Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица CrowdStrikeAlerts содержит логи из API CrowdStrike Alerts, которые были извлечены в Microsoft Sentinel.
Свойства таблицы
| Свойство | Ценность |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Поддержка DCR во время приема | Да |
| Прием только озера | Да |
| Примеры запросов | Да |
Колонны
| колонна | Тип | Описание |
|---|---|---|
| AgentId | струна | Уникальный идентификатор агента CrowdStrike, создающего оповещение. |
| Агрегатный идентификатор | струна | Идентификатор агрегированных оповещений из одного источника. |
| Тип оповещения | струна | Тип или категория оповещения CrowdStrike. |
| Предполагаемоеfiletype | струна | Предполагаемый тип файла вредоносного файла, связанного с оповещением. |
| ИмяНазначенного | струна | Имя пользователя, назначенного для обработки оповещения. |
| Предназначено для UID (AssignedToUid) | струна | Идентификатор назначенного пользователя. |
| AssignedToUuid | струна | UUID назначенного пользователя. |
| _BilledSize (Размер счета) | настоящий | Размер записи в байтах |
| Категоризация | струна | Классификация оповещения. |
| ChildProcessIds | динамический | Список идентификаторов дочерних процессов, создаваемых обнаруженным процессом. |
| Cid | струна | Идентификатор клиента на платформе CrowdStrike. |
| CloudIndicator | булевая переменная (bool) | Указывает, включает ли оповещение облачные индикаторы. |
| Cmdline | струна | Командная строка, используемая для выполнения обнаруженного процесса. |
| Составной идентификатор | струна | Составной идентификатор, объединяющий несколько атрибутов генерации оповещений. |
| Уверенность | инт | Оценка достоверности оповещения (0–100). |
| ContextTimestamp | струна | Метка времени, предоставляющая дополнительный контекст для оповещения. |
| CorrelationRuleCreateCase | булевая переменная (bool) | Указывает, настроено ли правило корреляции для создания дела. |
| CorrelationRuleExecutionId | струна | Идентификатор выполнения правила корреляции, активировав оповещение. |
| CorrelationRuleId | струна | Идентификатор правила корреляции, активировав оповещение. |
| CorrelationRuleUserId | струна | Идентификатор пользователя, связанный с правилом корреляции. |
| CorrelationRuleUserUuid | струна | UUID пользователя, связанного с правилом корреляции. |
| Метка времени обхода | дата/время | Метка времени последнего сбора данных оповещений. |
| CreatedTimestamp | дата/время | Метка времени, когда оповещение было впервые создано. |
| DataDomains | динамический | Домены, связанные с оповещением. |
| Описание | струна | Подробное описание оповещения. |
| ИдентификаторОбнаружения | струна | Уникальный идентификатор обнаружения, связанного с оповещением. |
| Устройство | динамический | Сведения об устройстве, где обнаружено оповещение. |
| Отображаемое имя | струна | Имя оповещения в формате, читаемом человеком. |
| Отправлено письмо | булевая переменная (bool) | Указывает, отправлено ли уведомление по электронной почте для этого оповещения. |
| EndTime | струна | Метка времени окончания действия генерации оповещений. |
| Обогащенныеentities | динамический | Обогащенные сведения об сущности, связанные с оповещением. |
| EventCorrelationId | струна | Идентификатор корреляции, связывающий связанные события. |
| EventIds | струна | Идентификаторы событий, связанные с оповещением. |
| Внешнее | булевая переменная (bool) | Указывает, произошло ли оповещение из внешнего источника. |
| FalconHostLink | струна | Ссылка на сведения об оповещении в консоли CrowdStrike Falcon. |
| Filename | струна | Имя файла, связанного с оповещением. |
| Путь к файлу | струна | Полный путь к файлу, связанному с оповещением. |
| GlobalPrevalence | струна | Глобальный рейтинг распространенности обнаруженного файла. |
| Бабушка и дедушкаDetails | динамический | Сведения о процессе бабушки и дедушки в дереве процессов. |
| HasTruncatedEntities | булевая переменная (bool) | Указывает, усечены ли сущности оповещений. |
| Идентификатор | струна | Уникальный идентификатор оповещения. |
| Идентификатор индикатора | струна | Идентификатор индикатора компрометации, активировав оповещение. |
| IocContext | динамический | Сведения о контексте индикатора компрометации. |
| _ПодлежитУчету | струна | Указывает, подлежит ли потребление данных выставлению счетов. Когда _IsBillable равно false, потребление не списывается с вашего счёта в Azure. |
| IsClosed | булевая переменная (bool) | Указывает, закрыт ли оповещение. |
| LeadId (LeadId) | струна | Идентификатор свинца, связанного с оповещением. |
| LeadType | струна | Тип свинца, связанного с оповещением. |
| LocalAddressIp4 | струна | IPv4-адрес локальной конечной точки. |
| LocalAddressIp6 | струна | IPv6-адрес локальной конечной точки. |
| LocalPrevalence | струна | Локальная оценка распространенности в организации. |
| LocalProcessId | струна | Идентификатор локального процесса в системе, в которой произошло оповещение. |
| Вход в домен | струна | Домен, используемый для входа пользователя, связанного с оповещением. |
| Md5 | струна | Хэш MD5 файла, связанного с оповещением. |
| MitreAttack | динамический | Тактика и методы MITRE ATT&CK, связанные с оповещением. |
| Имя | струна | Имя оповещения. |
| Цель | струна | Предполагаемая цель злоумышленника. |
| OriginalCorrelationRulesEntitiesCount | инт | Исходное число сущностей правила корреляции. |
| OriginalIndicatorEntitiesCount | инт | Исходное количество сущностей индикатора. |
| OriginCid | струна | Идентификатор клиента исходного клиента. |
| ParentDetails | динамический | Сведения о родительском процессе в дереве процессов. |
| ParentProcessId | струна | Идентификатор процесса родительского процесса. |
| ШаблонDisposition | инт | Числовый идентификатор действия, выполняемого шаблоном обнаружения. |
| PatternDispositionDescription | струна | Текстовое описание действия ликвидации шаблона. |
| PatternDispositionDetails | динамический | Подробные сведения о ликвидации шаблона. |
| PatternId | инт | Идентификатор шаблона обнаружения, активировающего оповещение. |
| Платформа | струна | Операционная система или платформа, в которой обнаружено оповещение. |
| PolyId | струна | Идентификатор poly, связанный с оповещением. |
| PriorityDetails | динамический | Сведения о приоритете, связанные с оповещением. |
| ProcessEndTime | струна | Метка времени при завершении обнаруженного процесса. |
| ProcessId | струна | Идентификатор процесса обнаруженного процесса. |
| ProcessStartTime | струна | Метка времени при запуске обнаруженного процесса. |
| Продукт | струна | Продукт CrowdStrike, сгенерировавший оповещение. |
| Сценарий | струна | Сценарий безопасности, который вызвал срабатывание оповещения. |
| Балл | инт | Оценка, связанная с оповещением. |
| SecondsToResolved | инт | Время в секундах от создания оповещений до разрешения. |
| SecondsToTriaged | инт | Время в секундах от создания оповещений до триажа. |
| Степень серьезности | инт | Серьезность оповещения. |
| Уровень серьёзности | струна | Текстовое представление уровня серьезности. |
| Sha1 | струна | Хэш SHA1 файла, связанного с оповещением. |
| Sha256 | струна | Хэш SHA256 файла, связанного с оповещением. |
| ShowInUi | булевая переменная (bool) | Указывает, следует ли отображать оповещение в пользовательском интерфейсе. |
| SignalEndTimestamp | струна | Метка времени окончания сигнала. |
| SignalStartTimestamp | струна | Метка времени при запуске сигнала. |
| SignalUpdatedTimestamp | струна | Метка времени последнего обновления сигнала. |
| SourceEndpointAddressIp4 | струна | IPv4-адрес исходной конечной точки. |
| SourceEndpointAddressIp6 | струна | IPv6-адрес исходной конечной точки. |
| SourceIps | динамический | Список исходных IP-адресов, связанных с оповещением. |
| SourceProducts | динамический | Список продуктов, которые способствовали этому оповещению. |
| Система источников | струна | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows, подключающегося напрямую или через Operations Manager, Linux для всех агентов Linux или Azure для диагностики Azure. |
| SourceVendors | динамический | Список поставщиков, связанных с источниками оповещений. |
| StartTime | струна | Метка времени при запуске действия генерации оповещений. |
| Состояние | струна | Текущее состояние оповещения. |
| Тактика | струна | Тактика MITRE ATT&CK, связанная с оповещением. |
| TacticId | струна | Идентификатор тактики MITRE ATT&CK. |
| Метки | динамический | Настраиваемые теги, связанные с оповещением. |
| Методика | струна | Метод MITRE ATT&CK, связанный с оповещением. |
| TechniqueId | струна | Идентификатор техники MITRE ATT&CK. |
| TemplateInstanceId | инт | Идентификатор экземпляра используемого шаблона обнаружения. |
| Идентификатор арендатора (TenantId) | струна | Идентификатор пространства работы Log Analytics |
| ThreatgraphIndicator | динамический | Индикаторы графа угроз, связанные с оповещением. |
| Время генерации | дата/время | Метка времени (UTC) при создании оповещения. |
| Отметка времени | дата/время | Время, когда произошло событие оповещения. |
| ТриггерProcessGraphId | струна | Идентификатор графа процесса, активировающего оповещение. |
| Тип | струна | Название таблицы |
| Обновленная временная метка | дата/время | Время последнего обновления оповещения. |
| Идентификатор пользователя | струна | Идентификатор пользователя, связанный с оповещением. |
| Имя пользователя | струна | Имя пользователя, связанное с оповещением. |
| Пользователи | динамический | Список пользователей, связанных с оповещением. |
| VendorPatternId | струна | Идентификатор шаблона для конкретного поставщика. |
| XdrEventId | струна | Идентификатор события XDR, связанный с оповещением. |