{ "index_patterns": ["so-ids-*", "so-firewall-*", "so-syslog-*", "so-zeek-*", "so-import-*", "so-ossec-*", "so-strelka-*", "so-beats-*", "so-osquery-*","so-playbook-*"], "version":50001, "order":10, "settings":{ "number_of_replicas":0, "number_of_shards":1, "index.refresh_interval":"30s", "index.routing.allocation.require.box_type":"hot", "analysis": { "analyzer": { "es_security_analyzer": { "type": "custom", "filter": [ "path_hierarchy_pattern_filter", "lowercase" ], "tokenizer": "whitespace" }, "es_security_search_analyzer": { "type": "custom", "filter": [ "lowercase" ], "tokenizer": "whitespace" }, "es_security_search_quote_analyzer": { "type": "custom", "filter": [ "lowercase" ], "tokenizer": "whitespace" } }, "filter" : { "path_hierarchy_pattern_filter": { "type" : "pattern_capture", "preserve_original": true, "patterns": [ "((?:[^\\\\]*\\\\)*)(.*)", "((?:[^/]*/)*)(.*)" ] } } } }, "mappings":{ "dynamic":false, "date_detection":false, "dynamic_templates": [ { "strings": { "match_mapping_type": "string", "mapping": { "type": "text", "fields": { "keyword": { "type": "keyword" }, "security": { "type": "text", "analyzer": "es_security_analyzer", "search_analyzer": "es_security_search_analyzer", "search_quote_analyzer": "es_security_search_quote_analyzer" } } } } } ], "properties":{ "@timestamp":{ "type":"date" }, "@version":{ "type":"keyword" }, "osquery":{ "type":"object", "dynamic":true }, "geoip":{ "dynamic":true, "properties":{ "ip":{ "type":"ip" }, "location":{ "type":"geo_point" }, "latitude":{ "type":"half_float" }, "longitude":{ "type":"half_float" } } }, "destination_geo":{ "dynamic":true, "properties":{ "ip":{ "type":"ip" }, "location":{ "type":"geo_point" }, "latitude":{ "type":"half_float" }, "longitude":{ "type":"half_float" } } }, "source_geo":{ "dynamic":true, "properties":{ "ip":{ "type":"ip" }, "location":{ "type":"geo_point" }, "latitude":{ "type":"half_float" }, "longitude":{ "type":"half_float" } } }, "agent":{ "type":"object", "dynamic": true }, "as":{ "type":"object", "dynamic": true }, "alert":{ "type":"object", "dynamic": true }, "client":{ "type":"object", "dynamic": true }, "cloud":{ "type":"object", "dynamic": true }, "code_signature":{ "type":"object", "dynamic": true }, "connection":{ "type":"object", "dynamic": true }, "container":{ "type":"object", "dynamic": true }, "data":{ "type":"object", "dynamic": true }, "dce_rpc":{ "type":"object", "dynamic": true }, "destination":{ "type":"object", "dynamic": true }, "dhcp":{ "type":"object", "dynamic": true }, "dnp3":{ "type":"object", "dynamic": true }, "dns":{ "type":"object", "dynamic": true }, "dll":{ "type":"object", "dynamic": true }, "ecs":{ "type":"object", "dynamic": true }, "error":{ "type":"object", "dynamic": true }, "event":{ "type":"object", "dynamic": true }, "file":{ "type":"object", "dynamic": true }, "flow":{ "type":"object", "dynamic": true }, "ftp":{ "type":"object", "dynamic": true }, "geo":{ "type":"object", "dynamic": true }, "group":{ "type":"object", "dynamic": true }, "hash":{ "type":"object", "dynamic": true }, "host":{ "type":"object", "dynamic": true }, "http":{ "type":"object", "dynamic": true }, "import":{ "type":"object", "dynamic": true }, "ingest":{ "type":"object", "dynamic": true }, "interface":{ "type":"object", "dynamic": true }, "irc":{ "type":"object", "dynamic": true }, "kerberos":{ "type":"object", "dynamic": true }, "log":{ "type":"object", "dynamic": true }, "manager":{ "type":"object", "dynamic": true }, "message":{ "type":"text", "fields":{ "keyword":{ "type":"keyword" } } }, "modbus":{ "type":"object", "dynamic": true }, "mysql":{ "type":"object", "dynamic": true }, "network":{ "type":"object", "dynamic": true }, "notice":{ "type":"object", "dynamic": true }, "ntlm":{ "type":"object", "dynamic": true }, "observer":{ "type":"object", "dynamic": true }, "organization":{ "type":"object", "dynamic": true }, "os":{ "type":"object", "dynamic": true }, "package":{ "type":"object", "dynamic": true }, "pe":{ "type":"object", "dynamic": true }, "process":{ "type":"object", "dynamic": true }, "radius":{ "type":"object", "dynamic": true }, "rdp":{ "type":"object", "dynamic": true }, "registry":{ "type":"object", "dynamic": true }, "related":{ "type":"object", "dynamic": true }, "request":{ "type":"object", "dynamic": true }, "rfb":{ "type":"object", "dynamic": true }, "rule":{ "type":"object", "dynamic": true }, "scan":{ "type":"object", "dynamic": true }, "server":{ "type":"object", "dynamic": true }, "service":{ "type":"object", "dynamic": true }, "sip":{ "type":"object", "dynamic": true }, "smb":{ "type":"object", "dynamic": true }, "smtp":{ "type":"object", "dynamic": true }, "snmp":{ "type":"object", "dynamic": true }, "socks":{ "type":"object", "dynamic": true }, "software":{ "type":"object", "dynamic": true }, "source":{ "type":"object", "dynamic": true }, "ssh":{ "type":"object", "dynamic": true }, "ssl":{ "type":"object", "dynamic": true }, "syslog":{ "type":"object", "dynamic": true }, "tags":{ "type":"text", "fields":{ "keyword":{ "type":"keyword" } } }, "threat":{ "type":"object", "dynamic": true }, "tls":{ "type":"object", "dynamic": true }, "trace":{ "type":"object", "dynamic": true }, "tunnel":{ "type":"object", "dynamic": true }, "user":{ "type":"object", "dynamic": true }, "user_agent":{ "type":"object", "dynamic": true }, "version":{ "type":"object", "dynamic": true }, "vlan":{ "type":"object", "dynamic": true }, "vulnerability":{ "type":"object", "dynamic": true }, "weird":{ "type":"object", "dynamic": true }, "winlog":{ "type":"object", "dynamic": true, "properties":{ "event_id":{ "type":"long" }, "event_data":{ "type":"object" } } }, "x509":{ "type":"object", "dynamic": true } } } }