CrowdStrikeAlerts

CrowdStrikeAlerts 表包含了从 CrowdStrike Alerts API 引入到 Microsoft Sentinel 的日志。

数据表属性

特征 价值
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志 是的
引入时转换
示例查询 -

类型 DESCRIPTION
AgentId 字符串 生成警报的 CrowdStrike 代理的唯一标识符。
AggregateId 字符串 来自同一源的聚合警报的标识符。
警报类型 字符串 CrowdStrike 警报的类型或类别。
指派给姓名 字符串 分配给处理警报的用户的名称。
AssignedToUid 字符串 分配的用户的用户 ID。
AssignedToUuid 字符串 已分配用户的 UUID。
_BilledSize(账单大小) 真实 记录大小(字节)
Cid 字符串 CrowdStrike 平台中的客户 ID。
CompositeId 字符串 组合多个警报属性的复合标识符。
置信度 整数 (int) 警报的置信度分数(0-100)。
CrawledTimestamp 日期/时间 警报数据上次被抓取时的时间戳。
创建时间戳 日期/时间 首次创建警报时的时间戳。
DataDomains 动态的 与警报关联的域。
DESCRIPTION 字符串 警报的详细说明。
显示名称 字符串 警报的可读名称。
邮件已发送 布尔 指示是否为此警报发送了电子邮件通知。
外部 布尔 指示警报是否源自外部源。
Id 字符串 警报的唯一标识符。
_IsBillable 字符串 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
名称 字符串 警报的名称。
目的 字符串 攻击者假定的目标。
模式ID 整数 (int) 触发警报的检测模式的标识符。
平台 字符串 检测到警报的操作系统或平台。
产品 字符串 生成警报的 CrowdStrike 产品。
情景 字符串 触发警报的安全方案。
解决所需秒数 整数 (int) 从警报创建到解决的时间(以秒为单位)。
SecondsToTriaged 整数 (int) 从警报创建到会审的时间(以秒为单位)。
严重程度 整数 (int) 警报的严重性级别。
SeverityName 字符串 严重性级别的文本表示形式。
ShowInUi 布尔 指示是否应在用户界面中显示警报。
SourceProducts 动态的 参与此警报的产品列表。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure
SourceVendors 动态的 与警报源关联的供应商列表。
状态 字符串 警报的当前状态。
策略 字符串 与警报关联的 MITRE ATT&CK 策略。
TacticId 字符串 MITRE ATT&CK 策略的标识符。
标记 动态的 与警报关联的自定义标记。
方法 字符串 与警报关联的 MITRE ATT&CK 技术。
TechniqueId 字符串 MITRE ATT&CK 技术的标识符。
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 生成警报时的时间戳(UTC)。
时间戳 日期/时间 发生警报事件的时间。
类型 字符串 表的名称
更新时间戳 日期/时间 上次更新警报的时间。