Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Tabellen CrowdStrikeIncidents innehåller loggar från CrowdStrike Incidents API som har matats in i Microsoft Sentinel.
Attributer för tabeller
| Egenskap | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Intagstidsförvandling | Ja |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Tilldelad till | snöre | ID för den användare som är tilldelad incident. |
| AssignedToName | snöre | Namnet på den användare som har tilldelats för att hantera incidenten. |
| _Fakturastorlek | verklig / äkta | Datastorleken i byter |
| Cid | snöre | Kund-ID på CrowdStrike-plattformen. |
| Skapades | tidpunkt | Tidsstämpel när incidenten skapades. |
| Beskrivning | snöre | Detaljerad beskrivning av incidenten. |
| EmailState | snöre | Aktuell status för e-postaviseringar angående incidenten. |
| Sluta | tidpunkt | Tidsstämpel när incidenten stängdes eller löstes. |
| EventsHistogram | dynamisk | Tidslinje för händelser som är associerade med incidenten. |
| FineScore | Int | Allvarlighetsgrad som tilldelats incidenten. |
| GroupingIds | dynamisk | Lista över ID:er som används för att gruppera relaterade incidenter. |
| HostIds | dynamisk | Lista över värd-ID:n som är inblandade i de incidenten. |
| Värdar | dynamisk | Detaljerad information om berörda värdar. |
| IncidentId | snöre | Unik identifierare för incidenten. |
| Incidenttyp | Int | Numerisk identifierare för typen av incident. |
| _ÄrFakturabar | snöre | Anger om dataingesteringen är kostnadsbelagd. När _IsBillable är false debiteras inte ingesteringen till ditt Azure-konto |
| LmHostIds | dynamisk | Lista över värd-ID:t som är associerade med Lightweight Mode. |
| LmHostsCapped | bool | Anger om antalet värdar för lättviktsläge har begränsats. |
| LmraHostIds | dynamisk | Lista över värd-ID:t som är associerade med LMRA (Lightweight Mode Remote Access). |
| LmraHostsCapped | bool | Anger om huruvida antalet LMRA-värdar har begränsats. |
| LmTypes | Int | Typer av konfigurationer för lättviktsläge. |
| Modifierad Tidsstämpel | tidpunkt | Tidsstämpel när incidenten senast ändrades. |
| Namn | snöre | Namn eller rubrik på incidenten. |
| Målsättningar | dynamisk | Lista över angriparens mål som identifierats i incidenten. |
| Källsystem | snöre | Typen av agent som händelsen registrerades av. Till exempel OpsManager för Windows-agent, antingen direct connect eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| Början | tidpunkt | Tidsstämpel för när incidenten startades. |
| Stat/län | snöre | Aktuellt tillstånd för incidenten. |
| Läge | Int | Numerisk statuskod för incidenten. |
| Taktiker | dynamisk | Lista över MITRE ATT&CK-taktiker som identifierades i incidenten. |
| Etiketter | dynamisk | Anpassade taggar som är associerade med incidenten. |
| Metoder | dynamisk | Lista över MITRE ATT&CK-tekniker som identifierades i incidenten. |
| Hyresgivares-id | snöre | ID för Log Analytics-arbetsyte |
| Tidpunkt för generering | tidpunkt | Tidsstämpeln (UTC) när incidentdata matades in. |
| Typ | snöre | Tabellens namn |
| Användare | dynamisk | Lista över användare som är inblandade i eller påverkas av incidenten. |