Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Tabellen CrowdStrikeDetections innehåller loggar från API:et CrowdStrike Detections som har matats in i Microsoft Sentinel.
Attributer för tabeller
| Egenskap | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Intagstidsförvandling | Ja |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| MotståndareId | dynamisk | Lista över angränsande ID:t som är associerade med identifieringen. |
| AgentScanId | snöre | Identifierare för agentgenomsökningen som identifierade det här hotet. |
| AllegedFiletype | snöre | Den misstänkta filtypen för den skadliga filen. |
| AssignedToName | snöre | Namnet på den användare som har tilldelats för att undersöka identifieringen. |
| AssignedToUid | snöre | Användar-ID för den tilldelade utredaren. |
| AssignedToUuid | snöre | UUID för den tilldelade utredaren. |
| Beteenden | dynamisk | Lista över beteenden som har identifierats som bidrog till den här identifieringen. |
| BeteendenBearbetade | dynamisk | Lista över beteenden som har bearbetats och analyserats. |
| _Fakturastorlek | verklig / äkta | Datastorleken i byter |
| ChildProcessIds | dynamisk | Lista över underordnade process-ID:t som skapats av den identifierade processen. |
| Cid | snöre | Kund-ID på CrowdStrike-plattformen. |
| CloudIndicator | bool | Anger om identifieringen omfattar molnbaserade indikatorer. |
| Cmdline | snöre | Kommandorad som används för att köra den identifierade processen. |
| CompositeId | snöre | Sammansatt identifierare som kombinerar flera identifieringsattribut. |
| Förtroende | Int | Konfidenspoäng för identifieringen (0–100). |
| CrawledTimestamp | tidpunkt | Tidsstämpel när identifieringsdata senast crawlades. |
| SkapadTidsstämpel | tidpunkt | Tidsstämpel när identifieringen först skapades. |
| Uppdateringsdatum | snöre | Datum då identifieringsposten senast uppdaterades. |
| DetectionContext | dynamisk | Ytterligare kontextinformation om identifieringen. |
| DetectionId | snöre | Unik identifierare för detektionen. |
| DetectionType | snöre | Typ eller kategori för identifieringen. |
| Apparat | dynamisk | Information om enheten där identifieringen inträffade. |
| E-post skickad | bool | Anger om ett e-postmeddelande har skickats för den här identifieringen. |
| FalconHostLink | snöre | Länka till identifieringsinformationen i CrowdStrike Falcon-konsolen. |
| Filnamn | snöre | Namnet på filen som är associerad med identifieringen. |
| Filsökväg | snöre | Fullständig sökväg till filen som är associerad med identifieringen. |
| FirstBehavior | tidpunkt | Tidsstämpel för det första beteendet i identifieringssekvensen. |
| GlobalPrevalence | snöre | Global prevalensklassificering för den identifierade filen. |
| GrandparentDetails | dynamisk | Information om mor- och farföräldrarna i processträdet. |
| HostInfo (på engelska) | dynamisk | Information om värden där identifieringen inträffade. |
| Händelse | dynamisk | Associerad incidentinformation om identifieringen är en del av en incident. |
| IndicatorId | snöre | Identifierare för indikatorn för kompromiss (IOK) som utlöste identifieringen. |
| IocContext | dynamisk | Kontextinformation om indikatorn för kompromettering. |
| _ÄrFakturabar | snöre | Anger om dataingesteringen är kostnadsbelagd. När _IsBillable är false debiteras inte ingesteringen till ditt Azure-konto |
| LastBehavior | tidpunkt | Tidsstämpel för det senaste beteendet i identifieringen. |
| LocalPrevalence | snöre | Lokal prevalensklassificering för den identifierade filen i organisationen. |
| LocalProcessId | snöre | Lokalt process-ID i systemet där identifieringen inträffade. |
| InloggningDomän | snöre | Domän som används för användarinloggning som är associerad med identifieringen. |
| MaxConfidence | Int | Maximal konfidenspoäng för alla beteenden i identifieringen. |
| MaxSeverity | Int | Högsta allvarlighetsgrad för alla beteenden i identifieringen. |
| MaxSeverityDisplayName | snöre | Textrepresentation av den maximala allvarlighetsgraden. |
| Md5 | snöre | MD5-hash för den identifierade filen. |
| NetworkAccesses | dynamisk | Lista över nätverksanslutningar som gjorts av den identifierade processen. |
| OsName | snöre | Namnet på operativsystemet där identifieringen inträffade. |
| OverwatchNotes | snöre | Anteckningar som lagts till av CrowdStrike Overwatch-analytiker. |
| ParentDetails | dynamisk | Information om den överordnade processen i processträdet. |
| ParentProcessId | snöre | Process-ID för den överordnade processen. |
| PatternDisposition | Int | Numerisk identifierare för den åtgärd som vidtas av identifieringsmönstret. |
| PatternDispositionDescription | snöre | Textbeskrivning av borttagningsåtgärden för mönster. |
| PatternDispositionDetails | dynamisk | Detaljerad information om mönsterborttagningen. |
| ProcessEndTime | snöre | Tidsstämpel när den identifierade processen avslutades. |
| ProcessId | snöre | Process-ID för den identifierade processen. |
| ProcessStartTime | snöre | Tidsstämpel när den identifierade processen startade. |
| I karantän | bool | Anger om den identifierade filen har satts i karantän. |
| QuarantinedFiles | dynamisk | Lista över filer som satts i karantän som en del av den här identifieringen. |
| ScanId | snöre | Identifierare för genomsökningen som identifierade hotet. |
| Sekunder till Lösning | Int | Tid i sekunder från detekteringsskapande till lösning. |
| SecondsToTriaged | Int | Tid i sekunder från identifieringsskapande till triage. |
| Sha1 | snöre | SHA1-hash för den identifierade filen. |
| Sha256 | snöre | SHA256-hash för den identifierade filen. |
| ShowInUi | bool | Anger om identifieringen ska visas i användargränssnittet. |
| Källsystem | snöre | Typen av agent som händelsen registrerades av. Till exempel OpsManager för Windows-agent, antingen direct connect eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| Läge | snöre | Aktuell status för identifieringen (t.ex. ny, in_progress, löst). |
| TemplateInstanceId | Int | Instans-ID för identifieringsmallen som används. |
| TemplateInterfaceId | Int | Gränssnitts-ID för identifieringsmallen. |
| TemplateInterfaceName | snöre | Namnet på gränssnittet för identifieringsmallen. |
| Hyresgivares-id | snöre | ID för Log Analytics-arbetsyte |
| Tidpunkt för generering | tidpunkt | Tidsstämpeln (UTC) när identifieringen matades in. |
| TreeId | snöre | Identifierare för processträdet som är associerat med identifieringen. |
| TreeRoot | snöre | Rotprocessidentifierare för processträdet. |
| TriggeringProcessGraphId | snöre | Diagram-ID för den process som utlöste identifieringen. |
| Typ | snöre | Tabellens namn |
| UpdatedTimestamp | tidpunkt | Tidsstämpel när identifieringen senast uppdaterades. |
| UserId | snöre | Användar-ID som är associerat med den identifierade processen. |
| Användarnamn | snöre | Användarnamn som är associerat med den identifierade processen. |
| UserPrincipal | snöre | Användarens huvudnamn (UPN) som är associerat med den identifierade processen. |