Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица CrowdStrikeIncidents содержит журналы, полученные из API инцидентов CrowdStrike, которые были интегрированы в Microsoft Sentinel.
Свойства таблицы
| Свойство | Ценность |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Трансформация во время поглощения | Да |
| Примеры запросов | Да |
Колонны
| колонна | Тип | Описание |
|---|---|---|
| Назначено | струна | Идентификатор пользователя, назначенного к инциденту. |
| ИмяНазначенного | струна | Имя пользователя, назначенного для обработки инцидента. |
| _BilledSize (Размер счета) | настоящий | Размер записи в байтах |
| Cid | струна | Идентификатор клиента на платформе CrowdStrike. |
| Создано | дата/время | Метка времени создания инцидента. |
| Описание | струна | Подробное описание инцидента. |
| EmailState | струна | Текущее состояние уведомлений по поводу инцидента на электронной почте. |
| Конец | дата/время | Время закрытия или разрешения инцидента. |
| Гистограмма событий | динамический | Временная шкала событий, связанных с инцидентом. |
| FineScore | инт | Оценка серьезности, назначенная инциденту. |
| GroupingIds | динамический | Список идентификаторов, используемых для группировки связанных инцидентов. |
| HostIds | динамический | Список идентификаторов узлов, участвующих в инциденте. |
| Хозяева | динамический | Подробные сведения о затронутых узлах. |
| Идентификатор инцидента | струна | Уникальный идентификатор инцидента. |
| Тип инцидента | инт | Числовый идентификатор для типа инцидента. |
| _ПодлежитУчету | струна | Указывает, подлежит ли потребление данных выставлению счетов. Когда _IsBillable равно false, потребление не списывается с вашего счёта в Azure. |
| LmHostIds | динамический | Список идентификаторов узлов, связанных с упрощенным режимом. |
| LmHostsCapped | булевая переменная (bool) | Визуализирует, было ли ограничено количество хостов лёгкого режима. |
| LmraHostIds | динамический | Список идентификаторов узлов, связанных с LMRA (удаленный доступ в упрощенном режиме). |
| LmraHostsCapped | булевая переменная (bool) | Указывает, было ли ограничено верхним пределом число узлов LMRA. |
| LmTypes | инт | Типы конфигураций упрощенного режима. |
| МодифицированноеВремя | дата/время | Метка времени, когда инцидент был в последний раз изменён. |
| Имя | струна | Наименование или название инцидента. |
| Цели | динамический | Список целей злоумышленника, определенных в инциденте. |
| Система источников | струна | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows, подключающегося напрямую или через Operations Manager, Linux для всех агентов Linux или Azure для диагностики Azure. |
| Старт | дата/время | Временная метка начала инцидента. |
| Государство | струна | Текущее состояние инцидента. |
| Состояние | инт | Числовый код состояния инцидента. |
| Тактика | динамический | Список тактик MITRE ATT&CK, определенных в инциденте. |
| Метки | динамический | Пользовательские теги, связанные с инцидентом. |
| Методы | динамический | Список методов MITRE ATT&CK, определенных в инциденте. |
| Идентификатор арендатора (TenantId) | струна | Идентификатор пространства работы Log Analytics |
| Время генерации | дата/время | Временная метка (UTC), когда данные об инциденте были обработаны. |
| Тип | струна | Название таблицы |
| Пользователи | динамический | Список пользователей, участвующих или затронутых инцидентом. |