用于收集 Crowdstrike 事件的模块。
crowdstrike
Crowdstrike Falcon 事件和警报数据的字段。
metadata
每个事件的元数据字段,包括类型和时间戳。
-
crowdstrike.metadata.eventType -
DetectionSummaryEvent、FirewallMatchEvent、IncidentSummaryEvent、RemoteResponseSessionStartEvent、RemoteResponseSessionEndEvent、AuthActivityAuditEvent 或 UserActivityAuditEvent
类型:关键字
-
crowdstrike.metadata.eventCreationTime -
此事件在端点上发生的 UTC UNIX_MS 格式时间。
类型:日期
-
crowdstrike.metadata.offset -
跟踪事件在流中的位置的偏移量。这用于识别唯一的检测事件。
类型:整数
-
crowdstrike.metadata.customerIDString -
客户标识符
类型:关键字
-
crowdstrike.metadata.version -
架构版本
类型:关键字
event
每个事件和警报的事件数据字段。
-
crowdstrike.event.ProcessStartTime -
UTC UNIX_MS 格式的进程开始时间。
类型:日期
-
crowdstrike.event.ProcessEndTime -
UTC UNIX_MS 格式的进程终止时间。
类型:日期
-
crowdstrike.event.ProcessId -
与检测相关的进程 ID。
类型:整数
-
crowdstrike.event.ParentProcessId -
与检测相关的父进程 ID。
类型:整数
-
crowdstrike.event.ComputerName -
发生检测的计算机的名称。
类型:关键字
-
crowdstrike.event.UserName -
与检测关联的用户名。
类型:关键字
-
crowdstrike.event.DetectName -
检测的名称。
类型:关键字
-
crowdstrike.event.DetectDescription -
检测的描述。
类型:关键字
-
crowdstrike.event.Severity -
检测的严重程度分数。
类型:整数
-
crowdstrike.event.SeverityName -
严重程度分数文本。
类型:关键字
-
crowdstrike.event.FileName -
检测相关进程的文件名。
类型:关键字
-
crowdstrike.event.FilePath -
与检测相关的可执行文件的路径。
类型:关键字
-
crowdstrike.event.CommandLine -
带有命令行参数的可执行文件路径。
类型:关键字
-
crowdstrike.event.SHA1String -
与检测相关的可执行文件的 SHA1 校验和。
类型:关键字
-
crowdstrike.event.SHA256String -
与检测相关的可执行文件的 SHA256 校验和。
类型:关键字
-
crowdstrike.event.MD5String -
与检测相关的可执行文件的 MD5 校验和。
类型:关键字
-
crowdstrike.event.MachineDomain -
与检测相关的计算机的域。
类型:关键字
-
crowdstrike.event.FalconHostLink -
在 Falcon 中查看检测的 URL。
类型:关键字
-
crowdstrike.event.SensorId -
与 Falcon 传感器关联的唯一 ID。
类型:关键字
-
crowdstrike.event.DetectId -
与检测关联的唯一 ID。
类型:关键字
-
crowdstrike.event.LocalIP -
与检测关联的主机的 IP 地址。
类型:关键字
-
crowdstrike.event.MACAddress -
与检测关联的主机的 MAC 地址。
类型:关键字
-
crowdstrike.event.Tactic -
检测的 MITRE 策略类别。
类型:关键字
-
crowdstrike.event.Technique -
检测的 MITRE 技术类别。
类型:关键字
-
crowdstrike.event.Objective -
检测方法。
类型:关键字
-
crowdstrike.event.PatternDispositionDescription -
Falcon 采取的行动。
类型:关键字
-
crowdstrike.event.PatternDispositionValue -
与采取的行动关联的唯一 ID。
类型:整数
-
crowdstrike.event.PatternDispositionFlags -
指示已采取行动的标志。
类型:对象
-
crowdstrike.event.State -
事件摘要是打开和进行中还是已关闭。
类型:关键字
-
crowdstrike.event.IncidentStartTime -
事件的 UTC UNIX 格式开始时间。
类型:日期
-
crowdstrike.event.IncidentEndTime -
事件的 UTC UNIX 格式结束时间。
类型:日期
-
crowdstrike.event.FineScore -
事件的分数。
类型:浮点数
-
crowdstrike.event.UserId -
与事件关联的电子邮件地址或用户 ID。
类型:关键字
-
crowdstrike.event.UserIp -
与用户关联的 IP 地址。
类型:关键字
-
crowdstrike.event.OperationName -
事件子类型。
类型:关键字
-
crowdstrike.event.ServiceName -
与此事件关联的服务。
类型:关键字
-
crowdstrike.event.Success -
指示此事件是否成功。
类型:布尔值
-
crowdstrike.event.UTCTimestamp -
与此事件关联的 UTC UNIX 格式时间戳。
类型:日期
-
crowdstrike.event.AuditKeyValues -
在此事件中更改的字段。
类型:嵌套
-
crowdstrike.event.ExecutablesWritten -
检测到的由进程写入磁盘的可执行文件。
类型:嵌套
-
crowdstrike.event.SessionId -
远程响应会话的会话 ID。
类型:关键字
-
crowdstrike.event.HostnameField -
远程会话的计算机的主机名。
类型:关键字
-
crowdstrike.event.StartTimestamp -
远程会话的 UTC UNIX 格式开始时间。
类型:日期
-
crowdstrike.event.EndTimestamp -
远程会话的 UTC UNIX 格式结束时间。
类型:日期
-
crowdstrike.event.LateralMovement -
事件的横向移动字段。
类型:长整型
-
crowdstrike.event.ParentImageFileName -
父进程的路径。
类型:关键字
-
crowdstrike.event.ParentCommandLine -
父进程命令行参数。
类型:关键字
-
crowdstrike.event.GrandparentImageFileName -
祖父进程的路径。
类型:关键字
-
crowdstrike.event.GrandparentCommandLine -
祖父进程命令行参数。
类型:关键字
-
crowdstrike.event.IOCType -
CrowdStrike 妥协指标类型。
类型:关键字
-
crowdstrike.event.IOCValue -
CrowdStrike 妥协指标值。
类型:关键字
-
crowdstrike.event.CustomerId -
客户标识符。
类型:关键字
-
crowdstrike.event.DeviceId -
发生事件的设备。
类型:关键字
-
crowdstrike.event.Ipv -
网络请求的协议。
类型:关键字
-
crowdstrike.event.ConnectionDirection -
网络连接的方向。
类型:关键字
-
crowdstrike.event.EventType -
CrowdStrike 提供的事件类型。
类型:关键字
-
crowdstrike.event.HostName -
本地计算机的主机名。
类型:关键字
-
crowdstrike.event.ICMPCode -
RFC2780 ICMP 代码字段。
类型:关键字
-
crowdstrike.event.ICMPType -
RFC2780 ICMP 类型字段。
类型:关键字
-
crowdstrike.event.ImageFileName -
检测相关进程的文件名。
类型:关键字
-
crowdstrike.event.PID -
与检测关联的进程 ID。
类型:长整型
-
crowdstrike.event.LocalAddress -
本地计算机的 IP 地址。
类型:IP
-
crowdstrike.event.LocalPort -
本地计算机的端口。
类型:长整型
-
crowdstrike.event.RemoteAddress -
远程计算机的 IP 地址。
类型:IP
-
crowdstrike.event.RemotePort -
远程计算机的端口。
类型:长整型
-
crowdstrike.event.RuleAction -
防火墙规则操作。
类型:关键字
-
crowdstrike.event.RuleDescription -
防火墙规则描述。
类型:关键字
-
crowdstrike.event.RuleFamilyID -
防火墙规则系列 ID。
类型:关键字
-
crowdstrike.event.RuleGroupName -
防火墙规则组名称。
类型:关键字
-
crowdstrike.event.RuleName -
防火墙规则名称。
类型:关键字
-
crowdstrike.event.RuleId -
防火墙规则 ID。
类型:关键字
-
crowdstrike.event.MatchCount -
防火墙规则匹配次数。
类型:长整型
-
crowdstrike.event.MatchCountSinceLastReport -
自上次报告以来的防火墙规则匹配次数。
类型:长整型
-
crowdstrike.event.Timestamp -
防火墙规则触发时间戳。
类型:日期
-
crowdstrike.event.Flags.Audit -
CrowdStrike 审计标志。
类型:布尔值
-
crowdstrike.event.Flags.Log -
CrowdStrike 日志标志。
类型:布尔值
-
crowdstrike.event.Flags.Monitor -
CrowdStrike 监控标志。
类型:布尔值
-
crowdstrike.event.Protocol -
CrowdStrike 提供的协议。
类型:关键字
-
crowdstrike.event.NetworkProfile -
CrowdStrike 网络配置文件。
类型:关键字
-
crowdstrike.event.PolicyName -
CrowdStrike 策略名称。
类型:关键字
-
crowdstrike.event.PolicyID -
CrowdStrike 策略 ID。
类型:关键字
-
crowdstrike.event.Status -
CrowdStrike 状态。
类型:关键字
-
crowdstrike.event.TreeID -
CrowdStrike 树 ID。
类型:关键字
-
crowdstrike.event.Commands -
在远程会话中运行的命令。
类型:关键字