CrowdStrikeAlerts 表包含了从 CrowdStrike Alerts API 引入到 Microsoft Sentinel 的日志。
数据表属性
| 特征 |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
是的 |
|
仅湖引入 |
是的 |
|
示例查询 |
是的 |
列
| 列 |
类型 |
DESCRIPTION |
| AgentId |
字符串 |
生成警报的 CrowdStrike 代理的唯一标识符。 |
| AggregateId |
字符串 |
来自同一源的聚合警报的标识符。 |
| 警报类型 |
字符串 |
CrowdStrike 警报的类型或类别。 |
| AllegedFiletype |
字符串 |
与警报关联的恶意文件的可疑文件类型。 |
| 指派给姓名 |
字符串 |
分配给处理警报的用户的名称。 |
| AssignedToUid |
字符串 |
分配的用户的用户 ID。 |
| AssignedToUuid |
字符串 |
已分配用户的 UUID。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| 分类 |
字符串 |
警报的分类。 |
| ChildProcessIds |
动态的 |
由检测到的进程生成的子进程 ID 的列表。 |
| Cid |
字符串 |
CrowdStrike 平台中的客户 ID。 |
| CloudIndicator |
布尔 |
指示警报是否涉及基于云的指示器。 |
| Cmdline |
字符串 |
用于执行检测到的进程的命令行。 |
| CompositeId |
字符串 |
组合多个警报属性的复合标识符。 |
| 置信度 |
整数 (int) |
警报的置信度分数(0-100)。 |
| ContextTimestamp |
字符串 |
时间戳为警报提供其他上下文。 |
| CorrelationRuleCreateCase |
布尔 |
指示关联规则是否已配置为创建事例。 |
| CorrelationRuleExecutionId |
字符串 |
触发警报的相关规则的执行 ID。 |
| CorrelationRuleId |
字符串 |
触发警报的相关规则的标识符。 |
| CorrelationRuleUserId |
字符串 |
与关联规则关联的用户 ID。 |
| CorrelationRuleUserUuid |
字符串 |
与关联规则关联的用户的 UUID。 |
| CrawledTimestamp |
日期/时间 |
警报数据上次被抓取时的时间戳。 |
| 创建时间戳 |
日期/时间 |
首次创建警报时的时间戳。 |
| DataDomains |
动态的 |
与警报关联的域。 |
| DESCRIPTION |
字符串 |
警报的详细说明。 |
| 检测编号 |
字符串 |
与警报关联的检测的唯一标识符。 |
| Device |
动态的 |
有关检测到警报的设备的信息。 |
| 显示名称 |
字符串 |
警报的可读名称。 |
| 邮件已发送 |
布尔 |
指示是否为此警报发送了电子邮件通知。 |
| EndTime |
字符串 |
警报活动结束时的时间戳。 |
| EnrichedEntities |
动态的 |
与警报关联的扩充实体信息。 |
| EventCorrelationId |
字符串 |
关联 ID 链接相关事件。 |
| EventIds |
字符串 |
与警报关联的事件 ID。 |
| 外部 |
布尔 |
指示警报是否源自外部源。 |
| FalconHostLink |
字符串 |
链接到 CrowdStrike Falcon 控制台中的警报详细信息。 |
| Filename |
字符串 |
与警报关联的文件的名称。 |
| 文件路径 |
字符串 |
与警报关联的文件的完整路径。 |
| GlobalPrevalence |
字符串 |
检测到的文件的全球流行率。 |
| 祖父母Details |
动态的 |
有关进程树中祖父进程的详细信息。 |
| HasTruncatedEntities |
布尔 |
指示警报实体是否已截断。 |
| Id |
字符串 |
警报的唯一标识符。 |
| 指标ID |
字符串 |
触发警报的泄露指示器的标识符。 |
| IocContext |
动态的 |
有关泄露指示器的上下文信息。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsClosed |
布尔 |
指示警报是否已关闭。 |
| LeadId |
字符串 |
与警报关联的潜在顾客的标识符。 |
| LeadType |
字符串 |
与警报关联的潜在顾客的类型。 |
| LocalAddressIp4 |
字符串 |
本地终结点的 IPv4 地址。 |
| LocalAddressIp6 |
字符串 |
本地终结点的 IPv6 地址。 |
| LocalPrevalence |
字符串 |
组织中的本地流行率分级。 |
| LocalProcessId |
字符串 |
发生警报的系统上的本地进程 ID。 |
| LogonDomain |
字符串 |
用于与警报关联的用户登录的域。 |
| Md5 |
字符串 |
与警报关联的文件的 MD5 哈希。 |
| MitreAttack |
动态的 |
与警报关联的 MITRE ATT&CK 策略和技术。 |
| 名称 |
字符串 |
警报的名称。 |
| 目的 |
字符串 |
攻击者假定的目标。 |
| OriginalCorrelationRulesEntitiesCount |
整数 (int) |
相关规则实体的原始计数。 |
| OriginalIndicatorEntitiesCount |
整数 (int) |
指示器实体的原始计数。 |
| OriginCid |
字符串 |
发起租户的客户 ID。 |
| ParentDetails |
动态的 |
有关进程树中父进程的详细信息。 |
| ParentProcessId |
字符串 |
父进程的进程 ID。 |
| PatternDisposition |
整数 (int) |
检测模式执行的作的数字标识符。 |
| PatternDispositionDescription |
字符串 |
模式处置作的文本说明。 |
| PatternDispositionDetails |
动态的 |
有关模式处置的详细信息。 |
| 模式ID |
整数 (int) |
触发警报的检测模式的标识符。 |
| 平台 |
字符串 |
检测到警报的操作系统或平台。 |
| PolyId |
字符串 |
与警报关联的 Poly ID。 |
| PriorityDetails |
动态的 |
与警报关联的优先级详细信息。 |
| ProcessEndTime |
字符串 |
检测到的进程结束时的时间戳。 |
| ProcessId |
字符串 |
检测到的进程的进程 ID。 |
| ProcessStartTime |
字符串 |
检测到的进程启动时的时间戳。 |
| 产品 |
字符串 |
生成警报的 CrowdStrike 产品。 |
| 情景 |
字符串 |
触发警报的安全方案。 |
| 分数 |
整数 (int) |
与警报关联的分数。 |
| 解决所需秒数 |
整数 (int) |
从警报创建到解决的时间(以秒为单位)。 |
| SecondsToTriaged |
整数 (int) |
从警报创建到会审的时间(以秒为单位)。 |
| 严重程度 |
整数 (int) |
警报的严重性级别。 |
| SeverityName |
字符串 |
严重性级别的文本表示形式。 |
| Sha1 |
字符串 |
与警报关联的文件的 SHA1 哈希。 |
| Sha256 |
字符串 |
与警报关联的文件的 SHA256 哈希。 |
| ShowInUi |
布尔 |
指示是否应在用户界面中显示警报。 |
| SignalEndTimestamp |
字符串 |
信号结束时的时间戳。 |
| SignalStartTimestamp |
字符串 |
信号启动时的时间戳。 |
| SignalUpdatedTimestamp |
字符串 |
上次更新信号时的时间戳。 |
| SourceEndpointAddressIp4 |
字符串 |
源终结点的 IPv4 地址。 |
| SourceEndpointAddressIp6 |
字符串 |
源终结点的 IPv6 地址。 |
| SourceIps |
动态的 |
与警报关联的源 IP 地址列表。 |
| SourceProducts |
动态的 |
参与此警报的产品列表。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断 的 Azure。 |
| SourceVendors |
动态的 |
与警报源关联的供应商列表。 |
| StartTime |
字符串 |
警报活动启动时的时间戳。 |
| 状态 |
字符串 |
警报的当前状态。 |
| 策略 |
字符串 |
与警报关联的 MITRE ATT&CK 策略。 |
| TacticId |
字符串 |
MITRE ATT&CK 策略的标识符。 |
| 标记 |
动态的 |
与警报关联的自定义标记。 |
| 方法 |
字符串 |
与警报关联的 MITRE ATT&CK 技术。 |
| TechniqueId |
字符串 |
MITRE ATT&CK 技术的标识符。 |
| TemplateInstanceId |
整数 (int) |
使用的检测模板的实例 ID。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| ThreatgraphIndicators |
动态的 |
与警报关联的威胁图指示器。 |
| TimeGenerated |
日期/时间 |
生成警报时的时间戳(UTC)。 |
| 时间戳 |
日期/时间 |
发生警报事件的时间。 |
| TriggeringProcessGraphId |
字符串 |
触发警报的进程图形 ID。 |
| 类型 |
字符串 |
表的名称 |
| 更新时间戳 |
日期/时间 |
上次更新警报的时间。 |
| UserId |
字符串 |
与警报关联的用户 ID。 |
| UserName |
字符串 |
与警报关联的用户名。 |
| 用户 |
动态的 |
与警报关联的用户列表。 |
| VendorPatternId |
字符串 |
特定于供应商的模式标识符。 |
| XdrEventId |
字符串 |
与警报关联的 XDR 事件 ID。 |