9.2. Structure des données du journal de bord du moteur
Les journaux sont composées de différentes parties :
La partie en-tête La partie source définie par "_source" La partie champ définie par "_fields"
9.2.1. Compteurs de la partie en-tête des journaux
Champs |
Requis |
Description |
Valeur ou exemple |
|---|---|---|---|
_index |
Oui |
Internal index |
engines_alerts-2024.11.26-000022 |
_type |
Oui |
type par défaut |
_doc |
_id |
Oui |
identifiant interne |
q5zQZ5MBe7GX5B2fx7DG |
_version |
Oui |
version interne |
1 |
_score |
Oui |
pertinence de la réponse à la demande |
0 |
9.2.2. Compteurs de la partie source des journaux
9.2.2.1. Catégorie beacon
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
beacon |
active |
boolean |
Beacon est active |
true |
beacon |
hostname_resolution |
string |
État de la résolution du nom d’hôte |
"not_analyzed" |
beacon |
id |
string |
identifiant unique pour l’activité ou le signal de balisage |
"c4c886b4ad" |
beacon |
mean_time_interval |
numeric |
Intervalle de temps moyen entre les balises |
1 |
beacon |
possible_cnc |
string |
CNC possible |
"not_recognized" |
beacon |
session_count |
numeric |
Nombre de séances |
260 |
beacon |
type |
string |
Type de balise. identifiant unique pour l’activité ou le signal de balisage |
The type of connection. Can be user, token or nothing |
9.2.2.2. Catégorie DCERPC
Niveau 1 |
Niveau 2 |
Niveau 3 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|
dcerpc |
call_id |
numeric |
identifiant unique pour l’appel RPC |
27 |
|
dcerpc |
interfacesx[x] |
ack_result |
résultat de la confirmation de l'appel d’interface RPC |
||
dcerpc |
interfaces[x] |
uuid |
identifiant unique universel pour l’interface RPC |
||
dcerpc |
interfaces[x] |
version |
version de l’interface RPC |
||
dcerpc |
req |
frag_cnt |
numeric |
nombre de fragments dans la demande RPC |
1 |
dcerpc |
req |
opnum |
numeric |
numéro d’opération pour la demande RPC |
4 |
dcerpc |
req |
stub_data_size |
numeric |
taille des données stub dans la requête |
24 |
dcerpc |
request |
raw data of the RPC request |
string |
REQUEST |
|
dcerpc |
res |
frag_cnt |
numeric |
nombre de fragments dans la réponse RPC |
1 |
dcerpc |
res |
stub_data_size |
numeric |
la taille des données stub dans la réponse |
68 |
dcerpc |
response |
données brutes de la réponse RPC |
string |
RESPONSE |
|
dcerpc |
rpc_version |
string |
version du protocole RPC utilisée |
5.0 |
9.2.2.3. Catégorie destination
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
destination |
ip |
string |
Adresse IP de la destination |
x.x.x.x |
destination |
mac |
string |
Adresse MAC de la destination |
90:e2:ba:a6:a4:91 |
destination |
port |
numeric |
Port de destination |
19609 |
9.2.2.4. Catégorie dga
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
dga |
dga_count |
numeric |
Nombre de DGAs |
29 |
dga |
dga_ratio |
numeric |
Ratio des DGA (dga_count/nx_domain_count) |
1 |
dga |
malware_behavior_confidence |
numeric |
Confiance dans le comportement des logiciels malveillants en pourcentage |
50 |
dga |
nx_domain_count |
numeric |
Nombre de domaines NX analysés |
29 |
dga |
top_DGA |
string |
Top DGA en fonction de la note |
tjzjyiheo.com",
"nvtcvimt.com",
"vmfyaxnse.com",
"htjykhvta.com",
"csmanuivsrlx.com",
"sbxsgfddr.com",
"oyttwuyshcgxxaenbit.com",
"seklusaprnkwhvybzc.com",
"xxcnirvbqivbucfsbliu.com",
"jgjvgfetpammdrxwn.com"
|
9.2.2.5. Catégorie DHCP
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
dhcp |
assigned_ip |
string |
Adresse IP attribuée par le serveur DHCP |
192.168.1.2 |
dhcp |
client_ip |
string |
Adresse IP du client |
x.y.z.a |
dhcp |
client_mac |
string |
Adresse MAC du client |
00:e0:ed:01:6e:bd |
dhcp |
dhcp_type |
string |
Type de message dhcp |
|
dhcp |
dns_servers |
string |
Liste des serveurs DNS fournis par DHCP |
192.168.1.1 |
dhcp |
hostname |
string |
Nom d’hôte du client |
d002465 |
dhcp |
id |
numeric |
Id du message dhcp |
107809848 |
dhcp |
lease_time |
numeric |
Durée de validité du bail DHCP |
3600 |
dhcp |
params |
numeric |
Paramètres du message dhcp |
|
dhcp |
next_server_ip |
string |
Adresse IP du prochain serveur DHCP à contacter |
0.0.0.0 |
dhcp |
relay_ip |
string |
Adresse IP de l’agent de relais DHCP |
0.0.0.0 |
dhcp |
routers |
string |
Liste des adresses de routeur/passerelle fournies par DHCP |
192.168.1.1 |
dhcp |
subnet_mask |
string |
Masque de sous-réseau attribué par le serveur DHCP |
255.255.255.0 |
dhcp |
type |
string |
Type du message dhcp |
Type of DHCP message (e.g. request, offer) |
9.2.2.6. Catégorie DNP3
Niveau 1 |
Niveau 2 |
Niveau 3 |
Niveau 4 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|---|
dnp3 |
application |
control |
con |
boolean |
false |
|
dnp3 |
application |
control |
fin |
boolean |
true |
|
dnp3 |
application |
control |
fir |
boolean |
true |
|
dnp3 |
application |
control |
sequence |
numeric |
7 |
|
dnp3 |
application |
control |
uns |
boolean |
false |
|
dnp3 |
application |
complete |
boolean |
true |
||
dnp3 |
application |
function_code |
numeric |
129 |
||
dnp3 |
application |
objects |
count |
numeric |
6 |
|
dnp3 |
application |
objects |
group |
numeric |
1 |
|
dnp3 |
application |
objects |
points. sub :
- comm_lost
- index
- local_forced
- online
- prefix
- remote_forced
- reserved0
- reserved1
- restart
- state
|
numeric |
values:
- 0
- 0
- 0
- 1
- 0
- 0
- 0
- 0
- 0
- 1
|
|
dnp3 |
application |
objects |
prefix_code |
numeric |
0 |
|
dnp3 |
application |
objects |
qualifier |
numeric |
0 |
|
dnp3 |
application |
objects |
range_code |
numeric |
0 |
|
dnp3 |
application |
objects |
start |
numeric |
0 |
|
dnp3 |
application |
objects |
stop |
numeric |
5 |
|
dnp3 |
application |
objects |
variation |
numeric |
1 |
|
dnp3 |
control |
dir |
boolean |
false |
||
dnp3 |
control |
fcb |
boolean |
false |
||
dnp3 |
control |
fcv |
boolean |
false |
||
dnp3 |
control |
function_code |
numeric |
|||
dnp3 |
control |
pri |
boolean |
true |
||
dnp3 |
dst |
numeric |
3 |
|||
dnp3 |
iin |
indicators |
array |
[] |
||
dnp3 |
src |
numeric |
4 |
|||
dnp3 |
type |
string |
response |
9.2.2.7. Catégorie DNS
Niveau 1 |
Niveau 2 |
Niveau 3 |
Niveau 4 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|---|
dns |
answers |
name |
string |
Le nom de domaine auquel appartient cet enregistrement de ressource. |
ztqnmsruernxksa0l.com |
|
dns |
answers |
data[0] |
rdata |
string |
Données de ressource (ex : IP que le nom de domaine résout) |
|
dns |
answers |
data[0] |
rrname |
string |
Nom de l’enregistrement de ressource (par exemple, un nom de domaine) |
|
dns |
answers |
data[0] |
rrtype |
string |
Type d’enregistrement de ressource (ex : A, AAAA, NS, PTR) |
|
dns |
answers |
data[0] |
tttl |
string |
Durée de vie pour cet enregistrement de ressource |
|
dns |
answers |
type |
string |
Le type de données contenues dans cet enregistrement de ressource. |
A |
|
dns |
authorities |
rrname |
string |
nom de l’enregistrement de ressource dans la section d’autorité |
com |
|
dns |
authorities |
rrtype |
string |
type d’enregistrement de ressource dans la section Autorité |
SOA |
|
dns |
authorities |
soa |
expire |
numeric |
l’heure d’expiration de l’enregistrement SOA (Start of Authority) |
604800 |
dns |
authorities |
soa |
minimum |
numeric |
TTL minimum (Time to Live) pour l’enregistrement SOA |
86400 |
dns |
authorities |
soa |
mname |
string |
serveur de noms principal dans l’enregistrement SOA |
nstld.verisign-grs.com |
dns |
authorities |
soa |
refresh |
numeric |
intervalle d’actualisation de l’enregistrement SOA |
1800 |
dns |
authorities |
soa |
retry |
numeric |
Intervalle de répétition pour l’enregistrement SOA |
900 |
dns |
authorities |
soa |
rname |
string |
Adresse courriel de la personne responsable dans le dossier SOA |
a.gtld-servers.net |
dns |
authorities |
soa |
serial |
numeric |
numéro de série pour l’enregistrement SOA |
1410273997 |
dns |
authorities |
ttl |
numeric |
Durée de vie (TTL) pour la section des autorisations |
5 |
|
dns |
flags |
string |
Indiquer le drapeau de réponse DNS, en hexadécimal |
8183 |
||
dns |
grouped |
A[0] |
string |
A record |
||
dns |
id |
numeric |
L’identificateur de paquet DNS attribué par le programme qui a généré la requête. L’identificateur est copié dans la réponse. |
26738 |
||
dns |
query |
rrname |
string |
|||
dns |
query |
rrtype |
string |
A |
||
dns |
query |
tx_id |
numeric |
193630 |
||
dns |
query |
opcode |
numeric |
0 |
||
dns |
query |
type |
string |
query |
||
dns |
query |
id |
numeric |
L’identificateur de paquet DNS attribué par le programme qui a généré la requête. L’identificateur est copié dans la réponse. |
57318 |
|
dns |
qr |
boolean |
Indiquant en cas de flag de réponse DNS, Query/Response (ex : true si défini) |
true |
||
dns |
ra |
boolean |
Indiquant en cas de flag de réponse DNS, Recursion Available flag (ex : true si défini) |
true |
||
dns |
rd |
boolean |
Indiquant en cas de réponse DNS, la récursion souhaitée (ex : true si définie) |
true |
||
dns |
response_code |
The DNS response code. |
string |
Le code de réponse DNS. |
NXDOMAIN |
|
dns |
type |
string |
Indiquer le type de message DNS, peut être « réponse » ou « requête » |
answer |
||
dns |
version |
numeric |
Indiquer la version de journalisation DNS en cours d’utilisation |
2 |
9.2.2.8. Catégorie ecs
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
ecs |
version |
numeric |
ECS version de cet événement est conforme à |
8.6.0 |
9.2.2.9. Catégorie email
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
attachments[0] |
string |
Liste des objets décrivant les pièces jointes. |
||
body_md5 |
Hachage MD5 du corps de l’e-mail |
|||
message_id |
identifiant unique pour le message électronique |
|||
status |
Statut du courriel |
|||
subject |
Le sujet du message électronique. |
|||
subject_md5 |
Le sujet du message électronique. |
|||
to.address[0] |
Le sujet du message électronique |
9.2.2.10. Catégorie event
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
event |
category |
string |
catégorie de fichier
catégorie de réseau
détection d’intrusion
|
file
network
intrusion_detection
|
event |
created |
date |
Moment où l’événement a été lu pour la première fois par un agent ou par votre pipeline |
2024-12-17T11:01:15.955324+00:00 |
event |
dataset |
string |
Nom du jeu de données |
alert |
event |
end |
date |
2024-12-17T11:00:05.717000+00:00 |
|
event |
id |
string |
ID unique pour décrire l’événement |
28e92cac-b1de-4b20-ab71-5eeb325f64ed |
event |
kind |
string |
Le type de l’événement. Le champ de catégorisation le plus élevé dans la hiérarchie |
alert |
event |
module |
string |
Nom du module d’où proviennent ces données |
Malcore or malcore_retroanalyzer, active_cti or ... |
event |
severity |
numeric |
Code de résultat d’analyse |
Between 0 and 3
0=clean
1=infected
2=suspicious
3=Other
|
event |
severity_human |
string |
Résultat de l’analyse |
Suspicious |
event |
start |
date |
9.2.2.11. Catégorie ether
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
ether |
src_macs |
Adresse MAC source de la trame Ethernet |
52:54:10:f5:71:63 |
|
ether |
dest_macs |
Adresse MAC de destination du cadre Ethernet |
fa:2a:73:90:d5:3d |
9.2.2.12. Catégorie file
Niveau 1 |
Niveau 2 |
Niveau 3 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|
file |
file_id |
numeric |
L’identifiant du fichier |
646 |
|
file |
gaps |
boolean |
Surveillance des incohérences dans la taille du fichier |
false |
|
file |
hash |
md5 |
string |
Hachage MD5 du fichier analysé |
c279be702893.... |
file |
hash |
sha1 |
string |
SHA1 du fichier analysé |
|
file |
hash |
sha256 |
string |
SHA256sum du fichier analysé |
4679e7f2018c19... |
file |
magic |
string |
Identifiant de format de fichier (signature Magic) : détecté par Sigflow à l’aide d’une base de données réduite. |
Zip archive data, at least v2.0 to extract |
|
file |
name |
string |
Nom du fichier incluant l’extension, sans le répertoire |
smtptest-2021-02-24T17-30-01Z.zip |
|
file |
sid |
string |
ID d’alerte. Doit être unique. |
1100043 |
|
file |
size |
numeric |
Taille du fichier en bytes |
77068 |
|
file |
state |
string |
Complétude du fichier analysé (CLOSED) sinon TRUNCATED.
La variable Sigflow file-store.stream-depth définit la taille des fichiers reconstruits.
Le fichier est TRONQUÉ (TRUNCATED) si sa taille est > File-store stream depth (10 MB) par défaut.
|
CLOSED |
|
file |
stored |
boolean |
Toujours à "true", le fichier a été stocké sur disque pour une analyse plus approfondie |
true |
|
file |
tx_id |
numeric |
Identification de la transaction (paire requête/réponse) |
1 |
9.2.2.13. Catégorie flow
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
flow |
bytes_toclient |
numeric |
Taille du flux vers le client |
15280 |
flow |
bytes_toserver |
numeric |
Taille du flux vers le serveur |
128 |
flow |
pkts_toclient |
numeric |
Nombre de paquets par client |
12 |
flow |
pkts_toserver |
numeric |
Nombre de paquets vers le serveur |
4 |
flow |
start |
date |
Date et heure du premier paquet vu par Sigflow |
2024-11-26T09:16:56.277148+0000 |
9.2.2.14. Catégorie FTP
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
ftp |
command |
string |
Commande FTP émise par le client |
EPSV |
ftp |
completion_code |
string |
Code de réponse FTP indiquant le résultat d’une commande |
229 |
ftp |
dynamic_port |
numeric |
Port utilisé par FTP pour le transfert dynamique de données (mode PASV) |
1024 |
ftp |
reply |
string |
Message de réponse du serveur FTP au client |
"Extended Passive Mode OK (|||1024|)" |
ftp |
reply_received |
string |
timestamp quand la réponse FTP a été reçue |
yes |
ftp |
reply_truncated |
boolean |
indique si la réponse FTP a été tronquée |
false |
9.2.2.15. Catégorie FTP data
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
ftp_data |
filename |
string |
nom du fichier impliqué dans le transfert de données FTP |
README.txt |
ftp_data |
command |
string |
Commande FTP liée au transfert de données (ex. RETR, STOR) |
RETR |
9.2.2.16. Catégorie HTTP
Niveau 1 |
Niveau 2 |
Niveau 3 |
Niveau 4 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|---|
http |
accept |
string |
Accepter l’en-tête de la demande |
|||
http |
accept_encoding |
string |
Accepter l’en-tête d’encodage de la requête |
"accept-encoding" |
||
http |
date |
date |
En-tête de date de la demande |
"gzip, deflate" |
||
http |
hostname |
string |
Le nom de l’hôte auquel cet événement HTTP est attribué |
tsevid-synonymi.justdanceatsea.com |
||
http |
http_port |
numeric |
port utilisé pour la connexion HTTP |
8080 |
||
http |
http_refer |
string |
referrer URL in the HTTP request |
"http://tsevid-synonymi.justdanceatsea.com:8080/ndf4xx22ci.php", |
||
http |
http_user_agent |
string |
Agent utilisateur de la demande |
|||
http |
http2 |
request |
priority |
numeric |
priorité de la requête HTTP/2 |
15 |
http |
http2 |
stream_id |
numeric |
stream ID in an HTTP/2 request/response |
13 |
|
http |
http2 |
response |
numeric |
HTTP/2 response sent by the server |
{} |
|
http |
last_modified |
string |
||||
http |
request |
method |
string |
Méthode de demande HTTP |
"GET" |
|
http |
request |
mime_type |
string |
Type MIME du corps de la requête. |
||
http |
request_headers |
name= |
accept |
string |
types de contenu acceptables dans la requête HTTP |
"accept" |
http |
request_headers |
value |
string |
valeur de l’en-tête HTTP spécifique ("/FireInstaller4.exe","GET","http", "nghttp2/1.43.0".) |
"/" |
|
http |
request_headers |
name= |
accept-encoding |
string |
méthodes d’encodage acceptées par le client |
|
http |
request_headers |
name= |
:authority |
string |
autorité (hôte et port) dans la requête HTTP/2 |
":authority" |
http |
request_headers |
name= |
:method |
string |
Méthode HTTP (p. ex., GET, POST) |
:method |
http |
request_headers |
name= |
:path |
string |
chemin de la ressource dans les requêtes HTTP |
":path" |
http |
request_headers |
name= |
:scheme |
string |
Schéma URI (p. ex., HTTP, HTTPS) |
":scheme" |
http |
request_headers |
name= |
user-agent |
string |
renseignements sur l’agent utilisateur du client |
"user-agent" |
http |
response |
bytes |
numeric |
Taille totale en octets de la réponse (corps et en-têtes) |
77068 |
|
http |
response |
mime_type |
HTTP response status code |
string |
Type MIME du corps de la réponse |
application/x-shockwave-flash |
http |
response |
status |
numeric |
Code de réponse HTTP
1xx réponse d’information – demande reçue, processus continu
2xx réussi – la demande a été reçue, comprise et acceptée avec succès
3xx redirection – il faut prendre d’autres mesures pour traiter la demande
4xx erreur client – la requête contient une mauvaise syntaxe ou ne peut pas être satisfaite
5xx Erreur serveur – le serveur n’a pas réussi à répondre à une demande apparemment valide
|
200 |
|
http |
response_headers |
name= |
accept-ranges |
string |
indique si le serveur prend en charge les demandes de plage |
|
http |
response_headers |
name= |
content-length |
string |
longueur du corps de la réponse |
|
http |
response_headers |
name= |
content-type |
string |
type de contenu renvoyé dans la réponse |
|
http |
response_headers |
name= |
date |
string |
date et heure de l’envoi de la réponse |
|
http |
response_headers |
name= |
etag |
string |
tag d’entité pour la validation de cache |
|
http |
response_headers |
last_modified |
etag |
string |
tag d’entité pour la dernière version modifiée de la ressource |
|
http |
response_headers |
last_modified |
server |
string |
serveur fournissant la dernière ressource modifiée |
|
http |
response_headers |
last_modified |
status |
string |
statut de la réponse HTTP |
|
http |
response_headers |
value |
string |
|||
http |
server |
value |
string |
En-tête de la requête |
||
http |
url |
string |
URL de la demande |
|||
http |
version |
string |
Version HTTP |
HTTP/1.1 |
9.2.2.17. Catégorie HTTP2
Niveau 1 |
Niveau 2 |
Niveau 3 |
Niveau 4 |
Type de données |
Valeur ou exemple |
|---|---|---|---|---|---|
http2 |
http_method |
string |
GET |
||
http2 |
http_user_agent |
string |
nghttp2/1.43.0 |
||
http2 |
http2 |
request |
priority |
numeric |
15 |
http2 |
http2 |
stream_id |
numeric |
13 |
|
http2 |
http2 |
response |
string |
{} |
|
http2 |
http2 |
length |
numeric |
3663 |
|
http2 |
request_headers |
name= |
accept |
string |
|
http2 |
request_headers |
value |
string |
/ |
|
http2 |
request_headers |
name= |
accept-encoding |
string |
|
http2 |
request_headers |
value |
string |
gzip, deflate |
|
http2 |
request_headers |
name= |
:authority |
string |
|
http2 |
request_headers |
value |
string |
10.2.10.205 |
|
http2 |
request_headers |
name= |
:method |
string |
|
http2 |
request_headers |
value |
string |
GET |
|
http2 |
request_headers |
name= |
:path |
string |
|
http2 |
request_headers |
value |
string |
/3k.zip |
|
http2 |
request_headers |
name= |
:scheme |
string |
|
http2 |
request_headers |
value |
string |
http |
|
http2 |
request_headers |
name= |
user-agent |
string |
|
http2 |
request_headers |
value |
string |
15 |
|
http2 |
response_headers |
name= |
accept-ranges |
string |
|
http2 |
response_headers |
value |
string |
bytes |
|
http2 |
response_headers |
name= |
content-length |
string |
|
http2 |
response_headers |
value |
string |
3663 |
|
http2 |
response_headers |
name= |
content-type |
string |
|
http2 |
response_headers |
value |
string |
text/plain |
|
http2 |
response_headers |
name= |
date |
string |
|
http2 |
response_headers |
value |
string |
Mon, 08 Jan 2024 15:28:50 GMT |
|
http2 |
response_headers |
name= |
etag |
string |
|
http2 |
response_headers |
value |
string |
"659c131d-e4f" |
|
http2 |
response_headers |
last_modified |
etag |
string |
|
http2 |
response_headers |
value |
string |
Mon, 08 Jan 2024 15:22:05 GMT |
|
http2 |
response_headers |
last_modified |
server |
string |
|
http2 |
response_headers |
value |
string |
nginx/1.25.2 |
|
http2 |
response_headers |
last_modified |
:status |
string |
|
http2 |
response_headers |
value |
string |
200 |
|
http2 |
status |
numeric |
200 |
||
http2 |
url |
string |
/3k.zip |
||
http2 |
version |
string |
2 |
9.2.2.18. Catégorie IKEV2
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
ikev2 |
alg_auth |
numeric |
Algorithme d’authentification |
"AUTH_HMAC_SHA1_96" |
ikev2 |
alg_dh |
string |
Groupe Diffie-Hellman |
"2048-bit MODP Group" |
ikev2 |
alg_enc |
string |
Algorithme de chiffrement |
"ENCR_AES_CBC" |
ikev2 |
alg_esn |
string |
Numéros de séquence étendus |
"NoESN" |
ikev2 |
alg_perf |
string |
Fonction pseudo-aléatoire |
"PRF_HMAC_SHA1" |
ikev2 |
errors |
numeric |
Nombre d’erreurs |
0 |
ikev2 |
exchange_type |
numeric |
Type d’échange IKEv2 |
34 |
ikev2 |
init_spi |
string |
SPI (Security Parameter Index) de l’initiateur |
"605830378bec4174" |
ikev2 |
message_id |
boolean |
ID du message |
0 |
ikev2 |
notify |
string |
Message de notification |
[
"NAT_DETECTION_SOURCE_IP",
"NAT_DETECTION_DESTINATION_IP",
"IKEV2_FRAGMENTATION_SUPPORTED",
"MULTIPLE_AUTH_SUPPORTED"
]
|
ikev2 |
payload |
string |
Type de charge utile |
[
"SecurityAssociation",
"KeyExchange",
"Nonce",
"Notify",
"Notify",
"Notify",
"Notify",
"NoNextPayload"
]
|
ikev2 |
resp_spi |
string |
SPI du répondant |
"5afa8990956d8af0" |
ikev2 |
role |
string |
Rôle du participant |
"responder" |
ikev2 |
version_major |
numeric |
Version majeure |
2 |
ikev2 |
version_minor |
numeric |
Version mineure |
0 |
9.2.2.19. Catégorie ioc
Niveau 1 |
Niveau 2 |
Niveau 3 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|
ioc |
id |
numeric |
|||
ioc |
campaigns |
string |
Les campagnes des IOC |
||
ioc |
case_id |
string |
Le case id de l'IOC |
aa8d51ed-0883-4b12-8b43 |
|
ioc |
categories |
string |
Les catégories des IOC |
trojan
malware
|
|
ioc |
creation_date |
date |
La date de création de l'IOC |
2025-01-28T08:02:50+00:00 |
|
ioc |
description |
string |
La description de l'IOC |
eb4db30601b1f4babefa4...' is a Suspicious SHA256.nThis SHA256 is linked to a trojan attack.nWe advised to use this IoC in detection mode. |
|
ioc |
external_links |
source_name |
string |
Les liens externes de l'IOC |
|
ioc |
external_links |
url |
string |
"source_name": "IOCAnalysisCollector"
|
|
ioc |
families |
string |
Les familles de l'IOC |
||
ioc |
id |
string |
e9a6f382-d06b-490f-9b6e |
||
ioc |
kill_chain_phases |
string |
Les phases de la chaîne d’élimination de l'IOC |
||
ioc |
meta_data |
cwe |
string |
||
ioc |
meta_data |
descriptions |
string |
||
ioc |
meta_data |
usageMode |
string |
"descriptions": [],
"usageMode": "detection",
"cwe": []
|
|
ioc |
package_date |
date |
La date du paquet de l'IOC |
025-01-28T08:50:04.124404+00:00 |
|
ioc |
relations |
string |
L’uuid lié à l'IOC |
"0e3cc27b-7999-48ce-8484",
"5556c4ab-3e5e-4d56-8410"
|
|
ioc |
signature |
string |
La signature de l'IOC |
SHA256 - trojan/malware - Unknown family - Unknown threat actor - e9a6f3 |
|
ioc |
tags |
string |
Les tags de l'IOC |
"trojan.generickd.66527077",
"troj/drodzp-cf",
"trojan.generickd.66527077 (b)",
"trojan/generickd!vemnohoo"
|
|
ioc |
targeted_countries |
string |
Les pays ciblés par l'IOC |
||
ioc |
targeted_organizations |
string |
Les organisations ciblées de l'IOC |
||
ioc |
targeted_platforms |
string |
Les plateformes ciblées de l'IOC |
||
ioc |
targeted_sectors |
string |
L’acteur de la menace ciblée par l'IOC |
Services - Autres |
|
ioc |
threat_actor |
string |
L’acteur de la menace de l'IOC |
||
ioc |
tlp |
string |
Le niveau basé sur la couleur de l'IOC |
green |
|
ioc |
ttp |
string |
Les tactiques, techniques et procédures de l'IOC |
||
ioc |
type |
string |
Le type de l'IOC |
SHA256 |
|
ioc |
updated_date |
date |
La date de mise à jour de l'IOC |
2025-01-28T08:04:31+00:00 |
|
ioc |
usage_mode |
string |
Le mode d’utilisation de l'IOC |
detection |
|
ioc |
value |
string |
La valeur de l'IOC |
eb4db357dc6f2dd8facf132ecafd... |
|
ioc |
vulnerabilities |
string |
Les vulnérabilités de l'IOC |
9.2.2.20. Catégorie krb5
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
krb5 |
string |
cli-krb5 |
||
krb5 |
encryption |
string |
chiffrement |
aes256-cts-hmac-sha1-96 |
krb5 |
msg_type |
string |
type msg |
KRB_AS_REP |
krb5 |
realm |
string |
Kerberos Realm |
GATEWATCHER.COM |
krb5 |
sname |
string |
sname |
krbtgt/GATEWATCHER.COM |
krb5 |
weak_encryption |
boolean |
chiffrement faible |
false |
9.2.2.21. Catégorie malcore
Niveau 1 |
Niveau 2 |
Niveau 3 |
Niveau 4 |
Type de
données
|
Description |
Valeur ou exemple |
|---|---|---|---|---|---|---|
malcore |
analyzed_clean |
numeric |
GEYEGO: Nombre de moteurs avec résultat CLEAN |
0 |
||
malcore |
analyzed_error |
numeric |
GEYEGO: Nombre de moteurs avec résultat FAILED, CLEANED_OR_DELETED, SCAN_SKIPPED_WHITELIST, SCAN_SKIPPED_BLACKLIST, NOT_SCANNED, CANCELED, UNSUPPORTED_FILE_TYPE, IN_PROGRESS |
0 |
||
malcore |
analyzed_infected |
numeric |
GEYEGO: Nombre de moteurs avec résultat INFECTED |
9 |
||
malcore |
analyzed_other |
numeric |
GEYEGO: Nombre de moteurs avec résultat autre que celui décrit ci-dessus |
7 |
||
malcore |
analyzed_suspicious |
numeric |
GEYEGO: Nombre de moteurs avec résultat SUSPICIOUS |
0 |
||
malcore |
analyzers_up |
numeric |
Nombre total de moteurs utilisés pour l’analyse |
16 |
||
malcore |
code |
numeric |
habituellement. Peut être forcé à SCAN_SKIPPED_BLACKLIST(8) ou SCAN_SKIPPED_WHITELIST(7) if filtré ou NOT_SCANNED(10) si le fichier est perdu.
Voir le tableau des résultats du moteur Malcore (Résultats du moteur Malcore)
|
1 |
||
malcore |
detail_scan_time |
numeric |
Temps d’analyse des fichiers (ms) par les moteurs malcore |
245 |
||
malcore |
detail_threat_found |
string |
Liste des noms de menaces détectés, séparés par des virgules |
"Infected: EICAR-Test-File (not a virus) (B).... |
||
malcore |
detail_wait_time |
numeric |
Temps écoulé entre l’envoi du fichier au noeud et la réception du résultat du moteur en millisecondes |
1096 |
||
malcore |
engine_id |
0-15 |
numeric |
identifiant unique pour un moteur Malcore (0 to 15) |
4 |
|
malcore |
engine_id |
0-15 |
id |
string |
numéro du moteur |
b557a5r |
malcore |
engine_id |
0-15 |
scan_result |
string |
résultat du moteur (INFECTED, UNSUPPORTED_FILE_TYPE, NOT_SCANNED ou CLEAN) |
INFECTED |
malcore |
engine_id |
0-15 |
string |
details de la menace |
EICAR-Test-File (not a virus) (B) |
|
malcore |
engines_last_update_date |
date |
GEYEGO: médiane de la dernière mise à jour de tous les analyseurs utilisés. |
2023-07-11T11:32:00Z |
||
malcore |
file_type |
string |
MALCORE: type de fichier |
application/zip |
||
malcore |
file_type_description |
string |
MALCORE: type de fichier, mais plus long |
ZIP Archive |
||
malcore |
magic_details |
string |
GEYEGO: Lib magic result |
Zip des données d’archive, au moins v2.0 à extraire |
||
malcore |
processing_time |
numeric |
1341 |
|||
malcore |
reporting_token |
string |
GEYEGO: Jeton d’analyse GBOX, si disponible |
GBOX# |
||
malcore |
state |
string |
Le résultat est "Infected" dès que le résultat d’un moteur est "Infected" |
Infected |
||
malcore |
total_found |
string |
GEYEGO: chaîne présentant <infected>/<total number> |
XX/YY with YY between 0 and 16 and XX between 0 and YY; example 9/16 |
9.2.2.22. Catégorie malcore_retroanalyzer
Niveau 1 |
Niveau 2 |
Niveau 3 |
Niveau 4 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|---|
malcore_retroanalyzer |
analyzed_clean |
numeric |
GEYEGO: Nombre de moteurs avec résultat CLEAN |
0 |
||
malcore_retroanalyzer |
analyzed_error |
numeric |
GEYEGO: Nombre de moteurs avec résultat FAILED, CLEANED_OR_DELETED, SCAN_SKIPPED_WHITELIST, SCAN_SKIPPED_BLACKLIST, NOT_SCANNED, CANCELED, UNSUPPORTED_FILE_TYPE, IN_PROGRESS |
0 |
||
malcore_retroanalyzer |
analyzed_infected |
numeric |
GEYEGO: Nombre de moteurs avec résultat INFECTED |
9 |
||
malcore_retroanalyzer |
analyzed_other |
numeric |
GEYEGO: Nombre de moteurs avec résultat autre que celui décrit ci-dessus |
7 |
||
malcore_retroanalyzer |
analyzed_suspicious |
numeric |
GEYEGO: Nombre de moteurs avec résultat SUSPICIOUS |
0 |
||
malcore_retroanalyzer |
analyzers_up |
numeric |
Nombre total de moteurs utilisés pour l’analyse |
16 |
||
malcore_retroanalyzer |
code |
numeric |
Habituellement. Peut etre forcé à SCAN_SKIPPED_BLACKLIST(8) ou SCAN_SKIPPED_WHITELIST(7) if filtré ou NOT_SCANNED(10) si le fichier est perdu.
Voir le tableau des résultats du moteur Malcore (Résultats du moteur Malcore)
|
1 |
||
malcore_retroanalyzer |
detail_scan_time |
numeric |
Temps d’analyse des fichiers (ms) par les moteurs malcore |
245 |
||
malcore_retroanalyzer |
detail_threat_found |
string |
Liste des noms de menaces détectés, séparés par des virgules |
"Infected: EICAR-Test-File (not a virus) (B).... |
||
malcore_retroanalyzer |
detail_wait_time |
numeric |
Temps écoulé entre l’envoi du fichier au noeud et la réception du résultat du moteur en millisecondes - 1096 |
|||
malcore_retroanalyzer |
engine_id |
numeric |
identifiant unique pour un moteur Malcore (0 to 15) |
4 |
||
malcore_retroanalyzer |
engine_id |
0-15 |
id |
string |
numéro du moteur |
b557a5r |
malcore_retroanalyzer |
engine_id |
0-15 |
scan_result |
string |
résultat du moteur (INFECTED, UNSUPPORTED_FILE_TYPE, NOT_SCANNED ou CLEAN) |
INFECTED |
malcore_retroanalyzer |
engine_id |
0-15 |
threat_details |
string |
details de la menace |
EICAR-Test-File (not a virus) (B) |
malcore_retroanalyzer |
engines_last_update_date |
GEYEGO: médiane de la dernière mise à jour de tous les analyseurs utilisés. |
2023-07-11T11:32:00Z |
|||
malcore_retroanalyzer |
file_type |
string |
MALCORE: type de fichier |
application/zip |
||
malcore_retroanalyzer |
file_type_description |
string |
MALCORE: type de fichier, mais plus long |
ZIP Archive |
||
malcore_retroanalyzer |
magic_details |
string |
GEYEGO: Lib magic result |
Zip des données d’archive, au moins v2.0 à extraire |
||
malcore_retroanalyzer |
processing_time |
numeric |
1341 |
|||
malcore_retroanalyzer |
reporting_token |
string |
GEYEGO: Jeton d’analyse GBOX, si disponible |
GBOX# |
||
malcore_retroanalyzer |
state |
string |
Le résultat est "Infected" dès que le résultat d’un moteur est "Infected" |
Infected |
||
malcore_retroanalyzer |
total_found |
string |
GEYEGO: string presenting <infected>/<total number> |
XX/AA avec AA entre 0 et 16 et XX entre 0 et AA ; exemple 9/16 |
9.2.2.23. Catégorie malicious_powershell
Niveau 1 |
Niveau 2 |
Niveau 3 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|
malicious_powershell |
id |
string |
MD5 du fichier |
b5c38e2159f80a5a3076a353360cb5f1 |
|
malicious_powershell |
proba_obfuscated |
numeric |
probabilité d'obscurcissement |
0.6 |
|
malicious_powershell |
sample_id (id) |
string |
identifiant du fichier |
12-04-2024T14:12:40_03afe38854c8443db03-gatewatcher.com", |
|
malicious_powershell |
score |
numeric |
score du script PowerShell |
332 |
|
malicious_powershell |
score_details |
AddContent |
numeric |
Ajoute du contenu à un fichier/dossier |
0 |
malicious_powershell |
score_details |
Base64 |
numeric |
Score représenté par un entier de a/patterns base64 détecté |
188 |
malicious_powershell |
score_details |
CharInt |
numeric |
Score représenté par un nombre entier de modèles de bienfaisance détectés |
6 |
malicious_powershell |
score_details |
FmtStr |
numeric |
Score représenté par un nombre entier de modèles détectés a/d motifs fmtstr |
8 |
malicious_powershell |
score_details |
GetContent |
numeric |
Applet Get-Content pour lire les données du fichier |
0 |
malicious_powershell |
score_details |
InvokeExpression |
numeric |
Applet InvokeExpression |
100 |
malicious_powershell |
score_details |
InvokeRestMethod |
numeric |
0 |
|
malicious_powershell |
score_details |
InvokeWebRequest |
numeric |
L’applet Invoke-WebRequest envoie des requêtes HTTP et HTTPS à une page web |
0 |
malicious_powershell |
score_details |
SetContent |
numeric |
Applet SetContent écrit du nouveau contenu ou remplace le contenu existant dans un fichier |
0 |
malicious_powershell |
score_details |
StartBitsTransfer |
numeric |
Commande Start-BitsTransfer |
0 |
malicious_powershell |
score_details |
StrCat |
numeric |
Fonction qui concatène des chaînes |
4 |
malicious_powershell |
score_details |
StreamReader |
numeric |
Objet à lire et afficher chaque nom de répertoire |
0 |
malicious_powershell |
score_details |
StreamWriter |
numeric |
Écrire un fichier qui liste les répertoires |
0 |
malicious_powershell |
score_details |
StrJoin |
numeric |
Score représenté par un nombre entier de modèles détectés a/strjoin |
6 |
malicious_powershell |
score_details |
StrReplace |
numeric |
Score représenté par un nombre entier de modèles détectés a/strreplace |
0 |
malicious_powershell |
score_details |
SystemIOFile |
numeric |
Manipulation d’un fichier (création, ouverture, copie, etc.) |
0 |
malicious_powershell |
score_details |
WebClientInvokation |
numeric |
Score représenté par un nombre entier de modèles détectés invocation webclient |
20 |
9.2.2.24. Catégorie matched_event
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
matched_event |
id |
numeric |
L’identifiant de l’événement correspondant |
|
matched_event |
content |
string |
Contenu toutes les catégories de l’événement correspondant |
9.2.2.25. Catégorie metadata
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
metadata |
flowbits |
string |
min.gethttp |
9.2.2.26. Catégorie MQTT
Niveau 1 |
Niveau 2 |
Niveau 3 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|
mqtt |
connack |
dup |
boolean |
false |
|
mqtt |
connack |
qos |
numeric |
0 |
|
mqtt |
connack |
retain |
boolean |
false |
|
mqtt |
connack |
return_code |
numeric |
0 |
|
mqtt |
connack |
session_present |
boolean |
false |
9.2.2.27. Catégorie nba
Niveau 1 |
Niveau 2 |
Niveau 3 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|
nba |
action |
string |
|||
nba |
category |
string |
|||
nba |
gid |
numeric |
|||
nba |
metadata |
performance_impact |
string |
||
nba |
metadata |
signature_severity |
string |
||
nba |
packet |
string |
|||
nba |
payload |
string |
|||
nba |
payload_printable |
string |
|||
nba |
rev |
numeric |
|||
nba |
signature |
string |
|||
nba |
signature_id |
numeric |
|||
nba |
stream |
numeric |
9.2.2.28. Catégorie netflow
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
netflow |
pkts |
numeric |
Paquets du flux |
1 |
netflow |
age |
numeric |
L’âge du flux |
0 |
netflow |
end |
date |
Heure de fin du flux |
2024-09-12T15:00:07.959357+0000 |
netflow |
min_ttl |
numeric |
TTL minimum du flux |
255 |
netflow |
bytes |
numeric |
Octets du flux |
62 |
netflow |
start |
date |
Heure de début du flux |
2024-09-12T15:00:07.959357+0000 |
netflow |
max_ttl |
numeric |
TTL maximum du flux |
255 |
9.2.2.29. Catégorie network
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
network |
community_id |
string |
hachage des IP et ports source et de destination, ainsi que le protocole utilisé dans une communication |
1:r6LvcE7ltny4a6Y9xt1Vr... |
network |
flow_id |
numeric |
Identificateur de flux |
363747525458479 |
network |
protocol |
string |
Protocole de couche d’application. Par exemple, http, dns ou ssh |
http |
network |
timestamp |
date |
Date et heure de la génération d’alerte par Sigflow |
2024-11-26T09:17:00.775521+0000 |
network |
transport |
string |
nom de la couche de transport (udp, tcp, ipv6-icmp, etc.) |
tcp |
network |
tx_id |
numeric |
Identification de la transaction (paire requête/réponse) |
0 |
9.2.2.30. Catégorie NFS
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
nfs |
filename |
string |
"" |
|
nfs |
file_tx |
boolean |
true |
|
nfs |
hhash |
string |
Hachage du fichier |
87b5a66e |
nfs |
id |
numeric |
ID de l’événement NFS |
1 |
nfs |
procedure |
string |
Procédure NFS |
WRITE |
nfs |
status |
string |
État de l’événement NFS |
OK |
nfs |
type |
string |
Type de l’événement NFS |
response |
nfs |
version |
numeric |
Version NFS |
4 |
9.2.2.31. Catégorie observer
Niveau 1 |
Niveau 2 |
Niveau 3 |
Niveau 4 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|---|
observer |
gcap |
hostname |
string |
Le nom d’hôte du gcap |
gcap-xxx.domain.local |
|
observer |
gcap |
ingress |
interface/name |
string |
Interface d’entrée GCap utilisée pour la capture (monx ou monvirt) |
monvirt |
observer |
gcap |
version |
string |
La version du gcap |
"2.5.4" |
|
observer |
hostname |
string |
Nom d’hôte de l’observateur |
"gcenter.domain", |
||
observer |
log_format_version |
string |
La version du format de journal |
"1.0.0" |
||
observer |
product |
string |
Le nom du produit de l’observateur |
gcenter |
||
observer |
uuid |
string |
Identifiant unique de l’alerte |
f639c844-3f6f-40fa-86c4-47ff603880e2 |
||
observer |
vendor |
string |
Nom du vendeur de l’observateur |
gatewatcher |
||
observer |
version |
string |
Version observateur |
"2.5.x." |
9.2.2.32. Catégorie ransomware events
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
ransomware |
alert_threshold |
numeric |
Le seuil d’alerte |
930 |
ransomware |
malicious_behavior_confidence |
numeric |
Pourcentage de confiance en un comportement malveillant |
80 |
ransomware |
session_score |
numeric |
Le score de la session |
35 |
9.2.2.33. Catégorie RDP
Niveau 1 |
Niveau 2 |
Niveau 3 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|
rdp |
channels |
string |
Le champ de canal optionnel est une liste des noms de canaux de données demandés |
[
"rdpdr",
"cliprdr",
"rdpsnd"
]
|
|
rdp |
client |
build |
string |
"Windows XP" |
|
rdp |
client |
capabilities |
string |
Fonctionnalités prises en charge par le client RDP |
[ "support_errinfo_pdf" ] |
rdp |
client |
client_name |
string |
nom du client RDP |
"ISD2-KM84178" |
rdp |
client |
color_depth |
numeric |
profondeur de couleur prise en charge par le client RDP |
15 |
rdp |
client |
desktop_height |
numeric |
hauteur du bureau affiché par le client RDP |
|
rdp |
client |
desktop_width |
numeric |
largeur du bureau affiché par le client RDP |
864 |
rdp |
client |
function_keys |
numeric |
touches de fonction prises en charge ou configurées par le client RDP |
12 |
rdp |
client |
id |
string |
identifiant unique pour la session client RDP |
"55274-OEM-0011903-00107" |
rdp |
client |
keyboard_layout |
string |
disposition du clavier utilisée par le client RDP |
"en-US" |
rdp |
client |
keyboard_type |
string |
type de clavier pris en charge par le client RDP |
"enhanced" |
rdp |
client |
product_id |
numeric |
ID du produit pour le logiciel client RDP |
1 |
rdp |
client |
version |
string |
numéro de version du client RDP |
"v5" |
rdp |
event_type |
string |
Le champ event_type indique un sous-type d’événement RDP.
Valeurs possibles : initial_request, initial_response, connect_request, connect_response, tls_handshake
|
"connect_request" |
|
rdp |
protocol |
Le champ protocole est le protocole sélectionné. Valeurs possibles : rdp,ssl, hybrid, rds_tls, hybrid_ex |
|||
rdp |
server_supports[0] |
Le champ optionnel server_supports est une liste des capacités du serveur |
|||
rdp |
tx_id |
numeric |
Chaque enregistrement RDP contient un champ tx_id par flux incrémentant |
2 |
9.2.2.34. Catégorie RFB
Niveau 1 |
Niveau 2 |
Niveau 3 |
Niveau 4 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|---|
rfb |
authentication |
security_type |
numeric |
type de méthode de sécurité utilisée lors de l’authentification RFB (Remote Framebuffer) |
2 |
|
rfb |
authentication |
vnc |
challenge |
string |
challenge envoyé par le serveur VNC lors de l’authentification |
"435414a03f719e3bab73fd2de5" |
rfb |
authentication |
vnc |
response |
string |
réponse envoyée par le client VNC à la challend d’authentification |
"50e93126e93f23a52" |
rfb |
client_protocol_version |
major |
string |
version majeure du protocole utilisé par le client RFB |
"003" |
|
rfb |
client_protocol_version |
minor |
string |
version mineure du protocole utilisé par le client RFB |
"008" |
|
rfb |
server_protocol_version |
major |
string |
version majeure du protocole utilisé par le serveur RFB |
"003" |
|
rfb |
server_protocol_version |
minor |
string |
minor version of the protocol used by the RFB server |
"008" |
|
rfb |
server_security_failure_reason |
string |
raison de l’échec de la sécurité lors de l’authentification du serveur RFB |
"Authentication failed from 192.168.0.1" |
9.2.2.35. Catégorie rpc
Niveau 1 |
Niveau 2 |
Niveau 3 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|
rpc |
creds |
gid |
ID de groupe associé aux identifiants RPC |
||
rpc |
creds |
machine_name |
Nom de la machine qui a initié la demande RPC |
||
rpc |
creds |
uid |
numeric |
ID utilisateur associé aux identifiants RPC |
35 |
rpc |
status |
string |
statut de l’appel RPC |
ACCEPTED |
|
rpc |
xid |
numeric |
ID de transaction pour la demande RPC, utilisé pour les demandes et réponses correspondantes |
1299444754 |
9.2.2.36. Catégorie shellcode
Niveau 1 |
Niveau 2 |
Niveau 3 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|
shellcode |
analysis |
args |
string |
Les arguments de l’appel |
"{'pathname': '//etc/passwd', 'flags': 'O_WRONLY|O_APPEND', 'mode': 'None'}", |
shellcode |
analysis |
call |
string |
L’appel |
sys_open |
shellcode |
analysis |
info |
string |
Plus d’infos |
"Stop : End of shellcode (Exit)" |
shellcode |
analysis |
ret |
string |
La rétention |
0 |
shellcode |
analysis |
_id |
numeric |
Le id de l’analyse |
-1 |
shellcode |
analysis |
stop |
numeric |
L’arrêt |
End of shellcode (output) |
shellcode |
encodings |
count |
numeric |
Le nombre de l’encodage |
1 |
shellcode |
encodings |
name |
string |
Le nom de l’encodage |
"Shikata_ga_nai", |
shellcode |
encodings |
options |
string |
options de codage disponibles utilisées pour l’encodage du shellcode |
|
shellcode |
id |
string |
L’identifiant du shellcode |
8ae5f9d35f3878cace4c311d" |
|
shellcode |
sample_id |
string |
L’identifiant de l’échantillon du shellcode |
12-04-2024T14:17:25_925...c1c7_gcap-int-xxx.gatewatcher.com |
|
shellcode |
sub_type |
string |
Le sous-type du shellcode |
"Linux_x86_32", |
9.2.2.37. Catégorie sigflow
Niveau 1 |
Niveau 2 |
Niveau 3 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|
sigflow |
action |
string |
L’action du flux de signature |
alert, drop, reject, pass "action": "allowed" |
|
sigflow |
category |
string |
The category of the signature flow |
Trafic potentiellement mauvais
Active CTI
|
|
sigflow |
gid |
numeric |
Le gid du flux de signature |
1 |
|
sigflow |
metadata |
affected_product |
string |
||
sigflow |
metadata |
attack_target |
string |
||
sigflow |
metadata |
confidence |
string |
||
sigflow |
metadata |
created_at |
string |
Créé à YEAR_MONTH_DAY |
2014_11_15 |
sigflow |
metadata |
deployment |
string |
||
sigflow |
metadata |
ioc |
string |
fffc7e75-cb75-4210-.. |
|
sigflow |
metadata |
malware_family |
string |
||
sigflow |
metadata |
performance_impact |
string |
Impact sur la performance |
Significant |
sigflow |
metadata |
reviewed_at |
string |
||
sigflow |
metadata |
risk |
string |
highly suspicious |
|
sigflow |
metadata |
signature_severity |
string |
Gravité de la signature |
2 |
sigflow |
metadata |
updated_at |
string |
Mis à jour le YEAR_MONTH_DAY |
2024_04_22 |
sigflow |
packet |
string |
Le paquet du flux de signature |
kOK6pqSQkOK... |
|
sigflow |
packet_info |
linktype |
numeric |
Type d’en-tête de couche de liaison |
1 |
sigflow |
payload |
string |
La charge utile du flux de signature |
Potentially Bad Traffic |
|
sigflow |
payload_printable |
string |
La charge utile imprimable du flux de signature |
GET /emd.exe HTTP/1.1rnHost: opred.netrnConnection: Keep-Alivernrn |
|
sigflow |
rev |
numeric |
La révision du flux de signature |
11 |
|
sigflow |
signature |
string |
La signature du flux de signature |
ET CURRENT_EVENTS Terse alphanumeric executable downloader high likelihood of being hostile", |
|
sigflow |
signature_id |
numeric |
L’identifiant de signature du flux de signature |
2019714 |
|
sigflow |
stream |
numeric |
Le numéro du flux de sigflow |
0 |
9.2.2.38. Catégorie SIP
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
sip |
code |
string |
"183" |
|
sip |
reason |
string |
"In band info available" |
|
sip |
response_line |
string |
"SIP/2.0 183 In band info available" |
|
sip |
version |
string |
"SIP/2.0" |
9.2.2.39. Catégorie SMB
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
smb |
client_dialects[0] |
string |
||
smb |
client_guid |
string |
||
smb |
command |
string |
Le nom de la commande |
"SMB2_COMMAND_SESSION_LOGOFF" |
smb |
dialect |
string |
Le dialecte du protocole négocié, ou « inconnu » s’il est manquan |
3.11 |
smb |
filename |
string |
nom de fichier pour CREATE et autres commandes. |
|
smb |
fuid |
string |
SMB2+ fichier GUID. SMB1 FID comme hex. |
|
smb |
id |
numeric |
ID de transaction interne |
12 |
smb |
max_read_size |
numeric |
||
smb |
max_write_size |
numeric |
||
smb |
session_id |
numeric |
SMB2+ session_id. SMB1 user id |
593737889611 |
smb |
server_guid |
string |
||
smb |
share |
string |
||
smb |
status |
string |
chaîne de statut. Peut être NT_STATUS ou DOS_ERR et d’autres variantes |
STATUS_SUCCESS |
smb |
status_code |
string |
code d’état sous forme de chaîne hexadécimale |
0x0 |
smb |
tree_id |
numérique |
Tree ID |
0 |
9.2.2.40. Catégorie SMTP
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
smtp |
helo |
string |
La commande HELO envoyée par le client SMTP pour initier la communication |
qal-internet.internet |
smtp |
mail_from |
string |
La commande HELO envoyée par le client SMTP pour initier la communication |
|
smtp |
rcpt_to |
string |
L’adresse électronique du destinataire dans la commande RCPT TO |
9.2.2.41. Catégorie SNMP
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
snmp |
community |
string |
"" |
|
snmp |
pdu_type |
string |
"set_request" |
|
snmp |
vars |
string |
[
"1.3.6.1.2.1.1.5.0"
]
|
|
snmp |
version |
numeric |
1 |
9.2.2.42. Catégorie source
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
source |
ip |
string |
Adresse IP source détectée par Sigflow |
x.y.z.A" |
source |
mac |
string |
Adresse MAC de la carte réseau source |
xx.... |
source |
port |
numeric |
Port source détecté par Sigflow |
8080 |
9.2.2.43. Catégorie SSH
Niveau 1 |
Niveau 2 |
Niveau 3 |
Niveau 4 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|---|---|
ssh |
client |
hassh |
string |
|||
ssh |
client |
proto_version |
string |
2.0 |
||
ssh |
client |
software_version |
string |
OpenSSH_7.4p1 |
||
ssh |
server |
hassh |
hash |
string |
b12d1a1189eff264cf533361ee |
|
ssh |
server |
hassh |
string |
curve25519-sha256, ... umac-64@openssh.com,umac-128@oppenssh.com |
||
ssh |
server |
proto_version |
string |
2.0 |
||
ssh |
server |
software_version |
string |
abbix_agent |
9.2.2.44. Catégorie tcp
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
tcp |
ack |
boolean |
||
tcp |
fin |
boolean |
||
tcp |
psh |
boolean |
||
tcp |
rst |
boolean |
||
tcp |
syn |
boolean |
||
tcp |
tcp_flags |
string |
9.2.2.45. Catégorie TFTP
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
tftp |
file |
string |
rfc1350.txt |
|
tftp |
mode |
string |
"octet" |
|
tftp |
packet |
string |
"read" |
9.2.2.46. Catégorie TLS
Niveau 1 |
Niveau 2 |
Niveau 3 |
Niveau 4 |
Type de données |
Valeur ou exemple |
|---|---|---|---|---|---|
tls |
client |
server_name |
string |
qacrcgtyzm.com |
|
tls |
ja3 |
hash |
string |
||
tls |
ja3 |
string |
string |
||
tls |
ja3s |
hash |
string |
||
tls |
ja3s |
string |
string |
||
tls |
serial |
string |
|||
tls |
server |
certificate |
chain |
string |
MIIDjBCVBAYv2NFV7jMvdyoO... |
tls |
server |
hash |
md5 |
string |
|
tls |
server |
hash |
sha1 |
string |
29:d8:c7:2d:fa:30:26:5f:92:e8:2c:e6:62:e2:40 |
tls |
server |
hash |
sha256 |
string |
|
tls |
server |
issuer |
string |
C=US, ST=USA, L=NY, O=Company Ltd, OU=office, CN=web |
|
tls |
server |
not_after |
date |
2024-08-30T15:56:58 |
|
tls |
server |
not_before |
date |
2014-09-02T15:56:58 |
|
tls |
server |
subject |
string |
C=US, ST=USA, L=NY, O=Company Ltd, OU=office, CN=web |
|
tls |
sni |
string |
|||
tls |
version |
string |
TLSv1 |
9.2.2.47. Catégorie url
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
url |
domain |
string |
Le domaine de l’URL |
"tsevid-synonymi.justdanceatsea.com" |
url |
full |
string |
L’URL complète |
|
url |
path |
string |
Le chemin de l’URL |
/6SuCHKKkf8Sf1aFXJPqD0R6r3oEDCrbwHFm23E... |
9.2.2.48. Catégorie user_agent
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
user_agent |
original |
string |
L’agent utilisateur du logiciel utilisé |
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; ...) |
9.2.2.49. Catégorie @timestamp
Niveau 1 |
Niveau 2 |
Type de données |
Description |
Valeur ou exemple |
|---|---|---|---|---|
@timestamp |
string |
Date/heure à laquelle l’événement a été généré par la source. |
2023-10-09T08:31:04.503Z |
|
@timestamp |
dest_macs |
string |