|
|
|
DecoyMini - Syslog 日志格式定义
v1.0
适用版本:DecoyMini V1.x
支持协议: syslog TCP/UDP
日志格式:JSON
一、安全事件
1.1 基础属性
| SN | 名称 | 属性 ID | 描述 | | 1 | 事件 ID | eventId | 安全事件 ID | | 2 | 规则 ID | ruleId | 关联分析规则 ID | | 3 | 源 IP | srcIp | 攻击来源IP地址 | | 4 | 源 IP 区域 | srcIpLoc | 攻击来源物理位置 格式: 国家代码|国家名称 区域名称 城市名称 | | 5 | 目的 IP | destIp | 攻击目的IP地址 | | 6 | 目的 IP 区域 | destIpLoc | 攻击目的物理位置 格式: 国家代码|国家名称 区域名称 城市名称 | | 7 | 类型 | type | 事件类型 | | 8 | 级别 | level | 威胁级别(1-5) 1:很低 2:低 3:中 4:高 5:很高 | | 9 | 攻击阶段 | stage | 事件所处攻击阶段(1-5) 1:攻击尝试 2:单点突破 3:控制通道 4:横向移动 5:数据窃取 | | 10 | 确信度 | cfdc | 事件确信度(0 - 100) 0:确信度最低 100:确信度最高 | | 11 | 事件源类型 | source | 事件来源 | | 12 | 事件名称 | name | 事件名称 | | 13 | 事件描述 | desc | 事件描述 | | 14 | 事件标签 | label | 事件标签 | | 15 | 事件时间 | time | 事件发生时间 | | 16 | 诱捕日志 | logData | 关联诱捕日志数据(JSON格式) |
1.2 诱捕日志属性
| SN | 名称 | 属性 ID | 描述 | | 1 | 类型 | type | 诱捕日志类型 | | 2 | 诱捕器名称 | module | 诱捕器名称 | | 3 | 日志级别 | level | 日志级别(0-7)
0: 紧急
1: 警报
2: 严重
3: 错误
4: 警示
5: 提示
6: 信息
7: 调试
| | 4 | 用户名 | user | 操作用户名 | | 5 | 操作 | action | 操作类型 | | 6 | 操作结果 | result | 操作结果(0-1)
0: 成功
1: 失败
| | 7 | 描述 | desc | 日志描述 | | 8 | 序列 ID | serialId | 序列ID | | 9 | 源 IP | srcip | 攻击来源 IP 地址 | | 10 | 源 IP 区域 | srcipLoc | 攻击来源物理位置
格式: 国家代码|国家名称 区域名称 城市名称
| | 11 | 目的 IP | desip | 攻击目的 IP 地址 | | 12 | 目的 IP 区域 | desipLoc | 攻击目的物理位置
格式: 国家代码|国家名称 区域名称 城市名称
| | 13 | 文件 MD5 | fileMd5 | 文件 MD5 签名 | | 14 | 文件名 | fileName | 原始文件名 | | 15 | 关联数据 ID | relateId | 关联数据存储 ID | | 16 | 流量数据 ID | data_id | 流量数据存储 ID | | 17 | 日志时间 | time | 日志发生时间 |
1.3 示例
- {
- "cfdc": "60",
- "count": "1",
- "desc": "用户登录(User: admin; Pwd: 123456)",
- "destId": "XHLcmwN2NzNkXWpjULwrjA",
- "destIp": "192.168.0.160",
- "destIpLoc": "cn|本地",
- "etime": "2021-06-02 12:51:01",
- "eventId": "FXuBq4uSQ2mPPDD4cygweg",
- "label": "默认规则",
- "level": "3",
- "name": "FTP诱捕到Auth事件",
- "ruleId": "xUAUeMFMo3MG6Njyo6eGgH",
- "source": "DCP.windows",
- "srcId": "XHLcmwN2NzNkXWpjULwrjA",
- "srcIp": "66.249.65.155",
- "srcIpLoc": "US|美国 俄克拉荷马州 普赖尔",
- "stage": "4",
- "status": "0",
- "stime": "2021-06-07 12:51:01",
- "type": "FTP服务",
- "logData": "{"action":"Auth","desc":"用户登录(User: admin; Pwd: 123456)","destId":"XHLcmwN2NzNkXWpjULwrjA","destIp":"192.168.0.160","destIpLoc":"cn|本地","destPort":"21","evtlogId":"ycbTWL7TWhaGMv7T2DWzdi","level":"4","module":"FTP","result":"0","serialId":"pfdNh5vU98LpiFwvwMYJLf","srcId":"XHLcmwN2NzNkXWpjULwrjA","srcIp":"66.249.65.155","srcIpLoc":"US|美国 俄克拉荷马州 普赖尔","srcPort":"25648","time":"2021-06-07 12:51:01","type":"FTP服务","user":"admin"}"
- }
|
|
窥视卡
雷达卡
发表于 2021-8-5 14:07:54
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜