用于收集 Crowdstrike 事件的模块。
Crowdstrike Falcon 事件和告警数据的字段。
每个事件的元数据字段,包括类型和时间戳。
-
crowdstrike.metadata.eventType
-
DetectionSummaryEvent、FirewallMatchEvent、IncidentSummaryEvent、RemoteResponseSessionStartEvent、RemoteResponseSessionEndEvent、AuthActivityAuditEvent 或 UserActivityAuditEvent
类型:keyword
-
crowdstrike.metadata.eventCreationTime
-
此事件在端点上发生的 UTC UNIX_MS 格式的时间。
类型:date
-
crowdstrike.metadata.offset
-
跟踪事件在流中位置的偏移量。用于识别唯一的检测事件。
类型:integer
-
crowdstrike.metadata.customerIDString
-
客户标识符
类型:keyword
-
crowdstrike.metadata.version
-
模式版本
类型:keyword
每个事件和告警的事件数据字段。
-
crowdstrike.event.ProcessStartTime
-
UTC UNIX_MS 格式的进程开始时间。
类型:date
-
crowdstrike.event.ProcessEndTime
-
UTC UNIX_MS 格式的进程终止时间。
类型:date
-
crowdstrike.event.ProcessId
-
与检测相关的进程 ID。
类型:integer
-
crowdstrike.event.ParentProcessId
-
与检测相关的父进程 ID。
类型:integer
-
crowdstrike.event.ComputerName
-
发生检测的计算机的名称。
类型:keyword
-
crowdstrike.event.UserName
-
与检测关联的用户名。
类型:keyword
-
crowdstrike.event.DetectName
-
检测的名称。
类型:keyword
-
crowdstrike.event.DetectDescription
-
检测的描述。
类型:keyword
-
crowdstrike.event.Severity
-
检测的严重性评分。
类型:integer
-
crowdstrike.event.SeverityName
-
严重性评分文本。
类型:keyword
-
crowdstrike.event.FileName
-
与检测相关的进程的文件名。
类型:keyword
-
crowdstrike.event.FilePath
-
与检测关联的可执行文件的路径。
类型:keyword
-
crowdstrike.event.CommandLine
-
带有命令行参数的可执行文件路径。
类型:keyword
-
crowdstrike.event.SHA1String
-
与检测关联的可执行文件的 SHA1 校验和。
类型:keyword
-
crowdstrike.event.SHA256String
-
与检测关联的可执行文件的 SHA256 校验和。
类型:keyword
-
crowdstrike.event.MD5String
-
与检测关联的可执行文件的 MD5 校验和。
类型:keyword
-
crowdstrike.event.MachineDomain
-
与检测关联的计算机的域。
类型:keyword
-
crowdstrike.event.FalconHostLink
-
在 Falcon 中查看检测的 URL。
类型:keyword
-
crowdstrike.event.SensorId
-
与 Falcon 传感器关联的唯一 ID。
类型:keyword
-
crowdstrike.event.DetectId
-
与检测关联的唯一 ID。
类型:keyword
-
crowdstrike.event.LocalIP
-
与检测关联的主机的 IP 地址。
类型:keyword
-
crowdstrike.event.MACAddress
-
与检测关联的主机的 MAC 地址。
类型:keyword
-
crowdstrike.event.Tactic
-
检测的 MITRE 战术类别。
类型:keyword
-
crowdstrike.event.Technique
-
检测的 MITRE 技术类别。
类型:keyword
-
crowdstrike.event.Objective
-
检测方法。
类型:keyword
-
crowdstrike.event.PatternDispositionDescription
-
Falcon 采取的操作。
类型:keyword
-
crowdstrike.event.PatternDispositionValue
-
与采取的操作关联的唯一 ID。
类型:integer
-
crowdstrike.event.PatternDispositionFlags
-
指示采取的操作的标志。
类型:object
-
crowdstrike.event.State
-
事件摘要是打开且正在进行还是已关闭。
类型:keyword
-
crowdstrike.event.IncidentStartTime
-
事件的 UTC UNIX 格式的开始时间。
类型:date
-
crowdstrike.event.IncidentEndTime
-
事件的 UTC UNIX 格式的结束时间。
类型:date
-
crowdstrike.event.FineScore
-
事件的评分。
类型:float
-
crowdstrike.event.UserId
-
与事件关联的电子邮件地址或用户 ID。
类型:keyword
-
crowdstrike.event.UserIp
-
与用户关联的 IP 地址。
类型:keyword
-
crowdstrike.event.OperationName
-
事件子类型。
类型:keyword
-
crowdstrike.event.ServiceName
-
与此事件关联的服务。
类型:keyword
-
crowdstrike.event.Success
-
指示此事件是否成功的标志。
类型:boolean
-
crowdstrike.event.UTCTimestamp
-
与此事件关联的 UTC UNIX 格式的时间戳。
类型:date
-
crowdstrike.event.AuditKeyValues
-
在此事件中更改的字段。
类型:nested
-
crowdstrike.event.ExecutablesWritten
-
进程写入磁盘的已检测的可执行文件。
类型:nested
-
crowdstrike.event.SessionId
-
远程响应会话的会话 ID。
类型:keyword
-
crowdstrike.event.HostnameField
-
远程会话的计算机的主机名。
类型:keyword
-
crowdstrike.event.StartTimestamp
-
远程会话的 UTC UNIX 格式的开始时间。
类型:date
-
crowdstrike.event.EndTimestamp
-
远程会话的 UTC UNIX 格式的结束时间。
类型:date
-
crowdstrike.event.LateralMovement
-
事件的横向移动字段。
类型:long
-
crowdstrike.event.ParentImageFileName
-
父进程的路径。
类型:keyword
-
crowdstrike.event.ParentCommandLine
-
父进程命令行参数。
类型:keyword
-
crowdstrike.event.GrandparentImageFileName
-
祖父进程的路径。
类型:keyword
-
crowdstrike.event.GrandparentCommandLine
-
祖父进程命令行参数。
类型:keyword
-
crowdstrike.event.IOCType
-
入侵指标的 CrowdStrike 类型。
类型:keyword
-
crowdstrike.event.IOCValue
-
入侵指标的 CrowdStrike 值。
类型:keyword
-
crowdstrike.event.CustomerId
-
客户标识符。
类型:keyword
-
crowdstrike.event.DeviceId
-
发生事件的设备。
类型:keyword
-
crowdstrike.event.Ipv
-
网络请求的协议。
类型:keyword
-
crowdstrike.event.ConnectionDirection
-
网络连接的方向。
类型:keyword
-
crowdstrike.event.EventType
-
CrowdStrike 提供的事件类型。
类型:keyword
-
crowdstrike.event.HostName
-
本地计算机的主机名。
类型:keyword
-
crowdstrike.event.ICMPCode
-
RFC2780 ICMP 代码字段。
类型:keyword
-
crowdstrike.event.ICMPType
-
RFC2780 ICMP 类型字段。
类型:keyword
-
crowdstrike.event.ImageFileName
-
与检测相关的进程的文件名。
类型:keyword
-
crowdstrike.event.PID
-
与检测关联的进程 ID。
类型:long
-
crowdstrike.event.LocalAddress
-
本地计算机的 IP 地址。
类型:ip
-
crowdstrike.event.LocalPort
-
本地计算机的端口。
类型:long
-
crowdstrike.event.RemoteAddress
-
远程计算机的 IP 地址。
类型:ip
-
crowdstrike.event.RemotePort
-
远程计算机的端口。
类型:long
-
crowdstrike.event.RuleAction
-
防火墙规则操作。
类型:keyword
-
crowdstrike.event.RuleDescription
-
防火墙规则描述。
类型:keyword
-
crowdstrike.event.RuleFamilyID
-
防火墙规则系列 ID。
类型:keyword
-
crowdstrike.event.RuleGroupName
-
防火墙规则组名称。
类型:keyword
-
crowdstrike.event.RuleName
-
防火墙规则名称。
类型:keyword
-
crowdstrike.event.RuleId
-
防火墙规则 ID。
类型:keyword
-
crowdstrike.event.MatchCount
-
防火墙规则匹配次数。
类型:long
-
crowdstrike.event.MatchCountSinceLastReport
-
自上次报告以来防火墙规则匹配的次数。
类型:long
-
crowdstrike.event.Timestamp
-
触发防火墙规则的时间戳。
类型:date
-
crowdstrike.event.Flags.Audit
-
CrowdStrike 审核标志。
类型:boolean
-
crowdstrike.event.Flags.Log
-
CrowdStrike 日志标志。
类型:boolean
-
crowdstrike.event.Flags.Monitor
-
CrowdStrike 监视标志。
类型:boolean
-
crowdstrike.event.Protocol
-
CrowdStrike 提供的协议。
类型:keyword
-
crowdstrike.event.NetworkProfile
-
CrowdStrike 网络配置文件。
类型:keyword
-
crowdstrike.event.PolicyName
-
CrowdStrike 策略名称。
类型:keyword
-
crowdstrike.event.PolicyID
-
CrowdStrike 策略 ID。
类型:keyword
-
crowdstrike.event.Status
-
CrowdStrike 状态。
类型:keyword
-
crowdstrike.event.TreeID
-
CrowdStrike 树 ID。
类型:keyword
-
crowdstrike.event.Commands
-
在远程会话中运行的命令。
类型:keyword