CrowdStrikeIncidents 表包含已引入到 Microsoft Sentinel 中的 CrowdStrike 事件 API 的日志。
数据表属性
特征 |
价值 |
资源类型 |
- |
类别 |
安全性 |
解决方案 |
SecurityInsights |
基本日志 |
是的 |
引入时转换 |
否 |
示例查询 |
- |
列
列 |
类型 |
DESCRIPTION |
分配到 |
字符串 |
分配给事件的用户的 ID。 |
指派给姓名 |
字符串 |
分配给处理事件的用户的名称。 |
_BilledSize(账单大小) |
真实 |
记录大小(字节) |
Cid |
字符串 |
CrowdStrike 平台中的客户 ID。 |
已创建 |
日期/时间 |
创建事件的时间戳。 |
DESCRIPTION |
字符串 |
事件的详细说明。 |
电子邮件状态 |
字符串 |
事件的电子邮件通知的当前状态。 |
结束 |
日期/时间 |
事件关闭或解决时的时间戳。 |
EventsHistogram |
动态的 |
与事件关联的事件的时间线。 |
FineScore |
整数 (int) |
分配给事件的严重性分数。 |
分组ID |
动态的 |
用于对相关事件进行分组的 ID 列表。 |
HostIds |
动态的 |
事件中涉及的主机 ID 列表。 |
主机 |
动态的 |
有关受影响的主机的详细信息。 |
IncidentId |
字符串 |
事件的唯一标识符。 |
IncidentType |
整数 (int) |
事件类型的数字标识符。 |
_IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
LmHostIds |
动态的 |
与轻型模式关联的主机 ID 列表。 |
LmHostsCapped |
布尔 |
指示轻型模式主机的数量是否已封顶。 |
LmraHostIds |
动态的 |
与 LMRA 关联的主机 ID 列表(轻型模式远程访问)。 |
LmraHostsCapped |
布尔 |
显示 LMRA 主机数量是否已封顶。 |
LmTypes |
整数 (int) |
轻型模式配置的类型。 |
修改时间戳 |
日期/时间 |
上次修改事件时的时间戳。 |
名称 |
字符串 |
事件的名称或标题。 |
目标 |
动态的 |
事件中标识的攻击者目标列表。 |
SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager (可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux ,或适用于 Azure Diagnostics 的 Azure 。 |
开始 |
日期/时间 |
事件开始的时间戳。 |
国家 |
字符串 |
事件的当前状态。 |
状态 |
整数 (int) |
事件的数字状态代码。 |
策略 |
动态的 |
事件中确定的 MITRE ATT&CK 策略列表。 |
标记 |
动态的 |
与事件关联的自定义标记。 |
方法 |
动态的 |
事件中识别的 MITRE ATT&CK 技术列表。 |
租户ID |
字符串 |
Log Analytics 工作区 ID |
TimeGenerated |
日期/时间 |
引入事件数据的时间戳(UTC)。 |
类型 |
字符串 |
表的名称 |
用户 |
动态的 |
事件涉及或受影响的用户列表。 |