CrowdStrikeDetections

CrowdStrikeDetections 表包含从 CrowdStrike 检测 API 引入至 Microsoft Sentinel 的日志。

数据表属性

特征 价值
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志 是的
引入时转换
示例查询 -

类型 DESCRIPTION
AdversaryIds 动态的 与检测相关的已识别对手 ID 列表。
指派给的名称 字符串 分配用于处理检测的用户的名称。
分配给用户ID 字符串 分配的用户的用户 ID。
行为 动态的 检测中标识的可疑行为列表。
行为处理完毕 动态的 检测中已处理和分析的行为的列表。
_BilledSize(账单大小) 真实 记录大小(字节)
Cid 字符串 CrowdStrike 平台中的客户 ID。
创建时间戳 日期/时间 首次创建检测时的时间戳。
更新日期 字符串 上次更新检测的日期。
检测编号 字符串 检测的唯一标识符。
装置 动态的 有关发生检测的设备的信息。
电子邮件已发送 布尔 指明是否为此检测发送了通知邮件。
FirstBehaviorTime 日期/时间 检测到的第一个可疑行为的时间戳。
HostInfo 动态的 有关发生检测的主机系统的详细信息。
_IsBillable 字符串 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
LastBehavior 日期/时间 检测到的最新可疑行为的时间戳。
MaxConfidence 整数 (int) 分配给检测中的任何行为的最高置信度分数。
MaxSeverity 整数 (int) 分配给检测过程中任何行为的最高严重级别。
最大严重性显示名称 字符串 最高严重级别的文本表示形式。
OverwatchNotes 字符串 CrowdStrike 猎户小队关于检测的注释。
QuarantinedFiles 动态的 作为检测的一部分隔离的文件的列表。
SecondsToResolved 整数 (int) 从检测创建到分辨率的时间(以秒为单位)。
SecondsToTriaged 整数 (int) 从检测创建到分类的时间(以秒为单位)。
ShowInUi 布尔 指示是否应在用户界面中显示检测。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure
状态 字符串 检测的当前状态。
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 检测事件被引入时的时间戳(UTC)。
类型 字符串 表的名称