Плагин reputation list
Плагин reputation_list ищет совпадения значений полей события по базе репутационных списков. Формат списка - строки, возможны строки с комментариями (символ #).
Возможные типы списков (list-type):
autonomous_system,artifact,directory,domain_name, email_addr, file,ipv4_addr, ipv6_addr, mac_addr, mutex, port, process, software, url, user_account, windows_registry_key, x509_certificate.
При совпадении поля из lookup-fields, имя репутационного списка будет записано в массив ECS.Threat.Indicators. Имя поля по которому совпало значение и само значение будут записаны в JSON массив ECS.Threat.Enrichments.
Опционально записывайте флаг срабатывания списка в произвольное поле (target-flag-field) и имя поля по которому было срабатывание (target-matched-on-field-name).
Регулярное выражение:
processors:
- module: reputation_list
name: alienvault_reputation
list-type: ipv4_addr
lookup-fields: ["Raw", "ECS.Source.IP","ECS.Destination.IP"]
#target-flag-field: Optional.IsBlacklisted
#target-matched-on-field-name: Optional.BlacklistedOn
list: |
#
# alienvault_reputation
#
# ipv4 hash:ip ipset
#
# [AlienVault.com] (https://www.alienvault.com/) IP
# reputation database
#
# Maintainer : Alien Vault
# Maintainer URL : https://www.alienvault.com/
# List source URL : https://reputation.alienvault.com/reputation.generic
# Source File Date: Fri Nov 12 14:10:50 UTC 2021
4.71.37.46
14.34.157.101
14.42.145.172
14.111.220.134
14.241.244.250
18.117.69.135
18.188.148.80
23.247.108.44
24.188.100.85
27.21.147.209
27.35.154.75
27.38.61.75
27.38.61.120
27.41.36.239
27.43.119.144
27.43.178.112
27.47.116.249
27.158.79.129
27.159.92.181
27.194.89.189
27.194.122.23
27.197.24.223
27.199.237.162
27.203.233.132
27.207.195.126
27.215.53.111
27.215.109.196
27.215.114.223Пример исходного события:
14.111.220.134В результате срабатывания плагина в разделе Elastic Common Schema появятся новые поля: ECS.Threat.Enrichments и ECS.Threat.Indicators, как показано на скриншоте ниже.
