CrowdStrike 集成
编辑CrowdStrike 集成
编辑CrowdStrike 集成使您可以轻松地将 CrowdStrike Falcon 平台连接到 Elastic,从而无缝载入来自 CrowdStrike Falcon 和 Falcon Data Replicator 的警报和遥测数据。Elastic Security 可以利用这些数据进行安全分析,包括关联、可视化和事件响应。它提供四种不同的模式来将 CrowdStrike 集成到 Elastic 中:
-
Falcon SIEM 连接器:这是一个预构建的集成,旨在将 CrowdStrike Falcon 与安全信息和事件管理 (SIEM) 系统连接起来。它简化了从 CrowdStrike Falcon 到 SIEM 的安全数据流,提供了一种标准化且结构化的方式将信息馈送到 SIEM 平台。它包括以下数据集来接收日志:
-
falcon数据集:包含从 Falcon SIEM 连接器转发的端点数据和 Falcon 平台审计数据。
-
-
CrowdStrike REST API:这提供了一个编程接口,用于与 CrowdStrike Falcon 平台进行交互。它允许用户执行各种操作,例如查询有关统一警报和主机/设备的信息。它包括以下数据集来接收日志:
-
alert数据集:通常用于检索有关 CrowdStrike Falcon 平台生成的统一警报的详细信息,通过 Falcon Intelligence Alert API -/alerts/entities/alerts/v2。 -
host数据集:检索您环境中所有主机/设备的信息,提供有关设备元数据、配置和状态的信息,这些信息由 CrowdStrike Falcon 平台生成,通过 Falcon Intelligence Host/Device API -/devices/entities/devices/v2。它更侧重于提供设备的管理和监控信息,例如登录详细信息、状态、策略、配置等。
-
-
Falcon Data Replicator:这可以近实时地从您的端点和云工作负载、身份和数据中收集事件。CrowdStrike Falcon Data Replicator (FDR) 使您能够获得可操作的见解,以提高 SOC 性能。FDR 包含 Falcon 平台的单个轻量级代理收集的近实时数据。它包括以下数据集来接收日志:
-
fdr数据集:包含使用 Falcon Data Replicator 转发的日志。
-
-
CrowdStrike 事件流:这从 CrowdStrike 事件流中流式传输安全日志,包括身份验证活动、云安全态势管理 (CSPM)、防火墙日志、用户活动和 XDR 数据。它捕获实时的安全事件,如用户登录、云环境变更、网络流量和高级威胁检测。流式集成提供持续的监控和分析,以进行主动威胁检测。它可以增强对用户行为、网络安全和整体系统运行状况的可见性。此设置能够更快地响应新出现的安全事件。它包括以下数据集来接收日志:
-
falcon数据集:包含从 CrowdStrike 事件流转发的流数据。
-
兼容性
编辑此集成与 CrowdStrike Falcon SIEM-Connector-v2.0、REST API 和 CrowdStrike 事件流兼容。对于 Rest API 支持,此模块已针对 CrowdStrike API 版本 v1/v2 进行了测试。
设置
编辑要从 CrowdStrike REST API 收集数据,需要您 CrowdStrike 实例中的以下参数:
编辑- 客户端 ID
- 客户端密钥
- 令牌 URL
- API 端点 URL
-
每个数据流所需的范围
数据流 范围 警报
read:alert
主机
read:host
要从 CrowdStrike 事件流收集数据,需要您 CrowdStrike 实例中的以下参数:
编辑- 客户端 ID
- 客户端密钥
- 令牌 URL
- API 端点 URL
- CrowdStrike 应用程序 ID
-
事件流所需的范围
数据流 范围 事件流
read: 事件流
日志
编辑警报
编辑这是 Alert 数据集。
示例
alert 的示例事件如下:
{
"@timestamp": "2023-11-03T18:00:22.328Z",
"agent": {
"ephemeral_id": "27ef9ebb-d201-4dce-a6fe-40de865e8c36",
"id": "03b4d78a-97e1-4c91-9b6f-c97feae33280",
"name": "elastic-agent-14353",
"type": "filebeat",
"version": "8.13.0"
},
"crowdstrike": {
"alert": {
"agent_id": "2ce412d17b334ad4adc8c1c54dbfec4b",
"aggregate_id": "aggind:2ce412d17b334ad4adc8c1c54dbfec4b:163208931778",
"alleged_filetype": "exe",
"cid": "92012896127c4a948236ba7601b886b0",
"cloud_indicator": false,
"cmdline": "\"C:\\Users\\yuvraj.mahajan\\AppData\\Local\\Temp\\Temp3cc4c329-2896-461f-9dea-88009eb2e8fb_pfSenseFirewallOpenVPNClients-20230823T120504Z-001.zip\\pfSenseFirewallOpenVPNClients\\Windows\\openvpn-cds-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe\"",
"composite_id": "92012896127c4a8236ba7601b886b0:ind:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993-5761-42627600",
"confidence": 10,
"context_timestamp": "2023-11-03T18:00:31.000Z",
"control_graph_id": "ctg:2ce4127b334ad4adc8c1c54dbfec4b:163208931778",
"crawl_edge_ids": {
"Sensor": [
"KZcZ=__;K&cmqQ]Z=W,QK4W.9(rBfs\\gfmjTblqI^F-_oNnAWQ&-o0:dR/>>2J<d2T/ji6R&RIHe-tZSkP*q?HW;:leq.:kk)>IVMD36[+=kiQDRm.bB?;d\"V0JaQlaltC59Iq6nM?6`>ZAs+LbOJ9p9A;9'WV9^H3XEMs8N",
"KZcZA__;?\"cmott@m_k)MSZ^+C?.cg<Lga#0@71X07*LY2teE56*16pL[=!bjF7g@0jOQE'jT6RX_F@sr#RP-U/d[#nm9A,A,W%cl/T@<W`alY1K_h%QDBBF;_e7S!!*'!",
"KZd)iK2;s\\ckQl_P*d=Mo?^a7/JKc\\\*L48169!7I5;0\\\<H^hNG\"ZQ3#U3\"eo<>92t[f!>*b9WLY@H!V0N,BJsNSTD:?/+fY';e<OHh9AmlT?5<gGqK:*L99kat+P)eZ$HR\"Ql@Q!!!$!rr",
"N6=Ks_B9Bncmur)?\\\[fV$k/N5;:6@aB$P;R$2XAaPJ?E<G5,UfaP')8#2AY4ff+q?T?b0/RBi-YAeGmb<6Bqp[DZh#I(jObGkjJJaMf\\:#mb;BM\\L[g!\\F*M!!*'!",
"N6B%O`'=_7d#%u&d[+LTNDs<3307?8n=GrFI:4YYGCL,cIt-Tuj!&<6:3RbC`uNjL#gW&=)E`4^/'fp*.bFX@p_$,R6.\"=lV*T*5Vf`c.:nkd$+YD:DJ,Ls0[sArC')K%YTc$:@kUQW5s8N",
"N6B%s!\\k)ed$F6>a%iM\"<FTSe/eH8M:<9gf;$$.b??kpC*99aX!Lq:g6:Q3@Ga4Zrb@MaMa]L'YAt$IFBu])\"H^sF$r7gDPf6&CHpVKO3<DgK9,Y/e@V\"b&m!<<'",
"N6CU&`%VT\"d$=67=h\\I)/BJH:8-lS!.%\\-!$1@bAhtVO?q4]9'9'haE4N0*-0Uh'-'f',YW3]T=jL3D#N=fJi]Pp-bWej+R9q[%h[p]p26NK8q3b50k9G:.&eM<Qer>__\"59K'R?_=`'`rK/'hA\"r+L5i-*Ut5PI!!*'!",
"N6CUF__;K!d$:[C93.?=/5(`5KnM]!L#UbnSY5HOHc#[6A&FE;(naXB4h/OG\"%MDAR=fo41Z]rXc\"J-\\&&V8UW.?I6V*G+,))Ztu_IuCMV#ZJ:QDJ_EjQmjiX#HENY'WD0rVAV$Gl6_+0e:2$8D)):.LUs+8-S$L!!!$!rr",
"N6CUF__;K!d$:\\N43JV0AO56@6D0$!na(s)d.dQ'iI1*uiKt#j?r\"X'\\AtNML2_C__7ic6,8Dc[F<0NTUGtl%HD#?/Y)t8!1X.;G!*FQ9GP-ukQn`6I##&$^81(P+hN*-#rf/cUs)Wb\"<_/?I'[##WMh'H[Rcl+!!<<'",
"N6L[G__;K!d\"qhT7k?[D\"Bk:5s%+=>#DM0j$_<r/JG0TCEQ!Ug(be3)&R2JnX+RSqorgC-NCjf6XATBWX(5<L1J1DV>44ZjO9q*d!YLuHhkq!3>3tpi>OPYZp9]5f1#/AlRZL06`/I6cl\"d.&=To@9kS!prs8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:2ce412d17b334ad4adc8c1c54dbfec4b:163208931778",
"ctg:2ce412d17b334ad4adc8c1c54dbfec4b:163208931778",
"ind:2ce412d17b34ad4adc8c1c54dbfec4b:399748687993-5761-42627600",
"mod:2ce412d17b4ad4adc8c1c54dbfec4b:0b25d56bd2b4d8a6df45beff7be165117fbf7ba6ba2c07744f039143866335e4",
"mod:2ce412d17b4ad4adc8c1c54dbfec4b:b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd",
"mod:2ce412d17b334ad4adc8c1c54dbfec4b:caef4ae19056eeb122a0540508fa8984cea960173ada0dc648cb846d6ef5dd33",
"pid:2ce412d17b33d4adc8c1c54dbfec4b:392734873135",
"pid:2ce412d17b334ad4adc8c1c54dbfec4b:392736520876",
"pid:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993",
"quf:2ce412d17b334ad4adc8c1c54dbfec4b:b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd",
"uid:2ce412d17b334ad4adc8c1c54dbfec4b:S-1-5-21-1909377054-3469629671-4104191496-4425"
]
},
"crawled_timestamp": "2023-11-03T19:00:23.985Z",
"created_timestamp": "2023-11-03T18:01:23.995Z",
"data_domains": [
"Endpoint"
],
"description": "ThisfilemeetstheAdware/PUPAnti-malwareMLalgorithm'slowest-confidencethreshold.",
"device": {
"agent_load_flags": 0,
"agent_local_time": "2023-10-12T03:45:57.753Z",
"agent_version": "7.04.17605.0",
"bios_manufacturer": "ABC",
"bios_version": "F8CN42WW(V2.05)",
"cid": "92012896127c4a948236ba7601b886b0",
"config_id_base": "65994763",
"config_id_build": "17605",
"config_id_platform": 3,
"external_ip": "81.2.69.142",
"first_seen": "2023-04-07T09:36:36.000Z",
"groups": [
"18704e21288243b58e4c76266d38caaf"
],
"hostinfo": {
"active_directory_dn_display": [
"WinComputers",
"WinComputers\\ABC"
],
"domain": "ABC.LOCAL"
},
"hostname": "ABC709-1175",
"id": "2ce412d17b334ad4adc8c1c54dbfec4b",
"last_seen": "2023-11-03T17:51:42.000Z",
"local_ip": "81.2.69.142",
"mac_address": "AB-21-48-61-05-B2",
"machine_domain": "ABC.LOCAL",
"major_version": "10",
"minor_version": "0",
"modified_timestamp": "2023-11-03T17:53:43.000Z",
"os_version": "Windows11",
"ou": [
"ABC",
"WinComputers"
],
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"site_name": "Default-First-Site-Name",
"status": "normal",
"system_manufacturer": "LENOVO",
"system_product_name": "20VE"
},
"falcon_host_link": "https://falcon.us-2.crowdstrike.com/activity-v2/detections/dhjffg:ind:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993-5761-42627600",
"filename": "openvpn-abc-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe",
"filepath": "\\Device\\HarddiskVolume3\\Users\\yuvraj.mahajan\\AppData\\Local\\Temp\\Temp3cc4c329-2896-461f-9dea-88009eb2e8fb_pfSenseFirewallOpenVPNClients-20230823T120504Z-001.zip\\pfSenseFirewallOpenVPNClients\\Windows\\openvpn-cds-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe",
"grandparent_details": {
"cmdline": "C:\\Windows\\system32\\userinit.exe",
"filename": "userinit.exe",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\userinit.exe",
"local_process_id": "4328",
"md5": "b07f77fd3f9828b2c9d61f8a36609741",
"process_graph_id": "pid:2ce412d17b334ad4adc8c1c54dbfec4b:392734873135",
"process_id": "392734873135",
"sha256": "caef4ae19056eeb122a0540508fa8984cea960173ada0dc648cb846d6ef5dd33",
"timestamp": "2023-10-30T16:49:19.000Z",
"user_graph_id": "uid:2ce412d17b334ad4adc8c1c54dbfec4b:S-1-5-21-1909377054-3469629671-4104191496-4425",
"user_id": "S-1-5-21-1909377054-3469629671-4104191496-4425",
"user_name": "yuvraj.mahajan"
},
"has_script_or_module_ioc": true,
"id": "ind:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993-5761-42627600",
"indicator_id": "ind:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993-5761-42627600",
"ioc_context": [
{
"ioc_description": "\\Device\\HarddiskVolume3\\Users\\yuvraj.mahajan\\AppData\\Local\\Temp\\Temp3cc4c329-2896-461f-9dea-88009eb2e8fb_pfSenseFirewallOpenVPNClients-20230823T120504Z-001.zip\\pfSenseFirewallOpenVPNClients\\Windows\\openvpn-cds-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe",
"ioc_source": "library_load",
"ioc_type": "hash_sha256",
"ioc_value": "b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd",
"md5": "cdf9cfebb400ce89d5b6032bfcdc693b",
"sha256": "b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd",
"type": "module"
}
],
"ioc_values": [
"b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd"
],
"is_synthetic_quarantine_disposition": true,
"local_process_id": "17076",
"logon_domain": "ABSYS",
"md5": "cdf9cfebb400ce89d5b6032bfcdc693b",
"name": "PrewittPupAdwareSensorDetect-Lowest",
"objective": "FalconDetectionMethod",
"parent_details": {
"cmdline": "C:\\WINDOWS\\Explorer.EXE",
"filename": "explorer.exe",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\explorer.exe",
"local_process_id": "1040",
"md5": "8cc3fcdd7d52d2d5221303c213e044ae",
"process_graph_id": "pid:2ce412d17b334ad4adc8c1c54dbfec4b:392736520876",
"process_id": "392736520876",
"sha256": "0b25d56bd2b4d8a6df45beff7be165117fbf7ba6ba2c07744f039143866335e4",
"timestamp": "2023-11-03T18:00:32.000Z",
"user_graph_id": "uid:2ce412d17b334ad4adc8c1c54dbfec4b:S-1-5-21-1909377054-3469629671-4104191496-4425",
"user_id": "S-1-5-21-1909377054-3469629671-4104191496-4425",
"user_name": "mohit.jha"
},
"parent_process_id": "392736520876",
"pattern_disposition": 2176,
"pattern_disposition_description": "Prevention/Quarantine,processwasblockedfromexecutionandquarantinewasattempted.",
"pattern_disposition_details": {
"blocking_unsupported_or_disabled": false,
"bootup_safeguard_enabled": false,
"critical_process_disabled": false,
"detect": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false,
"inddet_mask": false,
"indicator": false,
"kill_action_failed": false,
"kill_parent": false,
"kill_process": false,
"kill_subprocess": false,
"operation_blocked": false,
"policy_disabled": false,
"process_blocked": true,
"quarantine_file": true,
"quarantine_machine": false,
"registry_operation_blocked": false,
"rooting": false,
"sensor_only": false,
"suspend_parent": false,
"suspend_process": false
},
"pattern_id": "5761",
"platform": "Windows",
"poly_id": "AACSASiWEnxKlIIaw8LWC-8XINBatE2uYZaWqRAAATiEEfPFwhoY4opnh1CQjm0tvUQp4Lu5eOAx29ZVj-qrGrA==",
"process_end_time": "2023-11-03T18:00:21.000Z",
"process_id": "399748687993",
"process_start_time": "2023-11-03T18:00:13.000Z",
"product": "epp",
"quarantined_files": [
{
"filename": "\\Device\\Volume3\\Users\\yuvraj.mahajan\\AppData\\Local\\Temp\\Temp3cc4c329-2896-461f-9dea-88009eb2e8fb_pfSenseFirewallOpenVPNClients-20230823T120504Z-001.zip\\pfSenseFirewallOpenVPNClients\\Windows\\openvpn-cds-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe",
"id": "2ce412d17b334ad4adc8c1c54dbfec4b_b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd",
"sha256": "b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd",
"state": "quarantined"
}
],
"scenario": "NGAV",
"severity": 30,
"sha1": "0000000000000000000000000000000000000000",
"sha256": "b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd",
"show_in_ui": true,
"source_products": [
"FalconInsight"
],
"source_vendors": [
"CrowdStrike"
],
"status": "new",
"tactic": "MachineLearning",
"tactic_id": "CSTA0004",
"technique": "Adware/PUP",
"technique_id": "CST0000",
"timestamp": "2023-11-03T18:00:22.328Z",
"tree_id": "1931778",
"tree_root": "38687993",
"triggering_process_graph_id": "pid:2ce4124ad4adc8c1c54dbfec4b:399748687993",
"type": "ldt",
"updated_timestamp": "2023-11-03T19:00:23.985Z",
"user_id": "S-1-5-21-1909377054-3469629671-4104191496-4425",
"user_name": "mohit.jha"
}
},
"data_stream": {
"dataset": "crowdstrike.alert",
"namespace": "94431",
"type": "logs"
},
"device": {
"id": "2ce412d17b334ad4adc8c1c54dbfec4b",
"manufacturer": "LENOVO",
"model": {
"name": "20VE"
}
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "03b4d78a-97e1-4c91-9b6f-c97feae33280",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "crowdstrike.alert",
"id": "ind:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993-5761-42627600",
"ingested": "2024-10-01T00:09:14Z",
"kind": "alert",
"original": "{\"agent_id\":\"2ce412d17b334ad4adc8c1c54dbfec4b\",\"aggregate_id\":\"aggind:2ce412d17b334ad4adc8c1c54dbfec4b:163208931778\",\"alleged_filetype\":\"exe\",\"cid\":\"92012896127c4a948236ba7601b886b0\",\"cloud_indicator\":\"false\",\"cmdline\":\"\\\"C:\\\\\Users\\\\\yuvraj.mahajan\\\\\AppData\\\\\Local\\\\\Temp\\\\\Temp3cc4c329-2896-461f-9dea-88009eb2e8fb_pfSenseFirewallOpenVPNClients-20230823T120504Z-001.zip\\\\\pfSenseFirewallOpenVPNClients\\\\\Windows\\\\\openvpn-cds-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe\\\"\",\"composite_id\":\"92012896127c4a8236ba7601b886b0:ind:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993-5761-42627600\",\"confidence\":10,\"context_timestamp\":\"2023-11-03T18:00:31Z\",\"control_graph_id\":\"ctg:2ce4127b334ad4adc8c1c54dbfec4b:163208931778\",\"crawl_edge_ids\":{\"Sensor\":[\"KZcZ=__;K\\u0026cmqQ]Z=W,QK4W.9(rBfs\\\\\gfmjTblqI^F-_oNnAWQ\\u0026-o0:dR/\\u003e\\u003e2J\\u003cd2T/ji6R\\u0026RIHe-tZSkP*q?HW;:leq.:kk)\\u003eIVMD36[+=kiQDRm.bB?;d\\\"V0JaQlaltC59Iq6nM?6`\\u003eZAs+LbOJ9p9A;9'WV9^H3XEMs8N\",\"KZcZA__;?\\\"cmott@m_k)MSZ^+C?.cg\\u003cLga#0@71X07*LY2teE56*16pL[=!bjF7g@0jOQE'jT6RX_F@sr#RP-U/d[#nm9A,A,W%cl/T@\\u003cW`alY1K_h%QDBBF;_e7S!!*'!\",\"KZd)iK2;s\\\\\ckQl_P*d=Mo?^a7/JKc\\\\\*L48169!7I5;0\\\\\\\u003cH^hNG\\\"ZQ3#U3\\\"eo\\u003c\\u003e92t[f!\\u003e*b9WLY@H!V0N,BJsNSTD:?/+fY';e\\u003cOHh9AmlT?5\\u003cgGqK:*L99kat+P)eZ$HR\\\"Ql@Q!!!$!rr\",\"N6=Ks_B9Bncmur)?\\\\\[fV$k/N5;:6@aB$P;R$2XAaPJ?E\\u003cG5,UfaP')8#2AY4ff+q?T?b0/RBi-YAeGmb\\u003c6Bqp[DZh#I(jObGkjJJaMf\\\\\:#mb;BM\\\\\L[g!\\\\\F*M!!*'!\",\"N6B%O`'=_7d#%u\\u0026d[+LTNDs\\u003c3307?8n=GrFI:4YYGCL,cIt-Tuj!\\u0026\\u003c6:3RbC`uNjL#gW\\u0026=)E`4^/'fp*.bFX@p_$,R6.\\\"=lV*T*5Vf`c.:nkd$+YD:DJ,Ls0[sArC')K%YTc$:@kUQW5s8N\",\"N6B%s!\\\\\k)ed$F6\\u003ea%iM\\\"\\u003cFTSe/eH8M:\\u003c9gf;$$.b??kpC*99aX!Lq:g6:Q3@Ga4Zrb@MaMa]L'YAt$IFBu])\\\"H^sF$r7gDPf6\\u0026CHpVKO3\\u003cDgK9,Y/e@V\\\"b\\u0026m!\\u003c\\u003c'\",\"N6CU\\u0026`%VT\\\"d$=67=h\\\\\I)/BJH:8-lS!.%\\\\\-!$1@bAhtVO?q4]9'9'haE4N0*-0Uh'-'f',YW3]T=jL3D#N=fJi]Pp-bWej+R9q[%h[p]p26NK8q3b50k9G:.\\u0026eM\\u003cQer\\u003e__\\\"59K'R?_=`'`rK/'hA\\\"r+L5i-*Ut5PI!!*'!\",\"N6CUF__;K!d$:[C93.?=/5(`5KnM]!L#UbnSY5HOHc#[6A\\u0026FE;(naXB4h/OG\\\"%MDAR=fo41Z]rXc\\\"J-\\\\\\\u0026\\u0026V8UW.?I6V*G+,))Ztu_IuCMV#ZJ:QDJ_EjQmjiX#HENY'WD0rVAV$Gl6_+0e:2$8D)):.LUs+8-S$L!!!$!rr\",\"N6CUF__;K!d$:\\\\\N43JV0AO56@6D0$!na(s)d.dQ'iI1*uiKt#j?r\\\"X'\\\\\AtNML2_C__7ic6,8Dc[F\\u003c0NTUGtl%HD#?/Y)t8!1X.;G!*FQ9GP-ukQn`6I##\\u0026$^81(P+hN*-#rf/cUs)Wb\\\"\\u003c_/?I'[##WMh'H[Rcl+!!\\u003c\\u003c'\",\"N6L[G__;K!d\\\"qhT7k?[D\\\"Bk:5s%+=\\u003e#DM0j$_\\u003cr/JG0TCEQ!Ug(be3)\\u0026R2JnX+RSqorgC-NCjf6XATBWX(5\\u003cL1J1DV\\u003e44ZjO9q*d!YLuHhkq!3\\u003e3tpi\\u003eOPYZp9]5f1#/AlRZL06`/I6cl\\\"d.\\u0026=To@9kS!prs8N\"]},\"crawl_vertex_ids\":{\"Sensor\":[\"aggind:2ce412d17b334ad4adc8c1c54dbfec4b:163208931778\",\"ctg:2ce412d17b334ad4adc8c1c54dbfec4b:163208931778\",\"ind:2ce412d17b34ad4adc8c1c54dbfec4b:399748687993-5761-42627600\",\"mod:2ce412d17b4ad4adc8c1c54dbfec4b:0b25d56bd2b4d8a6df45beff7be165117fbf7ba6ba2c07744f039143866335e4\",\"mod:2ce412d17b4ad4adc8c1c54dbfec4b:b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd\",\"mod:2ce412d17b334ad4adc8c1c54dbfec4b:caef4ae19056eeb122a0540508fa8984cea960173ada0dc648cb846d6ef5dd33\",\"pid:2ce412d17b33d4adc8c1c54dbfec4b:392734873135\",\"pid:2ce412d17b334ad4adc8c1c54dbfec4b:392736520876\",\"pid:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993\",\"quf:2ce412d17b334ad4adc8c1c54dbfec4b:b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd\",\"uid:2ce412d17b334ad4adc8c1c54dbfec4b:S-1-5-21-1909377054-3469629671-4104191496-4425\"]},\"crawled_timestamp\":\"2023-11-03T19:00:23.985020992Z\",\"created_timestamp\":\"2023-11-03T18:01:23.995794943Z\",\"data_domains\":[\"Endpoint\"],\"description\":\"ThisfilemeetstheAdware/PUPAnti-malwareMLalgorithm'slowest-confidencethreshold.\",\"device\":{\"agent_load_flags\":\"0\",\"agent_local_time\":\"2023-10-12T03:45:57.753Z\",\"agent_version\":\"7.04.17605.0\",\"bios_manufacturer\":\"ABC\",\"bios_version\":\"F8CN42WW(V2.05)\",\"cid\":\"92012896127c4a948236ba7601b886b0\",\"config_id_base\":\"65994763\",\"config_id_build\":\"17605\",\"config_id_platform\":\"3\",\"device_id\":\"2ce412d17b334ad4adc8c1c54dbfec4b\",\"external_ip\":\"81.2.69.142\",\"first_seen\":\"2023-04-07T09:36:36Z\",\"groups\":[\"18704e21288243b58e4c76266d38caaf\"],\"hostinfo\":{\"active_directory_dn_display\":[\"WinComputers\",\"WinComputers\\\\\ABC\"],\"domain\":\"ABC.LOCAL\"},\"hostname\":\"ABC709-1175\",\"last_seen\":\"2023-11-03T17:51:42Z\",\"local_ip\":\"81.2.69.142\",\"mac_address\":\"ab-21-48-61-05-b2\",\"machine_domain\":\"ABC.LOCAL\",\"major_version\":\"10\",\"minor_version\":\"0\",\"modified_timestamp\":\"2023-11-03T17:53:43Z\",\"os_version\":\"Windows11\",\"ou\":[\"ABC\",\"WinComputers\"],\"platform_id\":\"0\",\"platform_name\":\"Windows\",\"pod_labels\":null,\"product_type\":\"1\",\"product_type_desc\":\"Workstation\",\"site_name\":\"Default-First-Site-Name\",\"status\":\"normal\",\"system_manufacturer\":\"LENOVO\",\"system_product_name\":\"20VE\"},\"falcon_host_link\":\"https://falcon.us-2.crowdstrike.com/activity-v2/detections/dhjffg:ind:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993-5761-42627600\",\"filename\":\"openvpn-abc-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe\",\"filepath\":\"\\\\\Device\\\\\HarddiskVolume3\\\\\Users\\\\\yuvraj.mahajan\\\\\AppData\\\\\Local\\\\\Temp\\\\\Temp3cc4c329-2896-461f-9dea-88009eb2e8fb_pfSenseFirewallOpenVPNClients-20230823T120504Z-001.zip\\\\\pfSenseFirewallOpenVPNClients\\\\\Windows\\\\\openvpn-cds-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe\",\"grandparent_details\":{\"cmdline\":\"C:\\\\\Windows\\\\\system32\\\\\userinit.exe\",\"filename\":\"userinit.exe\",\"filepath\":\"\\\\\Device\\\\\HarddiskVolume3\\\\\Windows\\\\\System32\\\\\userinit.exe\",\"local_process_id\":\"4328\",\"md5\":\"b07f77fd3f9828b2c9d61f8a36609741\",\"process_graph_id\":\"pid:2ce412d17b334ad4adc8c1c54dbfec4b:392734873135\",\"process_id\":\"392734873135\",\"sha256\":\"caef4ae19056eeb122a0540508fa8984cea960173ada0dc648cb846d6ef5dd33\",\"timestamp\":\"2023-10-30T16:49:19Z\",\"user_graph_id\":\"uid:2ce412d17b334ad4adc8c1c54dbfec4b:S-1-5-21-1909377054-3469629671-4104191496-4425\",\"user_id\":\"S-1-5-21-1909377054-3469629671-4104191496-4425\",\"user_name\":\"yuvraj.mahajan\"},\"has_script_or_module_ioc\":\"true\",\"id\":\"ind:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993-5761-42627600\",\"indicator_id\":\"ind:2ce412d17b334ad4adc8c1c54dbfec4b:399748687993-5761-42627600\",\"ioc_context\":[{\"ioc_description\":\"\\\\\Device\\\\\HarddiskVolume3\\\\\Users\\\\\yuvraj.mahajan\\\\\AppData\\\\\Local\\\\\Temp\\\\\Temp3cc4c329-2896-461f-9dea-88009eb2e8fb_pfSenseFirewallOpenVPNClients-20230823T120504Z-001.zip\\\\\pfSenseFirewallOpenVPNClients\\\\\Windows\\\\\openvpn-cds-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe\",\"ioc_source\":\"library_load\",\"ioc_type\":\"hash_sha256\",\"ioc_value\":\"b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd\",\"md5\":\"cdf9cfebb400ce89d5b6032bfcdc693b\",\"sha256\":\"b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd\",\"type\":\"module\"}],\"ioc_values\":[],\"is_synthetic_quarantine_disposition\":true,\"local_process_id\":\"17076\",\"logon_domain\":\"ABSYS\",\"md5\":\"cdf9cfebb400ce89d5b6032bfcdc693b\",\"name\":\"PrewittPupAdwareSensorDetect-Lowest\",\"objective\":\"FalconDetectionMethod\",\"parent_details\":{\"cmdline\":\"C:\\\\\WINDOWS\\\\\Explorer.EXE\",\"filename\":\"explorer.exe\",\"filepath\":\"\\\\\Device\\\\\HarddiskVolume3\\\\\Windows\\\\\explorer.exe\",\"local_process_id\":\"1040\",\"md5\":\"8cc3fcdd7d52d2d5221303c213e044ae\",\"process_graph_id\":\"pid:2ce412d17b334ad4adc8c1c54dbfec4b:392736520876\",\"process_id\":\"392736520876\",\"sha256\":\"0b25d56bd2b4d8a6df45beff7be165117fbf7ba6ba2c07744f039143866335e4\",\"timestamp\":\"2023-11-03T18:00:32Z\",\"user_graph_id\":\"uid:2ce412d17b334ad4adc8c1c54dbfec4b:S-1-5-21-1909377054-3469629671-4104191496-4425\",\"user_id\":\"S-1-5-21-1909377054-3469629671-4104191496-4425\",\"user_name\":\"mohit.jha\"},\"parent_process_id\":\"392736520876\",\"pattern_disposition\":2176,\"pattern_disposition_description\":\"Prevention/Quarantine,processwasblockedfromexecutionandquarantinewasattempted.\",\"pattern_disposition_details\":{\"blocking_unsupported_or_disabled\":false,\"bootup_safeguard_enabled\":false,\"critical_process_disabled\":false,\"detect\":false,\"fs_operation_blocked\":false,\"handle_operation_downgraded\":false,\"inddet_mask\":false,\"indicator\":false,\"kill_action_failed\":false,\"kill_parent\":false,\"kill_process\":false,\"kill_subprocess\":false,\"operation_blocked\":false,\"policy_disabled\":false,\"process_blocked\":true,\"quarantine_file\":true,\"quarantine_machine\":false,\"registry_operation_blocked\":false,\"rooting\":false,\"sensor_only\":false,\"suspend_parent\":false,\"suspend_process\":false},\"pattern_id\":5761,\"platform\":\"Windows\",\"poly_id\":\"AACSASiWEnxKlIIaw8LWC-8XINBatE2uYZaWqRAAATiEEfPFwhoY4opnh1CQjm0tvUQp4Lu5eOAx29ZVj-qrGrA==\",\"process_end_time\":\"1699034421\",\"process_id\":\"399748687993\",\"process_start_time\":\"1699034413\",\"product\":\"epp\",\"quarantined_files\":[{\"filename\":\"\\\\\Device\\\\\Volume3\\\\\Users\\\\\yuvraj.mahajan\\\\\AppData\\\\\Local\\\\\Temp\\\\\Temp3cc4c329-2896-461f-9dea-88009eb2e8fb_pfSenseFirewallOpenVPNClients-20230823T120504Z-001.zip\\\\\pfSenseFirewallOpenVPNClients\\\\\Windows\\\\\openvpn-cds-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe\",\"id\":\"2ce412d17b334ad4adc8c1c54dbfec4b_b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd\",\"sha256\":\"b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd\",\"state\":\"quarantined\"}],\"scenario\":\"NGAV\",\"severity\":30,\"sha1\":\"0000000000000000000000000000000000000000\",\"sha256\":\"b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd\",\"show_in_ui\":true,\"source_products\":[\"FalconInsight\"],\"source_vendors\":[\"CrowdStrike\"],\"status\":\"new\",\"tactic\":\"MachineLearning\",\"tactic_id\":\"CSTA0004\",\"technique\":\"Adware/PUP\",\"technique_id\":\"CST0000\",\"timestamp\":\"2023-11-03T18:00:22.328Z\",\"tree_id\":\"1931778\",\"tree_root\":\"38687993\",\"triggering_process_graph_id\":\"pid:2ce4124ad4adc8c1c54dbfec4b:399748687993\",\"type\":\"ldt\",\"updated_timestamp\":\"2023-11-03T19:00:23.985007341Z\",\"user_id\":\"S-1-5-21-1909377054-3469629671-4104191496-4425\",\"user_name\":\"mohit.jha\"}",
"severity": 30
},
"file": {
"name": "openvpn-abc-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe",
"path": "\\Device\\HarddiskVolume3\\Users\\yuvraj.mahajan\\AppData\\Local\\Temp\\Temp3cc4c329-2896-461f-9dea-88009eb2e8fb_pfSenseFirewallOpenVPNClients-20230823T120504Z-001.zip\\pfSenseFirewallOpenVPNClients\\Windows\\openvpn-cds-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe"
},
"host": {
"domain": "ABC.LOCAL",
"hostname": "ABC709-1175",
"ip": [
"81.2.69.142"
],
"mac": [
"AB-21-48-61-05-B2"
],
"os": {
"full": "Windows11",
"platform": "Windows",
"type": "windows"
}
},
"input": {
"type": "cel"
},
"message": "ThisfilemeetstheAdware/PUPAnti-malwareMLalgorithm'slowest-confidencethreshold.",
"process": {
"end": "2023-11-03T18:00:21.000Z",
"executable": "\\Device\\HarddiskVolume3\\Users\\yuvraj.mahajan\\AppData\\Local\\Temp\\Temp3cc4c329-2896-461f-9dea-88009eb2e8fb_pfSenseFirewallOpenVPNClients-20230823T120504Z-001.zip\\pfSenseFirewallOpenVPNClients\\Windows\\openvpn-cds-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe",
"hash": {
"md5": "cdf9cfebb400ce89d5b6032bfcdc693b",
"sha1": "0000000000000000000000000000000000000000",
"sha256": "b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd"
},
"name": "openvpn-abc-pfSense-UDP4-1194-pfsense-install-2.6.5-I001-amd64.exe",
"parent": {
"command_line": "C:\\WINDOWS\\Explorer.EXE",
"executable": "\\Device\\HarddiskVolume3\\Windows\\explorer.exe",
"hash": {
"md5": "8cc3fcdd7d52d2d5221303c213e044ae",
"sha256": "0b25d56bd2b4d8a6df45beff7be165117fbf7ba6ba2c07744f039143866335e4"
},
"name": "explorer.exe",
"pid": 392736520876
},
"pid": 399748687993,
"start": "2023-11-03T18:00:13.000Z",
"user": {
"id": "S-1-5-21-1909377054-3469629671-4104191496-4425",
"name": "mohit.jha"
}
},
"related": {
"hash": [
"ABC709-1175",
"b07f77fd3f9828b2c9d61f8a36609741",
"cdf9cfebb400ce89d5b6032bfcdc693b",
"b26a6791b72753d2317efd5e1363d93fdd33e611c8b9e08a3b24ea4d755b81fd",
"8cc3fcdd7d52d2d5221303c213e044ae",
"0b25d56bd2b4d8a6df45beff7be165117fbf7ba6ba2c07744f039143866335e4",
"0000000000000000000000000000000000000000"
],
"hosts": [
"ABC.LOCAL"
],
"ip": [
"81.2.69.142"
],
"user": [
"uid:2ce412d17b334ad4adc8c1c54dbfec4b:S-1-5-21-1909377054-3469629671-4104191496-4425",
"S-1-5-21-1909377054-3469629671-4104191496-4425",
"yuvraj.mahajan",
"mohit.jha"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"crowdstrike-alert"
],
"threat": {
"framework": "CrowdStrike Falcon Detections Framework",
"tactic": {
"id": [
"CSTA0004"
],
"name": [
"MachineLearning"
]
},
"technique": {
"id": [
"CST0000"
],
"name": [
"Adware/PUP"
]
}
},
"user": {
"id": "S-1-5-21-1909377054-3469629671-4104191496-4425",
"name": "mohit.jha"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
crowdstrike.alert.active_directory_authentication_method |
长整型 |
|
crowdstrike.alert.activity.browser |
关键词 |
|
crowdstrike.alert.activity.device |
关键词 |
|
crowdstrike.alert.activity.id |
关键词 |
|
crowdstrike.alert.activity.os |
关键词 |
|
crowdstrike.alert.agent_id |
关键词 |
|
crowdstrike.alert.agent_scan_id |
关键词 |
|
crowdstrike.alert.aggregate_id |
关键词 |
|
crowdstrike.alert.alert_attributes |
长整型 |
|
crowdstrike.alert.alleged_filetype |
关键词 |
|
crowdstrike.alert.assigned_to.name |
关键词 |
|
crowdstrike.alert.assigned_to.uid |
关键词 |
|
crowdstrike.alert.assigned_to.uuid |
关键词 |
|
crowdstrike.alert.associated_files.filepath |
关键词 |
|
crowdstrike.alert.associated_files.sha256 |
关键词 |
|
crowdstrike.alert.child_process_ids |
关键词 |
|
crowdstrike.alert.cid |
关键词 |
|
crowdstrike.alert.cloud_indicator |
布尔 |
|
crowdstrike.alert.cmdline |
关键词 |
|
crowdstrike.alert.command_line |
关键词 |
|
crowdstrike.alert.comment |
关键词 |
|
crowdstrike.alert.composite_id |
关键词 |
|
crowdstrike.alert.confidence |
长整型 |
|
crowdstrike.alert.context_timestamp |
日期 |
|
crowdstrike.alert.control_graph_id |
关键词 |
|
crowdstrike.alert.crawl_edge_ids.Sensor |
关键词 |
|
crowdstrike.alert.crawl_vertex_ids.Sensor |
关键词 |
|
crowdstrike.alert.crawled_timestamp |
日期 |
|
crowdstrike.alert.created_timestamp |
日期 |
|
crowdstrike.alert.data_domains |
关键词 |
|
crowdstrike.alert.description |
关键词 |
|
crowdstrike.alert.detect_type |
关键词 |
|
crowdstrike.alert.device.agent_load_flags |
长整型 |
|
crowdstrike.alert.device.agent_local_time |
日期 |
|
crowdstrike.alert.device.agent_version |
关键词 |
|
crowdstrike.alert.device.bios_manufacturer |
关键词 |
|
crowdstrike.alert.device.bios_version |
关键词 |
|
crowdstrike.alert.device.cid |
关键词 |
|
crowdstrike.alert.device.config_id_base |
关键词 |
|
crowdstrike.alert.device.config_id_build |
关键词 |
|
crowdstrike.alert.device.config_id_platform |
长整型 |
|
crowdstrike.alert.device.external_ip |
IP |
|
crowdstrike.alert.device.first_seen |
日期 |
|
crowdstrike.alert.device.groups |
关键词 |
|
crowdstrike.alert.device.hostinfo.active_directory_dn_display |
关键词 |
|
crowdstrike.alert.device.hostinfo.domain |
关键词 |
|
crowdstrike.alert.device.hostname |
关键词 |
|
crowdstrike.alert.device.id |
关键词 |
|
crowdstrike.alert.device.last_seen |
日期 |
|
crowdstrike.alert.device.local_ip |
IP |
|
crowdstrike.alert.device.mac_address |
关键词 |
|
crowdstrike.alert.device.machine_domain |
关键词 |
|
crowdstrike.alert.device.major_version |
关键词 |
|
crowdstrike.alert.device.minor_version |
关键词 |
|
crowdstrike.alert.device.modified_timestamp |
日期 |
|
crowdstrike.alert.device.os_version |
关键词 |
|
crowdstrike.alert.device.ou |
关键词 |
|
crowdstrike.alert.device.platform_id |
关键词 |
|
crowdstrike.alert.device.platform_name |
关键词 |
|
crowdstrike.alert.device.pod_labels |
关键词 |
|
crowdstrike.alert.device.product_type |
关键词 |
|
crowdstrike.alert.device.product_type_desc |
关键词 |
|
crowdstrike.alert.device.site_name |
关键词 |
|
crowdstrike.alert.device.status |
关键词 |
|
crowdstrike.alert.device.system_manufacturer |
关键词 |
|
crowdstrike.alert.device.system_product_name |
关键词 |
|
crowdstrike.alert.device.tags |
关键词 |
|
crowdstrike.alert.display_name |
关键词 |
|
crowdstrike.alert.documents_accessed.filename |
关键词 |
|
crowdstrike.alert.documents_accessed.filepath |
关键词 |
|
crowdstrike.alert.documents_accessed.timestamp |
日期 |
|
crowdstrike.alert.email_sent |
布尔 |
|
crowdstrike.alert.end_time |
日期 |
|
crowdstrike.alert.event_id |
关键词 |
|
crowdstrike.alert.executables_written.filename |
关键词 |
|
crowdstrike.alert.executables_written.filepath |
关键词 |
|
crowdstrike.alert.executables_written.timestamp |
日期 |
|
crowdstrike.alert.falcon_host_link |
关键词 |
|
crowdstrike.alert.file_writes.name |
关键词 |
|
crowdstrike.alert.file_writes.sha256 |
关键词 |
|
crowdstrike.alert.filename |
关键词 |
|
crowdstrike.alert.filepath |
关键词 |
|
crowdstrike.alert.files_accessed.filename |
关键词 |
|
crowdstrike.alert.files_accessed.filepath |
关键词 |
|
crowdstrike.alert.files_accessed.timestamp |
日期 |
|
crowdstrike.alert.files_written.filename |
关键词 |
|
crowdstrike.alert.files_written.filepath |
关键词 |
|
crowdstrike.alert.files_written.timestamp |
日期 |
|
crowdstrike.alert.global_prevalence |
关键词 |
|
crowdstrike.alert.grandparent_details.cmdline |
关键词 |
|
crowdstrike.alert.grandparent_details.filename |
关键词 |
|
crowdstrike.alert.grandparent_details.filepath |
关键词 |
|
crowdstrike.alert.grandparent_details.local_process_id |
关键词 |
|
crowdstrike.alert.grandparent_details.md5 |
关键词 |
|
crowdstrike.alert.grandparent_details.process_graph_id |
关键词 |
|
crowdstrike.alert.grandparent_details.process_id |
关键词 |
|
crowdstrike.alert.grandparent_details.sha256 |
关键词 |
|
crowdstrike.alert.grandparent_details.timestamp |
日期 |
|
crowdstrike.alert.grandparent_details.user_graph_id |
关键词 |
|
crowdstrike.alert.grandparent_details.user_id |
关键词 |
|
crowdstrike.alert.grandparent_details.user_name |
关键词 |
|
crowdstrike.alert.has_script_or_module_ioc |
布尔 |
|
crowdstrike.alert.host_name |
关键词 |
|
crowdstrike.alert.host_type |
关键词 |
|
crowdstrike.alert.id |
关键词 |
|
crowdstrike.alert.idp_policy.enforced_externally |
长整型 |
|
crowdstrike.alert.idp_policy.mfa_factor_type |
长整型 |
|
crowdstrike.alert.idp_policy.mfa_provider |
长整型 |
|
crowdstrike.alert.idp_policy.rule_action |
长整型 |
|
crowdstrike.alert.idp_policy.rule_id |
关键词 |
|
crowdstrike.alert.idp_policy.rule_name |
关键词 |
|
crowdstrike.alert.idp_policy.rule_trigger |
长整型 |
|
crowdstrike.alert.image_file_name |
关键词 |
|
crowdstrike.alert.incident.created |
日期 |
|
crowdstrike.alert.incident.end |
日期 |
|
crowdstrike.alert.incident.id |
关键词 |
|
crowdstrike.alert.incident.score |
双精度浮点数 |
|
crowdstrike.alert.incident.start |
日期 |
|
crowdstrike.alert.indicator_id |
关键词 |
|
crowdstrike.alert.ioc_context.cmdline |
关键词 |
|
crowdstrike.alert.ioc_context.ioc_description |
关键词 |
|
crowdstrike.alert.ioc_context.ioc_source |
关键词 |
|
crowdstrike.alert.ioc_context.ioc_type |
关键词 |
|
crowdstrike.alert.ioc_context.ioc_value |
关键词 |
|
crowdstrike.alert.ioc_context.md5 |
关键词 |
|
crowdstrike.alert.ioc_context.sha256 |
关键词 |
|
crowdstrike.alert.ioc_context.type |
关键词 |
|
crowdstrike.alert.ioc_description |
关键词 |
|
crowdstrike.alert.ioc_source |
关键词 |
|
crowdstrike.alert.ioc_type |
关键词 |
|
crowdstrike.alert.ioc_value |
关键词 |
|
crowdstrike.alert.ioc_values |
关键词 |
|
crowdstrike.alert.is_synthetic_quarantine_disposition |
布尔 |
|
crowdstrike.alert.ldap_search_query_attack |
长整型 |
|
crowdstrike.alert.local_prevalence |
关键词 |
|
crowdstrike.alert.local_process_id |
关键词 |
|
crowdstrike.alert.location_country_code |
关键词 |
|
crowdstrike.alert.location_latitude_as_int |
长整型 |
|
crowdstrike.alert.location_longitude_as_int |
长整型 |
|
crowdstrike.alert.logon_domain |
关键词 |
|
crowdstrike.alert.md5 |
关键词 |
|
crowdstrike.alert.model_anomaly_indicators |
关键词 |
|
crowdstrike.alert.name |
关键词 |
|
crowdstrike.alert.network_accesses.access_timestamp |
日期 |
|
crowdstrike.alert.network_accesses.access_type |
长整型 |
|
crowdstrike.alert.network_accesses.connection_direction |
关键词 |
|
crowdstrike.alert.network_accesses.isIPV6 |
布尔 |
|
crowdstrike.alert.network_accesses.local_address |
IP |
|
crowdstrike.alert.network_accesses.local_port |
长整型 |
|
crowdstrike.alert.network_accesses.protocol |
关键词 |
|
crowdstrike.alert.network_accesses.remote_address |
IP |
|
crowdstrike.alert.network_accesses.remote_port |
长整型 |
|
crowdstrike.alert.objective |
关键词 |
|
crowdstrike.alert.operating_system |
关键词 |
|
crowdstrike.alert.os_name |
关键词 |
|
crowdstrike.alert.parent_details.cmdline |
关键词 |
|
crowdstrike.alert.parent_details.filename |
关键词 |
|
crowdstrike.alert.parent_details.filepath |
关键词 |
|
crowdstrike.alert.parent_details.local_process_id |
关键词 |
|
crowdstrike.alert.parent_details.md5 |
关键词 |
|
crowdstrike.alert.parent_details.process_graph_id |
关键词 |
|
crowdstrike.alert.parent_details.process_id |
关键词 |
|
crowdstrike.alert.parent_details.sha256 |
关键词 |
|
crowdstrike.alert.parent_details.timestamp |
日期 |
|
crowdstrike.alert.parent_details.user_graph_id |
关键词 |
|
crowdstrike.alert.parent_details.user_id |
关键词 |
|
crowdstrike.alert.parent_details.user_name |
关键词 |
|
crowdstrike.alert.parent_process_id |
关键词 |
|
crowdstrike.alert.pattern_disposition |
长整型 |
|
crowdstrike.alert.pattern_disposition_description |
关键词 |
|
crowdstrike.alert.pattern_disposition_details.blocking_unsupported_or_disabled |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.bootup_safeguard_enabled |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.containment_file_system |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.critical_process_disabled |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.detect |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.fs_operation_blocked |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.handle_operation_downgraded |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.inddet_mask |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.indicator |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.kill_action_failed |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.kill_parent |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.kill_process |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.kill_subprocess |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.mfa_required |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.operation_blocked |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.policy_disabled |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.prevention_provisioning_enabled |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.process_blocked |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.quarantine_file |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.quarantine_machine |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.registry_operation_blocked |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.response_action_already_applied |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.response_action_failed |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.response_action_triggered |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.rooting |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.sensor_only |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.suspend_parent |
布尔 |
|
crowdstrike.alert.pattern_disposition_details.suspend_process |
布尔 |
|
crowdstrike.alert.pattern_id |
关键词 |
|
crowdstrike.alert.platform |
关键词 |
|
crowdstrike.alert.poly_id |
关键词 |
|
crowdstrike.alert.process_end_time |
日期 |
|
crowdstrike.alert.process_id |
关键词 |
|
crowdstrike.alert.process_start_time |
日期 |
|
crowdstrike.alert.product |
关键词 |
|
crowdstrike.alert.protocol_anomaly_classification |
长整型 |
|
crowdstrike.alert.quarantined |
布尔 |
|
crowdstrike.alert.quarantined_files.filename |
关键词 |
|
crowdstrike.alert.quarantined_files.id |
关键词 |
|
crowdstrike.alert.quarantined_files.sha256 |
关键词 |
|
crowdstrike.alert.quarantined_files.state |
关键词 |
|
crowdstrike.alert.scan_id |
关键词 |
|
crowdstrike.alert.scenario |
关键词 |
|
crowdstrike.alert.seconds_to_resolved |
长整型 |
|
crowdstrike.alert.seconds_to_triaged |
长整型 |
|
crowdstrike.alert.severity |
长整型 |
|
crowdstrike.alert.severity_name |
关键词 |
|
crowdstrike.alert.sha1 |
关键词 |
|
crowdstrike.alert.sha256 |
关键词 |
|
crowdstrike.alert.show_in_ui |
布尔 |
|
crowdstrike.alert.source.account_azure_id |
关键词 |
|
crowdstrike.alert.source.account_domain |
关键词 |
|
crowdstrike.alert.source.account_name |
关键词 |
|
crowdstrike.alert.source.account_object_guid |
关键词 |
|
crowdstrike.alert.source.account_object_sid |
关键词 |
|
crowdstrike.alert.source.account_sam_account_name |
关键词 |
|
crowdstrike.alert.source.account_upn |
关键词 |
|
crowdstrike.alert.source.endpoint_account_object_guid |
关键词 |
|
crowdstrike.alert.source.endpoint_account_object_sid |
关键词 |
|
crowdstrike.alert.source.endpoint_address_ip4 |
IP |
|
crowdstrike.alert.source.endpoint_host_name |
关键词 |
|
crowdstrike.alert.source.endpoint_ip_address |
IP |
|
crowdstrike.alert.source.endpoint_ip_reputation |
长整型 |
|
crowdstrike.alert.source.endpoint_sensor_id |
关键词 |
|
crowdstrike.alert.source.ip_isp_classification |
长整型 |
|
crowdstrike.alert.source.ip_isp_domain |
关键词 |
|
crowdstrike.alert.source.products |
关键词 |
|
crowdstrike.alert.source.vendors |
关键词 |
|
crowdstrike.alert.start_time |
日期 |
|
crowdstrike.alert.status |
关键词 |
|
crowdstrike.alert.tactic |
关键词 |
|
crowdstrike.alert.tactic_id |
关键词 |
|
crowdstrike.alert.tags |
关键词 |
|
crowdstrike.alert.target.account_name |
关键词 |
|
crowdstrike.alert.target.domain_controller_host_name |
关键词 |
|
crowdstrike.alert.target.domain_controller_object_guid |
关键词 |
|
crowdstrike.alert.target.domain_controller_object_sid |
关键词 |
|
crowdstrike.alert.target.endpoint_account_object_guid |
关键词 |
|
crowdstrike.alert.target.endpoint_account_object_sid |
关键词 |
|
crowdstrike.alert.target.endpoint_host_name |
关键词 |
|
crowdstrike.alert.target.endpoint_sensor_id |
关键词 |
|
crowdstrike.alert.target.service_access_identifier |
关键词 |
|
crowdstrike.alert.technique |
关键词 |
|
crowdstrike.alert.technique_id |
关键词 |
|
crowdstrike.alert.template_instance_id |
关键词 |
|
crowdstrike.alert.timestamp |
日期 |
|
crowdstrike.alert.tree_id |
关键词 |
|
crowdstrike.alert.tree_root |
关键词 |
|
crowdstrike.alert.triggering_process_graph_id |
关键词 |
|
crowdstrike.alert.type |
关键词 |
|
crowdstrike.alert.updated_timestamp |
日期 |
|
crowdstrike.alert.user_id |
关键词 |
|
crowdstrike.alert.user_name |
关键词 |
|
crowdstrike.alert.user_principal |
关键词 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
关键词 |
log.offset |
日志偏移量。 |
长整型 |
tags |
用于标记每个事件的关键字列表。 |
关键词 |
threat.framework |
用于进一步分类和归类报告的威胁的策略和技术所使用的威胁框架的名称。框架分类可以由检测系统提供,在摄取时评估,或追溯标记到事件。 |
关键词 |
threat.tactic.id |
此威胁使用的策略的 ID。例如,您可以使用 MITRE ATT&CK® 策略。(例如 https://attack.mitre.org/tactics/TA0002/ ) |
关键词 |
threat.technique.id |
此威胁使用的技术的 ID。例如,您可以使用 MITRE ATT&CK® 技术。(例如 https://attack.mitre.org/techniques/T1059/) |
关键词 |
Falcon
编辑包含从 Falcon SIEM 连接器转发的端点数据和 CrowdStrike Falcon 平台审计数据。
Falcon SIEM 连接器配置文件
编辑默认情况下,位于 /opt/crowdstrike/etc/cs.falconhoseclient.cf 的配置文件提供了与 Falcon SIEM 连接器收集的事件相关的配置选项。
配置文件中名为 EventTypeCollection 和 EventSubTypeCollection 的部分提供了连接器应收集的事件类型列表。
当前支持的事件类型为
- DetectionSummaryEvent
- IncidentSummaryEvent
- UserActivityAuditEvent
- AuthActivityAuditEvent
- FirewallMatchEvent
- RemoteResponseSessionStartEvent
- RemoteResponseSessionEndEvent
- CSPM 流式事件
- CSPM 搜索事件
- IDP 事件
- IDP 摘要事件
- 移动设备检测事件
- 侦察通知事件
- XDR 检测事件
- 计划报告通知事件
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键词 |
agent.name |
代理的自定义名称。这是可以给代理的名称。例如,如果在同一主机上运行两个 Filebeat 实例,但需要以人类可读的方式区分数据来自哪个 Filebeat 实例,这将很有帮助。 |
关键词 |
agent.type |
代理的类型。代理类型始终保持不变,并且应由使用的代理提供。在 Filebeat 的情况下,即使在同一台机器上运行两个 Filebeat 实例,代理也始终为 Filebeat。 |
关键词 |
agent.version |
代理的版本。 |
关键词 |
cloud.image.id |
云实例的镜像 ID。 |
关键词 |
crowdstrike.event.AccountCreationTimeStamp |
源帐户在 Active Directory 中创建的时间戳。 |
日期 |
crowdstrike.event.AccountId |
关键词 |
|
crowdstrike.event.ActivityId |
触发检测的活动 ID。 |
关键词 |
crowdstrike.event.AddedPrivilege |
他们当前和以前的权限列表之间的差异。 |
关键词 |
crowdstrike.event.AdditionalAccountObjectGuid |
其他相关用户对象 GUID。 |
关键词 |
crowdstrike.event.AdditionalAccountObjectSid |
其他相关用户对象 SID。 |
关键词 |
crowdstrike.event.AdditionalAccountUpn |
其他相关用户 UPN。 |
关键词 |
crowdstrike.event.AdditionalActivityId |
与检测相关的其他活动的 ID。 |
关键词 |
crowdstrike.event.AdditionalEndpointAccountObjectGuid |
其他相关端点对象 GUID。 |
关键词 |
crowdstrike.event.AdditionalEndpointAccountObjectSid |
其他相关端点对象 SID。 |
关键词 |
crowdstrike.event.AdditionalEndpointSensorId |
其他相关端点代理 ID。 |
关键词 |
crowdstrike.event.AdditionalLocationCountryCode |
其他相关国家/地区代码。 |
关键词 |
crowdstrike.event.AdditionalSsoApplicationIdentifier |
其他应用程序标识符。 |
关键词 |
crowdstrike.event.AgentIdString |
关键词 |
|
crowdstrike.event.AnomalousTicketContentClassification |
票证签名分析。 |
关键词 |
crowdstrike.event.AssociatedFile |
与触发指示符关联的文件。 |
关键词 |
crowdstrike.event.Attributes |
包含有关事件的其他信息的 JSON 对象。 |
扁平化 |
crowdstrike.event.AuditKeyValues |
此事件中已更改的字段。 |
嵌套 |
crowdstrike.event.AuditKeyValues.Key |
关键词 |
|
crowdstrike.event.AuditKeyValues.ValueString |
关键词 |
|
crowdstrike.event.Category |
IDP 事件类别。 |
关键词 |
crowdstrike.event.CertificateTemplateIdentifier |
证书模板的 ID。 |
关键词 |
crowdstrike.event.CertificateTemplateName |
证书模板的名称。 |
关键词 |
crowdstrike.event.Certificates |
提供一个或多个 JSON 对象,其中包括相关的 SSL/TLS 证书。 |
嵌套 |
crowdstrike.event.CloudPlatform |
关键词 |
|
crowdstrike.event.CloudProvider |
关键词 |
|
crowdstrike.event.CloudService |
关键词 |
|
crowdstrike.event.Commands |
在远程会话中运行的命令。 |
关键词 |
crowdstrike.event.ComputerName |
发生检测的计算机的名称。 |
关键词 |
crowdstrike.event.CustomerId |
客户标识符。 |
关键词 |
crowdstrike.event.DataDomains |
作为主要指示符或创建它的事件的数据域。 |
关键词 |
crowdstrike.event.DetectId |
与检测关联的唯一 ID。 |
关键词 |
crowdstrike.event.DetectName |
检测的名称。 |
关键词 |
crowdstrike.event.DeviceId |
发生事件的设备。 |
关键词 |
crowdstrike.event.DnsRequests |
进程执行的检测到的 DNS 请求。 |
嵌套 |
crowdstrike.event.DocumentsAccessed |
进程访问的检测到的文档。 |
嵌套 |
crowdstrike.event.EmailAddresses |
所有相关实体电子邮件地址的摘要列表。 |
关键词 |
crowdstrike.event.EnvironmentVariables |
提供一个或多个 JSON 对象,其中包括相关的环境变量。 |
嵌套 |
crowdstrike.event.EventType |
CrowdStrike 提供的事件类型。 |
关键词 |
crowdstrike.event.ExecutablesWritten |
进程写入磁盘的检测到的可执行文件。 |
嵌套 |
crowdstrike.event.ExecutablesWritten.FileName |
关键词 |
|
crowdstrike.event.ExecutablesWritten.FilePath |
关键词 |
|
crowdstrike.event.ExecutablesWritten.Timestamp |
关键词 |
|
crowdstrike.event.ExecutionID |
关键词 |
|
crowdstrike.event.ExecutionMetadata.ExecutionDuration |
长整型 |
|
crowdstrike.event.ExecutionMetadata.ExecutionStart |
日期 |
|
crowdstrike.event.ExecutionMetadata.ReportFileName |
关键词 |
|
crowdstrike.event.ExecutionMetadata.ResultCount |
长整型 |
|
crowdstrike.event.ExecutionMetadata.ResultID |
关键词 |
|
crowdstrike.event.ExecutionMetadata.SearchWindowEnd |
日期 |
|
crowdstrike.event.ExecutionMetadata.SearchWindowStart |
日期 |
|
crowdstrike.event.Finding |
发现的详细信息。 |
关键词 |
crowdstrike.event.FineScore |
截至发送事件时达到的最高事件分数。 |
浮点数 |
crowdstrike.event.Flags.Audit |
CrowdStrike 审计标志。 |
布尔 |
crowdstrike.event.Flags.Log |
CrowdStrike 日志标志。 |
布尔 |
crowdstrike.event.Flags.Monitor |
CrowdStrike 监控标志。 |
布尔 |
crowdstrike.event.GrandparentCommandLine |
祖父进程命令行参数。 |
关键词 |
crowdstrike.event.GrandparentImageFileName |
祖父进程的路径。 |
关键词 |
crowdstrike.event.Highlights |
与监控规则匹配的内容部分。 |
文本 |
crowdstrike.event.HostGroups |
相关主机组 ID 的数组。 |
关键词 |
crowdstrike.event.ICMPCode |
RFC2780 ICMP 代码字段。 |
关键词 |
crowdstrike.event.ICMPType |
RFC2780 ICMP 类型字段。 |
关键词 |
crowdstrike.event.IOARuleInstanceVersion |
触发的 InstanceID 的版本号。 |
长整型 |
crowdstrike.event.IOARuleName |
触发的自定义 IOA 规则的名称。 |
关键词 |
crowdstrike.event.IOCType |
入侵指标的 CrowdStrike 类型。 |
关键词 |
crowdstrike.event.IOCValue |
入侵指标的 CrowdStrike 值。 |
关键词 |
crowdstrike.event.IdpPolicyRuleAction |
身份保护策略规则操作。 |
关键词 |
crowdstrike.event.IdpPolicyRuleName |
身份保护策略规则名称。 |
关键词 |
crowdstrike.event.IdpPolicyRuleTrigger |
身份保护策略规则触发器。 |
关键词 |
crowdstrike.event.IncidentType |
事件类型 |
关键词 |
crowdstrike.event.Ipv |
网络请求的协议。 |
关键词 |
crowdstrike.event.ItemPostedTimestamp |
发布原始情报的时间。 |
日期 |
crowdstrike.event.ItemType |
原始情报的类型。 |
关键词 |
crowdstrike.event.KeyStoreErrors |
描述 KeyStore 错误。 |
关键词 |
crowdstrike.event.LMHostIDs |
由于事件而发生横向移动的主机 ID 数组。 |
关键词 |
crowdstrike.event.LateralMovement |
事件的横向移动字段。 |
长整型 |
crowdstrike.event.LdapSearchQueryAttack |
检测到的 LDAP 工具攻击。 |
关键词 |
crowdstrike.event.LoadedObjects |
提供一个或多个 JSON 对象,描述与检测相关的已加载对象。 |
嵌套 |
crowdstrike.event.LocalIP |
与检测关联的主机的 IP 地址。 |
关键词 |
crowdstrike.event.MACAddress |
与检测关联的主机的 MAC 地址。 |
关键词 |
crowdstrike.event.MD5String |
与检测关联的可执行文件的 MD5 总和。 |
关键词 |
crowdstrike.event.MachineDomain |
与检测关联的计算机的域。 |
关键词 |
crowdstrike.event.MatchCount |
防火墙规则匹配数。 |
长整型 |
crowdstrike.event.MatchCountSinceLastReport |
自上次报告以来的防火墙规则匹配数。 |
长整型 |
crowdstrike.event.MobileAppsDetails |
提供一个或多个 JSON 对象,描述相关的移动应用程序。 |
嵌套 |
crowdstrike.event.MobileAppsDetails.AndroidAppLabel |
关键词 |
|
crowdstrike.event.MobileAppsDetails.AndroidAppVersionName |
关键词 |
|
crowdstrike.event.MobileAppsDetails.AppIdentifier |
关键词 |
|
crowdstrike.event.MobileAppsDetails.AppInstallerInformation |
关键词 |
|
crowdstrike.event.MobileAppsDetails.DexFileHashes |
关键词 |
|
crowdstrike.event.MobileAppsDetails.ImageFileName |
关键词 |
|
crowdstrike.event.MobileAppsDetails.IsBeingDebugged |
关键词 |
|
crowdstrike.event.MobileAppsDetails.IsContainerized |
关键词 |
|
crowdstrike.event.MobileDnsRequests |
提供一个或多个 JSON 对象,描述来自移动设备的相关的 DNS 请求。 |
嵌套 |
crowdstrike.event.MobileNetworkConnections |
提供一个或多个 JSON 对象,描述来自移动设备的相关网络连接。 |
嵌套 |
crowdstrike.event.MostRecentActivityTimeStamp |
帐户执行的最新活动的时间戳。 |
日期 |
crowdstrike.event.MountedVolumes |
提供一个或多个 JSON 对象,描述移动设备上挂载的卷。 |
嵌套 |
crowdstrike.event.NetworkAccesses |
检测到进程执行的网络流量。 |
嵌套 |
crowdstrike.event.NetworkAccesses.AccessTimestamp |
关键词 |
|
crowdstrike.event.NetworkAccesses.AccessType |
关键词 |
|
crowdstrike.event.NetworkAccesses.ConnectionDirection |
关键词 |
|
crowdstrike.event.NetworkAccesses.IsIPV6 |
关键词 |
|
crowdstrike.event.NetworkAccesses.LocalAddress |
关键词 |
|
crowdstrike.event.NetworkAccesses.LocalPort |
关键词 |
|
crowdstrike.event.NetworkAccesses.Protocol |
关键词 |
|
crowdstrike.event.NetworkAccesses.RemoteAddress |
关键词 |
|
crowdstrike.event.NetworkAccesses.RemotePort |
关键词 |
|
crowdstrike.event.NetworkProfile |
CrowdStrike 网络配置文件。 |
关键词 |
crowdstrike.event.NotificationId |
生成的通知的 ID。 |
关键词 |
crowdstrike.event.NumberOfCompromisedEntities |
受感染的实体(用户和端点)的数量。 |
长整型 |
crowdstrike.event.NumbersOfAlerts |
基于身份的事件中的警报数量。 |
长整型 |
crowdstrike.event.OARuleInstanceID |
给定 CID 下的自定义 IOA 规则的数字 ID。 |
关键词 |
crowdstrike.event.Objective |
检测方法。 |
关键词 |
crowdstrike.event.ObjectiveCRuntimesAltered |
提供一个或多个 JSON 对象,描述与恶意软件相关的 obj-c 方法。 |
嵌套 |
crowdstrike.event.OperationName |
事件子类型。 |
关键词 |
crowdstrike.event.ParentImageFileName |
涉及的父映像文件名。 |
关键词 |
crowdstrike.event.PatternDispositionFlags.BlockingUnsupportedOrDisabled |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.BootupSafeguardEnabled |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.CriticalProcessDisabled |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.Detect |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.FsOperationBlocked |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.HandleOperationDowngraded |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.InddetMask |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.Indicator |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.KillActionFailed |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.KillParent |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.KillProcess |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.KillSubProcess |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.OperationBlocked |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.PolicyDisabled |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.ProcessBlocked |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.QuarantineFile |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.QuarantineMachine |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.RegistryOperationBlocked |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.Rooting |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.SensorOnly |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.SuspendParent |
布尔 |
|
crowdstrike.event.PatternDispositionFlags.SuspendProcess |
布尔 |
|
crowdstrike.event.PatternDispositionValue |
与采取的行动相关的唯一 ID。 |
integer |
crowdstrike.event.PatternId |
与检测时采取的操作相关的模式的数字 ID。 |
关键词 |
crowdstrike.event.PolicyID |
CrowdStrike 策略 ID。 |
关键词 |
crowdstrike.event.PolicyId |
关联策略的 ID。 |
长整型 |
crowdstrike.event.PolicyName |
CrowdStrike 策略名称。 |
关键词 |
crowdstrike.event.PrecedingActivityTimeStamp |
执行最新活动之前的活动时间戳。 |
日期 |
crowdstrike.event.PreviousPrivileges |
在进行特权更改之前,源帐户的特权列表。 |
关键词 |
crowdstrike.event.Protocol |
CrowdStrike 提供的协议。 |
关键词 |
crowdstrike.event.ProtocolAnomalyClassification |
身份验证签名分析。 |
关键词 |
crowdstrike.event.Region |
关键词 |
|
crowdstrike.event.ReportFileReference |
关键词 |
|
crowdstrike.event.ReportID |
关键词 |
|
crowdstrike.event.ReportName |
关键词 |
|
crowdstrike.event.ReportType |
关键词 |
|
crowdstrike.event.ResourceAttributes |
包含所有资源属性的 JSON blob。 |
扁平化 |
crowdstrike.event.ResourceId |
云资源标识符。 |
关键词 |
crowdstrike.event.ResourceIdType |
检测到的资源标识符的类型。 |
关键词 |
crowdstrike.event.ResourceName |
资源名称(如果有)。 |
关键词 |
crowdstrike.event.ResourceUrl |
云资源的 URL。 |
关键词 |
crowdstrike.event.RootAccessIndicators |
提供一个或多个 JSON 对象,其中包含来自可疑来源的日志和堆栈跟踪。 |
嵌套 |
crowdstrike.event.RpcOpClassification |
RPC 操作类型。 |
关键词 |
crowdstrike.event.RuleAction |
防火墙规则操作。 |
关键词 |
crowdstrike.event.RulePriority |
发现匹配项的监视规则的优先级。 |
关键词 |
crowdstrike.event.SELinuxEnforcementPolicy |
Android 设备上 SELinux 执行策略的状态。 |
关键词 |
crowdstrike.event.SHA1String |
与检测关联的可执行文件的 SHA1 和。 |
关键词 |
crowdstrike.event.SHA256String |
与检测关联的可执行文件的 SHA256 和。 |
关键词 |
crowdstrike.event.SafetyNetAdvice |
提供信息以帮助解释为什么 Google SafetyNet Attestation API 将 eitherCTSProfileMatch 或 BasicIntegrity 字段设置为 false。 |
关键词 |
crowdstrike.event.SafetyNetBasicIntegrity |
设备完整性更宽松判决的结果。 |
关键词 |
crowdstrike.event.SafetyNetCTSProfileMatch |
设备完整性更严格判决的结果。 |
关键词 |
crowdstrike.event.SafetyNetErrorMessage |
编码的错误消息。 |
关键词 |
crowdstrike.event.SafetyNetErrors |
描述 SafetyNet 错误 |
关键词 |
crowdstrike.event.SafetyNetEvaluationType |
提供有关用于计算诸如 CTSProfileMatch 和 BasicIntegrity 等字段的测量类型的信息。 |
关键词 |
crowdstrike.event.ScanResults |
扫描结果数组。 |
嵌套 |
crowdstrike.event.ScheduledSearchExecutionId |
特定搜索执行的 ID。 |
关键词 |
crowdstrike.event.ScheduledSearchId |
关联的计划搜索的唯一标识符。 |
关键词 |
crowdstrike.event.ScheduledSearchUserId |
创建关联的计划搜索的用户的用户 ID。 |
关键词 |
crowdstrike.event.ScheduledSearchUserUUID |
创建关联的计划搜索的用户的 UUID。 |
关键词 |
crowdstrike.event.SensorId |
与 Falcon 传感器关联的唯一 ID。 |
关键词 |
crowdstrike.event.ServiceName |
描述事件中涉及的相关服务。 |
关键词 |
crowdstrike.event.SessionId |
远程响应会话的会话 ID。 |
关键词 |
crowdstrike.event.SeverityName |
检测的严重级别,以字符串形式(高/中/信息)。 |
关键词 |
crowdstrike.event.SourceAccountUpn |
源用户 UPN。 |
关键词 |
crowdstrike.event.SourceEndpointAccountObjectGuid |
源端点对象 GUID。 |
关键词 |
crowdstrike.event.SourceEndpointAccountObjectSid |
源端点对象 SID。 |
关键词 |
crowdstrike.event.SourceEndpointIpReputation |
源端点 IP 信誉。 |
关键词 |
crowdstrike.event.SourceEndpointSensorId |
源端点代理 ID。 |
关键词 |
crowdstrike.event.SourceProducts |
源数据来自的产品的名称。 |
关键词 |
crowdstrike.event.SourceVendors |
源数据来自的供应商的名称。 |
关键词 |
crowdstrike.event.SsoApplicationIdentifier |
目标应用程序标识符。 |
关键词 |
crowdstrike.event.State |
基于身份的检测或事件状态。 |
关键词 |
crowdstrike.event.Status |
CrowdStrike 状态。 |
关键词 |
crowdstrike.event.StatusMessage |
关键词 |
|
crowdstrike.event.Success |
指示此事件是否成功。 |
布尔 |
crowdstrike.event.SuspiciousMachineAccountAlterationType |
机器更改类型。 |
关键词 |
crowdstrike.event.SystemProperties |
提供一个或多个 JSON 对象,其中包括相关的系统属性。 |
嵌套 |
crowdstrike.event.Tags |
云资源上的标签(如果有)。 |
嵌套 |
crowdstrike.event.TargetAccountDomain |
目标用户域。 |
关键词 |
crowdstrike.event.TargetAccountName |
目标用户名。 |
关键词 |
crowdstrike.event.TargetAccountObjectSid |
目标用户对象 SID。 |
关键词 |
crowdstrike.event.TargetAccountUpn |
目标用户 UPN。 |
关键词 |
crowdstrike.event.TargetEndpointAccountObjectGuid |
目标端点对象 GUID。 |
关键词 |
crowdstrike.event.TargetEndpointAccountObjectSid |
目标端点对象 SID。 |
关键词 |
crowdstrike.event.TargetEndpointHostName |
目标端点主机名。 |
关键词 |
crowdstrike.event.TargetEndpointSensorId |
目标端点代理 ID。 |
关键词 |
crowdstrike.event.TargetServiceAccessIdentifier |
目标 SPN。 |
关键词 |
crowdstrike.event.Timestamp |
触发防火墙规则的时间戳。 |
日期 |
crowdstrike.event.Trampolines |
提供一个或多个 JSON 对象,描述执行内联 API 挂钩的相关函数和进程。 |
嵌套 |
crowdstrike.event.TreeID |
CrowdStrike 树 ID。 |
关键词 |
crowdstrike.event.UserId |
与事件关联的电子邮件地址或用户 ID。 |
关键词 |
crowdstrike.event.UserUUID |
关键词 |
|
crowdstrike.event.VerifiedBootState |
提供设备的当前启动状态。 |
关键词 |
crowdstrike.event.XdrType |
检测类型:xdr 或 xdr-scheduled-search。 |
关键词 |
crowdstrike.metadata.customerIDString |
客户标识符 |
关键词 |
crowdstrike.metadata.eventType |
DetectionSummaryEvent、FirewallMatchEvent、IncidentSummaryEvent、RemoteResponseSessionStartEvent、RemoteResponseSessionEndEvent、AuthActivityAuditEvent 或 UserActivityAuditEvent |
关键词 |
crowdstrike.metadata.offset |
跟踪事件在流中位置的偏移量。这用于识别唯一的检测事件。 |
integer |
crowdstrike.metadata.version |
架构版本 |
关键词 |
data_stream.dataset |
数据流数据集名称。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键词 |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
关键词 |
destination.geo.continent_name |
洲名称。 |
关键词 |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键词 |
destination.geo.country_name |
国家/地区名称。 |
关键词 |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.region_iso_code |
地区 ISO 代码。 |
关键词 |
destination.geo.region_name |
地区名称。 |
关键词 |
destination.ip |
目标 IP 地址(IPv4 或 IPv6)。 |
IP |
destination.port |
目标的端口。 |
长整型 |
device.id |
设备的唯一标识符。标识符在应用程序会话中不得更改,但对于(移动)设备的实例保持固定。在 iOS 上,此值必须等于供应商标识符 (https://developer.apple.com/documentation/uikit/uidevice/1620059-identifierforvendor)。在 Android 上,此值必须等于 Firebase 安装 ID 或全局唯一 UUID,该 UUID 在您的应用程序中的会话中保持不变。出于 GDPR 和数据保护法的考虑,此标识符不应携带允许识别用户的信息。 |
关键词 |
ecs.version |
此事件符合的 ECS 版本。 |
关键词 |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
关键词 |
event.category |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第二层。 |
关键词 |
event.code |
此事件的标识代码(如果存在)。一些事件源使用事件代码来明确标识消息,而无需考虑消息语言或随着时间推移进行的措辞调整。Windows 事件 ID 就是一个例子。 |
关键词 |
event.created |
|
日期 |
event.dataset |
事件数据集 |
constant_keyword |
event.end |
|
日期 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.kind |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。 |
关键词 |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或者在需要完整日志消息(在将其拆分为多个部分之前)时,例如,用于重新索引。此字段未被索引,并且禁用了 doc_values。它无法被搜索,但可以从 |
关键词 |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
关键词 |
event.severity |
根据您的事件源,事件的数字严重性。不同的严重性值含义在不同的源和用例之间可能有所不同。实施者有责任确保同一源的事件的严重性一致。Syslog 严重性属于 |
长整型 |
event.start |
|
日期 |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级别。 |
关键词 |
event.url |
链接到外部系统的 URL,以继续对此事件进行调查。此 URL 链接到另一个系统,可以在其中对该特定事件的发生进行深入调查。由 |
关键词 |
file.hash.md5 |
MD5 哈希值。 |
关键词 |
file.hash.sha1 |
SHA1 哈希值。 |
关键词 |
file.hash.sha256 |
SHA256 哈希值。 |
关键词 |
file.path |
文件的完整路径,包括文件名。应包括驱动器号(如果适用)。 |
关键词 |
file.path.text |
|
match_only_text |
host.containerized |
如果主机是容器。 |
布尔 |
host.os.build |
操作系统构建信息。 |
关键词 |
host.os.codename |
操作系统代号(如果有)。 |
关键词 |
input.type |
Filebeat 输入的类型。 |
关键词 |
log.flags |
日志文件的标志。 |
关键词 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
message |
对于日志事件,消息字段包含日志消息,该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来,以形成事件的人工可读摘要。如果存在多个消息,则可以将它们合并为一个消息。 |
match_only_text |
network.direction |
网络流量的方向。从基于主机的监视环境中映射事件时,请使用“ingress”或“egress”值,从主机的角度填充此字段。从基于网络或边界的监视环境中映射事件时,请使用“inbound”、“outbound”、“internal”或“external”值,从网络边界的角度填充此字段。请注意,“internal”不会跨越边界,旨在描述边界内两个主机之间的通信。另请注意,“external”旨在描述边界外部两个主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。 |
关键词 |
network.type |
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。必须将字段值规范化为小写形式以进行查询。 |
关键词 |
observer.product |
观察者的产品名称。 |
关键词 |
observer.vendor |
观察者的供应商名称。 |
关键词 |
process.args |
进程参数数组,从可执行文件的绝对路径开始。可以筛选以保护敏感信息。 |
关键词 |
process.command_line |
启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。可能会筛选一些参数以保护敏感信息。 |
通配符 |
process.command_line.text |
|
match_only_text |
process.end |
进程结束的时间。 |
日期 |
process.executable |
进程可执行文件的绝对路径。 |
关键词 |
process.executable.text |
|
match_only_text |
process.name |
进程名称。有时称为程序名称或类似名称。 |
关键词 |
process.name.text |
|
match_only_text |
process.parent.args |
进程参数数组,从可执行文件的绝对路径开始。可以筛选以保护敏感信息。 |
关键词 |
process.parent.command_line |
启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。可能会筛选一些参数以保护敏感信息。 |
通配符 |
process.parent.command_line.text |
|
match_only_text |
process.parent.executable |
进程可执行文件的绝对路径。 |
关键词 |
process.parent.executable.text |
|
match_only_text |
process.parent.pid |
进程 ID。 |
长整型 |
process.pid |
进程 ID。 |
长整型 |
process.start |
进程开始的时间。 |
日期 |
related.hash |
在您的事件中看到的所有哈希值。填充此字段,然后使用它来搜索哈希值可以帮助您不确定哈希算法是什么(因此要搜索哪个键名)的情况。 |
关键词 |
related.hosts |
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
关键词 |
related.ip |
在您的事件中看到的所有 IP。 |
IP |
related.user |
在事件中看到的所有用户名或其他用户标识符。 |
关键词 |
rule.author |
创建用于生成此事件的规则的作者的姓名、组织或假名。 |
关键词 |
rule.category |
实体使用规则来检测此事件时使用的分类值关键字。 |
关键词 |
rule.description |
生成事件的规则的描述。 |
关键词 |
rule.id |
在代理、观察者或使用该规则来检测此事件的其他实体范围内唯一的规则 ID。 |
关键词 |
rule.name |
生成事件的规则或签名的名称。 |
关键词 |
rule.ruleset |
生成此事件所用的规则所属的规则集、策略、组或父类别的名称。 |
关键词 |
rule.uuid |
在代理、观察者或使用该规则来检测此事件的其他实体的集合或组的范围内唯一的规则 ID。 |
关键词 |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键词 |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
关键词 |
source.geo.continent_name |
洲名称。 |
关键词 |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键词 |
source.geo.country_name |
国家/地区名称。 |
关键词 |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.region_iso_code |
地区 ISO 代码。 |
关键词 |
source.geo.region_name |
地区名称。 |
关键词 |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
IP |
source.port |
源的端口。 |
长整型 |
tags |
用于标记每个事件的关键字列表。 |
关键词 |
threat.framework |
用于进一步分类和归类报告的威胁的策略和技术所使用的威胁框架的名称。框架分类可以由检测系统提供,在摄取时评估,或追溯标记到事件。 |
关键词 |
threat.tactic.id |
此威胁使用的策略的 ID。例如,您可以使用 MITRE ATT&CK® 策略。(例如 https://attack.mitre.org/tactics/TA0002/ ) |
关键词 |
threat.tactic.name |
此威胁使用的策略类型的名称。例如,您可以使用 MITRE ATT&CK® 策略。(例如,https://attack.mitre.org/tactics/TA0002/) |
关键词 |
threat.technique.id |
此威胁使用的技术的 ID。例如,您可以使用 MITRE ATT&CK® 技术。(例如 https://attack.mitre.org/techniques/T1059/) |
关键词 |
threat.technique.name |
此威胁所用技术的名称。例如,您可以使用 MITRE ATT&CK® 技术。(例如,https://attack.mitre.org/techniques/T1059/) |
关键词 |
threat.technique.name.text |
|
match_only_text |
user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
关键词 |
user.email |
用户电子邮件地址。 |
关键词 |
user.id |
用户的唯一标识符。 |
关键词 |
user.name |
用户的简称或登录名。 |
关键词 |
user.name.text |
|
match_only_text |
示例
用于 falcon 的示例事件如下所示
{
"@timestamp": "2023-11-02T13:41:34.000Z",
"agent": {
"ephemeral_id": "72e0f5e3-f55d-4983-a209-651b6b071a1c",
"id": "60ae74ae-652f-4e24-9a9e-e5a00ceb1c1c",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.16.0"
},
"crowdstrike": {
"event": {
"AgentIdString": "fffffffff33333",
"SessionId": "1111-fffff-4bb4-99c1-74c13cfc3e5a"
},
"metadata": {
"customerIDString": "abcabcabc22221",
"eventType": "RemoteResponseSessionStartEvent",
"offset": 1,
"version": "1.0"
}
},
"data_stream": {
"dataset": "crowdstrike.falcon",
"namespace": "34236",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "60ae74ae-652f-4e24-9a9e-e5a00ceb1c1c",
"snapshot": false,
"version": "8.16.0"
},
"event": {
"action": [
"remote_response_session_start_event"
],
"agent_id_status": "verified",
"category": [
"network",
"session"
],
"created": "2023-11-02T13:41:34.000Z",
"dataset": "crowdstrike.falcon",
"ingested": "2024-11-29T06:04:44Z",
"kind": "event",
"original": "{\"event\":{\"AgentIdString\":\"fffffffff33333\",\"HostnameField\":\"UKCHUDL00206\",\"SessionId\":\"1111-fffff-4bb4-99c1-74c13cfc3e5a\",\"StartTimestamp\":1698932494,\"UserName\":\"[email protected]\"},\"metadata\":{\"customerIDString\":\"abcabcabc22221\",\"eventCreationTime\":1698932494000,\"eventType\":\"RemoteResponseSessionStartEvent\",\"offset\":1,\"version\":\"1.0\"}}",
"start": "2023-11-02T13:41:34.000Z",
"type": [
"start"
]
},
"host": {
"name": "UKCHUDL00206"
},
"input": {
"type": "streaming"
},
"message": "Remote response session started.",
"observer": {
"product": "Falcon",
"vendor": "Crowdstrike"
},
"related": {
"hosts": [
"UKCHUDL00206"
],
"user": [
"[email protected]"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"crowdstrike-falcon"
],
"user": {
"email": "[email protected]",
"name": "[email protected]"
}
}
FDR
编辑CrowdStrike Falcon 数据复制器 (FDR) 允许 CrowdStrike 用户从 CrowdStrike 管理的 S3 存储桶复制 FDR 数据。当 S3 中有新数据可用时,CrowdStrike 会将通知事件写入到 CrowdStrike 管理的 SQS 队列。
此集成可以通过两种方式使用。它可以直接从 CrowdStrike 管理的 SQS 队列消费 SQS 通知,或者与 FDR 工具结合使用,将数据复制到自我管理的 S3 存储桶,然后集成可以从那里读取数据。
在这两种情况下,SQS 消息在处理后都会被删除。这允许您在需要时使用此集成运行多个 Elastic Agent,而不会产生重复事件,但也意味着您无法第二次摄取数据。
与 CrowdStrike 管理的 S3/SQS 一起使用
编辑这是设置集成的最简单方法,也是默认方法。
您需要使用 Crowdstrike FDR 提供的 SQS 队列 URL 设置集成。确保启用 Is FDR queue 选项。
与 FDR 工具和复制到自我管理的 S3 存储桶的数据一起使用
编辑如果您想存档原始的 CrowdStrike 数据,可以使用此选项。
您需要按照以下步骤操作
- 创建一个 S3 存储桶以接收日志。
- 创建一个 SQS 队列。
- 配置您的 S3 存储桶以将对象创建通知发送到您的 SQS 队列。
- 按照 FDR 工具 说明将数据复制到您自己的 S3 存储桶。
- 配置集成以从您自我管理的 SQS 主题读取数据。
- 禁用集成中的
Is FDR queue选项。
虽然 FDR 工具可以将 S3 中的文件复制到您的本地文件系统,但此集成无法读取这些文件,因为它们是 gzip 压缩的,并且日志文件输入不支持读取压缩文件。
S3 输入的配置
编辑如果要使用 S3 输入,则需要 AWS 凭证才能运行此集成。
-
access_key_id:访问密钥的第一部分。 -
secret_access_key:访问密钥的第二部分。 -
session_token:使用临时安全凭证时必需。 -
credential_profile_name:共享凭证文件中的配置文件名称。 -
shared_credential_file:共享凭证文件的目录。 -
endpoint:AWS Web 服务的入口点 URL。 -
role_arn:要承担的 AWS IAM 角色。
可以使用三种类型的 AWS 凭证
- 访问密钥,
- 临时安全凭证,以及
- IAM 角色 ARN。
AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 是访问密钥的两个部分。它们是 IAM 用户或 AWS 账户根用户的长期凭证。请参阅 AWS 访问密钥和秘密访问密钥 了解更多详细信息。
临时安全凭证的生命周期有限,由访问密钥 ID、秘密访问密钥和通常从 GetSessionToken 返回的安全令牌组成。
启用 MFA 的 IAM 用户在调用 GetSessionToken 时需要提交 MFA 代码。default_region 标识您希望默认将第一个 API 请求发送到的 AWS 区域的服务器。
这通常是离您最近的区域,但也可以是任何区域。请参阅 临时安全凭证 了解更多详细信息。
可以使用 sts get-session-token AWS CLI 生成临时凭证。例如,启用 MFA 的情况
aws> sts get-session-token --serial-number arn:aws:iam::1234:mfa/[email protected] --duration-seconds 129600 --token-code 123456
由于临时安全凭证是短期的,因此在它们过期后,用户需要生成新的凭证并手动更新软件包配置,以便继续收集 aws 指标。
如果在旧凭证过期之前未用新凭证更新配置,则会导致数据丢失。
IAM 角色是您可以在账户中创建的 IAM 身份,该身份具有特定的权限,这些权限决定了该身份在 AWS 中可以和不能做什么。
角色没有与之关联的标准长期凭证,例如密码或访问密钥。相反,当您承担角色时,它会为您的角色会话提供临时安全凭证。IAM 角色 Amazon Resource Name (ARN) 可用于指定要承担哪个 AWS IAM 角色以生成临时凭证。
请参阅 AssumeRole API 文档 了解更多详细信息。
- 使用访问密钥:访问密钥包括
access_key_id、secret_access_key和/或session_token。 - 使用
role_arn:role_arn用于指定要承担哪个 AWS IAM 角色以生成临时凭证。如果给定了role_arn,则该软件包将检查是否给定了访问密钥。如果未给定,则该软件包将检查配置文件名称。如果两者均未给出,则将使用默认配置文件。
请确保凭证在配置文件或访问密钥下给出。3. 使用 credential_profile_name 和/或 shared_credential_file:如果未给出 access_key_id、secret_access_key 和 role_arn,则该软件包将检查 credential_profile_name。如果对不同的工具或应用程序使用不同的凭证,则可以使用配置文件在同一配置文件中配置多个访问密钥。如果没有给出 credential_profile_name,则将使用默认配置文件。shared_credential_file 是可选的,用于指定您的共享凭证文件的目录。如果为空,则将使用默认目录。在 Windows 中,共享凭证文件位于 C:\Users<yourUserName>.aws\credentials。对于 Linux、macOS 或 Unix,该文件位于 ~/.aws/credentials。请参阅 https://docs.aws.amazon.com/ses/latest/DeveloperGuide/create-shared-credentials-file.html[创建共享凭证文件] 了解更多详细信息。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
crowdstrike.AccountType |
关键词 |
|
crowdstrike.ActiveDirectoryAuthenticationMethod |
关键词 |
|
crowdstrike.ActivityId |
关键词 |
|
crowdstrike.AgentIdString |
关键词 |
|
crowdstrike.AgentLoadFlags |
关键词 |
|
crowdstrike.AgentLocalTime |
日期 |
|
crowdstrike.AgentTimeOffset |
浮点数 |
|
crowdstrike.AgentVersion |
关键词 |
|
crowdstrike.AllocateVirtualMemoryCount |
长整型 |
|
crowdstrike.ApiReturnValue |
关键词 |
|
crowdstrike.ArchiveFileWrittenCount |
长整型 |
|
crowdstrike.AsepWrittenCount |
长整型 |
|
crowdstrike.AssociatedFile |
关键词 |
|
crowdstrike.AttemptNumber |
长整型 |
|
crowdstrike.AuthenticationActivityId |
关键词 |
|
crowdstrike.AuthenticationId |
关键词 |
|
crowdstrike.AuthenticationPackage |
关键词 |
|
crowdstrike.AuthenticationUuid |
关键词 |
|
crowdstrike.AuthenticationUuidAsString |
关键词 |
|
crowdstrike.BinaryExecutableWrittenCount |
长整型 |
|
crowdstrike.BiosManufacturer |
关键词 |
|
crowdstrike.BiosReleaseDate |
日期 |
|
crowdstrike.BiosVersion |
关键词 |
|
crowdstrike.BootArgs |
关键词 |
|
crowdstrike.BootTimeFunctionalityLevel |
关键词 |
|
crowdstrike.BoundedCount |
长整型 |
|
crowdstrike.BundleID |
关键词 |
|
crowdstrike.CLICreationCount |
长整型 |
|
crowdstrike.CallStackModuleNames |
关键词 |
|
crowdstrike.CallStackModuleNamesVersion |
version |
|
crowdstrike.ChannelDiffStatus |
关键词 |
|
crowdstrike.ChannelId |
关键词 |
|
crowdstrike.ChannelVersion |
关键词 |
|
crowdstrike.ChannelVersionRequired |
关键词 |
|
crowdstrike.ChasisManufacturer |
关键词 |
|
crowdstrike.ChassisType |
关键词 |
|
crowdstrike.ClientComputerName |
关键词 |
|
crowdstrike.CommandHistory |
关键词 |
|
crowdstrike.CommandHistory.text |
|
match_only_text |
crowdstrike.CompletionEventId |
关键词 |
|
crowdstrike.ConHostId |
关键词 |
|
crowdstrike.ConHostProcessId |
关键词 |
|
crowdstrike.ConfigBuild |
关键词 |
|
crowdstrike.ConfigIDBase |
关键词 |
|
crowdstrike.ConfigIDBuild |
关键词 |
|
crowdstrike.ConfigIDPlatform |
关键词 |
|
crowdstrike.ConfigStateData |
文本 |
|
crowdstrike.ConfigStateHash |
关键词 |
|
crowdstrike.ConfigurationVersion |
关键词 |
|
crowdstrike.ConnectTime |
日期 |
|
crowdstrike.ConnectType |
关键词 |
|
crowdstrike.ConnectionFlags |
关键词 |
|
crowdstrike.ContextProcessId |
关键词 |
|
crowdstrike.ContextTimeStamp |
事件创建的系统本地时间。 |
日期 |
crowdstrike.CpuClockSpeed |
关键词 |
|
crowdstrike.CpuFeaturesMask |
关键词 |
|
crowdstrike.CpuProcessorName |
关键词 |
|
crowdstrike.CpuSignature |
关键词 |
|
crowdstrike.CpuVendor |
关键词 |
|
crowdstrike.CreateProcessCount |
长整型 |
|
crowdstrike.CreateProcessType |
关键词 |
|
crowdstrike.CurrentFunctionalityLevel |
关键词 |
|
crowdstrike.CurrentLocalIP |
IP |
|
crowdstrike.CustomerIdString |
关键词 |
|
crowdstrike.CycleTime |
长整型 |
|
crowdstrike.DesiredAccess |
关键词 |
|
crowdstrike.DetectDescription |
关键词 |
|
crowdstrike.DetectId |
关键词 |
|
crowdstrike.DetectName |
关键词 |
|
crowdstrike.DeviceId |
关键词 |
|
crowdstrike.DirectoryCreatedCount |
长整型 |
|
crowdstrike.DirectoryEnumeratedCount |
长整型 |
|
crowdstrike.DnsRequestCount |
长整型 |
|
crowdstrike.DocumentFileWrittenCount |
长整型 |
|
crowdstrike.DownloadPath |
关键词 |
|
crowdstrike.DownloadPort |
长整型 |
|
crowdstrike.DownloadServer |
关键词 |
|
crowdstrike.DualRequest |
关键词 |
|
crowdstrike.ELFSubType |
关键词 |
|
crowdstrike.EffectiveTransmissionClass |
关键词 |
|
crowdstrike.EnabledPrivilegesBitmask |
关键词 |
|
crowdstrike.EndTime |
日期 |
|
crowdstrike.Entitlements |
关键词 |
|
crowdstrike.ErrorCode |
关键词 |
|
crowdstrike.ErrorStatus |
关键词 |
|
crowdstrike.EtwRawThreadId |
长整型 |
|
crowdstrike.EventType |
关键词 |
|
crowdstrike.EventUUID |
关键词 |
|
crowdstrike.ExeAndServiceCount |
长整型 |
|
crowdstrike.ExecutableDeletedCount |
长整型 |
|
crowdstrike.ExternalApiType |
关键词 |
|
crowdstrike.FXFileSize |
关键词 |
|
crowdstrike.Facility |
关键词 |
|
crowdstrike.FailedConnectCount |
长整型 |
|
crowdstrike.FalconGroupingTags |
关键词 |
|
crowdstrike.FalconHostLink |
关键词 |
|
crowdstrike.FeatureExtractionVersion |
关键词 |
|
crowdstrike.FeatureVector |
match_only_text |
|
crowdstrike.File |
关键词 |
|
crowdstrike.FileAttributes |
关键词 |
|
crowdstrike.FileDeletedCount |
长整型 |
|
crowdstrike.FileEcpBitmask |
关键词 |
|
crowdstrike.FileName |
关键词 |
|
crowdstrike.FileObject |
关键词 |
|
crowdstrike.FilePath |
关键词 |
|
crowdstrike.FirmwareAnalysisEclConsumerInterfaceVersion |
关键词 |
|
crowdstrike.FirmwareAnalysisEclControlInterfaceVersion |
关键词 |
|
crowdstrike.FirstDiscoveredDate |
日期 |
|
crowdstrike.FirstSeen |
日期 |
|
crowdstrike.Flags |
关键词 |
|
crowdstrike.GenericFileWrittenCount |
长整型 |
|
crowdstrike.GrandParentBaseFileName |
关键词 |
|
crowdstrike.GrandparentCommandLine |
关键词 |
|
crowdstrike.GrandparentCommandLine.text |
|
match_only_text |
crowdstrike.GrandparentImageFileName |
关键词 |
|
crowdstrike.HostGroups |
关键词 |
|
crowdstrike.HostHiddenStatus |
关键词 |
|
crowdstrike.IOCType |
关键词 |
|
crowdstrike.IOCValue |
关键词 |
|
crowdstrike.IOServiceClass |
关键词 |
|
crowdstrike.IOServiceName |
关键词 |
|
crowdstrike.IOServicePath |
关键词 |
|
crowdstrike.ImageSubsystem |
关键词 |
|
crowdstrike.InContext |
关键词 |
|
crowdstrike.InDiscards |
关键词 |
|
crowdstrike.InErrors |
关键词 |
|
crowdstrike.InMulticastPkts |
关键词 |
|
crowdstrike.InOctets |
关键词 |
|
crowdstrike.InUcastPkts |
关键词 |
|
crowdstrike.InUnknownProtos |
关键词 |
|
crowdstrike.Information |
关键词 |
|
crowdstrike.InjectedDllCount |
长整型 |
|
crowdstrike.InjectedThreadCount |
长整型 |
|
crowdstrike.IntegrityLevel |
关键词 |
|
crowdstrike.InterfaceAlias |
关键词 |
|
crowdstrike.InterfaceGuid |
关键词 |
|
crowdstrike.InterfaceIndex |
长整型 |
|
crowdstrike.InterfaceType |
关键词 |
|
crowdstrike.InterfaceVersion |
关键词 |
|
crowdstrike.IrpFlags |
关键词 |
|
crowdstrike.IsOnNetwork |
关键词 |
|
crowdstrike.IsOnRemovableDisk |
关键词 |
|
crowdstrike.IsTransactedFile |
关键词 |
|
crowdstrike.KernelTime |
长整型 |
|
crowdstrike.LastDiscoveredBy |
关键词 |
|
crowdstrike.LastLoggedOnHost |
关键词 |
|
crowdstrike.LfoUploadFlags |
关键词 |
|
crowdstrike.LightningLatencyState |
关键词 |
|
crowdstrike.Line |
关键词 |
|
crowdstrike.LocalAddressIP4 |
IP |
|
crowdstrike.LocalAddressIP6 |
IP |
|
crowdstrike.LocalAdminAccess |
关键词 |
|
crowdstrike.LocalIP |
IP |
|
crowdstrike.LogicalCoreCount |
长整型 |
|
crowdstrike.LoginSessionId |
关键词 |
|
crowdstrike.LogoffTime |
日期 |
|
crowdstrike.LogonDomain |
关键词 |
|
crowdstrike.LogonId |
关键词 |
|
crowdstrike.LogonInfo |
关键词 |
|
crowdstrike.LogonServer |
关键词 |
|
crowdstrike.LogonTime |
日期 |
|
crowdstrike.LogonType |
关键词 |
|
crowdstrike.MACAddress |
关键词 |
|
crowdstrike.MACPrefix |
关键词 |
|
crowdstrike.MD5String |
关键词 |
|
crowdstrike.MLModelVersion |
关键词 |
|
crowdstrike.MachOSubType |
关键词 |
|
crowdstrike.MajorFunction |
关键词 |
|
crowdstrike.MajorVersion |
关键词 |
|
crowdstrike.Malicious |
关键词 |
|
crowdstrike.MaxThreadCount |
长整型 |
|
crowdstrike.MemoryTotal |
关键词 |
|
crowdstrike.MicrocodeSignature |
关键词 |
|
crowdstrike.MinorFunction |
关键词 |
|
crowdstrike.MinorVersion |
关键词 |
|
crowdstrike.MoboManufacturer |
关键词 |
|
crowdstrike.MoboProductName |
关键词 |
|
crowdstrike.ModelPrediction |
关键词 |
|
crowdstrike.ModuleLoadCount |
长整型 |
|
crowdstrike.NDRoot |
关键词 |
|
crowdstrike.NeighborList |
关键词 |
|
crowdstrike.NeighborName |
关键词 |
|
crowdstrike.NetLuidIndex |
长整型 |
|
crowdstrike.NetworkBindCount |
长整型 |
|
crowdstrike.NetworkCapableAsepWriteCount |
长整型 |
|
crowdstrike.NetworkCloseCount |
长整型 |
|
crowdstrike.NetworkConnectCount |
长整型 |
|
crowdstrike.NetworkConnectCountUdp |
长整型 |
|
crowdstrike.NetworkContainmentState |
关键词 |
|
crowdstrike.NetworkListenCount |
长整型 |
|
crowdstrike.NetworkModuleLoadCount |
长整型 |
|
crowdstrike.NetworkRecvAcceptCount |
长整型 |
|
crowdstrike.NewExecutableWrittenCount |
长整型 |
|
crowdstrike.NewFileIdentifier |
关键词 |
|
crowdstrike.Nonce |
integer |
|
crowdstrike.OSVersionFileData |
match_only_text |
|
crowdstrike.OSVersionFileName |
关键词 |
|
crowdstrike.OU |
关键词 |
|
crowdstrike.Objective |
关键词 |
|
crowdstrike.OperationFlags |
关键词 |
|
crowdstrike.Options |
关键词 |
|
crowdstrike.OutErrors |
关键词 |
|
crowdstrike.OutMulticastPkts |
关键词 |
|
crowdstrike.OutOctets |
关键词 |
|
crowdstrike.OutUcastPkts |
关键词 |
|
crowdstrike.Parameter1 |
关键词 |
|
crowdstrike.Parameter2 |
关键词 |
|
crowdstrike.Parameter3 |
关键词 |
|
crowdstrike.ParentAuthenticationId |
关键词 |
|
crowdstrike.ParentCommandLine |
关键词 |
|
crowdstrike.ParentCommandLine.text |
|
match_only_text |
crowdstrike.ParentImageFileName |
关键词 |
|
crowdstrike.PasswordLastSet |
关键词 |
|
crowdstrike.PatternDispositionDescription |
关键词 |
|
crowdstrike.PatternDispositionFlags.BlockingUnsupportedOrDisabled |
布尔 |
|
crowdstrike.PatternDispositionFlags.BootupSafeguardEnabled |
布尔 |
|
crowdstrike.PatternDispositionFlags.CriticalProcessDisabled |
布尔 |
|
crowdstrike.PatternDispositionFlags.Detect |
布尔 |
|
crowdstrike.PatternDispositionFlags.FsOperationBlocked |
布尔 |
|
crowdstrike.PatternDispositionFlags.HandleOperationDowngraded |
布尔 |
|
crowdstrike.PatternDispositionFlags.InddetMask |
布尔 |
|
crowdstrike.PatternDispositionFlags.Indicator |
布尔 |
|
crowdstrike.PatternDispositionFlags.KillActionFailed |
布尔 |
|
crowdstrike.PatternDispositionFlags.KillParent |
布尔 |
|
crowdstrike.PatternDispositionFlags.KillProcess |
布尔 |
|
crowdstrike.PatternDispositionFlags.KillSubProcess |
布尔 |
|
crowdstrike.PatternDispositionFlags.OperationBlocked |
布尔 |
|
crowdstrike.PatternDispositionFlags.PolicyDisabled |
布尔 |
|
crowdstrike.PatternDispositionFlags.ProcessBlocked |
布尔 |
|
crowdstrike.PatternDispositionFlags.QuarantineFile |
布尔 |
|
crowdstrike.PatternDispositionFlags.QuarantineMachine |
布尔 |
|
crowdstrike.PatternDispositionFlags.RegistryOperationBlocked |
布尔 |
|
crowdstrike.PatternDispositionFlags.Rooting |
布尔 |
|
crowdstrike.PatternDispositionFlags.SensorOnly |
布尔 |
|
crowdstrike.PatternDispositionFlags.SuspendParent |
布尔 |
|
crowdstrike.PatternDispositionFlags.SuspendProcess |
布尔 |
|
crowdstrike.PatternDispositionValue |
长整型 |
|
crowdstrike.PciAttachmentState |
关键词 |
|
crowdstrike.PhysicalAddress |
关键词 |
|
crowdstrike.PhysicalAddressLength |
长整型 |
|
crowdstrike.PhysicalCoreCount |
长整型 |
|
crowdstrike.PointerSize |
关键词 |
|
crowdstrike.PreviousConnectTime |
日期 |
|
crowdstrike.PrivilegedProcessHandleCount |
长整型 |
|
crowdstrike.PrivilegesBitmask |
关键词 |
|
crowdstrike.ProcessCount |
长整型 |
|
crowdstrike.ProcessCreateFlags |
关键词 |
|
crowdstrike.ProcessId |
长整型 |
|
crowdstrike.ProcessParameterFlags |
关键词 |
|
crowdstrike.ProcessSxsFlags |
关键词 |
|
crowdstrike.ProcessorPackageCount |
长整型 |
|
crowdstrike.ProductType |
关键词 |
|
crowdstrike.ProtectVirtualMemoryCount |
长整型 |
|
crowdstrike.ProvisionState |
关键词 |
|
crowdstrike.PupAdwareConfidence |
关键词 |
|
crowdstrike.PupAdwareDecisionValue |
关键词 |
|
crowdstrike.QueueApcCount |
长整型 |
|
crowdstrike.RFMState |
关键词 |
|
crowdstrike.RGID |
关键词 |
|
crowdstrike.RUID |
关键词 |
|
crowdstrike.ReasonOfFunctionalityLevel |
关键词 |
|
crowdstrike.RegKeySecurityDecreasedCount |
长整型 |
|
crowdstrike.RemoteAccount |
关键词 |
|
crowdstrike.RemovableDiskFileWrittenCount |
长整型 |
|
crowdstrike.RequestType |
关键词 |
|
crowdstrike.RpcClientProcessId |
关键词 |
|
crowdstrike.RpcClientThreadId |
关键词 |
|
crowdstrike.RpcNestingLevel |
关键词 |
|
crowdstrike.RpcOpNum |
关键词 |
|
crowdstrike.RunDllInvocationCount |
长整型 |
|
crowdstrike.SHA1String |
关键词 |
|
crowdstrike.SHA256String |
关键词 |
|
crowdstrike.SVGID |
关键词 |
|
crowdstrike.SVUID |
关键词 |
|
crowdstrike.ScreenshotsTakenCount |
长整型 |
|
crowdstrike.ScriptEngineInvocationCount |
长整型 |
|
crowdstrike.SensorGroupingTags |
关键词 |
|
crowdstrike.SensorId |
关键词 |
|
crowdstrike.SensorStateBitMap |
关键词 |
|
crowdstrike.ServiceDisplayName |
关键词 |
|
crowdstrike.ServiceEventCount |
长整型 |
|
crowdstrike.ServicePackMajor |
关键词 |
|
crowdstrike.SessionId |
关键词 |
|
crowdstrike.SessionProcessId |
关键词 |
|
crowdstrike.SetThreadContextCount |
长整型 |
|
crowdstrike.Severity |
integer |
|
crowdstrike.SeverityName |
关键词 |
|
crowdstrike.ShareAccess |
关键词 |
|
crowdstrike.SiteName |
关键词 |
|
crowdstrike.Size |
长整型 |
|
crowdstrike.SnapshotFileOpenCount |
长整型 |
|
crowdstrike.SourceAccountDomain |
关键词 |
|
crowdstrike.SourceAccountObjectGuid |
关键词 |
|
crowdstrike.SourceAccountObjectSid |
关键词 |
|
crowdstrike.SourceAccountSamAccountName |
关键词 |
|
crowdstrike.SourceEndpointAccountObjectGuid |
关键词 |
|
crowdstrike.SourceEndpointAccountObjectSid |
关键词 |
|
crowdstrike.SourceEndpointAddressIP4 |
关键词 |
|
crowdstrike.SourceEndpointHostName |
关键词 |
|
crowdstrike.SourceEndpointNetworkTag |
关键词 |
|
crowdstrike.SourceEndpointNetworkType |
关键词 |
|
crowdstrike.SourceFileName |
关键词 |
|
crowdstrike.SourceProcessId |
关键词 |
|
crowdstrike.SourceThreadId |
关键词 |
|
crowdstrike.StartTime |
日期 |
|
crowdstrike.Status |
关键词 |
|
crowdstrike.SubStatus |
关键词 |
|
crowdstrike.SuppressType |
关键词 |
|
crowdstrike.SuspectStackCount |
长整型 |
|
crowdstrike.SuspiciousCredentialModuleLoadCount |
长整型 |
|
crowdstrike.SuspiciousDnsRequestCount |
长整型 |
|
crowdstrike.SuspiciousFontLoadCount |
长整型 |
|
crowdstrike.SuspiciousRawDiskReadCount |
长整型 |
|
crowdstrike.SyntheticPR2Flags |
关键词 |
|
crowdstrike.SystemManufacturer |
关键词 |
|
crowdstrike.SystemProductName |
关键词 |
|
crowdstrike.SystemSerialNumber |
关键词 |
|
crowdstrike.SystemSku |
关键词 |
|
crowdstrike.SystemTableIndex |
长整型 |
|
crowdstrike.Tactic |
关键词 |
|
crowdstrike.Tags |
关键词 |
|
crowdstrike.TargetDomainControllerObjectGuid |
关键词 |
|
crowdstrike.TargetDomainControllerObjectSid |
关键词 |
|
crowdstrike.TargetFileName |
关键词 |
|
crowdstrike.TargetThreadId |
关键词 |
|
crowdstrike.Technique |
关键词 |
|
crowdstrike.Timeout |
长整型 |
|
crowdstrike.TokenType |
关键词 |
|
crowdstrike.USN |
关键词 |
|
crowdstrike.UnixMode |
关键词 |
|
crowdstrike.UnsignedModuleLoadCount |
长整型 |
|
crowdstrike.UploadId |
关键词 |
|
crowdstrike.User |
关键词 |
|
crowdstrike.UserFlags |
关键词 |
|
crowdstrike.UserGroupsBitmask |
关键词 |
|
crowdstrike.UserLogoffType |
关键词 |
|
crowdstrike.UserLogonFlags |
关键词 |
|
crowdstrike.UserLogonFlags_decimal |
关键词 |
|
crowdstrike.UserMemoryAllocateExecutableCount |
长整型 |
|
crowdstrike.UserMemoryAllocateExecutableRemoteCount |
长整型 |
|
crowdstrike.UserMemoryProtectExecutableCount |
长整型 |
|
crowdstrike.UserMemoryProtectExecutableRemoteCount |
长整型 |
|
crowdstrike.UserName |
关键词 |
|
crowdstrike.UserSid |
关键词 |
|
crowdstrike.UserSid_readable |
关键词 |
|
crowdstrike.UserTime |
长整型 |
|
crowdstrike.VerifiedCertificate |
关键词 |
|
crowdstrike.VnodeModificationType |
关键词 |
|
crowdstrike.VnodeType |
关键词 |
|
crowdstrike.VolumeAppearanceTime |
关键词 |
|
crowdstrike.VolumeBusName |
关键词 |
|
crowdstrike.VolumeBusPath |
关键词 |
|
crowdstrike.VolumeDeviceCharacteristics |
关键词 |
|
crowdstrike.VolumeDeviceInternal |
关键词 |
|
crowdstrike.VolumeDeviceModel |
关键词 |
|
crowdstrike.VolumeDeviceObjectFlags |
关键词 |
|
crowdstrike.VolumeDevicePath |
关键词 |
|
crowdstrike.VolumeDeviceProtocol |
关键词 |
|
crowdstrike.VolumeDeviceRevision |
关键词 |
|
crowdstrike.VolumeDeviceType |
关键词 |
|
crowdstrike.VolumeDriveLetter |
关键词 |
|
crowdstrike.VolumeFileSystemDevice |
关键词 |
|
crowdstrike.VolumeFileSystemDriver |
关键词 |
|
crowdstrike.VolumeFileSystemType |
关键词 |
|
crowdstrike.VolumeIsEncrypted |
关键词 |
|
crowdstrike.VolumeIsNetwork |
关键词 |
|
crowdstrike.VolumeMediaBSDMajor |
关键词 |
|
crowdstrike.VolumeMediaBSDMinor |
关键词 |
|
crowdstrike.VolumeMediaBSDName |
关键词 |
|
crowdstrike.VolumeMediaBSDUnit |
关键词 |
|
crowdstrike.VolumeMediaContent |
关键词 |
|
crowdstrike.VolumeMediaEjectable |
关键词 |
|
crowdstrike.VolumeMediaName |
关键词 |
|
crowdstrike.VolumeMediaPath |
关键词 |
|
crowdstrike.VolumeMediaRemovable |
关键词 |
|
crowdstrike.VolumeMediaSize |
关键词 |
|
crowdstrike.VolumeMediaUUID |
关键词 |
|
crowdstrike.VolumeMediaWhole |
关键词 |
|
crowdstrike.VolumeMediaWritable |
关键词 |
|
crowdstrike.VolumeMountPoint |
关键词 |
|
crowdstrike.VolumeName |
关键词 |
|
crowdstrike.VolumeRealDeviceName |
关键词 |
|
crowdstrike.VolumeSectorSize |
关键词 |
|
crowdstrike.VolumeType |
关键词 |
|
crowdstrike.VolumeUUID |
关键词 |
|
crowdstrike.WindowFlags |
关键词 |
|
crowdstrike.__mv_LocalAddressIP4 |
关键词 |
|
crowdstrike.__mv_aip |
关键词 |
|
crowdstrike.__mv_discoverer_aid |
关键词 |
|
crowdstrike.aipCount |
integer |
|
crowdstrike.assessments.* |
扁平化 |
|
crowdstrike.cid |
关键词 |
|
crowdstrike.discovererCount |
integer |
|
crowdstrike.discoverer_aid |
关键词 |
|
crowdstrike.eid |
integer |
|
crowdstrike.hostname |
关键词 |
|
crowdstrike.info.host.* |
从 aidmaster 数据中丰富的主机信息。 |
object |
crowdstrike.info.user.* |
从 userinfo 数据中丰富的用户信息。 |
object |
crowdstrike.localipCount |
integer |
|
crowdstrike.monthsincereset |
关键词 |
|
crowdstrike.name |
关键词 |
|
crowdstrike.os_version |
关键词 |
|
crowdstrike.product_type_desc |
关键词 |
|
crowdstrike.scores.modified_time |
日期 |
|
crowdstrike.scores.os |
长整型 |
|
crowdstrike.scores.overall |
长整型 |
|
crowdstrike.scores.sensor |
长整型 |
|
crowdstrike.scores.version |
关键词 |
|
crowdstrike.subnet |
关键词 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 |
关键词 |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键词 |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
关键词 |
destination.geo.continent_name |
洲名称。 |
关键词 |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键词 |
destination.geo.country_name |
国家/地区名称。 |
关键词 |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.region_iso_code |
地区 ISO 代码。 |
关键词 |
destination.geo.region_name |
地区名称。 |
关键词 |
destination.ip |
目标 IP 地址(IPv4 或 IPv6)。 |
IP |
destination.port |
目标的端口。 |
长整型 |
device.id |
设备的唯一标识符。标识符在应用程序会话中不得更改,但对于(移动)设备的实例保持固定。在 iOS 上,此值必须等于供应商标识符 (https://developer.apple.com/documentation/uikit/uidevice/1620059-identifierforvendor)。在 Android 上,此值必须等于 Firebase 安装 ID 或全局唯一 UUID,该 UUID 在您的应用程序中的会话中保持不变。出于 GDPR 和数据保护法的考虑,此标识符不应携带允许识别用户的信息。 |
关键词 |
dns.question.name |
正在查询的名称。如果 name 字段包含不可打印字符(低于 32 或高于 126),这些字符应表示为转义的十进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。 |
关键词 |
dns.question.registered_domain |
已注册的最高级域名,去除了子域名。例如,“foo.example.com”的注册域名是“example.com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试仅取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。 |
关键词 |
dns.question.subdomain |
子域名是 registered_domain 下的所有标签。如果域名具有多个级别的子域名,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,不带尾随句点。 |
关键词 |
dns.question.top_level_domain |
有效的顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试仅取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。 |
关键词 |
dns.question.type |
正在查询的记录类型。 |
关键词 |
dns.type |
捕获的 DNS 事件类型,查询或答案。如果您的 DNS 事件来源仅提供 DNS 查询,则应仅创建类型为 |
关键词 |
ecs.version |
此事件符合的 ECS 版本。 |
关键词 |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
关键词 |
event.category |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第二层。 |
关键词 |
event.created |
|
日期 |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
描述事件的唯一 ID。 |
关键词 |
event.kind |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。 |
关键词 |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或者在需要完整日志消息(在将其拆分为多个部分之前)时,例如,用于重新索引。此字段未被索引,并且禁用了 doc_values。它无法被搜索,但可以从 |
关键词 |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
关键词 |
event.timezone |
当事件的时间戳不包含时区信息时,应填充此字段(例如,默认的 Syslog 时间戳)。否则它是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写形式(例如,“EST”)或 HH:mm 差异(例如,“-05:00”)。 |
关键词 |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级别。 |
关键词 |
file.device |
作为文件来源的设备。 |
关键词 |
file.directory |
文件所在的目录。它应包括驱动器号(如果适用)。 |
关键词 |
file.drive_letter |
文件所在的驱动器号。此字段仅在 Windows 上相关。该值应为大写,且不包含冒号。 |
关键词 |
file.extension |
文件扩展名,不包括前导点。请注意,当文件名有多个扩展名 (example.tar.gz) 时,应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
关键词 |
file.hash.sha256 |
SHA256 哈希值。 |
关键词 |
file.inode |
表示文件系统中文件的 inode。 |
关键词 |
file.name |
文件名,包括扩展名,不带目录。 |
关键词 |
file.path |
文件的完整路径,包括文件名。应包括驱动器号(如果适用)。 |
关键词 |
file.path.text |
|
match_only_text |
file.size |
文件大小(以字节为单位)。仅当 |
长整型 |
file.type |
文件类型(file、dir 或 symlink)。 |
关键词 |
host.domain |
主机所属的域名。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
关键词 |
host.geo.city_name |
城市名称。 |
关键词 |
host.geo.continent_name |
洲名称。 |
关键词 |
host.geo.country_name |
国家/地区名称。 |
关键词 |
host.geo.timezone |
该位置的时区,例如 IANA 时区名称。 |
关键词 |
host.hostname |
主机的 hostname。它通常包含主机上的 |
关键词 |
host.ip |
主机 IP 地址。 |
IP |
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。推荐的值是主机的小写 FQDN。 |
关键词 |
host.os.type |
使用 |
关键词 |
host.os.version |
操作系统版本,原始字符串格式。 |
关键词 |
input.type |
关键词 |
|
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。如果适用,应包括驱动器盘符。如果事件不是从日志文件中读取的,则不要填充此字段。 |
关键词 |
log.offset |
长整型 |
|
network.community_id |
源和目标 IP 地址以及端口的哈希值,以及通信中使用的协议。这是一个与工具无关的用于识别流的标准。请访问 https://github.com/corelight/community-id-spec 了解更多信息。 |
关键词 |
network.direction |
网络流量的方向。从基于主机的监视环境中映射事件时,请使用“ingress”或“egress”值,从主机的角度填充此字段。从基于网络或边界的监视环境中映射事件时,请使用“inbound”、“outbound”、“internal”或“external”值,从网络边界的角度填充此字段。请注意,“internal”不会跨越边界,旨在描述边界内两个主机之间的通信。另请注意,“external”旨在描述边界外部两个主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。 |
关键词 |
network.iana_number |
IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。标准化的协议列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常匹配。 |
关键词 |
network.transport |
与 network.iana_number 相同,但使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。该字段值必须规范化为小写以进行查询。 |
关键词 |
observer.address |
关键词 |
|
observer.geo.city_name |
城市名称。 |
关键词 |
observer.geo.continent_name |
洲名称。 |
关键词 |
observer.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键词 |
observer.geo.country_name |
国家/地区名称。 |
关键词 |
observer.geo.location |
经度和纬度。 |
geo_point |
observer.geo.region_iso_code |
地区 ISO 代码。 |
关键词 |
observer.geo.region_name |
地区名称。 |
关键词 |
observer.ip |
观察者的 IP 地址。 |
IP |
observer.serial_number |
观察者序列号。 |
关键词 |
observer.type |
数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 |
关键词 |
observer.vendor |
观察者的供应商名称。 |
关键词 |
observer.version |
观察者版本。 |
关键词 |
process.args |
进程参数数组,从可执行文件的绝对路径开始。可以筛选以保护敏感信息。 |
关键词 |
process.args_count |
process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行桶分析。更多参数可能表明可疑活动。 |
长整型 |
process.command_line |
启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。可能会筛选一些参数以保护敏感信息。 |
通配符 |
process.command_line.text |
|
match_only_text |
process.end |
进程结束的时间。 |
日期 |
process.entity_id |
进程的唯一标识符。此标识符的实现由数据源指定,但此处可以使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法,可以缓解 PID 重用,并随着时间的推移在多个受监控主机上识别特定进程。 |
关键词 |
process.executable |
进程可执行文件的绝对路径。 |
关键词 |
process.executable.text |
|
match_only_text |
process.exit_code |
进程的退出代码(如果这是一个终止事件)。如果事件没有退出代码(例如,进程启动),则该字段应不存在。 |
长整型 |
process.hash.md5 |
MD5 哈希值。 |
关键词 |
process.hash.sha256 |
SHA256 哈希值。 |
关键词 |
process.name |
进程名称。有时称为程序名称或类似名称。 |
关键词 |
process.name.text |
|
match_only_text |
process.parent.entity_id |
进程的唯一标识符。此标识符的实现由数据源指定,但此处可以使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法,可以缓解 PID 重用,并随着时间的推移在多个受监控主机上识别特定进程。 |
关键词 |
process.parent.name |
进程名称。有时称为程序名称或类似名称。 |
关键词 |
process.parent.name.text |
|
match_only_text |
process.pgid |
将在下一个主要版本中删除,已弃用。此字段已由 |
长整型 |
process.pid |
进程 ID。 |
长整型 |
process.start |
进程开始的时间。 |
日期 |
process.thread.id |
线程 ID。 |
长整型 |
process.title |
进程标题。进程标题有时与进程名称相同。也可能不同:例如,浏览器将其标题设置为当前打开的网页。 |
关键词 |
process.title.text |
|
match_only_text |
process.uptime |
进程已运行的秒数。 |
长整型 |
related.hash |
在您的事件中看到的所有哈希值。填充此字段,然后使用它来搜索哈希值可以帮助您不确定哈希算法是什么(因此要搜索哪个键名)的情况。 |
关键词 |
related.hosts |
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
关键词 |
related.ip |
在您的事件中看到的所有 IP。 |
IP |
related.user |
在事件中看到的所有用户名或其他用户标识符。 |
关键词 |
server.address |
某些事件服务器地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
关键词 |
server.domain |
服务器系统的域名。该值可以是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件,也可能来自丰富信息。 |
关键词 |
server.registered_domain |
最高的已注册服务器域,去掉子域。例如,“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。 |
关键词 |
server.subdomain |
完全限定的域名的子域部分包括已注册域下的所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,则子域包含已注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,不带尾随句点。 |
关键词 |
server.top_level_domain |
有效的顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试仅取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。 |
关键词 |
source.address |
某些事件源地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
关键词 |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键词 |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
关键词 |
source.geo.continent_name |
洲名称。 |
关键词 |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键词 |
source.geo.country_name |
国家/地区名称。 |
关键词 |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.region_iso_code |
地区 ISO 代码。 |
关键词 |
source.geo.region_name |
地区名称。 |
关键词 |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
IP |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即,8 位字节)用两个[大写]十六进制数字表示,给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键词 |
source.port |
源的端口。 |
长整型 |
tags |
用于标记每个事件的关键字列表。 |
关键词 |
url.domain |
URL 的域,例如 “https://elastic.ac.cn[www.elastic.co]”。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
关键词 |
url.extension |
该字段包含原始请求 URL 中的文件扩展名,不包括前导点。仅当存在文件扩展名时才设置文件扩展名,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,该值必须是“png”,而不是“.png”。请注意,当文件名有多个扩展名(example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
关键词 |
url.original |
事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
通配符 |
url.original.text |
|
match_only_text |
url.path |
请求的路径,例如“/search”。 |
通配符 |
url.registered_domain |
最高的已注册 URL 域,去掉子域。例如,“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。 |
关键词 |
url.scheme |
请求的方案,例如“https”。注意: |
关键词 |
url.subdomain |
完全限定的域名的子域部分包括已注册域下的所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,则子域包含已注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,不带尾随句点。 |
关键词 |
url.top_level_domain |
有效的顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试仅取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。 |
关键词 |
user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
关键词 |
user.email |
用户电子邮件地址。 |
关键词 |
user.full_name |
用户的全名(如果可用)。 |
关键词 |
user.full_name.text |
|
match_only_text |
user.group.id |
系统/平台上组的唯一标识符。 |
关键词 |
user.id |
用户的唯一标识符。 |
关键词 |
user.name |
用户的简称或登录名。 |
关键词 |
user.name.text |
|
match_only_text |
示例
一个 fdr 的示例事件如下所示
{
"@timestamp": "2020-10-01T09:58:32.519Z",
"agent": {
"ephemeral_id": "9eabd9f1-861b-4007-80d9-7ca2e4b6bb03",
"id": "8e3dcae6-8d1c-46c1-bed0-bf69fdde05e5",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.11.1"
},
"crowdstrike": {
"AuthenticationId": "3783389",
"ConfigStateHash": "3998263252",
"EffectiveTransmissionClass": "3",
"Entitlements": "15",
"ImageSubsystem": "2",
"IntegrityLevel": "4096",
"ParentAuthenticationId": "3783389",
"ProcessCreateFlags": "525332",
"ProcessParameterFlags": "16385",
"ProcessSxsFlags": "1600",
"RpcClientProcessId": "2439558094566",
"SessionId": "1",
"SourceProcessId": "2439558094566",
"SourceThreadId": "77538684027214",
"Tags": [
"41",
"12094627905582",
"12094627906234"
],
"TokenType": "2",
"WindowFlags": "128",
"cid": "ffffffff30a3407dae27d0503611022d",
"info": {
"host": {
"AgentLoadFlags": "1",
"AgentLocalTime": "1697775225",
"AgentTimeOffset": "15889.017",
"AgentVersion": "7.01.13922.0",
"BiosManufacturer": "Iris",
"BiosVersion": "vG17V.21040423/z64",
"ChassisType": "Other",
"City": "Chicago",
"ConfigBuild": "1007.3.0017312.1",
"ConfigIDBuild": "13922",
"Continent": "North America",
"Country": "United States of America",
"FalconGroupingTags": "'FalconGroupingTags/AMERICA'",
"FirstSeen": "1628678052.0",
"HostHiddenStatus": "Visible",
"MachineDomain": "groot.org",
"OU": "Servers;America;Offices",
"PointerSize": "8",
"ProductType": "3.0",
"ServicePackMajor": "0",
"SiteName": "BCL",
"SystemManufacturer": "Iris",
"SystemProductName": "IrOS",
"Time": "1697992719.22",
"Timezone": "America/Chicago",
"Version": "Windows Server 2021",
"cid": "ffffffff30a3407dae27d0503611022d",
"event_platform": "Win"
},
"user": {
"AccountType": "Domain User",
"LastLoggedOnHost": "COMPUTER1",
"LocalAdminAccess": "No",
"LogonInfo": "Domain User Logon",
"LogonTime": "1702546155.197",
"LogonType": "Interactive",
"PasswordLastSet": "1699971198.062",
"User": "DOMAIN\\BRADLEYA",
"UserIsAdmin": "0",
"UserLogonFlags_decimal": "0",
"_time": "1702546168.576",
"cid": "ffffffff15754bcfb5f9152ec7ac90ac",
"event_platform": "Win",
"monthsincereset": "1.0"
}
},
"name": "ProcessRollup2V18"
},
"data_stream": {
"dataset": "crowdstrike.fdr",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8e3dcae6-8d1c-46c1-bed0-bf69fdde05e5",
"snapshot": false,
"version": "8.11.1"
},
"event": {
"action": "ProcessRollup2",
"agent_id_status": "verified",
"category": [
"process"
],
"created": "2020-10-01T09:58:32.519Z",
"dataset": "crowdstrike.fdr",
"id": "ffffffff-1111-11eb-8462-02ade3b2f949",
"ingested": "2023-12-19T11:18:43Z",
"kind": "event",
"original": "{\"AuthenticationId\":\"3783389\",\"CommandLine\":\"\\\"C:\\\\\WINDOWS\\\\\system32\\\\\backgroundTaskHost.exe\\\" -ServerName:App.AppXnme9zjyebb2xnyygh6q9ev6p5d234br2.mca\",\"ConfigBuild\":\"1007.3.0012309.1\",\"ConfigStateHash\":\"3998263252\",\"EffectiveTransmissionClass\":\"3\",\"Entitlements\":\"15\",\"ImageFileName\":\"\\\\\Device\\\\\HarddiskVolume3\\\\\Windows\\\\\System32\\\\\backgroundTaskHost.exe\",\"ImageSubsystem\":\"2\",\"IntegrityLevel\":\"4096\",\"MD5HashData\":\"50d5fd1290d94d46acca0585311e74d5\",\"ParentAuthenticationId\":\"3783389\",\"ParentBaseFileName\":\"svchost.exe\",\"ParentProcessId\":\"2439558094566\",\"ProcessCreateFlags\":\"525332\",\"ProcessEndTime\":\"\",\"ProcessParameterFlags\":\"16385\",\"ProcessStartTime\":\"1604855181.648\",\"ProcessSxsFlags\":\"1600\",\"RawProcessId\":\"22272\",\"RpcClientProcessId\":\"2439558094566\",\"SHA1HashData\":\"0000000000000000000000000000000000000000\",\"SHA256HashData\":\"b8e176fe76a1454a00c4af0f8bf8870650d9c33d3e333239a59445c5b35c9a37\",\"SessionId\":\"1\",\"SourceProcessId\":\"2439558094566\",\"SourceThreadId\":\"77538684027214\",\"Tags\":\"41, 12094627905582, 12094627906234\",\"TargetProcessId\":\"2450046082233\",\"TokenType\":\"2\",\"UserSid\":\"S-1-12-1-3697283754-1083485977-2164330645-2516515886\",\"WindowFlags\":\"128\",\"aid\":\"ffffffff655344736aca58d17fb570f0\",\"aip\":\"67.43.156.14\",\"cid\":\"ffffffff30a3407dae27d0503611022d\",\"event_platform\":\"Win\",\"event_simpleName\":\"ProcessRollup2\",\"id\":\"ffffffff-1111-11eb-8462-02ade3b2f949\",\"name\":\"ProcessRollup2V18\",\"timestamp\":\"1601546312519\"}",
"outcome": "success",
"timezone": "+00:00",
"type": [
"start"
]
},
"host": {
"ip": [
"16.15.12.10"
],
"name": "FEVWSN1-234",
"os": {
"type": "windows"
}
},
"input": {
"type": "aws-s3"
},
"log": {
"file": {
"path": "https://elastic-package-crowdstrike-fdr-12701.s3.us-east-1.amazonaws.com/data"
},
"offset": 107991
},
"observer": {
"address": [
"67.43.156.14"
],
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": [
"67.43.156.14"
],
"serial_number": "ffffffff655344736aca58d17fb570f0",
"type": "agent",
"vendor": "crowdstrike",
"version": "1007.3.0012309.1"
},
"process": {
"args": [
"C:\\WINDOWS\\system32\\backgroundTaskHost.exe",
"-ServerName:App.AppXnme9zjyebb2xnyygh6q9ev6p5d234br2.mca"
],
"args_count": 2,
"command_line": "\"C:\\WINDOWS\\system32\\backgroundTaskHost.exe\" -ServerName:App.AppXnme9zjyebb2xnyygh6q9ev6p5d234br2.mca",
"entity_id": "2450046082233",
"executable": "\\Device\\HarddiskVolume3\\Windows\\System32\\backgroundTaskHost.exe",
"hash": {
"md5": "50d5fd1290d94d46acca0585311e74d5",
"sha256": "b8e176fe76a1454a00c4af0f8bf8870650d9c33d3e333239a59445c5b35c9a37"
},
"name": "backgroundTaskHost.exe",
"parent": {
"entity_id": "2439558094566",
"name": "svchost.exe"
},
"pid": 22272,
"start": "2020-11-08T17:06:21.648Z"
},
"related": {
"hash": [
"50d5fd1290d94d46acca0585311e74d5",
"b8e176fe76a1454a00c4af0f8bf8870650d9c33d3e333239a59445c5b35c9a37",
"3998263252"
],
"hosts": [
"FEVWSN1-234",
"COMPUTER1"
],
"ip": [
"67.43.156.14",
"16.15.12.10"
],
"user": [
"Alan-One",
"DOMAIN\\BRADLEYA"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"crowdstrike-fdr"
],
"url": {
"scheme": "http"
},
"user": {
"id": "S-1-12-1-3697283754-1083485977-2164330645-2516515886",
"name": "Alan-One"
}
}
主机
编辑这是 Host 数据集。
示例
一个 host 的示例事件如下所示
{
"@timestamp": "2023-11-07T10:26:53.000Z",
"agent": {
"ephemeral_id": "0a68d2e5-292d-47a5-9b2f-3b34992483c2",
"id": "8f7b87ad-2943-4c25-88be-4eaac013beb6",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"crowdstrike": {
"host": {
"agent": {
"load_flags": "0",
"local_time": "2023-11-07T04:51:16.678Z",
"version": "7.05.17603.0"
},
"bios": {
"manufacturer": "ABCInc.",
"version": "2020.0.1.0.0(iBridge:22.11.000.0.0,0)"
},
"chassis_type": {
"desc": "Laptop",
"value": "9"
},
"cid": "92012896127c4948236ba7601b886b0",
"config_id": {
"base": "6594763",
"build": "1703",
"platform": "4"
},
"connection_ip": "81.2.69.192",
"cpu_signature": "460517",
"device_policies": {
"device_control": {
"applied": true,
"applied_date": "2023-06-20T08:45:26.341Z",
"assigned_date": "2023-06-20T08:43:47.736Z",
"policy_id": "2f88daf0177f467dae69262a5ce71775",
"policy_type": "device-control"
},
"firewall": {
"applied": true,
"applied_date": "2023-09-11T10:33:44.174Z",
"assigned_date": "2023-09-11T10:32:47.853Z",
"policy": {
"id": "1ee301f7e3e24e96ad6a23c73aaac1e3",
"type": "firewall"
},
"rule_set_id": "1ee301f7e3e24e96ad6a23c73aaac1e3"
},
"global_config": {
"applied": true,
"applied_date": "2023-11-07T04:52:59.515Z",
"assigned_date": "2023-11-07T04:51:18.946Z",
"policy": {
"id": "7e3078b60976486cac5dc998808d9135",
"type": "globalconfig"
},
"settings_hash": "f01def74"
},
"prevention": {
"applied": true,
"applied_date": "2023-06-08T10:04:47.643Z",
"assigned_date": "2023-06-08T10:03:49.505Z",
"policy": {
"id": "1024fac1b279424fa7300b8ac2d56be5",
"type": "prevention"
},
"settings_hash": "f7a54ca1"
},
"remote_response": {
"applied": true,
"applied_date": "2023-06-08T10:04:47.017Z",
"assigned_date": "2023-06-08T10:03:49.505Z",
"policy": {
"id": "dabb4def99034f11b9b3d52271584c9f",
"type": "remote-response"
},
"settings_hash": "8a548e5e"
},
"sensor_update": {
"applied": true,
"applied_date": "2023-11-07T04:52:59.659Z",
"assigned_date": "2023-11-07T04:47:43.342Z",
"policy": {
"id": "64bfa2bbcd4e46da92a66b107933da11",
"type": "sensor-update"
},
"settings_hash": "tagged|18;101",
"uninstall_protection": "ENABLED"
}
},
"external_ip": "81.2.69.192",
"first_seen": "2023-06-08T10:00:19.000Z",
"group_hash": "b607fe25348a46d421ff46e19741b0caf5bbc70bb6da1637f56e97b4e1454d77",
"groups": [
"182388a8dbea4c44b5e019cfd32c2695"
],
"hostname": "CLM101-131.local",
"id": "3114433dbce478ca48d9a828b9b34be",
"kernel_version": "22.6.0",
"last_seen": "2023-11-07T10:25:24.000Z",
"local_ip": "81.2.69.142",
"mac_address": "14-7D-DA-AD-AC-71",
"machine_domain": "SYS",
"major_version": "22",
"meta": {
"version": "6002",
"version_string": "7:43570272778"
},
"minor_version": "6",
"modified_timestamp": "2023-11-07T10:26:53.000Z",
"os": {
"build": "22G120",
"version": "Ventura(13)"
},
"platform": {
"id": "1",
"name": "Mac"
},
"policies": [
{
"applied": true,
"applied_date": "2023-06-08T10:04:47.643Z",
"assigned_date": "2023-06-08T10:03:49.505Z",
"policy": {
"id": "1024fac1b279424fa7300b8ac2d56be5",
"type": "prevention"
},
"settings_hash": "f7a54ca1"
}
],
"product_type_desc": "Workstation",
"provision_status": "Provisioned",
"reduced_functionality_mode": "no",
"serial_number": "FVFDH73HMNHX",
"site_name": "Default-First-Site-Name",
"status": "normal",
"system": {
"manufacturer": "ABCInc.",
"product_name": "Air,1"
},
"tags": [
"tags"
]
}
},
"data_stream": {
"dataset": "crowdstrike.host",
"namespace": "42315",
"type": "logs"
},
"device": {
"id": "3114433dbce478ca48d9a828b9b34be"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8f7b87ad-2943-4c25-88be-4eaac013beb6",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"dataset": "crowdstrike.host",
"ingested": "2024-08-08T07:14:40Z",
"kind": "event",
"original": "{\"agent_load_flags\":\"0\",\"agent_local_time\":\"2023-11-07T04:51:16.678Z\",\"agent_version\":\"7.05.17603.0\",\"bios_manufacturer\":\"ABCInc.\",\"bios_version\":\"2020.0.1.0.0(iBridge:22.11.000.0.0,0)\",\"chassis_type\":\"9\",\"chassis_type_desc\":\"Laptop\",\"cid\":\"92012896127c4948236ba7601b886b0\",\"config_id_base\":\"6594763\",\"config_id_build\":\"1703\",\"config_id_platform\":\"4\",\"connection_ip\":\"81.2.69.192\",\"cpu_signature\":\"460517\",\"device_id\":\"3114433dbce478ca48d9a828b9b34be\",\"device_policies\":{\"device_control\":{\"applied\":true,\"applied_date\":\"2023-06-20T08:45:26.341093915Z\",\"assigned_date\":\"2023-06-20T08:43:47.736146738Z\",\"policy_id\":\"2f88daf0177f467dae69262a5ce71775\",\"policy_type\":\"device-control\"},\"firewall\":{\"applied\":true,\"applied_date\":\"2023-09-11T10:33:44.174488832Z\",\"assigned_date\":\"2023-09-11T10:32:47.853976945Z\",\"policy_id\":\"1ee301f7e3e24e96ad6a23c73aaac1e3\",\"policy_type\":\"firewall\",\"rule_set_id\":\"1ee301f7e3e24e96ad6a23c73aaac1e3\"},\"global_config\":{\"applied\":true,\"applied_date\":\"2023-11-07T04:52:59.515775409Z\",\"assigned_date\":\"2023-11-07T04:51:18.94671252Z\",\"policy_id\":\"7e3078b60976486cac5dc998808d9135\",\"policy_type\":\"globalconfig\",\"settings_hash\":\"f01def74\"},\"prevention\":{\"applied\":true,\"applied_date\":\"2023-06-08T10:04:47.643357971Z\",\"assigned_date\":\"2023-06-08T10:03:49.505180252Z\",\"policy_id\":\"1024fac1b279424fa7300b8ac2d56be5\",\"policy_type\":\"prevention\",\"rule_groups\":[],\"settings_hash\":\"f7a54ca1\"},\"remote_response\":{\"applied\":true,\"applied_date\":\"2023-06-08T10:04:47.01735027Z\",\"assigned_date\":\"2023-06-08T10:03:49.505163572Z\",\"policy_id\":\"dabb4def99034f11b9b3d52271584c9f\",\"policy_type\":\"remote-response\",\"settings_hash\":\"8a548e5e\"},\"sensor_update\":{\"applied\":true,\"applied_date\":\"2023-11-07T04:52:59.659583066Z\",\"assigned_date\":\"2023-11-07T04:47:43.342175341Z\",\"policy_id\":\"64bfa2bbcd4e46da92a66b107933da11\",\"policy_type\":\"sensor-update\",\"settings_hash\":\"tagged|18;101\",\"uninstall_protection\":\"ENABLED\"}},\"external_ip\":\"81.2.69.192\",\"first_seen\":\"2023-06-08T10:00:19Z\",\"group_hash\":\"b607fe25348a46d421ff46e19741b0caf5bbc70bb6da1637f56e97b4e1454d77\",\"groups\":[\"182388a8dbea4c44b5e019cfd32c2695\"],\"hostname\":\"CLM101-131.local\",\"kernel_version\":\"22.6.0\",\"last_seen\":\"2023-11-07T10:25:24Z\",\"local_ip\":\"81.2.69.142\",\"mac_address\":\"14-7d-da-ad-ac-71\",\"machine_domain\":\"SYS\",\"major_version\":\"22\",\"meta\":{\"version\":\"6002\",\"version_string\":\"7:43570272778\"},\"minor_version\":\"6\",\"modified_timestamp\":\"2023-11-07T10:26:53Z\",\"os_build\":\"22G120\",\"os_version\":\"Ventura(13)\",\"platform_id\":\"1\",\"platform_name\":\"Mac\",\"policies\":[{\"applied\":true,\"applied_date\":\"2023-06-08T10:04:47.643357971Z\",\"assigned_date\":\"2023-06-08T10:03:49.505180252Z\",\"policy_id\":\"1024fac1b279424fa7300b8ac2d56be5\",\"policy_type\":\"prevention\",\"rule_groups\":[],\"settings_hash\":\"f7a54ca1\"}],\"product_type_desc\":\"Workstation\",\"provision_status\":\"Provisioned\",\"reduced_functionality_mode\":\"no\",\"serial_number\":\"FVFDH73HMNHX\",\"site_name\":\"Default-First-Site-Name\",\"status\":\"normal\",\"system_manufacturer\":\"ABCInc.\",\"system_product_name\":\"Air,1\",\"tags\":[\"tags\"]}",
"type": [
"info"
]
},
"host": {
"geo": {
"city_name": "London",
"continent_name": "Europe",
"country_iso_code": "GB",
"country_name": "United Kingdom",
"location": {
"lat": 51.5142,
"lon": -0.0931
},
"region_iso_code": "GB-ENG",
"region_name": "England"
},
"hostname": "CLM101-131.local",
"ip": [
"81.2.69.192"
],
"mac": [
"14-7D-DA-AD-AC-71"
],
"os": {
"full": "Ventura(13)",
"platform": "Mac"
}
},
"input": {
"type": "cel"
},
"related": {
"hash": [
"f01def74",
"f7a54ca1",
"8a548e5e",
"tagged|18;101",
"b607fe25348a46d421ff46e19741b0caf5bbc70bb6da1637f56e97b4e1454d77"
],
"hosts": [
"CLM101-131.local",
"SYS"
],
"ip": [
"81.2.69.192",
"81.2.69.142"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"crowdstrike-host"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
crowdstrike.host.agent.load_flags |
与事件关联的任何错误。 |
关键词 |
crowdstrike.host.agent.local_time |
与事件关联的精细分数。 |
日期 |
crowdstrike.host.agent.version |
与事件关联的主机 ID 列表。 |
关键词 |
crowdstrike.host.bios.manufacturer |
指示主机上代理加载状态的标志。 |
关键词 |
crowdstrike.host.bios.version |
代理在其上运行的主机上的本地时间。 |
关键词 |
crowdstrike.host.chassis_type.desc |
主机上运行的代理的版本。 |
关键词 |
crowdstrike.host.chassis_type.value |
主机上 BIOS 的制造商。 |
关键词 |
crowdstrike.host.cid |
主机上 BIOS 的版本。 |
关键词 |
crowdstrike.host.config_id.base |
与主机关联的客户 ID。 |
关键词 |
crowdstrike.host.config_id.build |
与主机关联的基本配置 ID。 |
关键词 |
crowdstrike.host.config_id.platform |
与主机关联的构建配置 ID。 |
关键词 |
crowdstrike.host.connection_ip |
与主机关联的平台配置 ID。 |
IP |
crowdstrike.host.cpu_signature |
与主机关联的设备 ID。 |
关键词 |
crowdstrike.host.device_policies.device_control.applied |
指示首次看到主机的时间戳。 |
布尔 |
crowdstrike.host.device_policies.device_control.applied_date |
与主机关联的组。 |
日期 |
crowdstrike.host.device_policies.device_control.assigned_date |
指示上次看到主机的时间戳。 |
日期 |
crowdstrike.host.device_policies.device_control.policy_id |
主机的本地 IP 地址。 |
关键词 |
crowdstrike.host.device_policies.device_control.policy_type |
机器所属的域。 |
关键词 |
crowdstrike.host.device_policies.firewall.applied |
主机上操作系统的主版本。 |
布尔 |
crowdstrike.host.device_policies.firewall.applied_date |
主机上操作系统的次版本。 |
日期 |
crowdstrike.host.device_policies.firewall.assigned_date |
指示主机信息上次修改的时间戳。 |
日期 |
crowdstrike.host.device_policies.firewall.policy.id |
与主机关联的组织单位。 |
关键词 |
crowdstrike.host.device_policies.firewall.policy.type |
主机的平台 ID。 |
关键词 |
crowdstrike.host.device_policies.firewall.rule_set_id |
主机的平台名称。 |
关键词 |
crowdstrike.host.device_policies.global_config.applied |
主机产品类型的描述。 |
布尔 |
crowdstrike.host.device_policies.global_config.applied_date |
主机产品类型。 |
日期 |
crowdstrike.host.device_policies.global_config.assigned_date |
与主机关联的站点名称。 |
日期 |
crowdstrike.host.device_policies.global_config.policy.id |
主机的状态。 |
关键词 |
crowdstrike.host.device_policies.global_config.policy.type |
主机上系统的制造商。 |
关键词 |
crowdstrike.host.device_policies.global_config.settings_hash |
主机上系统的产品名称。 |
关键词 |
crowdstrike.host.device_policies.prevention.applied |
与事件相关的目标。 |
布尔 |
crowdstrike.host.device_policies.prevention.applied_date |
事件的状态,无论是打开还是关闭。 |
日期 |
crowdstrike.host.device_policies.prevention.assigned_date |
事件的状态。 |
日期 |
crowdstrike.host.device_policies.prevention.policy.id |
与事件相关的战术。 |
关键词 |
crowdstrike.host.device_policies.prevention.policy.type |
与事件相关的技术。 |
关键词 |
crowdstrike.host.device_policies.prevention.rule_groups |
事件的类型。 |
关键词 |
crowdstrike.host.device_policies.prevention.settings_hash |
与事件相关的用户。 |
关键词 |
crowdstrike.host.device_policies.remote_response.applied |
布尔 |
|
crowdstrike.host.device_policies.remote_response.applied_date |
日期 |
|
crowdstrike.host.device_policies.remote_response.assigned_date |
日期 |
|
crowdstrike.host.device_policies.remote_response.policy.id |
关键词 |
|
crowdstrike.host.device_policies.remote_response.policy.type |
关键词 |
|
crowdstrike.host.device_policies.remote_response.settings_hash |
关键词 |
|
crowdstrike.host.device_policies.sensor_update.applied |
布尔 |
|
crowdstrike.host.device_policies.sensor_update.applied_date |
日期 |
|
crowdstrike.host.device_policies.sensor_update.assigned_date |
日期 |
|
crowdstrike.host.device_policies.sensor_update.policy.id |
关键词 |
|
crowdstrike.host.device_policies.sensor_update.policy.type |
关键词 |
|
crowdstrike.host.device_policies.sensor_update.settings_hash |
关键词 |
|
crowdstrike.host.device_policies.sensor_update.uninstall_protection |
关键词 |
|
crowdstrike.host.external_ip |
主机的外部 IP 地址。 |
IP |
crowdstrike.host.first_seen |
日期 |
|
crowdstrike.host.group_hash |
关键词 |
|
crowdstrike.host.groups |
关键词 |
|
crowdstrike.host.hostname |
主机的主机名。 |
关键词 |
crowdstrike.host.id |
指示事件开始时间的 时间戳。 |
关键词 |
crowdstrike.host.kernel_version |
关键词 |
|
crowdstrike.host.last_seen |
日期 |
|
crowdstrike.host.local_ip |
IP |
|
crowdstrike.host.mac_address |
主机的 MAC 地址。 |
关键词 |
crowdstrike.host.machine_domain |
关键词 |
|
crowdstrike.host.major_version |
关键词 |
|
crowdstrike.host.meta.version |
关键词 |
|
crowdstrike.host.meta.version_string |
关键词 |
|
crowdstrike.host.minor_version |
关键词 |
|
crowdstrike.host.modified_timestamp |
指示事件创建时间的 时间戳。 |
日期 |
crowdstrike.host.os.build |
关键词 |
|
crowdstrike.host.os.version |
主机上操作系统的版本。 |
关键词 |
crowdstrike.host.platform.id |
关键词 |
|
crowdstrike.host.platform.name |
与客户关联的标识符。 |
关键词 |
crowdstrike.host.policies.applied |
布尔 |
|
crowdstrike.host.policies.applied_date |
日期 |
|
crowdstrike.host.policies.assigned_date |
日期 |
|
crowdstrike.host.policies.policy.id |
关键词 |
|
crowdstrike.host.policies.policy.type |
关键词 |
|
crowdstrike.host.policies.rule_groups |
关键词 |
|
crowdstrike.host.policies.settings_hash |
关键词 |
|
crowdstrike.host.product_type_desc |
关键词 |
|
crowdstrike.host.provision_status |
关键词 |
|
crowdstrike.host.reduced_functionality_mode |
关键词 |
|
crowdstrike.host.serial_number |
关键词 |
|
crowdstrike.host.site_name |
关键词 |
|
crowdstrike.host.status |
关键词 |
|
crowdstrike.host.system.manufacturer |
关键词 |
|
crowdstrike.host.system.product_name |
关键词 |
|
crowdstrike.host.tags |
关键词 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入类型。 |
关键词 |
log.offset |
日志偏移量。 |
长整型 |
tags |
用于标记每个事件的关键字列表。 |
关键词 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.48.0 |
增强功能 (查看拉取请求) |
8.16.0 或更高版本 |
1.47.0 |
增强功能 (查看拉取请求) |
8.16.0 或更高版本 |
1.46.0 |
增强功能 (查看拉取请求) 缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.45.1 |
缺陷修复 (查看拉取请求) 缺陷修复 (查看拉取请求) 缺陷修复 (查看拉取请求) 缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.45.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.44.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.43.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.42.2 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.42.1 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.42.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.41.1 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.41.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.40.1 |
缺陷修复 (查看拉取请求) 缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.40.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.39.3 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.39.2 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.39.1 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.39.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.38.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.37.1 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.37.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.36.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.35.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.34.3 |
缺陷修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.34.2 |
缺陷修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.34.1 |
缺陷修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.34.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.33.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.32.2 |
缺陷修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.32.1 |
缺陷修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.32.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.31.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.30.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.29.0 |
增强功能 (查看拉取请求) |
8.11.0 或更高版本 |
1.28.3 |
缺陷修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.28.2 |
错误修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.28.1 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.28.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.27.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.26.2 |
错误修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.26.1 |
错误修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.26.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.25.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.25.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.24.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.23.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.23.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.22.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.22.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.21.0 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.18.3 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.18.2 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.18.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.16.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.12.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.11.2 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.11.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.10.2 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.10.1 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.8.2 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.8.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.6.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.5.1 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.4.2 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.4.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.3.4 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.3.3 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.3.2 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
— |
1.2.7 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.6 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.5 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.4 |
错误修复 (查看拉取请求) |
— |
1.2.3 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.2 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.1 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
— |
1.1.2 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.1 |
缺陷修复 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.4 |
缺陷修复 (查看拉取请求) 缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.3 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.2 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.1 |
缺陷修复 (查看拉取请求) |
— |
1.0.0 |
增强 (查看拉取请求) |
— |
0.9.0 |
增强 (查看拉取请求) |
— |
0.8.1 |
增强 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) |
— |
0.7.1 |
增强 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.1 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.1 |
缺陷修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |