用于收集 Crowdstrike 事件的模块。
Crowdstrike Falcon 事件和告警数据的字段。
每个事件的元数据字段,包括类型和时间戳。
-
crowdstrike.metadata.eventType -
DetectionSummaryEvent、FirewallMatchEvent、IncidentSummaryEvent、RemoteResponseSessionStartEvent、RemoteResponseSessionEndEvent、AuthActivityAuditEvent 或 UserActivityAuditEvent
类型:keyword
-
crowdstrike.metadata.eventCreationTime -
此事件在端点上发生的 UTC UNIX_MS 格式的时间。
类型:date
-
crowdstrike.metadata.offset -
跟踪事件在流中位置的偏移量。用于识别唯一的检测事件。
类型:integer
-
crowdstrike.metadata.customerIDString -
客户标识符
类型:keyword
-
crowdstrike.metadata.version -
模式版本
类型:keyword
每个事件和告警的事件数据字段。
-
crowdstrike.event.ProcessStartTime -
UTC UNIX_MS 格式的进程开始时间。
类型:date
-
crowdstrike.event.ProcessEndTime -
UTC UNIX_MS 格式的进程终止时间。
类型:date
-
crowdstrike.event.ProcessId -
与检测相关的进程 ID。
类型:integer
-
crowdstrike.event.ParentProcessId -
与检测相关的父进程 ID。
类型:integer
-
crowdstrike.event.ComputerName -
发生检测的计算机的名称。
类型:keyword
-
crowdstrike.event.UserName -
与检测关联的用户名。
类型:keyword
-
crowdstrike.event.DetectName -
检测的名称。
类型:keyword
-
crowdstrike.event.DetectDescription -
检测的描述。
类型:keyword
-
crowdstrike.event.Severity -
检测的严重性评分。
类型:integer
-
crowdstrike.event.SeverityName -
严重性评分文本。
类型:keyword
-
crowdstrike.event.FileName -
与检测相关的进程的文件名。
类型:keyword
-
crowdstrike.event.FilePath -
与检测关联的可执行文件的路径。
类型:keyword
-
crowdstrike.event.CommandLine -
带有命令行参数的可执行文件路径。
类型:keyword
-
crowdstrike.event.SHA1String -
与检测关联的可执行文件的 SHA1 校验和。
类型:keyword
-
crowdstrike.event.SHA256String -
与检测关联的可执行文件的 SHA256 校验和。
类型:keyword
-
crowdstrike.event.MD5String -
与检测关联的可执行文件的 MD5 校验和。
类型:keyword
-
crowdstrike.event.MachineDomain -
与检测关联的计算机的域。
类型:keyword
-
crowdstrike.event.FalconHostLink -
在 Falcon 中查看检测的 URL。
类型:keyword
-
crowdstrike.event.SensorId -
与 Falcon 传感器关联的唯一 ID。
类型:keyword
-
crowdstrike.event.DetectId -
与检测关联的唯一 ID。
类型:keyword
-
crowdstrike.event.LocalIP -
与检测关联的主机的 IP 地址。
类型:keyword
-
crowdstrike.event.MACAddress -
与检测关联的主机的 MAC 地址。
类型:keyword
-
crowdstrike.event.Tactic -
检测的 MITRE 战术类别。
类型:keyword
-
crowdstrike.event.Technique -
检测的 MITRE 技术类别。
类型:keyword
-
crowdstrike.event.Objective -
检测方法。
类型:keyword
-
crowdstrike.event.PatternDispositionDescription -
Falcon 采取的操作。
类型:keyword
-
crowdstrike.event.PatternDispositionValue -
与采取的操作关联的唯一 ID。
类型:integer
-
crowdstrike.event.PatternDispositionFlags -
指示采取的操作的标志。
类型:object
-
crowdstrike.event.State -
事件摘要是打开且正在进行还是已关闭。
类型:keyword
-
crowdstrike.event.IncidentStartTime -
事件的 UTC UNIX 格式的开始时间。
类型:date
-
crowdstrike.event.IncidentEndTime -
事件的 UTC UNIX 格式的结束时间。
类型:date
-
crowdstrike.event.FineScore -
事件的评分。
类型:float
-
crowdstrike.event.UserId -
与事件关联的电子邮件地址或用户 ID。
类型:keyword
-
crowdstrike.event.UserIp -
与用户关联的 IP 地址。
类型:keyword
-
crowdstrike.event.OperationName -
事件子类型。
类型:keyword
-
crowdstrike.event.ServiceName -
与此事件关联的服务。
类型:keyword
-
crowdstrike.event.Success -
指示此事件是否成功的标志。
类型:boolean
-
crowdstrike.event.UTCTimestamp -
与此事件关联的 UTC UNIX 格式的时间戳。
类型:date
-
crowdstrike.event.AuditKeyValues -
在此事件中更改的字段。
类型:nested
-
crowdstrike.event.ExecutablesWritten -
进程写入磁盘的已检测的可执行文件。
类型:nested
-
crowdstrike.event.SessionId -
远程响应会话的会话 ID。
类型:keyword
-
crowdstrike.event.HostnameField -
远程会话的计算机的主机名。
类型:keyword
-
crowdstrike.event.StartTimestamp -
远程会话的 UTC UNIX 格式的开始时间。
类型:date
-
crowdstrike.event.EndTimestamp -
远程会话的 UTC UNIX 格式的结束时间。
类型:date
-
crowdstrike.event.LateralMovement -
事件的横向移动字段。
类型:long
-
crowdstrike.event.ParentImageFileName -
父进程的路径。
类型:keyword
-
crowdstrike.event.ParentCommandLine -
父进程命令行参数。
类型:keyword
-
crowdstrike.event.GrandparentImageFileName -
祖父进程的路径。
类型:keyword
-
crowdstrike.event.GrandparentCommandLine -
祖父进程命令行参数。
类型:keyword
-
crowdstrike.event.IOCType -
入侵指标的 CrowdStrike 类型。
类型:keyword
-
crowdstrike.event.IOCValue -
入侵指标的 CrowdStrike 值。
类型:keyword
-
crowdstrike.event.CustomerId -
客户标识符。
类型:keyword
-
crowdstrike.event.DeviceId -
发生事件的设备。
类型:keyword
-
crowdstrike.event.Ipv -
网络请求的协议。
类型:keyword
-
crowdstrike.event.ConnectionDirection -
网络连接的方向。
类型:keyword
-
crowdstrike.event.EventType -
CrowdStrike 提供的事件类型。
类型:keyword
-
crowdstrike.event.HostName -
本地计算机的主机名。
类型:keyword
-
crowdstrike.event.ICMPCode -
RFC2780 ICMP 代码字段。
类型:keyword
-
crowdstrike.event.ICMPType -
RFC2780 ICMP 类型字段。
类型:keyword
-
crowdstrike.event.ImageFileName -
与检测相关的进程的文件名。
类型:keyword
-
crowdstrike.event.PID -
与检测关联的进程 ID。
类型:long
-
crowdstrike.event.LocalAddress -
本地计算机的 IP 地址。
类型:ip
-
crowdstrike.event.LocalPort -
本地计算机的端口。
类型:long
-
crowdstrike.event.RemoteAddress -
远程计算机的 IP 地址。
类型:ip
-
crowdstrike.event.RemotePort -
远程计算机的端口。
类型:long
-
crowdstrike.event.RuleAction -
防火墙规则操作。
类型:keyword
-
crowdstrike.event.RuleDescription -
防火墙规则描述。
类型:keyword
-
crowdstrike.event.RuleFamilyID -
防火墙规则系列 ID。
类型:keyword
-
crowdstrike.event.RuleGroupName -
防火墙规则组名称。
类型:keyword
-
crowdstrike.event.RuleName -
防火墙规则名称。
类型:keyword
-
crowdstrike.event.RuleId -
防火墙规则 ID。
类型:keyword
-
crowdstrike.event.MatchCount -
防火墙规则匹配次数。
类型:long
-
crowdstrike.event.MatchCountSinceLastReport -
自上次报告以来防火墙规则匹配的次数。
类型:long
-
crowdstrike.event.Timestamp -
触发防火墙规则的时间戳。
类型:date
-
crowdstrike.event.Flags.Audit -
CrowdStrike 审核标志。
类型:boolean
-
crowdstrike.event.Flags.Log -
CrowdStrike 日志标志。
类型:boolean
-
crowdstrike.event.Flags.Monitor -
CrowdStrike 监视标志。
类型:boolean
-
crowdstrike.event.Protocol -
CrowdStrike 提供的协议。
类型:keyword
-
crowdstrike.event.NetworkProfile -
CrowdStrike 网络配置文件。
类型:keyword
-
crowdstrike.event.PolicyName -
CrowdStrike 策略名称。
类型:keyword
-
crowdstrike.event.PolicyID -
CrowdStrike 策略 ID。
类型:keyword
-
crowdstrike.event.Status -
CrowdStrike 状态。
类型:keyword
-
crowdstrike.event.TreeID -
CrowdStrike 树 ID。
类型:keyword
-
crowdstrike.event.Commands -
在远程会话中运行的命令。
类型:keyword