Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица CrowdStrikeAlerts содержит логи из API CrowdStrike Alerts, которые были извлечены в Microsoft Sentinel.
Свойства таблицы
| Свойство | Ценность |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Трансформация во время поглощения | Да |
| Примеры запросов | Да |
Колонны
| колонна | Тип | Описание |
|---|---|---|
| AgentId | струна | Уникальный идентификатор агента CrowdStrike, создающего оповещение. |
| Агрегатный идентификатор | струна | Идентификатор агрегированных оповещений из одного источника. |
| Тип оповещения | струна | Тип или категория оповещения CrowdStrike. |
| ИмяНазначенного | струна | Имя пользователя, назначенного для обработки оповещения. |
| Предназначено для UID (AssignedToUid) | струна | Идентификатор назначенного пользователя. |
| AssignedToUuid | струна | UUID назначенного пользователя. |
| _BilledSize (Размер счета) | настоящий | Размер записи в байтах |
| Cid | струна | Идентификатор клиента на платформе CrowdStrike. |
| Составной идентификатор | струна | Составной идентификатор, объединяющий несколько атрибутов генерации оповещений. |
| Уверенность | инт | Оценка достоверности оповещения (0–100). |
| Метка времени обхода | дата/время | Метка времени последнего сбора данных оповещений. |
| CreatedTimestamp | дата/время | Метка времени, когда оповещение было впервые создано. |
| DataDomains | динамический | Домены, связанные с оповещением. |
| Описание | струна | Подробное описание оповещения. |
| Отображаемое имя | струна | Имя оповещения в формате, читаемом человеком. |
| Отправлено письмо | булевая переменная (bool) | Указывает, отправлено ли уведомление по электронной почте для этого оповещения. |
| Внешнее | булевая переменная (bool) | Указывает, произошло ли оповещение из внешнего источника. |
| Идентификатор | струна | Уникальный идентификатор оповещения. |
| _ПодлежитУчету | струна | Указывает, подлежит ли потребление данных выставлению счетов. Когда _IsBillable равно false, потребление не списывается с вашего счёта в Azure. |
| Имя | струна | Имя оповещения. |
| Цель | струна | Предполагаемая цель злоумышленника. |
| PatternId | инт | Идентификатор шаблона обнаружения, активировающего оповещение. |
| Платформа | струна | Операционная система или платформа, в которой обнаружено оповещение. |
| Продукт | струна | Продукт CrowdStrike, сгенерировавший оповещение. |
| Сценарий | струна | Сценарий безопасности, который вызвал срабатывание оповещения. |
| SecondsToResolved | инт | Время в секундах от создания оповещений до разрешения. |
| SecondsToTriaged | инт | Время в секундах от создания оповещений до триажа. |
| Степень серьезности | инт | Серьезность оповещения. |
| Уровень серьёзности | струна | Текстовое представление уровня серьезности. |
| ShowInUi | булевая переменная (bool) | Указывает, следует ли отображать оповещение в пользовательском интерфейсе. |
| SourceProducts | динамический | Список продуктов, которые способствовали этому оповещению. |
| Система источников | струна | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows, подключающегося напрямую или через Operations Manager, Linux для всех агентов Linux или Azure для диагностики Azure. |
| SourceVendors | динамический | Список поставщиков, связанных с источниками оповещений. |
| Состояние | струна | Текущее состояние оповещения. |
| Тактика | струна | Тактика MITRE ATT&CK, связанная с оповещением. |
| TacticId | струна | Идентификатор тактики MITRE ATT&CK. |
| Метки | динамический | Настраиваемые теги, связанные с оповещением. |
| Методика | струна | Метод MITRE ATT&CK, связанный с оповещением. |
| TechniqueId | струна | Идентификатор техники MITRE ATT&CK. |
| Идентификатор арендатора (TenantId) | струна | Идентификатор пространства работы Log Analytics |
| Время генерации | дата/время | Метка времени (UTC) при создании оповещения. |
| Отметка времени | дата/время | Время, когда произошло событие оповещения. |
| Тип | струна | Название таблицы |
| Обновленная временная метка | дата/время | Время последнего обновления оповещения. |