CrowdStrike事件

CrowdStrikeIncidents 表包含已引入到 Microsoft Sentinel 中的 CrowdStrike 事件 API 的日志。

数据表属性

特征 价值
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志 是的
引入时转换
示例查询 -

类型 DESCRIPTION
分配到 字符串 分配给事件的用户的 ID。
指派给姓名 字符串 分配给处理事件的用户的名称。
_BilledSize(账单大小) 真实 记录大小(字节)
Cid 字符串 CrowdStrike 平台中的客户 ID。
已创建 日期/时间 创建事件的时间戳。
DESCRIPTION 字符串 事件的详细说明。
电子邮件状态 字符串 事件的电子邮件通知的当前状态。
结束 日期/时间 事件关闭或解决时的时间戳。
EventsHistogram 动态的 与事件关联的事件的时间线。
FineScore 整数 (int) 分配给事件的严重性分数。
分组ID 动态的 用于对相关事件进行分组的 ID 列表。
HostIds 动态的 事件中涉及的主机 ID 列表。
主机 动态的 有关受影响的主机的详细信息。
IncidentId 字符串 事件的唯一标识符。
IncidentType 整数 (int) 事件类型的数字标识符。
_IsBillable 字符串 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
LmHostIds 动态的 与轻型模式关联的主机 ID 列表。
LmHostsCapped 布尔 指示轻型模式主机的数量是否已封顶。
LmraHostIds 动态的 与 LMRA 关联的主机 ID 列表(轻型模式远程访问)。
LmraHostsCapped 布尔 显示 LMRA 主机数量是否已封顶。
LmTypes 整数 (int) 轻型模式配置的类型。
修改时间戳 日期/时间 上次修改事件时的时间戳。
名称 字符串 事件的名称或标题。
目标 动态的 事件中标识的攻击者目标列表。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure
开始 日期/时间 事件开始的时间戳。
国家 字符串 事件的当前状态。
状态 整数 (int) 事件的数字状态代码。
策略 动态的 事件中确定的 MITRE ATT&CK 策略列表。
标记 动态的 与事件关联的自定义标记。
方法 动态的 事件中识别的 MITRE ATT&CK 技术列表。
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 引入事件数据的时间戳(UTC)。
类型 字符串 表的名称
用户 动态的 事件涉及或受影响的用户列表。