字段标识 | 字段类型 | 字段名称 | 字段描述 | 参考值 | 细分类型 |
instance_id | string | 受害者相关资产 ID | - | - | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
time | int64 | 告警发生时间 | - | - | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
src_ip | string | 源 IP | - | 192.168.0.1 | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
dst_ip | string | 目的 IP | - | 192.168.0.1 | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
src_port | int64/int | 源端口 | - | - | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
dst_port | int64/int | 目的端口 | - | - | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
direction | int64 | 方向 | 0:出站 1:入站 TCP 协议告警:为会话方向 非会话协议:为流量方向 | - | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
protocol | string | 协议 | - | TCP | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
strategy | string | 告警动作 | 告警的处置动作 0:观察 1:阻断 2:放行 3:欺骗 | 0 | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
strategy_res | string | 告警动作标识 ID | - | strage_alert | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog |
event_name | string | 攻击事件类型 | - | Log4j2漏洞利用 | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
eventname_res(event_name_res) | string | 攻击事件类型标识 ID | - | log4j2_exploit | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog |
dst_domain | string | 外联域名 | - | - | HoneyPotHost、HoneyPotNetwork、BlockList、TiLog、BaseLineLog |
level | string | 告警级别 | 告警的严重程度 | 严重 | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
level_res | string | 告警级别标识 ID | - | level_serious | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog |
level_int | int | 告警级别数字 | - | 5 | HoneyPotHost、HoneyPotNetwork |
address | string | 攻击 IP 的所处城市 | - | 日本东京都东京 | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
address_en | string | 攻击 IP 的所处城市 | - | Tokyo,Japan | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog |
insert_time | int64 | 告警入库时间 | - | 2023/1/1 0:00:00 | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
service_id | string | 网络蜜罐 ID | - | - | HoneyPotHost、HoneyPotNetwork |
type | string | 告警子类型标识 | - | ti | HoneyPotHost、HoneyPotNetwork、TiLog、BaseLineLog |
sub_source_type | string | 告警子类型 | 告警分类,包括:虚拟补丁、基础防御、封禁列表、网络蜜罐等 | 虚拟补丁 | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
sub_source_type_res | string | 告警子类型标识 ID | 告警子类型标识 ID,source_virtualpatch 虚拟补丁,source_basicrule 基础防御等 | source_virtualpatch | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog |
payload | string | 攻击 payload | 攻击流量的载荷信息 | - | HoneyPotHost、HoneyPotNetwork、IdsLog、TiLog |
cmdline | string | 执行命令 | 网络蜜罐主机事件,蜜罐内执行的敏感命令 | bash -c ifconfig execve /bin/bash|m=100755|o=0:0 | HoneyPotHost |
template_id | string | 网络蜜罐模板 ID | - | - | HoneyPotHost |
docker_id | string | 网络蜜罐唯一 ID | - | - | HoneyPotHost、HoneyPotNetwork |
proc_chan | string | 进程树 | 网络蜜罐主机事件进程树 | bashP{ | HoneyPotHost |
kill_chain | string | 攻击链 | 攻击链,告警事件所处攻击阶段 | 漏洞利用 | HoneyPotHost、HoneyPotNetwork |
kill_chain_res | string | 攻击链标识 ID | - | kill_chain_exploit | HoneyPotHost、HoneyPotNetwork |
event_id | string | 告警 ID | - | - | HoneyPotHost、HoneyPotNetwork |
exe | string | 执行文件路径 | - | /sbin/ifconfig | HoneyPotHost |
probe_id | string | 探针 ID | - | probe-id | HoneyPotHost、HoneyPotNetwork |
service_type | string | 网络蜜罐类型 | 网络蜜罐类型 | SSH 蜜罐 | HoneyPotHost、HoneyPotNetwork |
service_type_res | string | 网络蜜罐类型标识 ID | - | ssh_honeypot | HoneyPotHost、HoneyPotNetwork |
script_name | string | 网络蜜罐剧本名称 | - | - | HoneyPotHost、HoneyPotNetwork |
log_source | string | 数据来源 | VPC 间防火墙的告警和内网蜜罐告警值为 move 蜜罐主机告警值为 host 蜜罐公网告警值为 network | move | HoneyPotHost、HoneyPotNetwork、IdsLog |
login_user | string | 攻击登录用户 | - | [root, 1qaz!QAZ] | HoneyPotHost、HoneyPotNetwork |
visible_tag | int | 可见性 | - | - | HoneyPotHost、HoneyPotNetwork |
timestamp | string | 告警时间戳 | - | 2023-01-01T00:00:00+08:00 | HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
ti_type | string | 关联情报威胁类型标签(告警中自带) | - | ["SSH蜜罐攻击","常规网络爆破","暴力破解"] | HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
ti_type_en | string | 关联情报威胁类型标签(告警中自带) | - | ["SSH honeypot attack","General network cracking","Brute force"] | HoneyPotNetwork、BlockList、IdsLog、TiLog |
ti_white | string | 白名单标签(告警中自带) | - | 情报白名单 | HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
ti_white_res | string | 白名单标签(告警中自带)标识 ID | - | intelligence_allowlist | HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog |
src_country | string | 源国家 | 源 IP 的所处国家 | 美国 | BlockList、IdsLog、TiLog、BaseLineLog |
src_country_en | string | 源国家-英文 | 源 IP 的所处国家-英文 | United States of America | BlockList、IdsLog、TiLog |
dst_country | string | 目的国家 | 目的 IP 的所处国家 | 美国 | BlockList、IdsLog、TiLog、BaseLineLog |
dst_country_en | string | 目的国家-英文 | 目的 IP 的所处国家-英文 | United States of America | BlockList、IdsLog、TiLog |
attack_vector | string | 攻击利用方法 | - | code-exec | IdsLog |
attack_count | int | 告警数量 | - | - | IdsLog |
nat_ip | string | NAT的 IP | NAT 的公网 IP 地址 | 8.8.8.8 | IdsLog、TiLog、BaseLineLog |
nat_port | int | NAT的端口 | NAT 的公网端口 | - | IdsLog、TiLog、BaseLineLog |
fws_id | string | 防火墙 ID | - | - | IdsLog |
fw_type | string | 防火墙类型 | 防火墙类型,包括: vpc:VPC 间防火墙 nat:NAT 防火墙 sg:企业安全组 空:互联网边界 | nat | IdsLog |
src_vpc | string | 攻击者资产 VPCID | - | - | IdsLog |
dst_vpc | string | 受害者资产 VPCID | - | - | IdsLog |
src_ins_id | string | 攻击者相关资产 ID | - | - | IdsLog |
dst_ins_id | string | 受害者相关资产 ID | - | - | IdsLog |
nat_ins_id | string | NAT 的实例 ID | - | - | TiLog、BaseLineLog |
nat_ins_name | string | NAT 的实例名称 | - | - | TiLog |
