CrowdStrikeCases 表包含已引入Microsoft Sentinel的 CrowdStrike Cases API 中的日志。
数据表属性
| Attribute |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
否 |
|
仅湖引入 |
是的 |
|
示例查询 |
是的 |
列
| 列 |
类型 |
说明 |
| AnalysisResults |
dynamic |
分析案例证据的结果(警报、cloud_assets、事件、文件、主机、用户)。 |
| 分配到 |
dynamic |
有关当前分配给案例的用户的详细信息。 |
| _BilledSize(账单大小) |
real |
记录大小(字节) |
| Cid |
字符串 |
案例所属的唯一客户帐户 ID。 |
| 一致性 |
dynamic |
与对案例进行的更新关联的后台处理详细信息。 |
| CreatedBy |
dynamic |
有关创建案例的用户的详细信息。 |
| 创建时间戳 |
日期/时间 |
创建事例的日期和时间。 |
| 说明 |
字符串 |
用户提供的情况说明。 |
| EndTimestamp |
日期/时间 |
案件结束的日期和时间。 |
| Evidence |
dynamic |
与案例关联的证据(警报、事件)。 |
| ID |
字符串 |
事例的唯一 ID。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当_IsBillable为 false 引入时,不会向你Azure帐户计费 |
| LastUpdatedBy |
dynamic |
有关上次更新案例的用户的详细信息。 |
| 名称 |
字符串 |
用户定义的大小写名称。 |
| Severity |
int |
当前用户提供的案例严重性分级(1-100)。 |
| SeverityInfo |
dynamic |
有关事例严重性的其他信息。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,Windows 代理的 OpsManager、直接连接或Operations Manager、所有 Linux 代理的 Linux,或用于 Azure Diagnostics 的 Azure |
| StartTimestamp |
日期/时间 |
案例的开始日期和时间。 |
| 地位 |
字符串 |
案件的当前状态(新、已关闭、in_progress、重新打开)。 |
| 标签 |
dynamic |
应用于事例的用户定义标签的列表。 |
| 租户ID |
字符串 |
Log Analytics工作区 ID |
| TimeGenerated |
日期/时间 |
主机数据被摄取时的时间戳(UTC)。 |
| 类型 |
字符串 |
表的名称 |
| 更新时间戳 |
日期/时间 |
上次更新事例的日期和时间。 |
| 版本 |
int |
当前大小写版本。 |