用于收集 Crowdstrike 事件的模块。
Crowdstrike Falcon 事件和告警数据的字段。
每个事件的元数据字段,包括类型和时间戳。
-
crowdstrike.metadata.eventType -
DetectionSummaryEvent、FirewallMatchEvent、IncidentSummaryEvent、RemoteResponseSessionStartEvent、RemoteResponseSessionEndEvent、AuthActivityAuditEvent 或 UserActivityAuditEvent
类型:keyword
-
crowdstrike.metadata.eventCreationTime -
此事件在终端上发生的UTC时间,采用UNIX_MS格式。
类型:date
-
crowdstrike.metadata.offset -
跟踪事件在流中位置的偏移量编号。用于识别唯一的检测事件。
类型:integer
-
crowdstrike.metadata.customerIDString -
客户标识符
类型:keyword
-
crowdstrike.metadata.version -
模式版本
类型:keyword
每个事件和警报的事件数据字段。
-
crowdstrike.event.ProcessStartTime -
进程启动时间,采用UTC UNIX_MS格式。
类型:date
-
crowdstrike.event.ProcessEndTime -
进程终止时间,采用UTC UNIX_MS格式。
类型:date
-
crowdstrike.event.ProcessId -
与检测相关的进程ID。
类型:integer
-
crowdstrike.event.ParentProcessId -
与检测相关的父进程ID。
类型:integer
-
crowdstrike.event.ComputerName -
发生检测的计算机名称。
类型:keyword
-
crowdstrike.event.UserName -
与检测关联的用户名。
类型:keyword
-
crowdstrike.event.DetectName -
检测的名称。
类型:keyword
-
crowdstrike.event.DetectDescription -
检测的描述。
类型:keyword
-
crowdstrike.event.Severity -
检测的严重性评分。
类型:integer
-
crowdstrike.event.SeverityName -
严重性评分文本。
类型:keyword
-
crowdstrike.event.FileName -
与检测相关的进程的文件名。
类型:keyword
-
crowdstrike.event.FilePath -
与检测相关的可执行文件的路径。
类型:keyword
-
crowdstrike.event.CommandLine -
带有命令行参数的可执行文件路径。
类型:keyword
-
crowdstrike.event.SHA1String -
与检测相关的可执行文件的SHA1校验和。
类型:keyword
-
crowdstrike.event.SHA256String -
与检测相关的可执行文件的SHA256校验和。
类型:keyword
-
crowdstrike.event.MD5String -
与检测相关的可执行文件的MD5校验和。
类型:keyword
-
crowdstrike.event.MachineDomain -
与检测相关的机器的域名。
类型:keyword
-
crowdstrike.event.FalconHostLink -
在Falcon中查看检测的URL。
类型:keyword
-
crowdstrike.event.SensorId -
与Falcon传感器关联的唯一ID。
类型:keyword
-
crowdstrike.event.DetectId -
与检测关联的唯一ID。
类型:keyword
-
crowdstrike.event.LocalIP -
与检测相关的宿主的IP地址。
类型:keyword
-
crowdstrike.event.MACAddress -
与检测相关的宿主的MAC地址。
类型:keyword
-
crowdstrike.event.Tactic -
检测的MITRE战术类别。
类型:keyword
-
crowdstrike.event.Technique -
检测的MITRE技术类别。
类型:keyword
-
crowdstrike.event.Objective -
检测方法。
类型:keyword
-
crowdstrike.event.PatternDispositionDescription -
Falcon采取的行动。
类型:keyword
-
crowdstrike.event.PatternDispositionValue -
与采取的行动关联的唯一ID。
类型:integer
-
crowdstrike.event.PatternDispositionFlags -
指示采取的行动的标志。
类型:object
-
crowdstrike.event.State -
事件摘要是打开且正在进行还是已关闭。
类型:keyword
-
crowdstrike.event.IncidentStartTime -
事件的开始时间,采用UTC UNIX格式。
类型:date
-
crowdstrike.event.IncidentEndTime -
事件的结束时间,采用UTC UNIX格式。
类型:date
-
crowdstrike.event.FineScore -
事件的评分。
类型:float
-
crowdstrike.event.UserId -
与事件关联的电子邮件地址或用户ID。
类型:keyword
-
crowdstrike.event.UserIp -
与用户关联的IP地址。
类型:keyword
-
crowdstrike.event.OperationName -
事件子类型。
类型:keyword
-
crowdstrike.event.ServiceName -
与此事件关联的服务。
类型:keyword
-
crowdstrike.event.Success -
指示此事件是否成功的指标。
类型:boolean
-
crowdstrike.event.UTCTimestamp -
与此事件关联的时间戳,采用UTC UNIX格式。
类型:date
-
crowdstrike.event.AuditKeyValues -
在此事件中更改的字段。
类型:nested
-
crowdstrike.event.ExecutablesWritten -
进程写入磁盘的检测到的可执行文件。
类型:nested
-
crowdstrike.event.SessionId -
远程响应会话的会话ID。
类型:keyword
-
crowdstrike.event.HostnameField -
远程会话的机器的主机名。
类型:keyword
-
crowdstrike.event.StartTimestamp -
远程会话的开始时间,采用UTC UNIX格式。
类型:date
-
crowdstrike.event.EndTimestamp -
远程会话的结束时间,采用UTC UNIX格式。
类型:date
-
crowdstrike.event.LateralMovement -
事件的横向移动字段。
类型:long
-
crowdstrike.event.ParentImageFileName -
父进程的路径。
类型:keyword
-
crowdstrike.event.ParentCommandLine -
父进程命令行参数。
类型:keyword
-
crowdstrike.event.GrandparentImageFileName -
祖父母进程的路径。
类型:keyword
-
crowdstrike.event.GrandparentCommandLine -
祖父母进程命令行参数。
类型:keyword
-
crowdstrike.event.IOCType -
CrowdStrike的威胁指标类型。
类型:keyword
-
crowdstrike.event.IOCValue -
CrowdStrike的威胁指标值。
类型:keyword
-
crowdstrike.event.CustomerId -
客户标识符。
类型:keyword
-
crowdstrike.event.DeviceId -
发生事件的设备。
类型:keyword
-
crowdstrike.event.Ipv -
网络请求的协议。
类型:keyword
-
crowdstrike.event.ConnectionDirection -
网络连接的方向。
类型:keyword
-
crowdstrike.event.EventType -
CrowdStrike提供的事件类型。
类型:keyword
-
crowdstrike.event.HostName -
本地机器的主机名。
类型:keyword
-
crowdstrike.event.ICMPCode -
RFC2780 ICMP 代码字段。
类型:keyword
-
crowdstrike.event.ICMPType -
RFC2780 ICMP 类型字段。
类型:keyword
-
crowdstrike.event.ImageFileName -
与检测相关的进程的文件名。
类型:keyword
-
crowdstrike.event.PID -
与检测相关的进程ID。
类型:long
-
crowdstrike.event.LocalAddress -
本地机器的IP地址。
类型:ip
-
crowdstrike.event.LocalPort -
本地机器的端口。
类型:long
-
crowdstrike.event.RemoteAddress -
远程机器的IP地址。
类型:ip
-
crowdstrike.event.RemotePort -
远程机器的端口。
类型:long
-
crowdstrike.event.RuleAction -
防火墙规则操作。
类型:keyword
-
crowdstrike.event.RuleDescription -
防火墙规则描述。
类型:keyword
-
crowdstrike.event.RuleFamilyID -
防火墙规则族ID。
类型:keyword
-
crowdstrike.event.RuleGroupName -
防火墙规则组名称。
类型:keyword
-
crowdstrike.event.RuleName -
防火墙规则名称。
类型:keyword
-
crowdstrike.event.RuleId -
防火墙规则ID。
类型:keyword
-
crowdstrike.event.MatchCount -
防火墙规则匹配次数。
类型:long
-
crowdstrike.event.MatchCountSinceLastReport -
自上次报告以来的防火墙规则匹配次数。
类型:long
-
crowdstrike.event.Timestamp -
触发防火墙规则的时间戳。
类型:date
-
crowdstrike.event.Flags.Audit -
CrowdStrike 审计标志。
类型:boolean
-
crowdstrike.event.Flags.Log -
CrowdStrike 日志标志。
类型:boolean
-
crowdstrike.event.Flags.Monitor -
CrowdStrike 监控标志。
类型:boolean
-
crowdstrike.event.Protocol -
CrowdStrike 提供的协议。
类型:keyword
-
crowdstrike.event.NetworkProfile -
CrowdStrike 网络配置文件。
类型:keyword
-
crowdstrike.event.PolicyName -
CrowdStrike 策略名称。
类型:keyword
-
crowdstrike.event.PolicyID -
CrowdStrike 策略ID。
类型:keyword
-
crowdstrike.event.Status -
CrowdStrike 状态。
类型:keyword
-
crowdstrike.event.TreeID -
CrowdStrike 树ID。
类型:keyword
-
crowdstrike.event.Commands -
在远程会话中运行的命令。
类型:keyword