الاختصارات

من أجل توفير المساحة، نختصر المستويات وتكتيكات MITRE ATT&CK والقنوات والمزودين وأسماء الحقول وما إلى ذلك...

يمكنك إيقاف بعض هذه الاختصارات لرؤية اسم القناة الأصلي واسم المزود وما إلى ذلك... باستخدام الخيار -b, --disable-abbreviations.

اختصارات المستوى

من أجل توفير المساحة، نستخدم الاختصارات التالية عند عرض level التنبيه.

• emer: emergency
• crit: critical
• high: high
• med: medium
• low: low
• info: informational
• undef: undefined

اختصارات تكتيكات MITRE ATT&CK

من أجل توفير المساحة، نستخدم الاختصارات التالية عند عرض وسوم تكتيكات MITRE ATT&CK. يمكنك تعديل هذه الاختصارات بحرية في ملف الإعداد ./config/mitre_tactics.txt.

• Recon : Reconnaissance
• ResDev : Resource Development
• InitAccess : Initial Access
• Exec : Execution
• Persis : Persistence
• PrivEsc : Privilege Escalation
• Stealth : Stealth (formerly Defense Evasion)
• DefImpair : Defense Impairment
• CredAccess : Credential Access
• Disc : Discovery
• LatMov : Lateral Movement
• Collect : Collection
• C2 : Command and Control
• Exfil : Exfiltration
• Impact : Impact

اختصارات القنوات

من أجل توفير المساحة، نستخدم الاختصارات التالية عند عرض القناة. يمكنك تعديل هذه الاختصارات بحرية في ملف الإعداد ./rules/config/channel_abbreviations.txt.

• App : Application
• AppLocker : Microsoft-Windows-AppLocker/*
• BitsCli : Microsoft-Windows-Bits-Client/Operational
• CodeInteg : Microsoft-Windows-CodeIntegrity/Operational
• Defender : Microsoft-Windows-Windows Defender/Operational
• DHCP-Svr : Microsoft-Windows-DHCP-Server/Operational
• DNS-Svr : DNS Server
• DvrFmwk : Microsoft-Windows-DriverFrameworks-UserMode/Operational
• Exchange : MSExchange Management
• Firewall : Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
• KeyMgtSvc : Key Management Service
• LDAP-Cli : Microsoft-Windows-LDAP-Client/Debug
• NTLM Microsoft-Windows-NTLM/Operational
• OpenSSH : OpenSSH/Operational
• PrintAdm : Microsoft-Windows-PrintService/Admin
• PrintOp : Microsoft-Windows-PrintService/Operational
• PwSh : Microsoft-Windows-PowerShell/Operational
• PwShClassic : Windows PowerShell
• RDP-Client : Microsoft-Windows-TerminalServices-RDPClient/Operational
• Sec : Security
• SecMitig : Microsoft-Windows-Security-Mitigations/*
• SmbCliSec : Microsoft-Windows-SmbClient/Security
• SvcBusCli : Microsoft-ServiceBus-Client
• Sys : System
• Sysmon : Microsoft-Windows-Sysmon/Operational
• TaskSch : Microsoft-Windows-TaskScheduler/Operational
• WinRM : Microsoft-Windows-WinRM/Operational
• WMI : Microsoft-Windows-WMI-Activity/Operational

اختصارات أخرى

تُستخدم الاختصارات التالية في القواعد لجعل المخرجات موجزة قدر الإمكان:

• Acct -> Account
• Addr -> Address
• Auth -> Authentication
• Cli -> Client
• Chan -> Channel
• Cmd -> Command
• Cnt -> Count
• Comp -> Computer
• Conn -> Connection/Connected
• Creds -> Credentials
• Crit -> Critical
• Disconn -> Disconnection/Disconnected
• Dir -> Directory
• Drv -> Driver
• Dst -> Destination
• EID -> Event ID
• Err -> Error
• Exec -> Execution
• FW -> Firewall
• Grp -> Group
• Img -> Image
• Inj -> Injection
• Krb -> Kerberos
• LID -> Logon ID
• Med -> Medium
• Net -> Network
• Obj -> Object
• Op -> Operational/Operation
• Proto -> Protocol
• PW -> Password
• Reconn -> Reconnection
• Req -> Request
• Rsp -> Response
• Sess -> Session
• Sig -> Signature
• Susp -> Suspicious
• Src -> Source
• Svc -> Service
• Svr -> Server
• Temp -> Temporary
• Term -> Termination/Terminated
• Tkt -> Ticket
• Tgt -> Target
• Unkwn -> Unknown
• Usr -> User
• Perm -> Permament
• Pkg -> Package
• Priv -> Privilege
• Proc -> Process
• PID -> Process ID
• PGUID -> Process GUID (Global Unique ID)
• Ver -> Version