9.3. Comparaison des compteurs entre V102 et V103
9.3.1. Moteur Beacon detect
Ce moteur est apparu dans la version 103, cette section n'est donc pas applicable.
9.3.2. Moteur Malcore
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
analyzed_clean |
malcore.analyzed_clean |
modifié |
analyzed_error |
malcore.analyzed_error |
modifié |
analyzed_infected |
malcore.analyzed_infected |
modifié |
analyzed_other |
malcore.analyzed_other |
modifié |
analyzed_suspicious |
malcore.analyzed_suspicious |
modifié |
analyzers_up |
malcore.analyzers_up |
modifié |
app_proto |
network.protocol |
modifié |
code |
malcore.code |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
detail_scan_time |
malcore.detail_scan_time |
modifié |
detail_threat_found |
malcore.detail_threat_found |
modifié |
detail_wait_time |
malcore.detail_wait_time |
modifié |
engine_id.0.id |
malcore.engine_id.0.id |
modifié |
engine_id.0.scan_result |
malcore.engine_id.0.scan_result |
modifié |
engine_id.0.threat_details |
malcore.engine_id.0.threat_details |
modifié |
engine_id.1.id |
malcore.engine_id.1.id |
modifié |
engine_id.1.scan_result |
malcore.engine_id.1.scan_result |
modifié |
engine_id.1.threat_details |
malcore.engine_id.1.threat_details |
modifié |
engine_id.10.id |
malcore.engine_id.10.id |
modifié |
engine_id.10.scan_result |
malcore.engine_id.10.scan_result |
modifié |
engine_id.10.threat_details |
malcore.engine_id.10.threat_details |
modifié |
engine_id.11.id |
malcore.engine_id.11.id |
modifié |
engine_id.11.scan_result |
malcore.engine_id.11.scan_result |
modifié |
engine_id.11.threat_details |
malcore.engine_id.11.threat_details |
modifié |
engine_id.12.id |
malcore.engine_id.12.id |
modifié |
engine_id.12.scan_result |
malcore.engine_id.12.scan_result |
modifié |
engine_id.12.threat_details |
malcore.engine_id.12.threat_details |
modifié |
engine_id.13.id |
malcore.engine_id.13.id |
modifié |
engine_id.13.scan_result |
malcore.engine_id.13.scan_result |
modifié |
engine_id.13.threat_details |
malcore.engine_id.13.threat_details |
modifié |
engine_id.14.id |
malcore.engine_id.14.id |
modifié |
engine_id.14.scan_result |
malcore.engine_id.14.scan_result |
modifié |
engine_id.14.threat_details |
malcore.engine_id.14.threat_details |
modifié |
engine_id.15.id |
malcore.engine_id.15.id |
modifié |
engine_id.15.scan_result |
malcore.engine_id.15.scan_result |
modifié |
engine_id.15.threat_details |
malcore.engine_id.15.threat_details |
modifié |
engine_id.2.id |
malcore.engine_id.2.id |
modifié |
engine_id.2.scan_result |
malcore.engine_id.2.scan_result |
modifié |
engine_id.2.threat_details |
malcore.engine_id.2.threat_details |
modifié |
engine_id.3.id |
malcore.engine_id.3.id |
modifié |
engine_id.3.scan_result |
malcore.engine_id.3.scan_result |
modifié |
engine_id.3.threat_details |
malcore.engine_id.3.threat_details |
modifié |
engine_id.4.id |
malcore.engine_id.4.id |
modifié |
engine_id.4.scan_result |
malcore.engine_id.4.scan_result |
modifié |
engine_id.4.threat_details |
malcore.engine_id.4.threat_details |
modifié |
engine_id.5.id |
malcore.engine_id.5.id |
modifié |
engine_id.5.scan_result |
malcore.engine_id.5.scan_result |
modifié |
engine_id.5.threat_details |
malcore.engine_id.5.threat_details |
modifié |
engine_id.6.id |
malcore.engine_id.6.id |
modifié |
engine_id.6.scan_result |
malcore.engine_id.6.scan_result |
modifié |
engine_id.6.threat_details |
malcore.engine_id.6.threat_details |
modifié |
engine_id.7.id |
malcore.engine_id.7.id |
modifié |
engine_id.7.scan_result |
malcore.engine_id.7.scan_result |
modifié |
engine_id.7.threat_details |
malcore.engine_id.7.threat_details |
modifié |
engine_id.8.id |
malcore.engine_id.8.id |
modifié |
engine_id.8.scan_result |
malcore.engine_id.8.scan_result |
modifié |
engine_id.8.threat_details |
malcore.engine_id.8.threat_details |
modifié |
engine_id.9.id |
malcore.engine_id.9.id |
modifié |
engine_id.9.scan_result |
malcore.engine_id.9.scan_result |
modifié |
engine_id.9.threat_details |
malcore.engine_id.9.threat_details |
modifié |
engines_last_update_date |
malcore.last_update_date |
modifié |
event_type |
peu_modifié |
|
file_type |
malcore.file_type |
modifié |
file_type_description |
malcore.file_type_description |
modifié |
fileinfo.file_id |
file.file_id |
modifié |
fileinfo.filename |
file.name |
modifié |
fileinfo.gaps |
file.gaps |
modifié |
fileinfo.magic |
file.magic |
modifié |
fileinfo.md5 |
file.hash.md5 |
modifié |
fileinfo.sha1 |
file.sha1 |
modifié |
fileinfo.sha256 |
file.hash.sha256 |
modifié |
fileinfo.sid[0] |
file.sid[0] |
modifié |
fileinfo.size |
file.size |
modifié |
fileinfo.state |
file.state |
modifié |
fileinfo.stored |
file.stored |
modifié |
fileinfo.tx_id |
file.tx_id |
modifié |
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
http.accept |
http.accept |
idem |
http.accept_encoding |
http.accept_encoding |
idem |
http.content_type |
http.response.mime_type |
modifié |
http.date |
http.date |
idem |
http.hostname |
http.hostname |
idem |
http.http_content_type |
http.request.mime_type |
modifié |
http.http_method |
http.request.method |
|
http.http_user_agent |
user_agent.original |
modifié |
http.server |
http.server |
idem |
http.status |
http.response.status |
modifié |
http.url |
url.path |
modifié |
in_iface |
observer.gcap.ingress.interface.name |
modifié |
magic_details |
malcore.magic_details |
modifié |
processing_time |
malcore.processing_time |
modifié |
proto |
network.transport |
modifié |
reporting_token |
malcore.reporting_token |
modifié |
severity |
event.severity |
modifié |
SHA256 |
enlevé |
|
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
state |
malcore.state |
modifié |
timestamp |
peu_modifié |
|
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
total_found |
malcore.total_found |
modifié |
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
url.domain |
ajouté |
|
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.category[1] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.3. Moteur DGA
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
type |
enlevé |
|
event_type |
peu_modifié |
|
uuid |
observer.uuid |
modifié |
matched_event |
event.id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
dest_port |
destination.port |
modifié |
src_port |
peu_modifié |
|
src_ip |
source.ip |
modifié |
dest_ip |
destination.ip |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
severity |
event.severity |
modifié |
probability |
dga.dga_ratio |
modifié |
domain_name |
peu_modifié |
|
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.end |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.category[1] |
ajouté |
|
event.start |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
network.transport |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
|
dga.nx_domain_count |
ajouté |
|
dga.top_DGA[0] |
ajouté |
|
dga.top_DGA[1] |
ajouté |
|
dga.top_DGA[2] |
ajouté |
|
dga.top_DGA[3] |
ajouté |
|
dga.top_DGA[4] |
ajouté |
|
dga.top_DGA[5] |
ajouté |
|
dga.top_DGA[6] |
ajouté |
|
dga.top_DGA[7] |
ajouté |
|
dga.top_DGA[8] |
ajouté |
|
dga.top_DGA[9] |
ajouté |
|
dga.dga_count |
ajouté |
|
dga.malware_behavior_confidence |
ajouté |
9.3.4. Moteur Malicious powershell
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
event_type |
peu_modifié |
|
file_id |
malicious_powershell.sample_id |
modifié |
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
MD5 |
malicious_powershell.id |
modifié |
scores.analysis |
malicious_powershell.score |
modifié |
scores.analysis_detailed.AddContent |
malicious_powershell.score_details.AddContent |
modifié |
scores.analysis_detailed.Base64 |
malicious_powershell.score_details.Base64 |
modifié |
scores.analysis_detailed.CharInt |
malicious_powershell.score_details.CharInt |
modifié |
scores.analysis_detailed.FmtStr |
malicious_powershell.score_details.FmtStr |
modifié |
scores.analysis_detailed.GetContent |
malicious_powershell.score_details.GetContent |
modifié |
scores.analysis_detailed.InvokeExpression |
malicious_powershell.score_details.InvokeExpression |
modifié |
scores.analysis_detailed.InvokeRestMethod |
malicious_powershell.score_details.InvokeRestMethod |
modifié |
scores.analysis_detailed.InvokeWebRequest |
malicious_powershell.score_details.InvokeWebRequest |
modifié |
scores.analysis_detailed.SetContent |
malicious_powershell.score_details.SetContent |
modifié |
scores.analysis_detailed.StartBitsTransfer |
malicious_powershell.score_details.StartBitsTransfer |
modifié |
scores.analysis_detailed.StrCat |
malicious_powershell.score_details.StrCat |
modifié |
scores.analysis_detailed.StreamReader |
malicious_powershell.score_details.StreamReader |
modifié |
scores.analysis_detailed.StreamWriter |
malicious_powershell.score_details.StreamWriter |
modifié |
scores.analysis_detailed.StrJoin |
malicious_powershell.score_details.StrJoin |
modifié |
scores.analysis_detailed.StrReplace |
malicious_powershell.score_details.StrReplace |
modifié |
scores.analysis_detailed.SystemIOFile |
malicious_powershell.score_details.SystemIOFile |
modifié |
scores.analysis_detailed.WebClientInvokation |
malicious_powershell.score_details.WebClientInvokation |
modifié |
scores.proba_obfuscated |
malicious_powershell.proba_obfuscated |
modifié |
severity |
event.severity |
modifié |
SHA256 |
enlevé |
|
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
state |
enlevé |
|
sub_type |
enlevé |
|
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.category[1] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
network.transport |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.gcap.ingress.interface.name |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.5. Moteur Shellcode
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
calls.0.args |
shellcode.analysis[0].args |
modifié |
calls.0.call |
shellcode.analysis[0].call |
modifié |
calls.0.ret |
shellcode.analysis[0].ret |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
encodings[0].count |
shellcode.encodings[0].count |
modifié |
encodings[0].name |
shellcode.encodings[0].count |
modifié |
event_type |
peu_modifié |
|
file_id |
shellcode.sample_id |
modifié |
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
MD5 |
shellcode.id |
modifié |
severity |
event.severity |
modifié |
SHA256 |
enlevé |
|
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
state |
enlevé |
|
sub_type |
shellcode.sub_type |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.category[1] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
network.transport |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.gcap.ingress.interface.name |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.6. Moteur Ransomware detect
Ce moteur est apparu dans la version 103, cette section n'est donc pas applicable.
9.3.7. Sigflow alert
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
type |
enlevé |
|
event_type |
peu_modifié |
|
proto |
network.transport |
modifié |
uuid |
observer.uuid |
modifié |
src_port |
source.port |
modifié |
dest_port |
destination.port |
modifié |
src_ip |
source.ip |
modifié |
dest_ip |
destination.ip |
modifié |
ether.src_mac |
source.mac |
modifié |
ether.dest_mac |
destination.mac |
modifié |
community_id |
network.community_id |
modifié |
in_iface |
observer.gcap.ingress.interface.name |
modifié |
gcap |
observer.gcap.hostname |
modifié |
host |
enlevé |
|
gcenter |
observer.hostname |
modifié |
flow_id |
network.flow_id |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
flow.pkts_toclient |
flow.pkts_toclient |
idem |
flow.bytes_toclient |
flow.bytes_toclient |
idem |
flow.pkts_toserver |
flow.pkts_toserver |
idem |
flow.bytes_toserver |
flow.bytes_toserver |
idem |
flow.start |
flow.start |
idem |
http.http_user_agent |
user_agent.original |
modifié |
http.protocol |
http.version |
modifié |
http.length |
http.response.bytes |
modifié |
http.http_content_type |
http.response.mime_type |
modifié |
http.http_method |
http.request.method |
modifié |
http.hostname |
http.hostname |
idem |
http.url |
url.path |
modifié |
http.status |
http.response.status |
modifié |
url.domain |
ajouté |
|
payload |
sigflow.payload |
modifié |
payload_printable |
sigflow.payload_printable |
modifié |
alert.signature |
sigflow.signature |
modifié |
alert.rev |
sigflow.rev |
modifié |
alert.gid |
sigflow.gid |
modifié |
alert.severity |
enlevé |
|
alert.action |
sigflow.action |
modifié |
alert.category |
sigflow.category |
modifié |
alert.signature_id |
sigflow.signature_id |
modifié |
alert.metadata.created_at[0] |
sigflow.metadata.created_at[0] |
modifié |
alert.metadata.updated_at[0] |
sigflow.metadata.updated_at[0] |
modifié |
stream |
sigflow.stream |
modifié |
severity |
event.severity |
modifié |
tx_id |
network.tx_id |
modifié |
packet_info.linktype |
sigflow.packet_info.linktype |
modifié |
packet |
sigflow.packet |
modifié |
app_proto |
network.protocol |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.category[1] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.8. Sigflow dcerpc
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
dcerpc.call_id |
dcerpc.call_id |
idem |
dcerpc.interfaces[0].ack_result |
dcerpc.interfaces[0].ack_result |
idem |
dcerpc.interfaces[0].uuid |
dcerpc.interfaces[0].uuid |
idem |
dcerpc.interfaces[0].version |
dcerpc.interfaces[0].version |
idem |
dcerpc.interfaces[1].ack_result |
dcerpc.interfaces[1].ack_result |
idem |
dcerpc.interfaces[1].uuid |
dcerpc.interfaces[1].uuid |
idem |
dcerpc.interfaces[1].version |
dcerpc.interfaces[1].version |
idem |
dcerpc.request |
dcerpc.request |
idem |
dcerpc.response |
dcerpc.response |
idem |
dcerpc.rpc_version |
dcerpc.rpc_version |
idem |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.9. Sigflow DGA
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
domain_name |
peu_modifié |
|
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
matched_event |
event.id |
modifié |
probability |
dga.dga_ratio |
modifié |
severity |
event.severity |
modifié |
src_ip |
source.ip |
modifié |
src_port |
peu_modifié |
|
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.end |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.category[1] |
ajouté |
|
event.start |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
network.transport |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
|
dga.nx_domain_count |
ajouté |
|
dga.top_DGA[0] |
ajouté |
|
dga.top_DGA[1] |
ajouté |
|
dga.top_DGA[2] |
ajouté |
|
dga.top_DGA[3] |
ajouté |
|
dga.top_DGA[4] |
ajouté |
|
dga.top_DGA[5] |
ajouté |
|
dga.top_DGA[6] |
ajouté |
|
dga.top_DGA[7] |
ajouté |
|
dga.top_DGA[8] |
ajouté |
|
dga.top_DGA[9] |
ajouté |
|
dga.dga_count |
ajouté |
|
dga.malware_behavior_confidence |
ajouté |
9.3.10. Sigflow dhcp
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
dhcp.assigned_ip |
dhcp.assigned_ip |
idem |
dhcp.client_ip |
dhcp.client_ip |
idem |
dhcp.client_mac |
dhcp.client_mac |
idem |
dhcp.dhcp_type |
dhcp.dhcp_type |
idem |
dhcp.hostname |
dhcp.hostname |
idem |
dhcp.id |
dhcp.id |
idem |
dhcp.params[0] |
dhcp.params[0] |
idem |
dhcp.params[1] |
dhcp.params[1] |
idem |
dhcp.params[2] |
dhcp.params[2] |
idem |
dhcp.params[3] |
dhcp.params[3] |
idem |
dhcp.params[4] |
dhcp.params[4] |
idem |
dhcp.type |
dhcp.type |
idem |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.11. Sigflow dnp3
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
dnp3.application.complete |
dnp3.application.complete |
idem |
dnp3.application.control.con |
dnp3.application.control.con |
idem |
dnp3.application.control.fin |
dnp3.application.control.fin |
idem |
dnp3.application.control.fir |
dnp3.application.control.fir |
idem |
dnp3.application.control.sequence |
dnp3.application.control.sequence |
idem |
dnp3.application.control.uns |
dnp3.application.control.uns |
idem |
dnp3.application.function_code |
dnp3.application.function_code |
idem |
dnp3.control.dir |
dnp3.control.dir |
idem |
dnp3.control.fcb |
dnp3.control.fcb |
idem |
dnp3.control.fcv |
dnp3.control.fcv |
idem |
dnp3.control.function_code |
dnp3.control.function_code |
idem |
dnp3.control.pri |
dnp3.control.pri |
idem |
dnp3.dst |
dnp3.dst |
idem |
dnp3.iin.indicators[0] |
dnp3.iin.indicators[0] |
idem |
dnp3.src |
dnp3.src |
idem |
dnp3.type |
dnp3.type |
idem |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.12. Sigflow dns
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
dns.answers[0].rdata |
dns.answers.data[0].rdata |
modifié |
dns.answers[0].rrname |
dns.answers.data[0].rrname |
modifié |
dns.answers[0].rrtype |
dns.answers.data[0].rrtype |
modifié |
dns.answers[0].ttl |
dns.answers.data[0].ttl |
modifié |
dns.flags |
dns.flags |
idem |
dns.grouped.A[0] |
dns.grouped.A[0] |
idem |
dns.id |
dns.id |
idem |
dns.qr |
dns.qr |
idem |
dns.ra |
dns.ra |
idem |
dns.rcode |
dns.response_code |
modifié |
dns.rd |
dns.rd |
idem |
dns.type |
dns.type |
idem |
dns.version |
dns.version |
idem |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.13. Sigflow file
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
app_proto |
network.protocol |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
event_type |
peu_modifié |
|
fileinfo.file_id |
file.file_id |
modifié |
fileinfo.filename |
file.name |
modifié |
fileinfo.gaps |
file.gaps |
modifié |
fileinfo.magic |
file.magic |
modifié |
fileinfo.md5 |
file.hash.md5 |
modifié |
fileinfo.sha1 |
file.sha1 |
modifié |
fileinfo.sha256 |
file.hash.sha256 |
modifié |
fileinfo.sid[0] |
file.sid[0] |
modifié |
fileinfo.size |
file.size |
modifié |
fileinfo.state |
file.state |
modifié |
fileinfo.stored |
file.stored |
modifié |
fileinfo.tx_id |
file.tx_id |
modifié |
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
http.hostname |
http.hostname |
idem |
http.http_content_type |
http.response.mime_type |
modifié |
http.http_method |
http.request.method |
modifié |
http.http_user_agent |
user_agent.original |
modifié |
http.length |
http.response.bytes |
modifié |
http.protocol |
http.version |
modifié |
http.status |
http.response.status |
modifié |
http.url |
url.path |
modifié |
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
url.domain |
ajouté |
|
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.category[1] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.14. Sigflow ftp
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
ftp.completion_code[0] |
ftp.completion_code[0] |
idem |
ftp.reply_received |
ftp.reply_received |
idem |
ftp.reply_truncated |
ftp.reply_truncated |
idem |
ftp.reply[0] |
ftp.reply[0] |
idem |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
tx_id |
network.tx_id |
modifié |
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.15. Sigflow ftp data
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
ftp_data.command |
ftp_data.command |
idem |
ftp_data.filename |
ftp_data.filename |
idem |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
parent_id |
parent_id |
idem |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
tx_id |
network.tx_id |
modifié |
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.16. Sigflow http
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
http.accept |
http.accept |
idem |
http.accept_encoding |
http.accept_encoding |
idem |
http.content_type |
http.response.mime_type |
modifié |
http.date |
http.date |
idem |
http.hostname |
http.hostname |
idem |
http.http_content_type |
http.request.mime_type |
modifié |
http.http_method |
http.request.method |
|
http.http_parsed_user_agent.device |
user_agent.device.name |
modifié |
http.http_parsed_user_agent.name |
user_agent.name |
modifié |
http.http_parsed_user_agent.os |
user_agent.os.family |
modifié |
http.http_parsed_user_agent.os_full |
user_agent.os.full |
modifié |
http.http_parsed_user_agent.os_name |
user_agent.os.name |
modifié |
http.http_user_agent |
user_agent.original |
modifié |
http.last_modifié |
http.last_modifié |
modifié |
http.length |
http.response.bytes |
modifié |
http.protocol |
http.version |
modifié |
http.server |
http.server |
idem |
http.status |
http.response.status |
modifié |
http.url |
url.path |
modifié |
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
tx_id |
network.tx_id |
modifié |
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
url.domain |
ajouté |
|
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.17. Sigflow http2
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
http.http_method |
http.request.method |
|
http.http_parsed_user_agent.device |
user_agent.device.name |
modifié |
http.http_parsed_user_agent.name |
user_agent.name |
modifié |
http.http_parsed_user_agent.os |
user_agent.os.family |
modifié |
http.http_parsed_user_agent.os_full |
user_agent.os.full |
modifié |
http.http_parsed_user_agent.os_name |
user_agent.os.name |
modifié |
http.http_user_agent |
user_agent.original |
modifié |
http.http2.request.priority |
http.http2.request.priority |
idem |
http.http2.stream_id |
http.http2.stream_id |
idem |
http.length |
http.response.bytes |
modifié |
http.request_headers[0].name |
http.request_headers[0].name |
idem |
http.request_headers[0].value |
http.request_headers[0].value |
idem |
http.request_headers[1].name |
http.request_headers[1].name |
idem |
http.request_headers[1].value |
http.request_headers[1].value |
idem |
http.response_headers[0].name |
http.response_headers[0].name |
idem |
http.response_headers[0].value |
http.response_headers[0].value |
idem |
http.response_headers[1].name |
http.response_headers[1].name |
idem |
http.response_headers[1].value |
http.response_headers[1].value |
idem |
http.status |
http.response.status |
modifié |
http.url |
url.path |
modifié |
http.version |
http.version |
idem |
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
tx_id |
network.tx_id |
modifié |
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.18. Sigflow ikev2
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
ikev2.errors |
ikev2.errors |
idem |
ikev2.exchange_type |
ikev2.exchange_type |
idem |
ikev2.init_spi |
ikev2.init_spi |
idem |
ikev2.message_id |
ikev2.message_id |
idem |
ikev2.notify[0] |
ikev2.notify[0] |
idem |
ikev2.notify[1] |
ikev2.notify[1] |
idem |
ikev2.payload[0] |
ikev2.payload[0] |
idem |
ikev2.payload[1] |
ikev2.payload[1] |
idem |
ikev2.payload[10] |
ikev2.payload[10] |
idem |
ikev2.payload[2] |
ikev2.payload[2] |
idem |
ikev2.payload[3] |
ikev2.payload[3] |
idem |
ikev2.payload[4] |
ikev2.payload[4] |
idem |
ikev2.payload[5] |
ikev2.payload[5] |
idem |
ikev2.payload[6] |
ikev2.payload[6] |
idem |
ikev2.payload[7] |
ikev2.payload[7] |
idem |
ikev2.payload[8] |
ikev2.payload[8] |
idem |
ikev2.payload[9] |
ikev2.payload[9] |
idem |
ikev2.resp_spi |
ikev2.resp_spi |
idem |
ikev2.role |
ikev2.role |
idem |
ikev2.version_major |
ikev2.version_major |
idem |
ikev2.version_minor |
ikev2.version_minor |
idem |
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.19. Sigflow krb5
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
type |
enlevé |
|
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
krb5.cname |
krb5.cname |
idem |
krb5.encryption |
krb5.encryption |
idem |
krb5.msg_type |
krb5.msg_type |
idem |
krb5.realm |
krb5.realm |
idem |
krb5.sname |
krb5.sname |
idem |
krb5.weak_encryption |
krb5.weak_encryption |
idem |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.20. Sigflow mqtt
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
mqtt.connack.dup |
mqtt.connack.dup |
idem |
mqtt.connack.qos |
mqtt.connack.qos |
idem |
mqtt.connack.retain |
mqtt.connack.retain |
idem |
mqtt.connack.return_code |
mqtt.connack.return_code |
idem |
mqtt.connack.session_present |
mqtt.connack.session_present |
idem |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.21. Sigflow netflow
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
app_proto |
network.protocol |
modifié |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
ether.dest_macs[0] |
modifié |
ether.src_mac |
ether.src_macs[0] |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
netflow.age |
netflow.age |
idem |
netflow.bytes |
netflow.bytes |
idem |
netflow.end |
netflow.end |
idem |
netflow.max_ttl |
netflow.max_ttl |
idem |
netflow.min_ttl |
netflow.min_ttl |
idem |
netflow.pkts |
netflow.pkts |
idem |
netflow.start |
netflow.start |
idem |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
|
tcp.ack |
ajouté |
|
tcp.syn |
ajouté |
|
tcp.tcp_flags |
ajouté |
|
tcp.psh |
ajouté |
9.3.22. Sigflow nfs
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
nfs.file_tx |
nfs.file_tx |
idem |
nfs.filename |
nfs.filename |
idem |
nfs.hhash |
nfs.hhash |
idem |
nfs.id |
nfs.id |
idem |
nfs.procedure |
nfs.procedure |
idem |
nfs.status |
nfs.status |
idem |
nfs.type |
nfs.type |
idem |
nfs.version |
nfs.version |
idem |
proto |
network.transport |
modifié |
rpc.auth_type |
rpc.auth_type |
idem |
rpc.creds.gid |
rpc.creds.gid |
idem |
rpc.creds.machine_name |
rpc.creds.machine_name |
idem |
rpc.creds.uid |
rpc.creds.uid |
idem |
rpc.status |
rpc.status |
idem |
rpc.xid |
rpc.xid |
idem |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
file.name |
ajouté |
|
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.23. Sigflow rdp
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
metadata.flowbits[0] |
metadata.flowbits[0] |
idem |
proto |
network.transport |
modifié |
rdp.event_type |
rdp.event_type |
idem |
rdp.protocol |
rdp.protocol |
idem |
rdp.server_supports[0] |
rdp.server_supports[0] |
idem |
rdp.server_supports[1] |
rdp.server_supports[1] |
idem |
rdp.server_supports[2] |
rdp.server_supports[2] |
idem |
rdp.server_supports[3] |
rdp.server_supports[3] |
idem |
rdp.tx_id |
rdp.tx_id |
idem |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.24. Sigflow rfb
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
rfb.authentication.security_type |
rfb.authentication.security_type |
idem |
rfb.authentication.vnc.challenge |
rfb.authentication.vnc.challenge |
idem |
rfb.authentication.vnc.response |
rfb.authentication.vnc.response |
idem |
rfb.client_protocol_version.major |
rfb.client_protocol_version.major |
idem |
rfb.client_protocol_version.minor |
rfb.client_protocol_version.minor |
idem |
rfb.server_protocol_version.major |
rfb.server_protocol_version.major |
idem |
rfb.server_protocol_version.minor |
rfb.server_protocol_version.minor |
idem |
rfb.server_security_failure_reason |
rfb.server_security_failure_reason |
idem |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.25. Sigfmow sip
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
sip.method |
sip.method |
idem |
sip.request_line |
sip.request_line |
idem |
sip.uri |
sip.uri |
idem |
sip.version |
sip.version |
idem |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.26. Sigflow SMB
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
smb.client_dialects[0] |
smb.client_dialects[0] |
idem |
smb.client_dialects[1] |
smb.client_dialects[1] |
idem |
smb.client_dialects[2] |
smb.client_dialects[2] |
idem |
smb.client_dialects[3] |
smb.client_dialects[3] |
idem |
smb.client_dialects[4] |
smb.client_dialects[4] |
idem |
smb.client_guid |
smb.client_guid |
idem |
smb.command |
smb.command |
idem |
smb.dialect |
smb.dialect |
idem |
smb.id |
smb.id |
idem |
smb.max_read_size |
smb.max_read_size |
idem |
smb.max_write_size |
smb.max_write_size |
idem |
smb.server_guid |
smb.server_guid |
idem |
smb.session_id |
smb.session_id |
idem |
smb.status |
smb.status |
idem |
smb.status_code |
smb.status_code |
idem |
smb.tree_id |
smb.tree_id |
idem |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.27. Sigflow SMTP
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
email.attachments[0] |
email.attachments[0] |
idem |
email.body_md5 |
email.body_md5 |
idem |
email.from |
email.from.address |
modifié |
email.message_id |
email.message_id |
idem |
email.status |
email.status |
idem |
email.subject |
email.subject |
idem |
email.subject_md5 |
email.subject_md5 |
idem |
email.to[0] |
email.to.address[0] |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
smtp.helo |
smtp.helo |
idem |
smtp.mail_from |
smtp.mail_from |
idem |
smtp.rcpt_to[0] |
smtp.rcpt_to[0] |
idem |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
tx_id |
network.tx_id |
modifié |
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.28. Sigflow snmp
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
type |
enlevé |
|
event_type |
peu_modifié |
|
proto |
network.transport |
modifié |
uuid |
observer.uuid |
modifié |
src_port |
source.port |
modifié |
dest_port |
destination.port |
modifié |
src_ip |
source.ip |
modifié |
dest_ip |
destination.ip |
modifié |
ether.src_mac |
source.mac |
modifié |
ether.dest_mac |
destination.mac |
modifié |
community_id |
network.community_id |
modifié |
in_iface |
observer.gcap.ingress.interface.name |
modifié |
gcap |
observer.gcap.hostname |
modifié |
host |
enlevé |
|
gcenter |
observer.hostname |
modifié |
flow_id |
network.flow_id |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
snmp.vars[0] |
snmp.vars[0] |
idem |
snmp.pdu_type |
snmp.pdu_type |
idem |
snmp.version |
snmp.version |
idem |
snmp.community |
snmp.community |
idem |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.29. Sigflow ssh
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
tftp.file |
tftp.file |
idem |
tftp.mode |
tftp.mode |
idem |
tftp.packet |
tftp.packet |
idem |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
file.name |
ajouté |
|
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.30. Sigflow tftp
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
tftp.file |
tftp.file |
idem |
tftp.mode |
tftp.mode |
idem |
tftp.packet |
tftp.packet |
idem |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
file.name |
ajouté |
|
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.31. Sigflow tls
2.5.3.102 |
2.5.3.103 |
état |
|---|---|---|
@timestamp |
@timestamp |
idem |
@version |
@version |
idem |
community_id |
network.community_id |
modifié |
dest_ip |
destination.ip |
modifié |
dest_port |
destination.port |
modifié |
ether.dest_mac |
destination.mac |
modifié |
ether.src_mac |
source.mac |
modifié |
event_type |
peu_modifié |
|
flow_id |
network.flow_id |
modifié |
gcap |
observer.gcap.hostname |
modifié |
gcenter |
observer.hostname |
modifié |
host |
enlevé |
|
in_iface |
observer.gcap.ingress.interface.name |
modifié |
proto |
network.transport |
modifié |
src_ip |
source.ip |
modifié |
src_port |
source.port |
modifié |
timestamp_analyzed |
peu_modifié |
|
timestamp_detected |
peu_modifié |
|
tls.chain[0] |
tls.server.certificate_chain[0] |
modifié |
tls.fingerprint |
tls.server.hash.sha1 |
modifié |
tls.notafter |
tls.server.not_after |
modifié |
tls.notbefore |
tls.server.not_before |
modifié |
tls.subject |
tls.server.subject |
modifié |
tls.version |
tls.version |
idem |
type |
enlevé |
|
uuid |
observer.uuid |
modifié |
ecs.version |
ajouté |
|
event.dataset |
ajouté |
|
event.module |
ajouté |
|
event.created |
ajouté |
|
event.category[0] |
ajouté |
|
event.id |
ajouté |
|
event.kind |
ajouté |
|
network.protocol |
ajouté |
|
network.timestamp |
ajouté |
|
observer.gcap.version |
ajouté |
|
observer.product |
ajouté |
|
observer.vendor |
ajouté |
|
observer.log_format_version |
ajouté |
|
observer.version |
ajouté |
9.3.32. Moteur Yara
Ce moteur est apparu dans la version 103, cette section n'est donc pas applicable.