Diese Seite enthält eine strukturierte Übersicht über die Metadatenfelder für Netzwerksicherheit, die in der Vectra AI verwendet werden. Sie definiert allgemeine Schemaattribute, Konnektivitätsfelder auf Sitzungsebene, protokollspezifische Telemetrie (DNS, HTTP, SMB, LDAP usw.), Authentifizierungsmetadaten (Kerberos, NTLM, RADIUS), Übereinstimmungsattribute auf Erkennungsebene und Fingerabdrücke für verschlüsselte Kommunikation (SSL/TLS, SSH, X.509). Diese normalisierten Metadatenströme ermöglichen Verhaltensanalysen, domänenübergreifende Korrelationen und die Sichtbarkeit verschlüsselter Datenströme, ohne dass eine vollständige Paketerfassung erforderlich ist. Zusammen bilden sie die Grundlage für skalierbare Netzwerkbeobachtbarkeit und Sicherheitsuntersuchungen in hybriden Unternehmensumgebungen.
Diese normalisierten Metadatenströme unterstützen threat hunting, die Anreicherung von Metadaten und die Metadatenforensik, indem sie Verhaltensanalysen, domänenübergreifende Korrelationen und die Sichtbarkeit verschlüsselter Datenströme ermöglichen, ohne dass eine vollständige Paketerfassung erforderlich ist. Zusammen bilden sie die Grundlage für eine skalierbare Netzwerkbeobachtung und -untersuchung in hybriden Unternehmensumgebungen.
Gemeinsame Netzwerk-Metadatenfelder für alle Telemetriestreams (außer DHCP)
Diese Felder kommen in fast jedem Metadatenstrom vor und definieren das gemeinsame Verbindungsschema, das für alle Metadatentypen verwendet wird. Sie erfassen Herkunfts- und Antwort-Identifikatoren, Ports, Hostnamen, Ortskennzeichen, Sensorattribute, Zeitstempel und eine stabile Verbindungs-UID.
| Feld |
Beschreibung |
| id.ip_ver* | IP-Version |
| id.orig_h | endpoint -Adresse endpoint |
| id.orig_p | Ursprünglicher endpoint -Port |
| id.resp_h | Antwortende endpoint |
| id.resp_p | Antwortender endpoint -Port |
| local_orig | Boolescher Wert, der angibt, ob die Verbindung lokal hergestellt wurde |
| local_resp | Boolescher Wert, der angibt, ob die Verbindung lokal beantwortet wurde |
| ursprünglicher_Hostname* | Herkunfts-Endpunkt endpoint |
| orig_huid* | Eindeutige Kennung für den Ursprungshost, wenn dieser lokal ist |
| orig_sluid* | Eindeutige Kennung für die ursprüngliche Host-Sitzung |
| resp_hostname* | Antwortender endpoint |
| resp_huid* | Eindeutige Kennung für den antwortenden Host, wenn dieser lokal ist |
| resp_sluid* | Eindeutige Kennung für die antwortende Host-Sitzung, wenn diese lokal ist |
| Sensor-ID | Eindeutige Kennung für den Vectra-Sensor, der den zugrunde liegenden Datenverkehr beobachtet hat, der den Metadatensatz generiert hat. |
| ts | Zeitstempel, zu dem der Metadatensatz erstellt wurde. Er ist im Datumsformat angegeben (z. B. 9. Mai 2018, 10:09:25.366). |
| uid | Eindeutige ID der Verbindung |
Behandeln Sie diese Felder als Basis-Join-Schlüssel. Sie verankern Metadatenanreicherungs-Workflows, indem sie es ermöglichen, Protokoll-, Authentifizierungs- und Erkennungsdatensätze mit derselben Sitzung und Entität zu verknüpfen. Bei threat hunting der Metadatenforensik ermöglicht diese Konsistenz ein zuverlässiges Pivoting über Telemetrieebenen hinweg.
Die meisten nachfolgenden Protokolltabellen erweitern dieses Schema und übernehmen gleichzeitig diesen gemeinsamen Kontext. Dadurch bleiben die Attributintegrität und die Sitzungskontinuität über Netzwerk-Metadatenströme hinweg erhalten.
Beacon-Metadatenfelder und Verhaltenskommunikationsmuster
Beacon-Metadaten beschreiben die wiederholte Kommunikation zwischen einem Ursprung und einem Ziel über mehrere Sitzungen hinweg. Die folgenden Felder erfassen die Beacon-Kennung, Zeitgrenzen, Sitzungsanzahl, Byte-Volumen pro Richtung, Protokoll-/Dienstkontext und Client-Fingerprinting, die zur Zusammenfassung des Musters verwendet werden.
Die Beacon-Analyse wird häufig bei threat hunting eingesetzt threat hunting Command-and-Control-Callbacks, Automatisierungsschleifen und persistente ausgehende Kommunikation zu identifizieren. Anstatt Pakete zu untersuchen, stützen sich Analysten auf Metadatentypen, die Periodizität und Konsistenz beschreiben.
|
| Feld | Beschreibung |
|---|
| Beacon-Typ | Der Typ des Beacons. Der Typ „single_resp_multiple_sessions” bezeichnet einen Beacon an ein Ziel, der aus mehreren Sitzungen besteht. |
| Beacon-UID | Die eindeutige UID des Beacons |
| Dauer | Gesamtdauer der BeaconUid |
| erste_Ereigniszeit | Zeitstempel der ersten beobachteten Sitzung für diese beacon_uid |
| ja3 | Ja3-Hash des Clients basierend auf den SSL-Parametern des Clients |
| letzte_Ereigniszeit | Zeitstempel der letzten beobachteten Sitzung für diese beacon_uid |
| ursprüngliche_IP-Bytes | Gesamtzahl der vom Absender an den Empfänger für diese Beacon-ID gesendeten Bytes |
| Proto | L4-Protokollwert. 6 ist TCP, 17 ist UDP. |
| Proto_name | L4-Protokollname (TCP oder UDP) |
| Antwortdomänen | Die Responder-Domänen in diesem Ereignis |
| Antwort-IP-Bytes | Gesamtzahl der vom Responder an den Urheber für diese beacon_uid gesendeten Bytes |
| Dienstleistung | Dienst (z. B. „http“ oder „tls“) |
| Sitzungsanzahl | Die Anzahl der Sitzungen, aus denen sich die beacon_uid zusammensetzt |
| uid | Die eindeutige UID der ersten Verbindung für das gemeldete Beacon-Ereignis |
| ts | Zeitstempel, zu dem der Metadatensatz erstellt wurde. Er ist im Datumsformat angegeben (z. B. 9. Mai 2018, 10:09:25.366). |
| uid | Eindeutige ID der Verbindung |
Verwenden Sie diese Felder, um Dauer, Häufigkeit und Richtungsvolumen zu bewerten. Wechseln Sie dann zu DNS-, HTTP- oder SSL/TLS-Metadaten, um während der Metadaten-Forensik einen tieferen Einblick in den Verhaltenskontext zu erhalten.
Hören Sie auf, nach dem „Was“ hinter Netzwerkwarnungen zu suchen.
Beaconing ist nur ein Verhaltenssignal. Wenn verdächtige Netzwerk-Metadaten ausgelöst werden, müssen Analysten dennoch verstehen, welcher endpoint oder welche Identität dies ausgelöst hat. Ohne diese Verknüpfung kommen die Untersuchungen zum Stillstand.
Siehe endpoint korrelation
DCE-RPC-Metadatenfelder und Attribute für Remote Procedure Calls
DCE-RPC-Metadaten erfassen das Verhalten von Remote Procedure Calls, die üblicherweise mit der Windows-Administration und der Interaktion von Diensten in Verbindung stehen. Diese Felder kodieren den Domänenkontext, endpoint , aufgerufene Operationen, die Zuordnung von Benutzernamen und das Timing von Anfragen/Antworten.
Bei threat hunting helfen DCE-RPC-Metadaten dabei, anomale Remote-Ausführungssequenzen und Muster der Privilegienverwendung aufzudecken, ohne dass endpoint erforderlich sind.
|
| Feld | Beschreibung |
|---|
| Domäne* | Domäne des Hosts |
| endpoint | Aus der UUID abgerufener Endpoint (z. B. IXnRemote, IWbemLoginClientID) |
| Hostname* | Hostname, unter dem sich der Benutzer angemeldet hat |
| Betrieb | Im Aufruf angezeigte Operation (z. B. „RemoteCreateInstance“) |
| rtt | Roundtrip-Zeit von Anfrage bis Antwort |
| Benutzername* | Benutzername oder Kontoname, mit dem die Anmeldung erfolgte. Namen, die mit „$“ enden, sind Maschinennamen (keine Benutzerkontonamen). |
Verwenden Sie Operationsnamen und Benutzername-/Host-Kontext, um routinemäßige Verwaltungsabläufe von lateralen Bewegungsaktivitäten während der Metadaten-Forensik zu unterscheiden.
DHCP-Metadatenfelder und Netzwerkkonfigurationsattribute
DHCP-Metadaten zeichnen dynamische Adressierungen und Konfigurationszuweisungen auf, die Geräte in das Netzwerk einbinden. Diese Metadatentypen verknüpfen zugewiesene IPs mit MAC-Adressen und Hostnamen und zeichnen gleichzeitig die Leasingdauer und die DHCP/DNS-Serverzuordnung auf.
Da IP-Fluktuation die Untersuchung erschwert, bieten DHCP-Datensätze wichtige Metadaten, um die Kontinuität der Zuordnung zu gewährleisten.
|
| Feld | Beschreibung |
|---|
| zugewiesene_IP | Zugewiesene IP als Antwort |
| dhcp_server_ip* | DHCP-Server-IP-Adresse |
| DNS-Server-IPs* | DNS-Server-IPs aus DHCP-Optionen. DHCP-Option 6 |
| Lease-Zeit | DHCP-Lease-Zeit. DHCP-Option 51 |
| Mac | MAC-Adresse in der Anfrage |
| ursprünglicher_Hostname* | Hostname aus DHCP-Optionen. DHCP-Option 12 |
| trans_id | Transaktions-ID |
| ts | Zeitstempel, zu dem der Metadatensatz erstellt wurde. Er ist im Datumsformat angegeben (z. B. 9. Mai 2018, 10:09:25.366). |
| uid | Eindeutige ID der Verbindung |
Verwenden Sie DHCP-Felder, um Untersuchungen zu stabilisieren, wenn sich IP-Adressen ändern, und verankern Sie die Identität in Attributen auf Geräteebene statt in kurzlebigen Adressen.
DNS-Metadatenfelder und Abfrageantwortattribute
DNS-Metadaten repräsentieren das Verhalten der Domainauflösung, einschließlich Abfrageabsicht, Rekursionsbehandlung, Antwortcodes, Trunkierungsflags, TTL-Werten und Datensatzanzahlen.
DNS-Netzwerk-Metadaten sind für threat hunting von zentraler Bedeutung, threat hunting sie ohne Überprüfung der Nutzlast Informationen über Staging-Infrastrukturen, Domain-Fluxing, Aufklärungsaktivitäten und fehlgeschlagene Rückrufversuche offenlegen.
DNS-Metadaten ermöglichen Einblicke in:
- Welche Domains wurden abgefragt und von wem?
- Ob Rekursion angefordert oder verfügbar war
- Wie autoritative Antworten zurückgegeben wurden
- Welche Antwortcodes und TTL-Werte wurden beobachtet?
|
| Feld | Beschreibung |
|---|
| AA | Autoritative Antwort. Wahr, wenn der Server für die Abfrage autoritativ ist. |
| Antworten† | Liste der Antworten auf die Anfrage |
| auth | Liste der maßgeblichen Antworten auf die Anfrage |
| Proto | Protokoll der DNS-Transaktion – 6 (für TCP) oder 17 (für UDP) |
| qclass / qclass_name | Wert, der die Abfrageklasse angibt (z. B. 1 / Internet [IN]) |
| qtype / qtype_name | Abfragetyp Wert / beschreibender Name (z. B. A, AAAA, PTR, TXT) |
| Abfrage† | Domainname, der Gegenstand der Anfrage ist |
| RA | Rekursion verfügbar. True, wenn der Server rekursive Abfragen unterstützt. |
| RD | Rekursion erwünscht. Wahr, wenn eine rekursive Suche der Abfrage angefordert wird. |
| rcode / rcode_name | Wert des Antwortcodes in der DNS-Antwort (z. B. NXDOMAIN, NODATA) |
| abgelehnt | Die DNS-Abfrage wurde vom Server abgelehnt. |
| saw_query | Ob die vollständige DNS-Abfrage gesehen wurde |
| Säge_Antwort | Ob die vollständige DNS-Antwort gesehen wurde |
| TC | Kürzungsflag. True, wenn die Nachricht gekürzt wurde. |
| TTLs | Liste der TTLs aus den Antworten |
| Gesamtzahl der Antworten | Die Gesamtzahl der Ressourceneinträge im Antwortabschnitt einer Antwortnachricht |
| Gesamtzahl der Antworten | Die Gesamtzahl der Ressourceneinträge in den Abschnitten „Answer“, „Authority“ und „Additional“ einer Antwortnachricht. |
| trans_id | Vom DNS-Client zugewiesene 16-Bit-Kennung |
Verwenden Sie DNS-Metadaten-Forensik, um Absicht und Ergebnis zu interpretieren, was abgefragt wurde, was zurückgegeben wurde und ob die Auflösung fehlgeschlagen ist, und wechseln Sie dann zu TLS- oder HTTP-Metadaten, um die Analyse zu erweitern.
HTTP-Metadatenfelder und Web-Sitzungsattribute
HTTP-Metadaten fassen das Verhalten der Webschicht zusammen, ohne vollständige Nutzdaten zu speichern. Diese Felder erfassen aus Headern abgeleitete Kontexte, Methoden, URIs, Proxy-Weiterleitungsindikatoren, Fingerprinting-Attribute und direktionale Byte-/Paketmetriken.
Bei der Untersuchung von Netzwerk-Metadaten liefern HTTP-Felder Kontextinformationen auf Anwendungsebene für threat hunting, darunter verdächtige Dateiübertragungen, skriptgesteuerte Rückrufe und anomale Header-Strukturen.
|
| Feld | Beschreibung |
|---|
| akzeptieren | Wert des Accept-Headers in der Anfrage, falls vorhanden, auf 256 Byte gekürzt |
| accept_encoding | Wert des Accept-Encoding-Headers in der Anfrage, falls vorhanden, auf 256 Byte gekürzt |
| Keks* | Wert des Cookie-Headers, auf 256 Byte gekürzt |
| Cookie-Variablen* | Die Variablen im Cookie-Feld, ohne die Werte |
| Gastgeber | Wert des Host-Headers, auf 256 Byte gekürzt |
| host_multihomed* | Boolesches Attribut, das angibt, ob die Adresse im Host-Header mit einer oder mehreren IPs assoziiert ist. |
| ist_proxied* | Boolescher Wert, der eine Proxy-Anfrage anzeigt |
| ja4h | Der JA4H-Fingerabdruck des HTTP-Clients |
| Methode | HTTP-Anfragemethode |
| orig_ip_bytes* | Vom Absender an den Empfänger gesendete Bytes |
| orig_MIME-Typen | Header für Inhaltstyp in der Anfrage des Urhebers |
| orig_pkts* | Anzahl der vom Absender an den Empfänger gesendeten Pakete |
| post_data | Binary data of the POST request body. Truncated to 2k size |
| proxied | Wert des x-forwarded-for-Headers (z. B. X-FORWARDED-FOR -> 10.10.15.192) |
| Referrer | Wert des Referrer-Headers, auf 256 Byte gekürzt |
| Anfrage-Body-Länge | HTTP-Nutzdatenbytes in der Anfrage |
| request_cache_control* | Wert des Cache-Control-Headers in der Anfrage, falls vorhanden, auf 256 Byte gekürzt |
| Anzahl der Anfrage-Header* | Anzahl der Header in der Anfrage |
| Antwort-Dateiname | Der Name der vom Server zurückgegebenen Datei (falls vorhanden) |
| resp_ip_bytes* | Vom Responder an den Absender gesendete Bytes |
| resp_mime_types | Wert des Content-Type-Headers in der Antwort, auf 256 Byte gekürzt |
| Antwortpakete* | Anzahl der vom Responder an den Absender gesendeten Pakete |
| Antworttextlänge | HTTP-Nutzdatenbytes in der Antwort |
| Antwort-Cache-Steuerung* | Wert des Cache-Control-Headers in der Antwort, falls vorhanden, auf 256 Byte gekürzt |
| Antwort-Inhalt-Disposition | Der Wert des Content-Disposition-Headers (gibt die Namen der Dateien an, die als Anhang heruntergeladen werden sollen, z. B. „attachment; filename="filename.jpg"") |
| response_expires* | Expires-Header in der Antwort, falls vorhanden |
| Antwort-Header-Anzahl* | Anzahl der Header in der Antwort |
| Statuscode | Der Statuscode in der HTTP-Antwort |
| Statusmeldung | Die dem Statuscode entsprechende Statusmeldung |
| uri | In der Anfrage verwendete URI, auf 512 Byte gekürzt |
| Benutzeragent | Wert des User-Agent-Headers vom Client |
Verwenden Sie HTTP-Metadaten, um das Webverhalten zu rekonstruieren, und korrelieren Sie diese dann mit DNS- und TLS-Metadatentypen, um die Identität des Ziels und die Verschlüsselungseigenschaften zu bestätigen.
iSession-Konnektivitätsmetadaten und Netzwerkattribute auf Sitzungsebene
Die Metadaten von iSession definieren das normalisierte Sitzungsmodell, das protokollübergreifend verwendet wird. Sie erfassen den Verbindungsstatus, die Richtungszuverlässigkeit, Zeitmarken, Fingerprinting-Varianten, den VLAN-Kontext und die Anzahl der Richtungsbytes/Pakete.
Diese Abstraktion auf Sitzungsebene ermöglicht eine skalierbare Metadatenanreicherung, indem sie die Darstellung von Netzwerkmetadaten unabhängig vom Protokoll standardisiert.
|
| Feld | Beschreibung |
|---|
| Anwendung | Mit dieser Sitzung verbundene Anwendungen |
| client_luid_proxy | True if the source address of the connection has been learned as a proxy |
| Verbindungsstatus | Verbindungsstatus. Mögliche Werte: S0, S1, SF, REJ, S2, S3, RSTO, RSTR, RSTOS0, RSTRH, SH, SHR oder OTH |
| dir_confidence | Client/Server-Zuordnungssicherheit von 0 bis 100 |
| Dauer | Verbindungsdauer in ms |
| erste_ursprüngliche_Antwortdatenpaket* | Base64-Kodierung der ersten 16 Bytes des Pakets vom Absender zum Empfänger, dargestellt als Zeichenfolge |
| erste_ursprüngliche_Antwortdatenpaketzeit* | Zeitstempel des ersten Datenpakets vom Absender zum Empfänger |
| erste_ursprüngliche_Antwort_Paketzeit* | Zeitstempel des ersten Pakets vom Absender zum Empfänger |
| erste_Antwort_ursprüngliche_Daten_Paket* | Base64-Kodierung der ersten 16 Bytes des Pakets vom Responder zum Originator, dargestellt als Zeichenfolge |
| first_resp_orig_pkt_time* | Zeitstempel des ersten Pakets vom Responder zum Absender |
| first_resp_orig_data_pkt_time* | Zeitstempel des ersten Datenpakets vom Empfänger zum Absender |
| ja4lc | Der JA4LC-Fingerabdruck der Lichtentfernung des Kunden |
| ja4ls | Der JA4LS-Fingerabdruck der Lichtentfernung des Servers |
| ja4t | Der JA4T-Fingerabdruck des TCP-SYN-Pakets des Clients |
| ja4ts | Der JA4TS-Fingerabdruck des/der TCP-SYN-ACK-Pakete(s) des Servers |
| ursprüngliche_IP-Bytes | Vom Absender an den Empfänger gesendete Bytes |
| orig_pkts | Anzahl der vom Absender an den Empfänger gesendeten Pakete |
| orig_vlan_id* | VLAN_id des Absenders, falls vorhanden |
| Proto | L4-Protokollwert. 6 ist TCP, 17 ist UDP. |
| Proto_name | L4-Protokollname (TCP, UDP oder ICMP) |
| proxy_to_internal_dst | True if effective destination after proxy is internal IP |
| resp_domain* | Berechnet aus TLS SNI, HTTP Host oder dem Ziel-IP-Namen (in genau dieser Reihenfolge) |
| Antwort-IP-Bytes | Vom Empfänger an den Absender gesendete Bytes |
| resp_multihomed* | Boolesches Attribut, das angibt, ob die Domäne mit einer oder mehreren IP-Adressen assoziiert ist. |
| Antwortpakete | Anzahl der vom Responder an den Absender gesendeten Pakete |
| Antwort-VLAN-ID* | VLAN-ID des Responders, falls vorhanden |
| Dienstleistung | Dienst (z. B. „smb“) |
| server_luid_proxy | True if the destination address of the connection has been learned as a proxy |
| Sitzungsstartzeit | Zeitstempel zum Beginn der Sitzung |
Behandeln Sie iSession als Dreh- und Angelpunkt bei threat hunting. Es sorgt für eine stabile Sitzungskontinuität über Protokoll-, Authentifizierungs- und Erkennungsmetadatentypen hinweg.
Verbindungsstatuswerte und Indikatoren für den Lebenszyklus von TCP-Sitzungen
Verbindungsstatuswerte geben Auskunft darüber, wie eine Sitzung verlaufen ist: hergestellt, abgelehnt, zurückgesetzt, halb geöffnet oder unvollständig. Diese Indikatoren sind Verhaltensmetadaten, die Scans, Sondierungen, instabile Kommunikation oder abgebrochene Sitzungen aufzeigen.
|
| Bundesstaat | Beschreibung |
|---|
| S0 | Verbindungsversuch erkannt, keine Antwort. |
| S1 | Verbindung hergestellt, nicht beendet. |
| SF | Normale Einrichtung und Beendigung. Beachten Sie, dass dies dasselbe Symbol wie für den Status S1 ist. Sie können die beiden unterscheiden, da für S1 keine Byte-Zählungen in der Zusammenfassung enthalten sind, während dies für SF der Fall ist. |
| REJ | Verbindungsversuch abgelehnt |
| S2 | Verbindung hergestellt und Versuch einer Schließung durch den Urheber gesehen (aber keine Antwort vom Empfänger) |
| S3 | Verbindung hergestellt und Versuch einer Schließung durch den Responder erkannt (aber keine Antwort vom Urheber) |
| RST0 | Verbindung hergestellt, Urheber abgebrochen (RST gesendet) |
| RSTR | Der Responder hat ein RST gesendet. |
| RSTOS0 | Der Absender hat ein SYN gefolgt von einem RST gesendet, wir haben jedoch nie ein SYN-ACK vom Empfänger erhalten. |
| RSTRH | Der Responder hat ein SYN ACK gefolgt von einem RST gesendet, wir haben nie ein SYN vom (angeblichen) Absender gesehen. |
| SH | Der Absender hat ein SYN gefolgt von einem FIN gesendet, wir haben jedoch nie ein SYN ACK vom Empfänger erhalten (daher war die Verbindung nur „halb“ offen). |
| SHR | Der Responder hat ein SYN ACK gefolgt von einem FIN gesendet, wir haben nie ein SYN vom Urheber gesehen. |
| OTH | Kein SYN gesehen, nur Midstream-Traffic (ein Beispiel hierfür ist eine „Teilverbindung”, die später nicht geschlossen wurde). |
Verwenden Sie Lebenszyklusstatus zusammen mit Zeit- und Volumenfeldern, um Erkundungsmuster während der Metadaten-Forensik zu priorisieren.
Kerberos-Metadatenfelder und Authentifizierungsticket-Attribute
Kerberos-Metadaten erfassen die Ticketausstellung, den Authentifizierungstyp, die Privilegienbewertung, die Verschlüsselungsverhandlung und den Erfolgs-/Fehlerstatus. Diese Metadatentypen auf Identitätsebene sind für die Erkennung von Missbrauch von Anmeldedaten und Privilegienerweiterungen unerlässlich.
Kerberos-Metadaten ermöglichen Einblicke in:
- Konto- und Dienstprivilegstufen (niedrig, mittel, hoch)
- Ticketanforderung und Antworttypen (AS, TGT)
- Verwendung und Aushandlung von Verschlüsselungsalgorithmen
- Bedingungen für erfolgreiche Authentifizierung und Fehler
|
| Feld | Beschreibung |
|---|
| Kontoberechtigung | Privilegienstufe des Kontos. Die Punktzahlen können in drei Kategorien fallen: Niedrig (1,2), Mittel (3,4,5,6,7) und Hoch (8,9). |
| Konto-ID | Eindeutige Kennung des Kontos (Format principal@REALM) |
| as_rep_padata_count | Total PA-DATA entries seen on AS-REP prior to truncation |
| as_rep_padata_types | PA-DATA type integers from AS-REP messages (12 max) |
| as_rep_padata_types_string | Human readable PA-DATA type names for AS-REP messages (12 max) |
| as_req_padata_count | Total PA-DATA entries seen on AS-REQ prior to truncation |
| as_req_padata_types | PA-DATA type integers from AS-REQ messages (12 max) |
| as_req_padata_types_string | Human readable PA-DATA type names for AS-REQ messages (12 max) |
| Kunde | Kundenname, einschließlich Bereich |
| Datenquelle | Die Quelle der Aufzeichnung, entweder „Netzwerk“ oder „Protokoll“ |
| Fehlercode | Fehlercode bei Nicht-Erfolg |
| Fehlermeldung | Fehlermeldung bei Nicht-Erfolg |
| Beobachtete Berechtigungen des ursprünglichen Hosts* | Das Privileg entspricht dem beobachteten Privileg, basierend auf der Aktivität eines Kontos, das vom Host aus betrieben wird. Die Bewertungen können in drei Kategorien fallen: Niedrig (1, 2), Mittel (3, 4, 5, 6, 7) und Hoch (8, 9). |
| Protokoll* | L4-Protokoll. 6 (TCP) oder 17 (UDP) |
| rep_cipher | Der Verschlüsselungstyp für Antworttickets |
| Antwortzeitstempel* | Zeitstempel der Antwort |
| req_ciphers | Die Art(en) der Verschlüsselung des Anforderungstickets |
| Anfragetyp | Art der Anfrage (AS oder TGT) |
| Dienstleistung | Angeforderte Dienstleistung, einschließlich Bereich |
| Serviceprivileg | Privilegienstufe des Dienstes. Die Bewertungen können in drei Kategorien fallen: Niedrig (1,2), Mittel (3,4,5,6,7) und Hoch (8,9). |
| service_uid | Eindeutige Kennung des Dienstes (Format principal@REALM) |
| Erfolg | Ob die Anfrage erfolgreich war oder nicht |
| ticket_cipher | Ticket cipher observed on AS-REP and TGS-REP replies |
Verwenden Sie Berechtigungskategorien und Anforderungstypen, um threat hunting Konten und Dienste mit hoher Auswirkung zu konzentrieren, und wechseln Sie dann zur Validierung zu LDAP oder Sitzungstelemetrie.
LDAP-Metadatenfelder und Verzeichnisabfrageattribute
LDAP-Metadaten fassen das Such- und Bindungsverhalten des Verzeichnisses zusammen, einschließlich Abfragebereich, Attributauswahl, Ergebnisanzahl und Fehlerbedingungen.
Die Forensik von Verzeichnis-Metadaten ist besonders nützlich, um Enumerationen zu identifizieren, die einem Authentifizierungsmissbrauch vorausgehen.
|
| Feld | Beschreibung |
|---|
| Attribute | Eine Reihe von Attributen, die für Einträge angefordert werden sollen, die den Suchkriterien entsprechen und zurückgegeben werden. |
| Basisobjekt | Basis des Teilbaums, in dem die Suche eingeschränkt werden soll |
| bind_error_count | Wenn Bindungsfehler auftreten, Anzahl der Fehler |
| Dauer | Dauer der Sitzung |
| verschlüsselte_SASL-Nutzlastanzahl | Wenn SASL-Verschlüsselung verwendet wird, die Anzahl der verschlüsselten SASL-Nutzdaten, die angetroffen werden |
| Fehler | Die Fehlermeldung im Falle eines Fehlers (z. B. „0000208D: NameErr ...“) |
| Anmeldefehleranzahl | Die Anzahl der Anmeldefehler |
| ist_geschlossen | Boolescher Flag, der angibt, ob das Schließen beobachtet wurde |
| ist_Abfrage | Boolesche Flagge, die angibt, ob die Abfrage in der Anfrage beobachtet wurde |
| abgestimmter_DN | Der übereinstimmende Distinguished Name |
| Nachrichten-ID | Nachrichten-ID |
| Abfrage | Kriterien zur Identifizierung der Einträge innerhalb des Umfangs, die zurückgegeben werden sollen |
| Abfrageumfang | Der Teil des Zielunterbaums, der berücksichtigt werden soll (z. B. wholeSubtree) |
| Antwort-Bytes | Anzahl der Bytes in der Antwort |
| Ergebnis | Das Ergebnis der Abfrage in dieser Anfrage |
| Anforderungsbytes | Anzahl der Bytes in der Anfrage |
| Ergebniscode | Der Ergebniscode (Erfolg oder Misserfolg) in der Antwort |
| Ergebnisanzahl | Die Anzahl der Einträge im Ergebnis |
Verwenden Sie das Ergebnisvolumen und Fehlermuster, um routinemäßige Suchvorgänge von groß angelegten Erkundungen während threat hunting zu unterscheiden.
Match und Warnsignaturattribute Match
Match stellen eher ausgewertete Erkennungsergebnisse als rohe Telemetriedaten dar. Diese Metadatentypen beschreiben die Signaturidentität, den Schweregrad, den Revisionsstatus, den Einsatzbereich und den Paketkontext.
Diese Ebene spiegelt wider, wie Netzwerk-Metadaten von der Erkennungslogik interpretiert wurden.
|
| Feld | Beschreibung |
|---|
| eve_json.alert.category | Kategorie der Warnmeldung |
| eve_json.alert.gid | Eindeutige Kennung für eine Gruppe von Signaturen. Standardmäßig ist für die meisten Signaturen der Wert 1 festgelegt. |
| eve_json.alert.metadata.betroffenes_Produkt | Gibt Details zum betroffenen Produkt an |
| eve_json.alert.metadata.angriffsziel | Gibt an, ob das Angriffsziel der Client, der Server, beide oder andere sind. |
| eve_json.alert.metadata.created_at | Gibt das Datum an, an dem die Signatur erstellt wurde. |
| eve_json.alert.metadata.Bereitstellung | Gibt an, wo die Signatur eingesetzt werden soll. |
| eve_json.alert.metadata.malware | Gibt die Malware an, die mit der Signatur verknüpft ist. |
| eve_json.alert.metadata.policy | Gibt Details zur Alarmrichtlinie an. |
| eve_json.alert.metadata.signature_severity | Beschreibt den Schweregrad, der mit der Signatur verbunden ist. |
| eve_json.alert.metadata.tag | Gibt alle Tag-Informationen an, die der Signatur vom Autor zugewiesen wurden. |
| eve_json.alert.metadata.aktualisiert_am | Gibt die Daten der letzten Aktualisierung der Signatur an. |
| eve_json.alert.rev | Revisionsnummer der Warnsignatur, die angibt, ob die Signatur aktualisiert wurde |
| eve_json.alert.rule | Geben Sie die Regel an, die den Alarm ausgelöst hat. |
| eve_json.alert.severity | Zahl, die den Schweregrad der Warnung angibt |
| eve_json.alert.signatur | Der Name der Regel. Basierend auf dem Text „msg” in der Signatur. |
| eve_json.alert.signatur_id | Alarmsignatur-Kennung |
| eve_json.alert.xff | Wert von „x-forwarded-for“ |
| eve_json.Richtung | Gibt die Verkehrsrichtung der Warnung an. |
| eve_json.Paket | Gibt das Paket an, das die Signatur ausgelöst hat. |
| eve_json.payload | Stellt die Base64-codierten Paket-Nutzdateninformationen bereit. |
| eve_json.payload_printable | Stellt die Nutzlast in ASCII bereit. |
| eve_json.proto | L4-Protokollname |
Verwenden Sie Match-Metadaten, um zu verstehen, warum eine Erkennung ausgelöst wurde, und kehren Sie dann zu den zugrunde liegenden Protokoll- und Sitzungsmetadaten zurück, um eine vollständige Rekonstruktion durchzuführen.
NTLM-Metadatenfelder und Authentifizierungsantwortattribute
NTLM-Metadaten erfassen Authentifizierungsversuche und -ergebnisse, darunter Host, Domäne, Benutzername, Statuscode und Erfolgszustand.
In Umgebungen, in denen NTLM aktiv bleibt, sind diese Metadatentypen wichtig, um den Missbrauch der Fallback-Authentifizierung zu erkennen.
|
| Feld | Beschreibung |
|---|
| Domäne | Domäne des Hosts |
| Hostname | Hostname, unter dem sich der Benutzer angemeldet hat |
| Status | Statuscode in der Antwort |
| Erfolg | Ob die Anfrage erfolgreich war oder nicht |
| Benutzername | Benutzername oder Kontoname, mit dem Sie sich angemeldet haben |
Verwenden Sie wiederholte Fehler oder ungewöhnliche Erfolgsmuster als threat hunting und korrelieren Sie diese dann mit SMB- oder RDP-Metadaten.
RDP-Metadatenfelder und Attribute der Remotedesktop-Sitzung
RDP-Metadaten erfassen interaktive Remote-Sitzungsattribute, darunter Client-Identität, Versionierung, Anzeigeeigenschaften und Verschlüsselungsindikatoren.
Diese Metadatentypen unterstützen die Untersuchung von administrativen Zugriffsmustern, ohne dass Inhalte entschlüsselt werden müssen.
|
| Feld | Beschreibung |
|---|
| Client-Build | Vom Client-Rechner verwendete RDP-Client-Version. Bei Verschlüsselung wird „unbekannt“ angezeigt. |
| Kunden-Dig-Produkt-ID | Produkt-ID des Client-Computers |
| Kundenname | Name des Client-Computers |
| Keks | Vom Client-Rechner verwendeter Cookie-Wert (Benutzername) |
| Desktop-Höhe | Desktop-Höhe des Client-Computers. 0, wenn verschlüsselt |
| Desktop-Breite | Desktop-Breite des Client-Computers. 0, wenn verschlüsselt |
| Tastaturlayout | Tastaturlayout (Sprache) des Client-Computers (z. B. „US“ „Verschlüsseltes Tastaturlayout“) |
| Ergebnis | Wenn verschlüsselt, ist der Ergebniswert „verschlüsselt“, andernfalls ist er leer. |
Erwartete Basis-Fernzugriffsmuster und Kennzeichnung von Abweichungen während der Metadaten-Forensik.
RADIUS-Metadatenfelder und Authentifizierungs-Accounting-Attribute
RADIUS-Metadaten zeichnen das Verhalten der Zugriffskontrolle, Authentifizierung und Abrechnung auf, einschließlich Sitzungskennungen, Dauer, Paket-/Byte-Zähler, Adressierung und Richtlinienmarkierungen.
Diese Netzwerk-Metadatentypen helfen dabei, Fernzugriffspfade über VPN-, NAC- oder drahtlose Systeme zu verfolgen.
|
| Feld |
Beschreibung |
| Kontoauthentifizierung |
Identifiziert, wie der Benutzer authentifiziert wurde |
| Kontoverzögerungszeit |
Gibt an, wie lange der Absender bereits versucht, die Nachricht zu senden. |
| Kontoeingabe Gigawörter |
Gibt an, wie oft der Zähler „Acct-Input“ für Eingaben zurückgesetzt wurde. |
| account_input_octets |
Wie viele Bytes wurden empfangen? |
| Eingangs-Pakete |
Wie viele Pakete das System empfangen hat |
| Kontoausgabe_Gigawörter |
Gibt an, wie oft der Zähler „Acct-Input“ für die Ausgabe zurückgesetzt wurde. |
| Kontoausgabe-Oktette |
Wie viele Bytes wurden gesetzt? |
| Kontoausgabepakete |
Wie viele Pakete das System gesendet hat |
| Konto-Sitzungs-ID |
Dies ist eine eindeutige ID, die die RADIUS-Abrechnungssitzung identifiziert, die in einem separaten Paket gesendet wird. |
| Konto-Sitzungszeit |
Dauer der vom Benutzer erhaltenen Dienstleistung |
| Anrufende_Station_ID |
Dies ist die Kennung der anrufenden Station. |
| Verbindungsinformationen |
Identifizieren Sie die Geschwindigkeit der Verbindung oder andere verbindungsbezogene Informationen. |
| delegiertes_IPv6-Präfix |
IPv6-Pool, aus dem die IPv6-Adresse zugewiesen wurde |
| dst_display_name |
DNS-Name des Ziels |
| dst_host_luid |
Dies ist die ID des Zielhosts mit der Host-ID |
| dst_luid |
Die LUID des RADIUS-Servers |
| dst_luid_extern |
Der Wert ist „True“, wenn das Ziel extern ist. |
| Ereigniszeitstempel |
Ähnlich wie ts, jedoch handelt es sich um den Zeitstempel des Geräts und nicht von Vectra. |
| Filter-ID |
Dies identifiziert alle ACLs, die verwendet werden. |
| gerahmte_Adresse |
Dieses Feld ist in der Anfrage verfügbar, die den endpoint identifiziert, der die Authentifizierung endpoint |
| gerahmte_Schnittstelle |
Identifiziert die Schnittstelle, die verwendet wird, wenn sich der Benutzer mit dem System verbindet. |
| gerahmte_IP-Adresse |
IP-Adresse des endpoint , das sich mit dem System verbindet |
| gerahmter_ipv6_Präfix |
Gibt das gerahmte IPv6-Präfix für den Benutzer an. |
| gerahmtes Protokoll |
Identifiziert das Framed Protocol, das verwendet wird, wenn der Benutzer eine Verbindung zum System herstellt. |
Verwenden Sie Buchhaltungs- und NAS-Kontextfelder, um den Zugriffsumfang und die Zugriffsdauer zu validieren, bevor Sie zu SMB- oder RDP-Aktivitäten übergehen.
Erweiterte RADIUS-Metadatenfelder und Netzwerkzugriffskontrollattribute
Erweiterte RADIUS-Metadaten fügen Geräte- und Durchsetzungskontext hinzu: NAS-Kennungen und -Ports, Sitzungs- und Leerlauf-Timeouts, Tunnelendpunkte, externe Quellenindikatoren, Antwortzeiten und ob sensible Felder (wie Passwörter) beobachtet wurden. Diese Felder helfen bei der Interpretation, wie Zugriffsentscheidungen umgesetzt wurden.
|
| Feld |
Beschreibung |
| Leerlaufzeitlimit |
Zeitraum, in dem eine Sitzung inaktiv sein kann, bevor sie getrennt wird |
| angemeldet |
Das boolesche Attribut gibt an, ob die Anfrage zuvor protokolliert wurde. |
| Mac |
MAC-Adresse, wenn sie als Feld in der Radius-Nachricht beobachtet wird |
| nas_identifier |
Identifiziert die Rolle, die der authentifizierende Client anfordert. |
| nas_ip_adresse |
Dies ist ein IP-Adressformat, das je nach Implementierung die IP-Adresse des Geräts, des Endpoint oder des Zwischensystems sein kann. |
| nas_port |
Physikalische Portnummer des Geräts, das den Benutzer authentifiziert |
| nas_port_id |
Textzeichenfolge, die den vom Client bereitgestellten Port identifiziert |
| nas_port_type |
Dies ist der Medientyp des Ports (z. B. Ethernet, WLAN usw.). |
| Passwort gesehen |
Boolesches Attribut, das angibt, dass das Passwort gesehen wurde |
| Radius-Typ |
Der Wert gibt an, ob es sich um eine Zugriffs- oder Abrechnungsanfrage handelt. |
| Antwortnachricht |
Antwortnachricht von der Server-Challenge. Diese wird häufig dem sich authentifizierenden Benutzer angezeigt. |
| Antwortzeitstempel |
Zeitstempel, zu dem die Antwortnachricht empfangen wurde |
| Ergebnis |
Erfolgreiche oder fehlgeschlagene Authentifizierung |
| Dienstleistungstyp |
Art der vom Benutzer angeforderten Dienstleistung |
| Sitzungstimeout |
Dies ist die maximale Sitzungsdauer. |
| src_display_name |
DNS-Name der Quelle |
| src_host_luid |
Dies ist die ID des Src mit Host-ID. |
| src_luid |
Die LUID des RADIUS-Clients |
| src_luid_extern |
Der Wert ist „True“, wenn die Quelle extern ist. |
| ttl |
Die Zeitspanne zwischen der ersten Anfrage und entweder der „Access-Accept”-Meldung oder einer Fehlermeldung. Ist das Feld leer, bedeutet dies, dass entweder die Anfrage oder die Antwort nicht gesehen wurde. |
| Tunnel-Client |
Adresse (IPv4, IPv6 oder FQDN) des initiierenden Endes des Tunnels, falls vorhanden. Diese wird aus demEndpoint erfasst. |
| Benutzername |
Dies ist der Benutzername, wie er in der Radius-Nachricht zu sehen ist. |
Verwenden Sie NAS- und Tunnelkontext, um genau zu bestimmen, wo der Zugriff gewährt wurde, welcher Dienst angefordert wurde und wie lange er bestand. Dies ist besonders nützlich, wenn Sie Remotezugriffspfade zu internen SMB/RDP-Aktivitäten verfolgen.
SMB-Dateimetadatenfelder und Dateioperationsattribute
SMB-Dateimetadaten erfassen Vorgänge auf Dateiebene, darunter Erstellung, Umbenennung, Löschen beim Schließen, Pfadkontext, SMB-Version und Benutzerzuordnung.
Diese Metadatentypen sind für Untersuchungen ransomware lateraler Staging-Aktivität von entscheidender Bedeutung.
|
| Feld | Beschreibung |
|---|
| Aktion | Maßnahmen zu dieser Akte |
| beim_Schließen_löschen* | Flag, das angibt, ob das Attribut „delete_on_close” aktiviert ist. Wenn es aktiviert ist, kann eine Datei beim Schließen gelöscht werden, wenn es sich um das letzte Schließen der Datei handelt. |
| Domäne* | Domäne des SMB-Servers |
| Hostname* | Hostname des SMB-Clients |
| Pfad | Der aus der Baumdatei extrahierte Pfad wurde übertragen zu oder von |
| vorheriger Name | Wenn die Umbenennung durchgeführt wurde, ist dies der vorherige Name der Datei. |
| Name | Dateiname, falls einer gesehen wurde |
| Benutzername* | Benutzername oder Kontoname, mit dem die Anmeldung erfolgte. Namen, die mit „$“ enden, sind Maschinennamen (keine Benutzerkontonamen). |
| Version | SMB-Version (SMBv1 oder SMBv2) |
Verwenden Sie Dateiaktionen und Umbenennungsmuster, um destruktives Verhalten bei threat hunting zu identifizieren.
SMB-Zuordnung von Metadatenfeldern und Freigabeverbindungsattributen
SMB-Mapping-Metadaten erfassen Baumverbindungen und Freigabeverbindungen vor der Dateiinteraktion.
Diese Schicht sorgt für eine Anreicherung der Metadaten, indem sie die Identität des Benutzers mit dem Kontext des gemeinsamen Zugriffs verknüpft.
|
| Feld | Beschreibung |
|---|
| Domäne* | Domäne des SMB-Servers |
| Hostname* | Hostname des SMB-Clients |
| Pfad | Name des Baumpfads |
| Dienstleistung | Art des Wiederherstellers des Baums |
| Benutzername* | Benutzername oder Kontoname, mit dem die Anmeldung erfolgte. Namen, die mit „$“ enden, sind Maschinennamen (keine Benutzerkontonamen). |
| Version | SMB-Version (SMBv1 oder SMBv2) |
Verwenden Sie Mapping-Ereignisse, um die Zugriffsherkunft festzustellen, bevor Sie Vorgänge auf Dateiebene analysieren.
SMTP-Metadatenfelder und E-Mail-Header-Attribute
SMTP-Metadaten erfassen E-Mail-Header-Attribute und Authentifizierungsergebnisse, darunter SPF, DKIM, DMARC, TLS-Nutzung und Ursprungs-IP. E-Mail-bezogene Netzwerk-Metadaten unterstützen threat hunting phishing und gefälschten Absendern.
|
| Feld | Beschreibung |
|---|
| cc | Inhalt des CC-Headers, formatiert als durch Kommas getrennte Liste |
| Datum | Inhalt des Date-Headers |
| dkim_status | Bestanden/Nicht bestanden/Keine Angabe. Basierend auf dem Header „Authentication-results“ |
| dmarc_status | Bestanden/Nicht bestanden/Keine Angabe. Basierend auf dem Header „Authentication-results“ |
| erstmals_erhalten | Inhalt des ersten Received-Headers, der den ersten SMTP-Server angibt, der diese Nachricht empfangen hat (d. h. den sendenden Server) |
| von | Inhalt des From-Headers |
| Hallo | Inhalt des Helo-Headers |
| in_Antwort_auf | Inhalt des In-Reply-To-Headers |
| mail_from | E-Mail-Adressen, die im Absender-Header gefunden wurden |
| msgid | Inhalt des MsgID-Headers |
| rcpt_to | E-Mail-Adressen, die im Rcpt-Header gefunden wurden, formatiert als durch Kommas getrennte Liste |
| Antworten an | Inhalt des ReplyTo-Headers |
| zweite_empfangen | Inhalt des zweiten Received-Headers, der den zweiten SMTP-Server angibt, der diese Nachricht empfängt. |
| Thema | Inhalt der Betreffzeile |
| spf_helo_status | Basierend auf dem Header „Received-SPF” in SMTP. Dieser Header gibt den SPF-Status (Sender Policy Framework) an. Einer von pass/fail/neutral/softfail/none/temperror/permerror. Siehe: https://tools.ietf.org/html/rfc7208#section-9.1 |
| spf_mailfrom_status | Eines von bestanden/nicht bestanden/neutral/Softfail/keine/Temperror/Permerror |
| TLS | Zeigt an, dass die Verbindung auf TLS umgestellt wurde. |
| zu | Inhalt des „To“-Headers, formatiert als durch Kommas getrennte Liste |
| Benutzeragent | Wert des User-Agent-Headers vom Client |
| x_ursprüngliche_IP | Inhalt des X-Originating-IP-Headers |
Verwenden Sie Authentifizierungsergebnisse und Relay-Chain-Metadaten für die forensische Validierung der Legitimität des Absenders.
SSH-Metadatenfelder und verschlüsselte Sitzungsverhandlungsattribute
SSH-Metadaten erfassen Verhandlungsdetails wie Client-/Server-Versionen, Schlüsselaustausch, Verschlüsselungsauswahl, MAC-Algorithmus und Fingerprint-Hashes. Diese Metadatentypen unterstützen die Identifizierung von anomalen Verwaltungstools und nicht autorisiertem Remote-Shell-Verhalten.
|
| Feld | Beschreibung |
|---|
| Kunde | Die Versionszeichenfolge des Kunden |
| cipher_alg | Der verwendete Verschlüsselungsalgorithmus |
| Komprimierungsalgorithmus | Der verwendete Komprimierungsalgorithmus |
| hassh | Hash des Clients basierend auf den SSH-Parametern des Clients |
| hassh_server | haashServer Hash des Servers basierend auf den SSH-Parametern des Clients |
| Hostschlüssel | Der Fingerabdruck des Serverschlüssels |
| Hostschlüsselalgorithmus | Der Algorithmus des Server-Hostschlüssels |
| kex_alg | Der verwendete Schlüsselaustauschalgorithmus |
| mac_alg | Der verwendete Signaturalgorithmus (MAC) |
| Server | Die Versionszeichenfolge des Servers |
| Version | SSH-Hauptversion (1 oder 2) |
Verwenden Sie Algorithmus- und Fingerabdruckfelder, um erwartete Verwaltungstools zu definieren und ungewöhnliche Clients oder Verhandlungsmuster zu identifizieren. Wechseln Sie dann zur Sitzungsverbindung, um Dauer, Richtung und Volumen derselben SSH-Sitzung zu verstehen.
SSL/TLS-Metadatenfelder und verschlüsselte Sitzungsattribute
SSL/TLS-Metadaten erfassen Handshake-Verhandlungen und Zertifikatsaustauschmerkmale für verschlüsselte Sitzungen. Die folgenden Felder umfassen Protokollversionen, ausgewählte Verschlüsselungssuiten, Kurvenparameter, Client-/Server-Erweiterungen, Aussteller-/Subjekt-Identifikatoren, SNI- und JA3/JA4-Fingerabdrücke sowie den Einrichtungsstatus.
|
| Feld | Beschreibung |
|---|
| Anwendung | Mit dieser Sitzung verbundene Anwendungen |
| Chiffre | SSL/TLS-Verschlüsselungssuite vom Server ausgewählt |
| Kundenkurvennummer* | Vom Client gesendete elliptische Kurvenzahl |
| client_ec_point_format* | Vom Client angebotenes Format für elliptische Kurvenpunkte |
| client_extension* | Client-Erweiterungen |
| Kundenaussteller | Aussteller von Client-Zertifikaten |
| client_luid_proxy | True if the source address of the connection has been learned as a proxy |
| Kundenbetreff | Kundenzertifikat-Thema |
| client_version* | Vom Client gesendete SSL-Versionszeichenfolge |
| client_version_num* | Vom Client gesendete SSL-Versionsnummer |
| Kurve | Elliptische Kurvenzahl für ECDHE |
| etabliert | Flag, das angibt, ob diese SSL-Sitzung erfolgreich hergestellt wurde oder ob sie während des Handshakes abgebrochen wurde. |
| Aussteller | Serverzertifikatsaussteller |
| ja3 | JA3-Hash des Clients basierend auf den SSL-Parametern des Clients |
| ja3s | JA3S-Hash des Servers basierend auf den SSL-Parametern des Servers |
| ja4 | Der JA4-Fingerabdruck des TLS-Clients |
| ja4s | Der JA4S-Fingerabdruck der TLS-Serverantwort |
| nächstes_Protokoll | Nächstes Protokoll, das der Server mithilfe der Erweiterung „Nächstes Protokoll“ der Anwendungsschicht ausgewählt hat, falls vorhanden |
| proxy_to_internal_dst | True if effective destination after proxy is internal ip |
| Servererweiterungen | Servererweiterungen |
| server_luid_proxy | True if the destination address of the connection has been learned as a proxy |
| Servername | SNI-Wert |
| Thema | Serverzertifikat-Thema |
| Version | Vom Server gewählte SSL/TLS-Version |
| Versionsnummer | Numerische SSL/TLS-Version, die der Server ausgewählt hat |
| Version/Versionsnummer | SSL-Versionsnummer |
Verwenden Sie TLS-Fingerabdrücke und SNI/Zertifikatskontext, um Client-/Server-Implementierungen und die Identität des Ziels zu identifizieren, und wechseln Sie dann zu X.509, um die Zertifikatseigenschaften und die SAN-Abdeckung für eine tiefergehende Vertrauensanalyse zu überprüfen.
Metadatenfelder des X.509-Zertifikats und Attribute des digitalen Zertifikats
X.509-Metadaten zeichnen Zertifikatsidentität und Vertrauenseigenschaften auf, darunter die Zusammensetzung von Subjekt/Aussteller, Gültigkeitsfenster, SAN-Werte, Schlüssellänge, Signaturalgorithmus und JA4X-Fingerabdruck. Diese Metadatentypen unterstützen die forensische Untersuchung zertifikatsbasierter Metadaten und die Erkennung verdächtiger Infrastrukturen.
|
| Feld | Beschreibung |
|---|
| Anwendung | Mit dieser Sitzung verbundene Anwendungen |
| grundlegende_Einschränkungen.ca | Flag, das angibt, ob es sich bei dem Zertifikat um eine Zertifizierungsstelle handelt |
| basic_constraints.path_len | Maximale Tiefe gültiger Zertifizierungspfade, die dieses Zertifikat enthalten |
| Zertifikat.cn | Allgemeiner Name, der den Hostnamen des Zertifikats identifiziert |
| Zertifikat.Kurve | Kurve, wenn EG-Zertifikat |
| Zertifikat.Exponent | Schlüssel-Exponent |
| Zertifikatsaussteller | Kombination aus Land, Organisationen, gebräuchlichem Namen, Herausgeber, URI |
| Zertifikat.Schlüsselalgorithmus | Name des öffentlichen Schlüsselalgorithmus, der bei der Datenübertragung verwendet wird, z. B. RSA-Verschlüsselung |
| Zertifikat.Schlüssellänge | Anzahl der bei der Verschlüsselung verwendeten Bits, z. B. 2.048-Bit-Verschlüsselung |
| Zertifikat.Schlüsseltyp | Drei Schlüsseltypen, abhängig vom Schlüsselalgorithmus |
| Zertifikat.nicht_gültig_nach | Zeit nach Ablauf der Gültigkeit des Zertifikats |
| Zertifikat.nicht_gültig_vor | Zeit bis zum Ablauf der Gültigkeit des Zertifikats |
| selbst ausgestelltes Zertifikat | Boolesche Kennzeichnung, die angibt, ob das Zertifikat selbst ausgestellt oder von einer Zertifizierungsstelle unterstützt wird |
| Zertifikat.Seriennummer | Eindeutige Seriennummer, die von einer Zertifizierungsstelle oder einer signierten Zertifizierungsstelle vergeben wird. In der Regel 40 hexadezimale Zeichen. |
| Zertifikat.sig_alg | Name des Signaturalgorithmus |
| Zertifikat.Betreff | Inhaber des Zertifikats (Distinguished Name) |
| Zertifikat.Version | Version des Serverzertifikats (SSL V3, TLS V1, TLS V2 usw.) |
| client_luid_proxy | True if the source address of the connection has been learned as a proxy |
| ja4x | Der JA4X-Fingerabdruck des X.509-TLS-Zertifikats |
| proxy_to_internal_dst | True if effective destination after proxy is internal ip |
| san.dns | Angabe einer Liste zusätzlicher Hostnamen für ein einzelnes Zertifikat zusammen mit DNS-Namen, die mit SAN (Subject Alternative Name) verknüpft sind |
| san.email | Mit dem SAN verknüpfte E-Mail-Adresse |
| san.ip | IP-Adresse des SAN im digitalen Zertifikat |
| san.andere_Felder | Andere Felder im SAN |
| san.uri | Mit SAN verknüpfter URL-Name |
| Version/Versionsnummer | SSL-Versionsnummer |
| server_luid_proxy | True if the destination address of the connection has been learned as a proxy |
Verwenden Sie X.509-Attribute, um die Vertrauenswürdigkeit zu bewerten und Muster wiederzuverwenden, und korrelieren Sie diese dann mit TLS- und DNS-Metadaten, um die Untersuchungskette zu vervollständigen.
