Abréviations

Afin de gagner de la place, nous abrégeons les niveaux, les tactiques MITRE ATT&CK, les canaux, les fournisseurs, les noms de champs, etc...

Vous pouvez désactiver certaines de ces abréviations pour afficher le nom de canal d'origine, le nom de fournisseur, etc... avec l'option -b, --disable-abbreviations.

Abréviations des niveaux

Afin de gagner de la place, nous utilisons les abréviations suivantes lors de l'affichage du level de l'alerte.

• emer: emergency
• crit: critical
• high: high
• med: medium
• low: low
• info: informational
• undef: undefined

Abréviations des tactiques MITRE ATT&CK

Afin de gagner de la place, nous utilisons les abréviations suivantes lors de l'affichage des balises de tactiques MITRE ATT&CK. Vous pouvez modifier librement ces abréviations dans le fichier de configuration ./config/mitre_tactics.txt.

• Recon : Reconnaissance
• ResDev : Resource Development
• InitAccess : Initial Access
• Exec : Execution
• Persis : Persistence
• PrivEsc : Privilege Escalation
• Stealth : Stealth (formerly Defense Evasion)
• DefImpair : Defense Impairment
• CredAccess : Credential Access
• Disc : Discovery
• LatMov : Lateral Movement
• Collect : Collection
• C2 : Command and Control
• Exfil : Exfiltration
• Impact : Impact

Abréviations des canaux

Afin de gagner de la place, nous utilisons les abréviations suivantes lors de l'affichage du canal. Vous pouvez modifier librement ces abréviations dans le fichier de configuration ./rules/config/channel_abbreviations.txt.

• App : Application
• AppLocker : Microsoft-Windows-AppLocker/*
• BitsCli : Microsoft-Windows-Bits-Client/Operational
• CodeInteg : Microsoft-Windows-CodeIntegrity/Operational
• Defender : Microsoft-Windows-Windows Defender/Operational
• DHCP-Svr : Microsoft-Windows-DHCP-Server/Operational
• DNS-Svr : DNS Server
• DvrFmwk : Microsoft-Windows-DriverFrameworks-UserMode/Operational
• Exchange : MSExchange Management
• Firewall : Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
• KeyMgtSvc : Key Management Service
• LDAP-Cli : Microsoft-Windows-LDAP-Client/Debug
• NTLM Microsoft-Windows-NTLM/Operational
• OpenSSH : OpenSSH/Operational
• PrintAdm : Microsoft-Windows-PrintService/Admin
• PrintOp : Microsoft-Windows-PrintService/Operational
• PwSh : Microsoft-Windows-PowerShell/Operational
• PwShClassic : Windows PowerShell
• RDP-Client : Microsoft-Windows-TerminalServices-RDPClient/Operational
• Sec : Security
• SecMitig : Microsoft-Windows-Security-Mitigations/*
• SmbCliSec : Microsoft-Windows-SmbClient/Security
• SvcBusCli : Microsoft-ServiceBus-Client
• Sys : System
• Sysmon : Microsoft-Windows-Sysmon/Operational
• TaskSch : Microsoft-Windows-TaskScheduler/Operational
• WinRM : Microsoft-Windows-WinRM/Operational
• WMI : Microsoft-Windows-WMI-Activity/Operational

Autres abréviations

Les abréviations suivantes sont utilisées dans les règles afin de rendre la sortie aussi concise que possible :

• Acct -> Account
• Addr -> Address
• Auth -> Authentication
• Cli -> Client
• Chan -> Channel
• Cmd -> Command
• Cnt -> Count
• Comp -> Computer
• Conn -> Connection/Connected
• Creds -> Credentials
• Crit -> Critical
• Disconn -> Disconnection/Disconnected
• Dir -> Directory
• Drv -> Driver
• Dst -> Destination
• EID -> Event ID
• Err -> Error
• Exec -> Execution
• FW -> Firewall
• Grp -> Group
• Img -> Image
• Inj -> Injection
• Krb -> Kerberos
• LID -> Logon ID
• Med -> Medium
• Net -> Network
• Obj -> Object
• Op -> Operational/Operation
• Proto -> Protocol
• PW -> Password
• Reconn -> Reconnection
• Req -> Request
• Rsp -> Response
• Sess -> Session
• Sig -> Signature
• Susp -> Suspicious
• Src -> Source
• Svc -> Service
• Svr -> Server
• Temp -> Temporary
• Term -> Termination/Terminated
• Tkt -> Ticket
• Tgt -> Target
• Unkwn -> Unknown
• Usr -> User
• Perm -> Permament
• Pkg -> Package
• Priv -> Privilege
• Proc -> Process
• PID -> Process ID
• PGUID -> Process GUID (Global Unique ID)
• Ver -> Version