Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица CrowdStrikeDetections содержит журналы из API обнаружения CrowdStrike, которые были импортированы в Microsoft Sentinel.
Свойства таблицы
| Свойство | Ценность |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Трансформация во время поглощения | Да |
| Примеры запросов | Да |
Колонны
| колонна | Тип | Описание |
|---|---|---|
| идентификатор противника | динамический | Список идентификаторов злоумышленников, связанных с обнаружением. |
| AgentScanId | струна | Идентификатор проверки агента, обнаруживающего эту угрозу. |
| Предполагаемоеfiletype | струна | Предполагаемый тип файла вредоносного файла. |
| ИмяНазначенного | струна | Имя пользователя, назначаемого для исследования обнаружения. |
| Предназначено для UID (AssignedToUid) | струна | Идентификатор пользователя назначенного следователя. |
| AssignedToUuid | струна | UUID назначенного следователя. |
| Поведение | динамический | Список обнаруженных действий, которые способствовали этому обнаружению. |
| Обработанные поведения | динамический | Список поведения, которые были обработаны и проанализированы. |
| _BilledSize (Размер счета) | настоящий | Размер записи в байтах |
| ChildProcessIds | динамический | Список идентификаторов дочерних процессов, создаваемых обнаруженным процессом. |
| Cid | струна | Идентификатор клиента на платформе CrowdStrike. |
| CloudIndicator | булевая переменная (bool) | Указывает, включает ли обнаружение облачные индикаторы. |
| Cmdline | струна | Командная строка, используемая для выполнения обнаруженного процесса. |
| Составной идентификатор | струна | Составной идентификатор, объединяющий несколько атрибутов обнаружения. |
| Достоверность | инт | Оценка достоверности обнаружения (0–100). |
| Обход меткиTimestamp | дата/время | Метка времени последнего обхода данных обнаружения. |
| CreatedTimestamp | дата/время | Метка времени, когда обнаружение было впервые создано. |
| ДатаОбновления | струна | Дата последнего обновления записи обнаружения. |
| DetectionContext | динамический | Дополнительные сведения о контексте обнаружения. |
| ИдентификаторОбнаружения | струна | Уникальный идентификатор обнаружения. |
| DetectionType | струна | Тип или категория обнаружения. |
| Устройство | динамический | Сведения об устройстве, где произошло обнаружение. |
| Отправлено письмо | булевая переменная (bool) | Указывает, отправлено ли уведомление по электронной почте для этого обнаружения. |
| FalconHostLink | струна | Ссылка на сведения об обнаружении в консоли CrowdStrike Falcon. |
| Filename | струна | Имя файла, связанного с обнаружением. |
| Filepath | струна | Полный путь к файлу, связанному с обнаружением. |
| FirstBehavior | дата/время | Метка времени первого поведения в последовательности обнаружения. |
| GlobalPrevalence | струна | Глобальный рейтинг распространенности обнаруженного файла. |
| Бабушка и дедушкаDetails | динамический | Сведения о процессе бабушки и дедушки в дереве процессов. |
| Информация о хосте | динамический | Сведения о узле, где произошло обнаружение. |
| Инцидент | динамический | Связанная информация об инциденте, если обнаружение является частью инцидента. |
| Идентификатор индикатора | струна | Идентификатор индикатора компрометации (МОК), активировав обнаружение. |
| IocContext | динамический | Сведения о контексте индикатора компрометации. |
| _ПодлежитУчету | струна | Указывает, подлежит ли потребление данных выставлению счетов. Когда _IsBillable равно false, потребление не списывается с вашего счёта в Azure. |
| LastBehavior | дата/время | Метка времени последнего поведения в обнаружении. |
| LocalPrevalence | струна | Локальная оценка распространенности обнаруженного файла в организации. |
| LocalProcessId | струна | Идентификатор локального процесса в системе, в которой произошло обнаружение. |
| Вход в домен | струна | Домен, используемый для входа пользователя, связанного с обнаружением. |
| MaxConfidence | инт | Максимальная оценка достоверности во всех поведениях в обнаружении. |
| MaxSeverity | инт | Максимальный уровень серьезности во всех поведениях в обнаружении. |
| MaxSeverityDisplayName | струна | Текстовое представление максимального уровня серьезности. |
| Md5 | струна | Хэш MD5 обнаруженного файла. |
| NetworkAccesses | динамический | Список сетевых подключений, сделанных обнаруженным процессом. |
| OsName | струна | Имя операционной системы, в которой произошло обнаружение. |
| OverwatchNotes | струна | Заметки, добавленные аналитиками CrowdStrike Overwatch. |
| ParentDetails | динамический | Сведения о родительском процессе в дереве процессов. |
| ParentProcessId | струна | Идентификатор процесса родительского процесса. |
| ШаблонDisposition | инт | Числовый идентификатор действия, выполняемого шаблоном обнаружения. |
| PatternDispositionDescription | струна | Текстовое описание действия ликвидации шаблона. |
| PatternDispositionDetails | динамический | Подробные сведения о ликвидации шаблона. |
| ProcessEndTime | струна | Метка времени при завершении обнаруженного процесса. |
| ProcessId | струна | Идентификатор процесса обнаруженного процесса. |
| ProcessStartTime | струна | Метка времени при запуске обнаруженного процесса. |
| Помещено в карантин | булевая переменная (bool) | Указывает, был ли обнаруженный файл помещен в карантин. |
| Карантинные файлы | динамический | Список файлов, которые были помещены в карантин в рамках этого обнаружения. |
| ScanId | струна | Идентификатор проверки, обнаруженной угрозой. |
| SecondsToResolved | инт | Время в секундах от создания обнаружения до разрешения. |
| SecondsToTriaged | инт | Время в секундах от создания обнаружения до сортировки. |
| Sha1 | струна | Хэш SHA1 обнаруженного файла. |
| Sha256 | струна | Хэш SHA256 обнаруженного файла. |
| ShowInUi | булевая переменная (bool) | Указывает, следует ли отображать обнаружение в пользовательском интерфейсе. |
| Система источников | струна | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows, подключающегося напрямую или через Operations Manager, Linux для всех агентов Linux или Azure для диагностики Azure. |
| Состояние | струна | Текущее состояние обнаружения (например, новое, in_progress, разрешено). |
| TemplateInstanceId | инт | Идентификатор экземпляра используемого шаблона обнаружения. |
| TemplateInterfaceId | инт | Идентификатор интерфейса шаблона обнаружения. |
| TemplateInterfaceName | струна | Имя интерфейса шаблона обнаружения. |
| Идентификатор арендатора (TenantId) | струна | Идентификатор пространства работы Log Analytics |
| Время генерации | дата/время | Метка времени (UTC) при приеме обнаружения. |
| TreeId | струна | Идентификатор дерева процессов, связанного с обнаружением. |
| TreeRoot | струна | Идентификатор корневого процесса дерева процесса. |
| ТриггерProcessGraphId | струна | Идентификатор графа процесса, активировав обнаружение. |
| Тип | струна | Название таблицы |
| Обновленная меткаTimestamp | дата/время | Метка времени последнего обновления обнаружения. |
| UserId | струна | Идентификатор пользователя, связанный с обнаруженным процессом. |
| Имя пользователя | струна | Имя пользователя, связанное с обнаруженным процессом. |
| UserPrincipal | струна | Имя субъекта-пользователя (UPN), связанное с обнаруженным процессом. |