CrowdStrikeIncidents 表包含已引入到 Microsoft Sentinel 中的 CrowdStrike 事件 API 的日志。
数据表属性
| 特征 |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时转换 |
否 |
|
示例查询 |
- |
列
| 列 |
类型 |
DESCRIPTION |
| 分配到 |
字符串 |
分配给事件的用户的 ID。 |
| 指派给姓名 |
字符串 |
分配给处理事件的用户的名称。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| Cid |
字符串 |
CrowdStrike 平台中的客户 ID。 |
| 已创建 |
日期/时间 |
创建事件的时间戳。 |
| DESCRIPTION |
字符串 |
事件的详细说明。 |
| 电子邮件状态 |
字符串 |
事件的电子邮件通知的当前状态。 |
| 结束 |
日期/时间 |
事件关闭或解决时的时间戳。 |
| EventsHistogram |
动态的 |
与事件关联的事件的时间线。 |
| FineScore |
整数 (int) |
分配给事件的严重性分数。 |
| 分组ID |
动态的 |
用于对相关事件进行分组的 ID 列表。 |
| HostIds |
动态的 |
事件中涉及的主机 ID 列表。 |
| 主机 |
动态的 |
有关受影响的主机的详细信息。 |
| IncidentId |
字符串 |
事件的唯一标识符。 |
| IncidentType |
整数 (int) |
事件类型的数字标识符。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LmHostIds |
动态的 |
与轻型模式关联的主机 ID 列表。 |
| LmHostsCapped |
布尔 |
指示轻型模式主机的数量是否已封顶。 |
| LmraHostIds |
动态的 |
与 LMRA 关联的主机 ID 列表(轻型模式远程访问)。 |
| LmraHostsCapped |
布尔 |
显示 LMRA 主机数量是否已封顶。 |
| LmTypes |
整数 (int) |
轻型模式配置的类型。 |
| 修改时间戳 |
日期/时间 |
上次修改事件时的时间戳。 |
| 名称 |
字符串 |
事件的名称或标题。 |
| 目标 |
动态的 |
事件中标识的攻击者目标列表。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 开始 |
日期/时间 |
事件开始的时间戳。 |
| 国家 |
字符串 |
事件的当前状态。 |
| 状态 |
整数 (int) |
事件的数字状态代码。 |
| 策略 |
动态的 |
事件中确定的 MITRE ATT&CK 策略列表。 |
| 标记 |
动态的 |
与事件关联的自定义标记。 |
| 方法 |
动态的 |
事件中识别的 MITRE ATT&CK 技术列表。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
引入事件数据的时间戳(UTC)。 |
| 类型 |
字符串 |
表的名称 |
| 用户 |
动态的 |
事件涉及或受影响的用户列表。 |