你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
CrowdStrikeDetections 表包含已引入到 Microsoft Sentinel 中的 CrowdStrike Detections API 中的日志。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 是的 |
| 示例查询 | 是的 |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| 对手ID | 动态 | 与检测关联的对手 ID 列表。 |
| AgentScanId | 字符串 | 检测到此威胁的代理扫描的标识符。 |
| AllegedFiletype | 字符串 | 恶意文件的可疑文件类型。 |
| AssignedToName | 字符串 | 分配给调查检测的用户的名称。 |
| AssignedToUid | 字符串 | 分配的调查人员的用户 ID。 |
| AssignedToUuid | 字符串 | 分配的调查员的 UUID。 |
| 行为 | 动态 | 检测到导致此检测的行为列表。 |
| BehaviorsProcessed | 动态 | 已处理和分析的行为列表。 |
| _BilledSize(账单大小) | 真实 | 记录大小(字节) |
| ChildProcessIds | 动态 | 由检测到的进程生成的子进程 ID 的列表。 |
| Cid | 字符串 | CrowdStrike 平台中的客户 ID。 |
| CloudIndicator | 布尔 | 指示检测是否涉及基于云的指示器。 |
| Cmdline | 字符串 | 用于执行检测到的进程的命令行。 |
| CompositeId | 字符串 | 组合多个检测属性的复合标识符。 |
| 置信度 | 整数 (int) | 检测的置信度分数(0-100)。 |
| CrawledTimestamp | 日期/时间 | 上次爬网检测数据时的时间戳。 |
| 创建时间戳 | 日期/时间 | 首次创建检测时的时间戳。 |
| DateUpdated | 字符串 | 上次更新检测记录的日期。 |
| DetectionContext | 动态 | 有关检测的其他上下文信息。 |
| 检测编号 | 字符串 | 检测的唯一标识符。 |
| DetectionType | 字符串 | 检测的类型或类别。 |
| 装置 | 动态 | 包含有关检测发生设备的信息。 |
| 邮件已发送 | 布尔 | 显示是否已为此检测发送了电子邮件通知。 |
| FalconHostLink | 字符串 | 链接到 CrowdStrike Falcon 控制台中的检测详细信息。 |
| Filename | 字符串 | 与检测关联的文件的名称。 |
| Filepath | 字符串 | 与检测关联的文件的完整路径。 |
| FirstBehavior | 日期/时间 | 检测序列中第一个行为的时间戳。 |
| GlobalPrevalence | 字符串 | 检测到的文件的全球流行率。 |
| 祖父母Details | 动态 | 有关进程树中祖父进程的详细信息。 |
| HostInfo | 动态 | 有关发生检测的主机的信息。 |
| 事件 | 动态 | 如果检测是事件的一部分,则关联的事件信息。 |
| IndicatorId | 字符串 | 触发检测的泄露指示器(IOC)的标识符。 |
| IocContext | 动态 | 有关泄露指示器的上下文信息。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LastBehavior | 日期/时间 | 检测中最新行为的时间戳。 |
| LocalPrevalence | 字符串 | 组织中检测到的文件的本地流行度分级。 |
| LocalProcessId | 字符串 | 发生检测的系统上的本地进程 ID。 |
| LogonDomain | 字符串 | 用于与检测关联的用户登录的域。 |
| MaxConfidence | 整数 (int) | 检测中所有行为的最大置信度分数。 |
| MaxSeverity | 整数 (int) | 检测中所有行为的最大严重性级别。 |
| MaxSeverityDisplayName | 字符串 | 最大严重性级别的文本表示形式。 |
| Md5 | 字符串 | 检测到的文件的 MD5 哈希。 |
| NetworkAccesses | 动态 | 检测到的进程建立的网络连接列表。 |
| OsName | 字符串 | 发生检测的作系统名称。 |
| OverwatchNotes | 字符串 | CrowdStrike 监视分析师添加的注释。 |
| ParentDetails | 动态 | 有关进程树中父进程的详细信息。 |
| ParentProcessId | 字符串 | 父进程的进程 ID。 |
| PatternDisposition | 整数 (int) | 检测模式执行的作的数字标识符。 |
| PatternDispositionDescription | 字符串 | 模式处置作的文本说明。 |
| PatternDispositionDetails | 动态 | 有关模式处置的详细信息。 |
| ProcessEndTime | 字符串 | 检测到的进程结束时的时间戳。 |
| ProcessId | 字符串 | 检测到的进程的进程 ID。 |
| ProcessStartTime | 字符串 | 检测到的进程启动时的时间戳。 |
| 已隔离 | 布尔 | 指示检测到的文件是否已隔离。 |
| QuarantinedFiles | 动态 | 作为此检测的一部分隔离的文件的列表。 |
| ScanId | 字符串 | 检测到威胁的扫描的标识符。 |
| SecondsToResolved | 整数 (int) | 从检测创建到分辨率的时间(以秒为单位)。 |
| SecondsToTriaged | 整数 (int) | 从检测创建到分类的时间(以秒为单位)。 |
| Sha1 | 字符串 | 检测到的文件的 SHA1 哈希。 |
| Sha256 | 字符串 | 检测到的文件的 SHA256 哈希。 |
| ShowInUi | 布尔 | 指示是否应在用户界面中显示检测。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 状态 | 字符串 | 检测的当前状态(例如,已解决新in_progress)。 |
| TemplateInstanceId | 整数 (int) | 使用的检测模板的实例 ID。 |
| TemplateInterfaceId | 整数 (int) | 检测模板的接口 ID。 |
| TemplateInterfaceName | 字符串 | 检测模板接口的名称。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 引入检测时的时间戳(UTC)。 |
| TreeId | 字符串 | 与检测关联的进程树的标识符。 |
| TreeRoot | 字符串 | 进程树的根进程标识符。 |
| TriggeringProcessGraphId | 字符串 | 触发检测的进程图形 ID。 |
| 类型 | 字符串 | 表的名称 |
| UpdatedTimestamp | 日期/时间 | 上次更新检测时的时间戳。 |
| UserId | 字符串 | 与检测到的进程关联的用户 ID。 |
| UserName | 字符串 | 与检测到的进程关联的用户名。 |
| UserPrincipal | 字符串 | 与检测到的进程关联的用户主体名称(UPN)。 |