time.source

Zeitstempel in UTC, der den Zeitpunkt des Vorfalls definiert (meist die Durchführung des Scans)

source.ip

Die IP Adresse des betroffenen Systems.

protocol.transport

Das verwendete Transport Protokol (TCP/UDP).

source.port

Quell-Port der Verbindung, ausgehend vom betroffenen System.

protocol.application

Der involvierte Dienst/Service (z.B. ssh, vnc, ftp, etc.)

source.fqdn

Der Hostname des betroffenen Systems.

source.local_hostname

Ein interner Hostname (zB Max_Mustermans_PC) in einem LAN

source.local_ip

Eine interne IP Adresse in einem LAN (zB 192.168.0.27)

source.url

Eine URL des betroffenen Rechners (zB eine URL einer phishing Seite, die auf dem Server liegt)

source.asn

Die Autonomous System Nummer (ASN) der betroffenen IP Adresse

source.geolocation.cc

Landes code (ISO3166-1) der betroffenen IP Adresse.

source.geolocation.city

Stadt der betroffenen IP Adresse

classification.taxonomy

Taxonomy. Vergleiche dazu die Taxonomie.

classification.type

Type Bezeichnung. Vergleiche dazu die  Taxonomie.

classification.identifier

CSIRT.LI interner "identifier", der festlegt, um welche Art von Vorfall es sich hier handelt.

destination.ip

Die Ziel IP Adresse (zB C&C Server, Angreiferinfrastruktur)

destination.port

Ziel-Port

destination.fqdn

Hostname des Ziel-Servers

destination.url

URL des Ziels

feed

Bezeichnung oder URL der Datenquelle. Beschreibt, von wo das CSIRT.LI diese Information erhalten hat. Manchmal bewusst pseudonymisiert.

event_description.text

Beschreibung des Vorfalls , frei-form Format.

event_description.url

URL für weitere Beschreibungen oder Erklärungen.

malware.name

Im Fall von Malware, die Bezeichnung der Malware.

extra

Extra Felder (im JSON Format), die die Quelle noch mitgeschickt hat.

comment

Frei-form Text Kommentar

additional_field_freetext  

Beliebige weitere Felder, die die Quelle (feed) angegeben hat.

feed.documentation

Eine URL, die zu weiterführender Dokumentation zu dem Datenfeed (Quelle) verweist.

version: 1.2

Ein Versions-String