Всем привет. А есть ли где-то инфа о том в каких полях каких типов событий (хотя бы до уровня event_src.category) можно найти IP, Domain, E-mail, Parent process, Childe process, Parent params, Child params, New registry key, Old registry key?
Думаю, что ты и сам понимаешь, что консолидированной инфы нет.
Т к тот же email/domain блуждает по самым разным полям нормализованного события, а часто даже не нормализуются =|
Если кейс это ретро анализ, то, думаю, что лучше отталкиваться от уже реализованной логики (правил) выявления. Можно сделать как-то так:
1. Выдернуть все нужные правила/фильтры выявления.
2. Сгруппировать их по типам артефактов, которые используются для выявления.
3. В каждом типе пробежаться по каждому правилу и выделить нужные поля нормализованных событий.
4. Очень внимательно смотреть, чтобы эти поля не изменились после обновления системного контента.
ЗЫ
Конечно, КО, но а чего ты ещё ожидал? )