica la classe di query (ad esempio 1 / Internet [IN]) |
| qtype / qtype_name | tipo di query valore / nome descrittivo (ad es. A, AAAA, PTR, TXT) |
| query† | Nome di dominio oggetto della query |
| RA | Ricorsione disponibile. Vero se il server supporta query ricorsive. |
| RD | Ricorsione desiderata. Vero se è richiesta la ricerca ricorsiva della query. |
| rcode / nome_rcode | Valore del codice di risposta nella risposta DNS (ad esempio NXDOMAIN, NODATA) |
| rifiutato | La query DNS è stata rifiutata dal server |
| saw_query | Se è stata rilevata la query DNS completa |
| risposta_vista | Se è stata visualizzata la risposta DNS completa |
| TC | Flag di troncamento. Vero se il messaggio è stato troncato. |
| TTL | Elenco dei TTL dalle risposte |
| totale_risposte | Il numero totale di record di risorse nella sezione risposta di un messaggio di risposta |
| totale_risposte | Il numero totale di record di risorse nelle sezioni risposta, autorità e aggiuntiva di un messaggio di risposta. |
| trans_id | Identificatore a 16 bit assegnato dal client DNS |
Utilizza l'analisi forense dei metadati DNS per interpretare l'intento e il risultato, cosa è stato interrogato, cosa è stato restituito e se la risoluzione ha avuto esito negativo, quindi passa ai metadati TLS o HTTP per estendere l'analisi.
Campi metadati HTTP e attributi della sessione web
I metadati HTTP riassumono il comportamento del livello web senza memorizzare i payload completi. Questi campi acquisiscono il contesto derivato dall'intestazione, i metodi, gli URI, gli indicatori di inoltro proxy, gli attributi di fingerprinting e le metriche direzionali di byte/pacchetti.
Nelle indagini sui metadati di rete, i campi HTTP forniscono un contesto a livello di applicazione per la ricerca delle minacce, inclusi trasferimenti di file sospetti, callback scriptati e strutture di intestazione anomale.
|
| Campo | Descrizione |
|---|
| accettare | Valore dell'intestazione Accept nella richiesta, se presente, troncato a 256 byte |
| accetta_codifica | Valore dell'intestazione Accept-Encoding nella richiesta, se presente, troncato a 256 byte |
| cookie* | Valore dell'intestazione Cookie, troncato a 256 byte |
| cookie_vars* | Le variabili nel campo cookie, senza i valori |
| ospite | Valore dell'intestazione Host, troncato a 256 byte |
| host_multihomed* | Attributo booleano che indica se l'indirizzo nell'intestazione host è associato a uno o più indirizzi IP. |
| is_proxied* | Valore booleano indicativo di una richiesta proxy |
| ja4h | L'impronta digitale JA4H del client HTTP |
| metodo | Metodo di richiesta HTTP |
| orig_ip_bytes* | Byte inviati dal mittente al destinatario |
| tipi_mime_orig | Intestazione del tipo di contenuto nella richiesta dell'originatore |
| orig_pkts* | Numero di pacchetti inviati dal mittente al destinatario |
| post_data | Binary data of the POST request body. Truncated to 2k size |
| rappresentato | Valore dell'intestazione x-forwarded-for (ad esempio X-FORWARDED-FOR -> 10.10.15.192) |
| referrer | Valore dell'intestazione Referrer, troncato a 256 byte |
| lunghezza_corpo_richiesta | Byte di payload HTTP nella richiesta |
| richiesta_controllo_cache* | Valore dell'intestazione Cache-Control nella richiesta, se presente, troncato a 256 byte |
| numero_intestazioni_richiesta* | Conteggio delle intestazioni nella richiesta |
| nome_file_risposta | Il nome del file restituito dal server (se presente) |
| resp_ip_bytes* | Byte inviati dal risponditore al mittente |
| tipi_mime_risposta | Valore dell'intestazione Content-Type nella risposta, troncato a 256 byte |
| resp_pkts* | Numero di pacchetti inviati dal risponditore al mittente |
| lunghezza_corpo_risposta | Byte di payload HTTP nella risposta |
| controllo_cache_risposta* | Valore dell'intestazione Cache-Control nella risposta, se presente, troncato a 256 byte |
| disposizione_contenuto_risposta | Il valore dell'intestazione Content-Disposition (specifica i nomi dei file da scaricare come allegati, ad esempio "allegato; nomefile="nomefile.jpg"") |
| risposta_scade* | Scadenza dell'intestazione nella risposta, se presente |
| numero_di_intestazioni_di_risposta* | Conteggio delle intestazioni nella risposta |
| codice_stato | Il codice di stato nella risposta HTTP |
| messaggio_stato | Il messaggio di stato corrispondente al codice di stato |
| uri | URI utilizzato nella richiesta, troncato a 512 byte |
| user_agent | Valore dell'intestazione User-Agent dal client |
Utilizza i metadati HTTP per ricostruire il comportamento web, quindi correla i tipi di metadati DNS e TLS per confermare l'identità della destinazione e le caratteristiche di crittografia.
Metadati di connettività iSession e attributi di rete a livello di sessione
I metadati iSession definiscono il modello di sessione normalizzato utilizzato nei vari protocolli. Essi acquisiscono lo stato della connessione, l'affidabilità direzionale, i marcatori temporali, le varianti di fingerprinting, il contesto VLAN e il conteggio direzionale di byte/pacchetti.
Questa astrazione a livello di sessione consente un arricchimento scalabile dei metadati standardizzando la rappresentazione dei metadati di rete, indipendentemente dal protocollo.
|
| Campo | Descrizione |
|---|
| applicazione | Applicazioni associate a questa sessione |
| client_luid_proxy | True if the source address of the connection has been learned as a proxy |
| conn_state | Stato della connessione. Assume i valori: S0, S1, SF, REJ, S2, S3, RSTO, RSTR, RSTOS0, RSTRH, SH, SHR o OTH. |
| dir_fiducia | Affidabilità dell'assegnazione client/server da 0 a 100 |
| durata | Durata della connessione in ms |
| primo_orig_resp_data_pkt* | Codifica Base64 dei primi 16 byte del pacchetto dal mittente al destinatario, rappresentata come stringa. |
| primo_orig_resp_data_pkt_time* | Timestamp del primo pacchetto di dati dall'originatore al risponditore |
| primo_orig_resp_pkt_time* | Timestamp del primo pacchetto dal mittente al destinatario |
| primo_risposta_orig_dati_pkt* | Codifica Base64 dei primi 16 byte del pacchetto dal risponditore al mittente, rappresentata come stringa |
| primo_resp_orig_pkt_time* | Timestamp del primo pacchetto dal risponditore al mittente |
| first_resp_orig_data_pkt_time* | Timestamp del primo pacchetto di dati dal risponditore al mittente |
| ja4lc | L'impronta digitale JA4LC della distanza luminosa del cliente |
| ja4ls | L'impronta digitale JA4LS della distanza luminosa del server |
| ja4t | L'impronta digitale JA4T del pacchetto TCP SYN del client |
| ja4ts | L'impronta digitale JA4TS dei pacchetti TCP SYN ACK del server |
| byte_ip_orig | Byte inviati dal mittente al destinatario |
| orig_pkts | Numero di pacchetti inviati dal mittente al destinatario |
| orig_vlan_id* | VLAN_id dell'originatore, se presente |
| proto | Valore del protocollo L4. 6 è TCP, 17 è UDP |
| proto_name | Nome protocollo L4 (TCP, UDP o ICMP) |
| proxy_to_internal_dst | True if effective destination after proxy is internal IP |
| resp_dominio* | Calcolato da TLS SNI, HTTP Host o dal nome IP di destinazione (in questo ordine preciso) |
| byte_ip_risposta | Byte inviati dal risponditore al mittente |
| resp_multihomed* | Attributo booleano che indica se il dominio è associato a uno o più indirizzi IP. |
| resp_pkts | Numero di pacchetti inviati dal risponditore al mittente |
| resp_vlan_id* | ID VLAN del risponditore, se presente |
| servizio | Servizio (ad esempio "smb") |
| server_luid_proxy | True if the destination address of the connection has been learned as a proxy |
| ora_di_inizio_sessione | Data e ora di inizio della sessione |
Considera iSession come il fulcro durante la ricerca delle minacce. Fornisce una continuità di sessione stabile tra i tipi di metadati relativi a protocolli, autenticazione e rilevamento.
Valori dello stato della connessione e indicatori del ciclo di vita della sessione TCP
I valori dello stato della connessione codificano l'andamento di una sessione: stabilita, rifiutata, ripristinata, semiaperta o incompleta. Questi indicatori sono tipi di metadati comportamentali che rivelano scansioni, sondaggi, comunicazioni instabili o sessioni interrotte.
|
| Stato | Descrizione |
|---|
| S0 | Tentativo di connessione rilevato, nessuna risposta. |
| S1 | Connessione stabilita, non interrotta. |
| SF | Istituzione e cessazione normali. Si noti che questo è lo stesso simbolo utilizzato per lo stato S1. È possibile distinguere i due stati perché per S1 non ci saranno conteggi di byte nel riepilogo, mentre per SF ci saranno. |
| REJ | Tentativo di connessione rifiutato |
| S2 | Connessione stabilita e tentativo di chiusura da parte dell'originatore rilevato (ma nessuna risposta da parte del destinatario) |
| S3 | Connessione stabilita e tentativo di chiusura da parte del risponditore rilevato (ma nessuna risposta da parte del mittente) |
| RST0 | Connessione stabilita, originatore interrotto (inviato un RST) |
| RSTR | Il risponditore ha inviato un RST |
| RSTOS0 | Il mittente ha inviato un SYN seguito da un RST, ma non abbiamo mai ricevuto un SYN-ACK dal destinatario. |
| RSTRH | Il risponditore ha inviato un SYN ACK seguito da un RST, non abbiamo mai visto un SYN dal (presunto) mittente. |
| SH | Il mittente ha inviato un SYN seguito da un FIN, ma non abbiamo mai ricevuto un SYN ACK dal destinatario (pertanto la connessione era "parzialmente" aperta). |
| SHR | Il risponditore ha inviato un SYN ACK seguito da un FIN, non abbiamo mai visto un SYN dal mittente. |
| OTH | Nessun SYN rilevato, solo traffico midstream (un esempio è una "connessione parziale" che non è stata successivamente chiusa). |
Utilizza gli stati del ciclo di vita insieme ai campi relativi alla tempistica e al volume per dare priorità ai modelli di ricognizione durante l'analisi forense dei metadati.
Campi metadati Kerberos e attributi dei ticket di autenticazione
I metadati Kerberos acquisiscono l'emissione dei ticket, il tipo di autenticazione, il punteggio dei privilegi, la negoziazione della crittografia e gli stati di successo/errore. Questi tipi di metadati a livello di identità sono essenziali per rilevare l'uso improprio delle credenziali e l'escalation dei privilegi.
I metadati Kerberos consentono la visibilità su:
- Livelli di privilegio dell'account e del servizio (basso, medio, alto)
- Tipi di richiesta e risposta dei ticket (AS, TGT)
- Utilizzo e negoziazione dei codici di crittografia
- Condizioni di autenticazione riuscita ed errore
|
| Campo | Descrizione |
|---|
| privilegio_account | Livello di privilegio dell'account. I punteggi possono rientrare in tre categorie: Basso (1,2) Medio (3,4,5,6,7) e Alto (8,9) |
| account_uid | Identificatore univoco dell'account (formato principal@REALM) |
| as_rep_padata_count | Total PA-DATA entries seen on AS-REP prior to truncation |
| as_rep_padata_types | PA-DATA type integers from AS-REP messages (12 max) |
| as_rep_padata_types_string | Human readable PA-DATA type names for AS-REP messages (12 max) |
| as_req_padata_count | Total PA-DATA entries seen on AS-REQ prior to truncation |
| as_req_padata_types | PA-DATA type integers from AS-REQ messages (12 max) |
| as_req_padata_types_string | Human readable PA-DATA type names for AS-REQ messages (12 max) |
| cliente | Nome del cliente, compreso il regno |
| fonte_dati | La fonte del record, "rete" o "registro" |
| codice_errore | Codice di errore in caso di esito negativo |
| messaggio_errore | Messaggio di errore in caso di esito negativo |
| privilegio_osservato_host_originale* | Il privilegio rappresenta il privilegio osservato in base all'attività di un account che sembra operare dall'host. I punteggi possono rientrare in tre categorie: Basso (1, 2), Medio (3, 4, 5, 6, 7) e Alto (8, 9). |
| protocollo* | Protocollo L4. 6 (TCP) o 17 (UDP) |
| rep_cipher | Tipo di crittografia del ticket di risposta |
| timestamp_risposta* | Data e ora della risposta |
| req_ciphers | Tipi di crittografia dei ticket di richiesta |
| tipo_richiesta | Tipo di richiesta (AS o TGT) |
| servizio | Servizio richiesto, compreso il dominio |
| privilegio_servizio | Livello di privilegio del servizio. I punteggi possono rientrare in tre categorie: Basso (1,2) Medio (3,4,5,6,7) e Alto (8,9) |
| service_uid | Identificatore univoco del servizio (formato principal@REALM) |
| successo | Se la richiesta ha avuto esito positivo o meno |
| ticket_cipher | Ticket cipher observed on AS-REP and TGS-REP replies |
Utilizza le categorie di privilegi e i tipi di richiesta per concentrare la ricerca delle minacce sugli account e sui servizi ad alto impatto, quindi passa a LDAP o alla telemetria delle sessioni per la convalida.
Campi metadati LDAP e attributi di query della directory
I metadati LDAP riassumono il comportamento della ricerca nella directory e del binding, inclusi l'ambito della query, la selezione degli attributi, il conteggio dei risultati e le condizioni di errore.
L'analisi forense dei metadati delle directory è particolarmente utile per identificare l'enumerazione che precede l'abuso dell'autenticazione.
|
| Campo | Descrizione |
|---|
| attributi | Una serie di attributi da richiedere per l'inclusione nelle voci che corrispondono ai criteri di ricerca e vengono restituite |
| oggetto_base | Base del sottoalbero in cui deve essere limitata la ricerca |
| numero_errori_di_legame | Se ci sono errori di associazione, conta il numero di errori |
| durata | Durata della sessione |
| numero_di_payload_SASL_crittografati | Se viene utilizzata la crittografia SASL, il numero di payload SASL crittografati rilevati |
| errore | Il messaggio di errore in caso di errore (ad esempio "0000208D: NameErr ...") |
| numero_errori_accesso_fallito | Il conteggio degli errori di accesso |
| è_chiuso | Flag booleano che indica se la chiusura è stata osservata |
| è_query | Flag booleano che indica se la query è stata osservata nella richiesta |
| dn_corrispondente | Il nome distinto corrispondente |
| message_id | ID messaggio |
| query | Criteri da utilizzare per identificare quali voci nell'ambito di applicazione devono essere restituite |
| query_scope | La porzione dell'albero secondario di destinazione che deve essere presa in considerazione (ad esempio, wholeSubtree) |
| byte_di_risposta | Numero di byte nella risposta |
| risultato | Il risultato della query in questa richiesta |
| byte_richiesti | Numero di byte nella richiesta |
| codice_risultato | Il codice di risultato (successo o fallimento) nella risposta |
| numero_risultati | Il conteggio delle voci nel risultato |
Utilizza il volume dei risultati e i modelli di errore per distinguere le ricerche di routine dalle scoperte su larga scala durante i flussi di lavoro di ricerca delle minacce.
Match i campi Match e gli attributi delle firme di avviso
Match rappresentano il risultato della valutazione del rilevamento piuttosto che la telemetria grezza. Questi tipi di metadati descrivono l'identità della firma, la gravità, lo stato di revisione, l'ambito di distribuzione e il contesto del pacchetto.
Questo livello riflette il modo in cui i metadati di rete sono stati interpretati dalla logica di rilevamento.
|
| Campo | Descrizione |
|---|
| eve_json.alert.categoria | Categoria del messaggio di avviso |
| eve_json.alert.gid | Identificatore univoco per il gruppo di firme. Il valore predefinito è 1 per la maggior parte delle firme. |
| eve_json.alert.metadata.prodotto_interessato | Specifica i dettagli sul prodotto interessato |
| eve_json.alert.metadata.attacco_bersaglio | Specifica se l'obiettivo dell'attacco è il client, il server, entrambi o altro. |
| eve_json.alert.metadata.created_at | Specifica la data in cui è stata creata la firma. |
| eve_json.alert.metadata.distribuzione | Specifica dove deve essere distribuita la firma |
| eve_json.alert.metadata.malware | Specifica la Malware associata alla firma. |
| eve_json.alert.metadata.policy | Specifica i dettagli relativi alla politica di allerta |
| eve_json.alert.metadata.signature_severity | Descrive la gravità associata alla firma |
| eve_json.alert.metadata.tag | Specifica tutte le informazioni relative ai tag assegnati alla firma dall'autore. |
| eve_json.alert.metadata.aggiornato_alle | Specifica i dati dell'ultimo aggiornamento della firma. |
| eve_json.alert.rev | Numero di revisione della firma di avviso che indica se la firma è stata aggiornata |
| eve_json.avviso.regola | Specificare la regola che ha attivato l'avviso |
| eve_json.alert.severity | Numero che rappresenta la gravità dell'allerta |
| eve_json.alert.signature | Il nome della regola. Basato sul testo "msg" nella firma. |
| eve_json.alert.signature_id | Identificatore firma di allerta |
| eve_json.alert.xff | Valore di x-forwarded-for |
| eve_json.direzione | Specifica la direzione del traffico dell'avviso |
| eve_json.pacchetto | Specifica il pacchetto che ha attivato la firma |
| eve_json.payload | Fornisce le informazioni sul payload del pacchetto codificato in Base64. |
| eve_json.payload_printable | Fornisce il payload presentato in ASCII |
| eve_json.proto | Nome protocollo L4 |
Utilizza i metadati di corrispondenza per capire perché è stato attivato un rilevamento, quindi torna ai metadati del protocollo e della sessione sottostanti per una ricostruzione completa.
Campi metadati NTLM e attributi di risposta di autenticazione
I metadati NTLM acquisiscono i tentativi di autenticazione e i relativi risultati, inclusi host, dominio, nome utente, codice di stato e stato di successo.
Negli ambienti in cui NTLM rimane attivo, questi tipi di metadati sono importanti per identificare gli abusi dell'autenticazione di fallback.
|
| Campo | Descrizione |
|---|
| dominio | Dominio dell'host |
| nome host | Nome host su cui l'utente ha effettuato l'accesso |
| stato | Codice di stato nella risposta |
| successo | Se la richiesta ha avuto esito positivo o meno |
| nome utente | Nome utente o nome dell'account con cui hai effettuato l'accesso |
Utilizza i fallimenti ripetuti o i modelli di successo anomali come segnali di ricerca delle minacce, quindi correla i dati con i metadati SMB o RDP.
Campi metadati RDP e attributi della sessione desktop remoto
I metadati RDP acquisiscono gli attributi delle sessioni remote interattive, tra cui l'identità del client, il versioning, le caratteristiche di visualizzazione e gli indicatori di crittografia.
Questi tipi di metadati supportano l'analisi dei modelli di accesso amministrativo senza decrittografare i contenuti.
|
| Campo | Descrizione |
|---|
| client_build | Versione del client RDP utilizzata dal computer client. Sarà "sconosciuta" se crittografata. |
| client_dig_product_id | ID prodotto del computer client |
| nome_cliente | Nome del computer client |
| biscotto | Valore dei cookie utilizzati dal computer del cliente (nome utente) |
| altezza_desktop | Altezza del desktop del computer client. 0 se crittografato |
| larghezza_desktop | Larghezza desktop del computer client. 0 se crittografato |
| tastiera_layout | Layout della tastiera (lingua) del computer client (ad esempio "US" "Layout tastiera crittografato") |
| risultato | Se crittografato, il valore del risultato è "crittografato", altrimenti sarà vuoto. |
Modelli di accesso remoto previsti di base e segnalazione delle deviazioni durante l'analisi forense dei metadati.
Campi metadati RADIUS e attributi di autenticazione e contabilità
I metadati RADIUS registrano il comportamento di autenticazione e contabilità del controllo degli accessi, inclusi identificatori di sessione, durata, contatori di pacchetti/byte, indirizzamento e indicatori di policy.
Questi tipi di metadati di rete aiutano a tracciare i percorsi di accesso remoto tramite VPN, NAC o sistemi wireless.
|
| Campo |
Descrizione |
| account_authentic |
Identifica come l'utente è stato autenticato |
| tempo_di_ritardo_account |
Identifica da quanto tempo il mittente sta tentando di inviare il messaggio. |
| account_input_gigawords |
Identifica quante volte il contatore Acct-Input è stato azzerato per l'input. |
| account_input_octets |
Quanti byte sono stati ricevuti |
| account_input_packets |
Quanti pacchetti ha ricevuto il sistema |
| account_output_gigawords |
Identifica quante volte il contatore Acct-Input è stato azzerato per l'output. |
| account_output_octets |
Quanti byte sono stati impostati |
| account_output_packets |
Quanti pacchetti ha inviato il sistema |
| account_session_id |
Si tratta di un ID univoco che identifica la sessione di accounting RADIUS inviata in un pacchetto separato. |
| tempo_sessione_account |
Durata del servizio ricevuto dall'utente |
| ID_stazione_chiamante |
Questo è l'identificativo della stazione chiamante. |
| informazioni_di_connessione |
Identificare la velocità della connessione o altre informazioni relative alla connessione |
| prefisso_ipv6_delegato |
Pool IPv6 da cui è stato assegnato l'indirizzo IPv6 |
| dst_display_name |
Nome DNS della destinazione |
| dst_host_luid |
Questo è l'ID dell'host di destinazione con ID host |
| dst_luid |
Il LUID del server RADIUS |
| dst_luid_esterno |
Il valore è True se la destinazione è esterna. |
| timestamp_evento |
Simile a ts, ma è il timestamp del dispositivo, non di Vectra. |
| filter_id |
Questo identifica qualsiasi ACL in uso. |
| indirizzo_incorniciato |
Questo campo è disponibile nella richiesta che identifica endpoint l'autenticazione. |
| interfaccia_incorniciata |
Identifica l'interfaccia utilizzata quando l'utente si connette al sistema. |
| indirizzo_ip_incorniciato |
Indirizzo IP del endpoint che si connette al sistema |
| prefisso_ipv6_incorniciato |
Indica il prefisso IPv6 incorniciato per l'utente |
| protocollo_incorniciato |
Identifica il protocollo Framed utilizzato quando l'utente si connette al sistema. |
Utilizza i campi contabili e NAS per verificare l'ambito e la durata dell'accesso prima di passare alle attività SMB o RDP.
Campi metadati RADIUS estesi e attributi di controllo dell'accesso alla rete
I metadati RADIUS estesi aggiungono il contesto relativo al dispositivo e all'applicazione: identificatori e porte NAS, timeout di sessione e di inattività, endpoint del tunnel, indicatori di origine esterna, tempi di risposta e presenza di campi sensibili (come la password). Questi campi aiutano a interpretare come sono state implementate le decisioni di accesso.
|
| Campo |
Descrizione |
| tempo_di_inattività |
Tempo massimo di inattività di una sessione prima che venga disconnessa |
| registrato |
L'attributo booleano indica se la richiesta è stata precedentemente registrata. |
| mac |
Indirizzo MAC se osservato come campo nel messaggio Radius |
| nas_identificatore |
Identifica il ruolo richiesto dal client che esegue l'autenticazione. |
| indirizzo_ip_nas |
Si tratta di un formato di indirizzo IP, che può essere l'IP del dispositivo, Endpoint o del sistema intermedio, a seconda dell'implementazione. |
| nas_port |
Numero della porta fisica del dispositivo che autentica l'utente |
| nas_port_id |
Stringa di testo che identifica la porta fornita dal client |
| tipo_porta_nas |
Questo è il tipo di supporto della porta (ad esempio Ethernet, Wi-Fi ecc.). |
| password_vista |
Attributo booleano che indica che la password è stata visualizzata |
| tipo_raggio |
Il valore indica se si tratta di una richiesta di accesso o di contabilità. |
| risposta_msg |
Messaggio di risposta dalla sfida del server. Viene spesso mostrato all'utente che sta effettuando l'autenticazione. |
| timestamp_risposta |
Data e ora di ricezione del messaggio di risposta |
| risultato |
Autenticazione riuscita o fallita |
| tipo_servizio |
Tipo di servizio richiesto dall'utente |
| timeout_sessione |
Questa è la durata massima della sessione. |
| src_display_name |
Nome DNS dell'origine |
| src_host_luid |
Questo è l'ID della sorgente con l'ID host. |
| src_luid |
Il LUID del client RADIUS |
| src_luid_esterno |
Il valore è True se la fonte è esterna. |
| ttl |
Il tempo trascorso tra la prima richiesta e il messaggio "Access-Accept" o un errore. Se il campo è vuoto, significa che la richiesta o la risposta non sono state rilevate. |
| cliente_tunnel |
Indirizzo (IPv4, IPv6 o FQDN) dell'estremità iniziatrice del tunnel, se presente. Questo dato viene raccoltoEndpoint . |
| nome utente |
Questo è il nome utente se osservato nel messaggio Radius. |
Utilizza il contesto NAS e tunnel per individuare con precisione dove è stato concesso l'accesso, quale servizio è stato richiesto e per quanto tempo è durato, particolarmente utile quando si tracciano i percorsi di accesso remoto nelle attività SMB/RDP interne.
Campi dei metadati dei file SMB e attributi delle operazioni sui file
I metadati dei file SMB acquisiscono le operazioni a livello di file, tra cui creazione, rinominazione, comportamento di eliminazione alla chiusura, contesto del percorso, versione SMB e attribuzione dell'utente.
Questi tipi di metadati sono fondamentali per le indagini relative al ransomware e allo staging laterale.
|
| Campo | Descrizione |
|---|
| azione | Azioni intraprese sul fascicolo |
| cancella_alla_chiusura* | Flag che indica se l'attributo delete_on_close è abilitato. Se abilitato, l'azione di chiusura di un file può eliminare il file se si tratta dell'ultima chiusura del file. |
| dominio* | Dominio del server SMB |
| nome host* | Nome host del client SMB |
| percorso | Il percorso estratto dal file dell'albero è stato trasferito da o verso |
| nome_precedente | Se è stata rilevata l'azione di rinominazione, questo sarà il nome precedente del file. |
| nome | Nome del file, se presente |
| nome utente* | Nome utente o nome dell'account con cui è stato effettuato l'accesso. I nomi che terminano con "$" sono nomi di computer (non nomi di account utente). |
| versione | Versione SMB (SMBv1 o SMBv2) |
Utilizza le azioni sui file e i modelli di rinominazione per identificare comportamenti distruttivi durante la ricerca delle minacce.
Campi dei metadati di mappatura SMB e attributi di connessione condivisa
I metadati di mappatura SMB acquisiscono le connessioni ad albero e condividono l'accesso prima dell'interazione con i file.
Questo livello arricchisce i metadati collegando l'identità dell'utente al contesto di condivisione dell'accesso.
|
| Campo | Descrizione |
|---|
| dominio* | Dominio del server SMB |
| nome host* | Nome host del client SMB |
| percorso | Nome del percorso dell'albero |
| servizio | Tipo di re-originatore dell'albero |
| nome utente* | Nome utente o nome dell'account con cui è stato effettuato l'accesso. I nomi che terminano con "$" sono nomi di computer (non nomi di account utente). |
| versione | Versione SMB (SMBv1 o SMBv2) |
Utilizza gli eventi di mappatura per stabilire la provenienza degli accessi prima di analizzare le operazioni a livello di file.
Campi metadati SMTP e attributi dell'intestazione delle e-mail
I metadati SMTP acquisiscono gli attributi dell'intestazione delle e-mail e i risultati dell'autenticazione, inclusi SPF, DKIM, DMARC, utilizzo di TLS e IP di origine. I metadati di rete relativi alle e-mail supportano la ricerca delle minacce per phishing e il comportamento dei mittenti falsificati.
|
| Campo | Descrizione |
|---|
| cc | Contenuto dell'intestazione CC, formattato come elenco separato da virgole |
| data | Contenuto dell'intestazione Data |
| dkim_status | pass/fail/none. Basato sull'intestazione "Authentication-results" |
| dmarc_status | pass/fail/none. Basato sull'intestazione "Authentication-results" |
| prima_ricevuta | Contenuto del primo header Received, che indica il primo server SMTP a ricevere questo messaggio (ovvero il server di invio). |
| da | Contenuto dell'intestazione From |
| ciao | Contenuto dell'intestazione Helo |
| in_risposta_a | Contenuto dell'intestazione In-Reply-To |
| mail_from | Indirizzi e-mail trovati nell'intestazione "Da" |
| msgid | Contenuto dell'intestazione MsgID |
| rcpt_to | Indirizzi e-mail presenti nell'intestazione Rcpt, formattati come elenco separato da virgole |
| rispondi a | Contenuto dell'intestazione ReplyTo |
| secondo_ricevuto | Contenuto della seconda intestazione Received, che indica il secondo server SMTP che riceve questo messaggio. |
| oggetto | Contenuto dell'intestazione dell'oggetto |
| spf_helo_status | Basato sull'intestazione "Received-SPF" in smtp. Questa intestazione specifica lo stato SPF (Sender Policy Framework). Uno tra pass/fail/neutral/softfail/none/temperror/permerror. Vedi: https://tools.ietf.org/html/rfc7208#section-9.1 |
| spf_mailfrom_status | Uno tra superato/fallito/neutro/fallito leggermente/nessuno/errore temporaneo/errore permanente |
| tls | Indica che la connessione è passata all'utilizzo di TLS. |
| a | Contenuto dell'intestazione To, formattato come elenco separato da virgole |
| user_agent | Valore dell'intestazione User-Agent dal client |
| x_ip_di_origine | Contenuto dell'intestazione X-Originating-IP |
Utilizza i risultati dell'autenticazione e i metadati della catena di trasmissione per la convalida forense della legittimità del mittente.
Campi metadati SSH e attributi di negoziazione della sessione crittografata
I metadati SSH acquisiscono i dettagli della negoziazione, tra cui le versioni client/server, lo scambio di chiavi, la selezione della crittografia, l'algoritmo MAC e gli hash delle impronte digitali. Questi tipi di metadati supportano l'identificazione di strumenti amministrativi anomali e comportamenti non autorizzati della shell remota.
|
| Campo | Descrizione |
|---|
| cliente | La stringa della versione del cliente |
| algoritmo_di_crittografia | L'algoritmo di crittografia in uso |
| algoritmo_di_compressione | L'algoritmo di compressione in uso |
| hassh | hash hash del client basato sui parametri SSH del client |
| hassh_server | hashServer hash del server basato sui parametri SSH del client |
| chiave_host | Impronta digitale della chiave del server |
| host_key_alg | L'algoritmo della chiave host del server |
| kex_alg | L'algoritmo di scambio delle chiavi in uso |
| mac_alg | L'algoritmo di firma (MAC) in uso |
| server | La stringa della versione del server |
| versione | Versione principale SSH (1 o 2) |
Utilizza i campi algoritmo e impronta digitale per definire gli strumenti amministrativi previsti e identificare clienti o modelli di negoziazione insoliti, quindi passa alla connettività della sessione per comprendere la durata, la direzione e il volume della stessa sessione SSH.
Campi metadati SSL/TLS e attributi di sessione crittografati
I metadati SSL/TLS acquisiscono le caratteristiche della negoziazione dell'handshake e dello scambio di certificati per le sessioni crittografate. I campi sottostanti includono le versioni del protocollo, la suite di cifratura scelta, i parametri della curva, le estensioni client/server, gli identificatori dell'emittente/soggetto, SNI e le impronte digitali JA3/JA4, oltre allo stato di stabilizzazione.
|
| Campo | Descrizione |
|---|
| applicazione | Applicazioni associate a questa sessione |
| cifra | Suite di cifratura SSL/TLS scelta dal server |
| numero_curva_cliente* | Numero della curva ellittica inviato dal client |
| client_ec_point_format* | Formato dei punti della curva ellittica offerto dal client |
| client_extension* | Estensioni client |
| emittente_cliente | Emittente certificato cliente |
| client_luid_proxy | True if the source address of the connection has been learned as a proxy |
| oggetto_cliente | Oggetto certificato cliente |
| versione_cliente* | Stringa della versione SSL inviata dal client |
| numero_versione_cliente* | Numero di versione SSL inviato dal client |
| curva | Numero di curva ellittica per ECDHE |
| stabilito | Flag che indica se questa sessione SSL è stata stabilita correttamente o se è stata interrotta durante l'handshake. |
| emittente | Emittente certificato server |
| ja3 | Hash JA3 del client basato sui parametri SSL del client |
| ja3s | Hash JA3S del server basato sui parametri SSL del server |
| ja4 | L'impronta digitale JA4 del client TLS |
| ja4s | L'impronta digitale JA4S della risposta del server TLS |
| protocollo_successivo | Protocollo successivo scelto dal server utilizzando l'estensione del protocollo successivo del livello applicativo, se presente |
| proxy_to_internal_dst | True if effective destination after proxy is internal ip |
| estensioni_server | Estensioni server |
| server_luid_proxy | True if the destination address of the connection has been learned as a proxy |
| nome_server | Valore SNI |
| oggetto | Oggetto certificato server |
| versione | Versione SSL/TLS scelta dal server |
| numero_versione | Versione numerica SSL/TLS scelta dal server |
| versione/numero_versione | Numero di versione SSL |
Utilizza le impronte digitali TLS e il contesto SNI/certificato per identificare le implementazioni client/server e l'identità di destinazione, quindi passa a X.509 per ispezionare le proprietà del certificato e la copertura SAN per un'analisi di affidabilità più approfondita.
Campi dei metadati dei certificati X.509 e attributi dei certificati digitali
I metadati X.509 registrano l'identità del certificato e le caratteristiche di affidabilità, tra cui la composizione del soggetto/emittente, i periodi di validità, i valori SAN, la lunghezza della chiave, l'algoritmo di firma e l'impronta digitale JA4X. Questi tipi di metadati supportano l'analisi forense dei metadati basata sui certificati e il rilevamento di infrastrutture sospette.
|
| Campo | Descrizione |
|---|
| applicazione | Applicazioni associate a questa sessione |
| vincoli_di_base.ca | Flag che indica se il soggetto del certificato è una CA |
| limiti_di_base.lunghezza_percorso | Profondità massima dei percorsi di certificazione validi che includono questo certificato |
| certificato.cn | Nome comune che identifica il nome host del certificato |
| certificato.curva | Curva, se certificato CE |
| certificato.esponente | Esponente chiave |
| certificato.emittente | Combinazione di paese, organizzazioni, nome comune, emittente, URI |
| certificato.chiave_alg | Nome dell'algoritmo a chiave pubblica utilizzato nella trasmissione dei dati, ad esempio crittografia RSA. |
| lunghezza_chiave_certificato | Numero di bit utilizzati nella crittografia, ad esempio crittografia a 2.048 bit |
| certificato.tipo_chiave | Tre tipi di chiavi, a seconda dell'algoritmo della chiave |
| certificato.non_valido_dopo | Tempo trascorso dopo la scadenza del certificato |
| certificato.non_valido_prima | Tempo prima che il certificato non sia più valido |
| certificato.autoemesso | Flag booleano che indica se il certificato è auto-emesso o supportato da una CA |
| certificato.seriale | Numero di serie univoco assegnato dall'autorità di certificazione o dall'autorità che ha firmato il certificato. Di solito è composto da 40 caratteri esadecimali. |
| certificato.sig_alg | Nome dell'algoritmo di firma |
| certificato.oggetto | Titolare del certificato (nome distinto) |
| versione del certificato | Versione del certificato del server (SSL V3, TLS V1, TLS V2, ecc.) |
| client_luid_proxy | True if the source address of the connection has been learned as a proxy |
| ja4x | L'impronta digitale JA4X del certificato TLS X.509 |
| proxy_to_internal_dst | True if effective destination after proxy is internal ip |
| san.dns | Specificare un elenco di nomi host aggiuntivi per un singolo certificato insieme ai nomi DNS associati a SAN (Subject Alternative Name, nome alternativo del soggetto). |
| san.email | Indirizzo e-mail associato al SAN |
| san.ip | Indirizzo IP della SAN nel certificato digitale |
| san.altri_campi | Altri campi nella SAN |
| san.uri | Nome URL associato a SAN |
| versione/numero_versione | Numero di versione SSL |
| server_luid_proxy | True if the destination address of the connection has been learned as a proxy |
Utilizza gli attributi X.509 per valutare il livello di affidabilità e riutilizzare i modelli, quindi ricollegali ai metadati TLS e DNS per completare la catena investigativa.
