CrowdStrikeAlerts 表包含了从 CrowdStrike Alerts API 引入到 Microsoft Sentinel 的日志。
数据表属性
特征 |
价值 |
资源类型 |
- |
类别 |
安全性 |
解决方案 |
SecurityInsights |
基本日志 |
是的 |
引入时转换 |
否 |
示例查询 |
- |
列
列 |
类型 |
DESCRIPTION |
AgentId |
字符串 |
生成警报的 CrowdStrike 代理的唯一标识符。 |
AggregateId |
字符串 |
来自同一源的聚合警报的标识符。 |
警报类型 |
字符串 |
CrowdStrike 警报的类型或类别。 |
指派给姓名 |
字符串 |
分配给处理警报的用户的名称。 |
AssignedToUid |
字符串 |
分配的用户的用户 ID。 |
AssignedToUuid |
字符串 |
已分配用户的 UUID。 |
_BilledSize(账单大小) |
真实 |
记录大小(字节) |
Cid |
字符串 |
CrowdStrike 平台中的客户 ID。 |
CompositeId |
字符串 |
组合多个警报属性的复合标识符。 |
置信度 |
整数 (int) |
警报的置信度分数(0-100)。 |
CrawledTimestamp |
日期/时间 |
警报数据上次被抓取时的时间戳。 |
创建时间戳 |
日期/时间 |
首次创建警报时的时间戳。 |
DataDomains |
动态的 |
与警报关联的域。 |
DESCRIPTION |
字符串 |
警报的详细说明。 |
显示名称 |
字符串 |
警报的可读名称。 |
邮件已发送 |
布尔 |
指示是否为此警报发送了电子邮件通知。 |
外部 |
布尔 |
指示警报是否源自外部源。 |
Id |
字符串 |
警报的唯一标识符。 |
_IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
名称 |
字符串 |
警报的名称。 |
目的 |
字符串 |
攻击者假定的目标。 |
模式ID |
整数 (int) |
触发警报的检测模式的标识符。 |
平台 |
字符串 |
检测到警报的操作系统或平台。 |
产品 |
字符串 |
生成警报的 CrowdStrike 产品。 |
情景 |
字符串 |
触发警报的安全方案。 |
解决所需秒数 |
整数 (int) |
从警报创建到解决的时间(以秒为单位)。 |
SecondsToTriaged |
整数 (int) |
从警报创建到会审的时间(以秒为单位)。 |
严重程度 |
整数 (int) |
警报的严重性级别。 |
SeverityName |
字符串 |
严重性级别的文本表示形式。 |
ShowInUi |
布尔 |
指示是否应在用户界面中显示警报。 |
SourceProducts |
动态的 |
参与此警报的产品列表。 |
SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager (可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux ,或适用于 Azure Diagnostics 的 Azure 。 |
SourceVendors |
动态的 |
与警报源关联的供应商列表。 |
状态 |
字符串 |
警报的当前状态。 |
策略 |
字符串 |
与警报关联的 MITRE ATT&CK 策略。 |
TacticId |
字符串 |
MITRE ATT&CK 策略的标识符。 |
标记 |
动态的 |
与警报关联的自定义标记。 |
方法 |
字符串 |
与警报关联的 MITRE ATT&CK 技术。 |
TechniqueId |
字符串 |
MITRE ATT&CK 技术的标识符。 |
租户ID |
字符串 |
Log Analytics 工作区 ID |
TimeGenerated |
日期/时间 |
生成警报时的时间戳(UTC)。 |
时间戳 |
日期/时间 |
发生警报事件的时间。 |
类型 |
字符串 |
表的名称 |
更新时间戳 |
日期/时间 |
上次更新警报的时间。 |