CrowdStrikeDetections 表包含从 CrowdStrike 检测 API 引入至 Microsoft Sentinel 的日志。
数据表属性
特征 |
价值 |
资源类型 |
- |
类别 |
安全性 |
解决方案 |
SecurityInsights |
基本日志 |
是的 |
引入时转换 |
否 |
示例查询 |
- |
列
列 |
类型 |
DESCRIPTION |
AdversaryIds |
动态的 |
与检测相关的已识别对手 ID 列表。 |
指派给的名称 |
字符串 |
分配用于处理检测的用户的名称。 |
分配给用户ID |
字符串 |
分配的用户的用户 ID。 |
行为 |
动态的 |
检测中标识的可疑行为列表。 |
行为处理完毕 |
动态的 |
检测中已处理和分析的行为的列表。 |
_BilledSize(账单大小) |
真实 |
记录大小(字节) |
Cid |
字符串 |
CrowdStrike 平台中的客户 ID。 |
创建时间戳 |
日期/时间 |
首次创建检测时的时间戳。 |
更新日期 |
字符串 |
上次更新检测的日期。 |
检测编号 |
字符串 |
检测的唯一标识符。 |
装置 |
动态的 |
有关发生检测的设备的信息。 |
电子邮件已发送 |
布尔 |
指明是否为此检测发送了通知邮件。 |
FirstBehaviorTime |
日期/时间 |
检测到的第一个可疑行为的时间戳。 |
HostInfo |
动态的 |
有关发生检测的主机系统的详细信息。 |
_IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
LastBehavior |
日期/时间 |
检测到的最新可疑行为的时间戳。 |
MaxConfidence |
整数 (int) |
分配给检测中的任何行为的最高置信度分数。 |
MaxSeverity |
整数 (int) |
分配给检测过程中任何行为的最高严重级别。 |
最大严重性显示名称 |
字符串 |
最高严重级别的文本表示形式。 |
OverwatchNotes |
字符串 |
CrowdStrike 猎户小队关于检测的注释。 |
QuarantinedFiles |
动态的 |
作为检测的一部分隔离的文件的列表。 |
SecondsToResolved |
整数 (int) |
从检测创建到分辨率的时间(以秒为单位)。 |
SecondsToTriaged |
整数 (int) |
从检测创建到分类的时间(以秒为单位)。 |
ShowInUi |
布尔 |
指示是否应在用户界面中显示检测。 |
SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager (可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux ,或适用于 Azure Diagnostics 的 Azure 。 |
状态 |
字符串 |
检测的当前状态。 |
租户ID |
字符串 |
Log Analytics 工作区 ID |
TimeGenerated |
日期/时间 |
检测事件被引入时的时间戳(UTC)。 |
类型 |
字符串 |
表的名称 |