SentinelOne 云漏斗
编辑SentinelOne 云漏斗
编辑此 SentinelOne 云漏斗 集成使您的安全团队能够通过 Amazon S3 将 XDR 数据安全地流式传输到 Elastic Security。当与 Elastic Security 集成时,可以在 Elastic 内利用这些有价值的数据进行威胁防护、检测和事件响应。
SentinelOne 云漏斗集成可以在三种不同的模式下用于收集数据
- AWS S3 轮询模式:SentinelOne 云漏斗将数据写入 S3,Elastic Agent 通过列出其内容并读取新文件来轮询 S3 存储桶。
- AWS S3 SQS 模式:SentinelOne 云漏斗将数据写入 S3,S3 将新对象的通知发送到 SQS,Elastic Agent 从 SQS 接收通知,然后读取 S3 对象。此模式可以使用多个代理。
- GCS 轮询模式:SentinelOne 云漏斗将数据写入 GCS 存储桶,Elastic Agent 通过列出其内容并读取新文件来轮询 GCS 存储桶。
兼容性
编辑此模块已针对最新的 SentinelOne 云漏斗版本 v2 进行了测试。
数据流
编辑SentinelOne 云漏斗集成收集以下 13 个事件的日志
| 事件类型 |
|---|
命令脚本 |
跨进程 |
DNS |
文件 |
指示器 |
登录 |
模块 |
网络操作 |
进程 |
注册表 |
计划任务 |
威胁情报指示器 |
URL |
SentinelOne 云漏斗集成收集上述事件的日志,但我们将所有这些事件合并到一个名为 event 的数据流中。
要求
编辑- 必须安装 Elastic Agent。
- 每个主机只能安装一个 Elastic Agent。
- 需要 Elastic Agent 从 S3 存储桶流式传输数据,并将数据发送到 Elastic,然后将在那里通过集成的摄取管道处理事件。
安装和管理 Elastic Agent
编辑您有几个安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent,并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得相当容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent,并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立模式。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表中获得,并且我们提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅 此链接。
设置
编辑要从 AWS S3 存储桶收集数据,请按照以下步骤操作
编辑- 考虑到您已经设置了 AWS S3 存储桶,要使用 SentinelOne 云漏斗对其进行配置,请按照此处提到的步骤操作:
[您的登录 URL]/docs/en/how-to-configure-your-amazon-s3-bucket.html。 - 启用云漏斗流式传输,如此处所述:
[您的登录 URL]/docs/en/how-to-enable-cloud-funnel-streaming.html#how-to-enable-cloud-funnel-streaming。 - 字段
存储桶列表前缀的默认值为 s1/cloud_funnel。
要从 GCS 存储桶收集数据,请按照以下步骤操作
编辑- 考虑到您已经设置了 GCS 存储桶,请使用 SentinelOne 云漏斗对其进行配置。
- 启用云漏斗流式传输,如此处所述:
[您的登录 URL]/docs/en/how-to-enable-cloud-funnel-streaming.html#how-to-enable-cloud-funnel-streaming。 - 字段
文件选择器的默认值为- regex: "s1/cloud_funnel"。默认情况下已注释掉,并且位于高级设置部分。 - 使用您的 GCS 项目 ID 和 JSON 凭据密钥配置集成。
GCS 凭据密钥文件
编辑这是一次性下载的 JSON 密钥文件,在您将密钥添加到 GCP 服务帐户后即可获得。如果您刚刚开始创建 GCS 存储桶,请执行以下操作
-
确保您有可用的服务帐户,如果没有,请按照以下步骤操作
- 导航到 API 和服务 > 凭据
- 单击 创建凭据 > 服务帐户
- 创建服务帐户后,您可以导航到 密钥 部分并附加/生成您的服务帐户密钥。
- 确保在提示时下载 JSON 密钥文件。
- 使用此 JSON 密钥文件(以内联(JSON 字符串对象)形式),或者通过指定代理运行的主机上的文件路径。
JSON 凭据文件的示例外观如下
{
"type": "dummy_service_account",
"project_id": "dummy-project",
"private_key_id": "dummy-private-key-id",
"private_key": "-----BEGIN PRIVATE KEY-----\nDummyPrivateKey\n-----END PRIVATE KEY-----\n",
"client_email": "[email protected]",
"client_id": "12345678901234567890",
"auth_uri": "https://dummy-auth-uri.com",
"token_uri": "https://dummy-token-uri.com",
"auth_provider_x509_cert_url": "https://dummy-auth-provider-cert-url.com",
"client_x509_cert_url": "https://dummy-client-cert-url.com",
"universe_domain": "dummy-universe-domain.com"
}
注意
- SentinelOne 云漏斗将日志发送到以下目标:
s1/ > cloud_funnel/ > yyyy/ > mm/ > dd/ > account_id={account_id}。 - 您必须拥有 SentinelOne 管理员帐户凭据以及登录 URL。
- 使用 GCS 输入时,如果您使用内联 JSON 凭据,则必须在单引号内指定整个 JSON 对象,即
'{GCS_CREDS_JSON_OBJECT}'
要从 AWS SQS 收集数据,请按照以下步骤操作
编辑在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理” > “集成”
- 在“搜索集成”搜索栏中,键入 SentinelOne 云漏斗
- 从搜索结果中单击“SentinelOne 云漏斗”集成。
- 单击“添加 SentinelOne 云漏斗集成”按钮以添加集成。
-
添加集成时,如果要通过 AWS S3 收集日志,则必须输入以下详细信息
- 访问密钥 ID
- 秘密访问密钥
- 存储桶 ARN
-
通过 S3 存储桶收集日志已切换为启用
或者,如果要通过 AWS SQS 收集日志,则必须输入以下详细信息
- 访问密钥 ID
- 秘密访问密钥
- 队列 URL
- 通过 S3 存储桶收集日志已切换为禁用
还有其他可用的输入组合选项,请查看 此处。
日志参考
编辑事件
编辑这是 Event 数据集。
示例
event 的示例事件如下
{
"@timestamp": "2022-10-25T07:47:24.180Z",
"agent": {
"ephemeral_id": "82352929-5f46-412e-a787-c016dde956f9",
"id": "066f269f-8d0a-49c6-88da-ba06e5a70c88",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"aws": {
"s3": {
"bucket": {
"arn": "arn:aws:s3:::elastic-package-sentinel-one-bucket-53400",
"name": "elastic-package-sentinel-one-bucket-53400"
},
"object": {
"key": "command_script.log"
}
}
},
"cloud": {
"region": "us-east-1"
},
"data_stream": {
"dataset": "sentinel_one_cloud_funnel.event",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "066f269f-8d0a-49c6-88da-ba06e5a70c88",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"process"
],
"dataset": "sentinel_one_cloud_funnel.event",
"id": "01GG71RXEEHZQFY6XZ1WGS2BAE_168",
"ingested": "2024-04-04T22:17:38Z",
"kind": "event",
"original": "{\"timestamp\":\"10:47:24.180\",\"src.process.parent.isStoryline™Root\":false,\"event.category\":\"command_script\",\"src.process.parent.image.sha1\":\"134fd2ad04cf59b0c10596230da5daf6fc711bd1\",\"site.id\":\"123456789123456789\",\"src.process.image.binaryIsExecutable\":true,\"src.process.parent.displayName\":\"MicrosoftCompatibilityTelemetry\",\"src.process.user\":\"NTAUTHORITY\\\\\SYSTEM\",\"src.process.parent.subsystem\":\"SYS_WIN32\",\"src.process.indicatorRansomwareCount\":0,\"src.process.crossProcessDupRemoteProcessHandleCount\":0,\"src.process.activeContent.signedStatus\":\"unsigned\",\"src.process.tgtFileCreationCount\":0,\"src.process.indicatorInjectionCount\":0,\"src.process.moduleCount\":284,\"src.process.parent.name\":\"CompatTelRunner.exe\",\"i.version\":\"preprocess-lib-1.0\",\"src.process.activeContentType\":\"CLI\",\"sca:atlantisIngestTime\":1666684057507,\"src.process.image.md5\":\"7353f60b1739074eb17c5f4dddefe239\",\"src.process.indicatorReconnaissanceCount\":8,\"src.process.Storyline™.id\":\"87EE3C19E0250305\",\"src.process.childProcCount\":1,\"mgmt.url\":\"asdf-123.sentinelone.org\",\"src.process.crossProcessOpenProcessCount\":0,\"cmdScript.isComplete\":true,\"src.process.subsystem\":\"SYS_WIN32\",\"meta.event.name\":\"SCRIPTS\",\"src.process.parent.integrityLevel\":\"SYSTEM\",\"src.process.indicatorExploitationCount\":0,\"src.process.parent.Storyline™.id\":\"87EE3C19E0250305\",\"i.scheme\":\"edr\",\"src.process.integrityLevel\":\"SYSTEM\",\"site.name\":\"ASDF\",\"src.process.netConnInCount\":0,\"event.time\":1666684044180,\"account.id\":\"123456789123456789\",\"dataSource.name\":\"SentinelOne\",\"endpoint.name\":\"asdf1\",\"src.process.image.sha1\":\"6cbce4a295c163791b60fc23d285e6d84f28ee4c\",\"src.process.isStoryline™Root\":false,\"cmdScript.applicationName\":\"PowerShell_C:\\\\\Windows\\\\\System32\\\\\WindowsPowerShell\\\\\v1.0\\\\\powershell.exe_10.0.17763.1\",\"src.process.parent.image.path\":\"C:\\\\\Windows\\\\\System32\\\\\CompatTelRunner.exe\",\"src.process.pid\":5912,\"tgt.file.isSigned\":\"signed\",\"sca:ingestTime\":1666684063,\"dataSource.category\":\"security\",\"src.process.cmdline\":\"powershell.exe-ExecutionPolicyRestricted-CommandWrite-Host'Finalresult:1';\",\"src.process.publisher\":\"MICROSOFTWINDOWS\",\"src.process.crossProcessThreadCreateCount\":0,\"src.process.parent.isNative64Bit\":false,\"src.process.parent.isRedirectCmdProcessor\":false,\"src.process.signedStatus\":\"signed\",\"src.process.crossProcessCount\":0,\"event.id\":\"01GG71RXEEHZQFY6XZ1WGS2BAE_168\",\"src.process.parent.cmdline\":\"C:\\\\\Windows\\\\\system32\\\\\CompatTelRunner.exe-m:appraiser.dll-f:DoScheduledTelemetryRun-cv:1DRRwZous0W15sCL.2\",\"cmdScript.content\":\"$global:?\",\"src.process.image.path\":\"C:\\\\\Windows\\\\\System32\\\\\WindowsPowerShell\\\\\v1.0\\\\\powershell.exe\",\"src.process.tgtFileModificationCount\":4,\"src.process.indicatorEvasionCount\":1,\"src.process.netConnOutCount\":0,\"cmdScript.sha256\":\"feb60de98632d9f666e16e89bd1c99174801c761115d4a9f52f05ef41e397d2d\",\"src.process.crossProcessDupThreadHandleCount\":0,\"endpoint.os\":\"windows\",\"src.process.tgtFileDeletionCount\":0,\"src.process.startTime\":1666684041917,\"mgmt.id\":\"1337\",\"os.name\":\"WindowsServer2019Standard\",\"src.process.activeContent.id\":\"3EFA3EFA3EFA3EFA\",\"src.process.displayName\":\"WindowsPowerShell\",\"src.process.activeContent.path\":\"\\\\\Unknowndevice\\\\\Unknownfile\",\"src.process.isNative64Bit\":false,\"src.process.parent.sessionId\":0,\"src.process.uid\":\"230B188E26085676\",\"src.process.parent.image.md5\":\"47dd94d79d9bac54a2c3a1cf502770c6\",\"src.process.indicatorInfostealerCount\":0,\"src.process.indicatorBootConfigurationUpdateCount\":0,\"process.unique.key\":\"230B188E26085676\",\"cmdScript.originalSize\":18,\"agent.version\":\"22.1.4.10010\",\"src.process.parent.uid\":\"8608188E26085676\",\"src.process.parent.image.sha256\":\"046f009960f70981597cd7b3a1e44cbb4ba5893cc1407734366aa55fbeda5d66\",\"src.process.sessionId\":0,\"src.process.netConnCount\":0,\"mgmt.osRevision\":\"17763\",\"group.id\":\"asdf\",\"src.process.isRedirectCmdProcessor\":false,\"src.process.verifiedStatus\":\"verified\",\"src.process.parent.publisher\":\"MICROSOFTWINDOWS\",\"src.process.parent.startTime\":1666683971590,\"src.process.dnsCount\":0,\"endpoint.type\":\"server\",\"trace.id\":\"01GG71RXEEHZQFY6XZ1WGS2BAE\",\"src.process.name\":\"powershell.exe\",\"agent.uuid\":\"asdf356783457dfds4456d65\",\"src.process.activeContent.hash\":\"a8ae2c841e3f0f39d494a45370815a90cf00421e\",\"src.process.image.sha256\":\"de96a6e69944335375dc1ac238336066889d9ffc7d73628ef4fe1b1b160ab32c\",\"src.process.indicatorGeneralCount\":49,\"src.process.crossProcessOutOfStoryline™Count\":0,\"src.process.registryChangeCount\":0,\"packet.id\":\"9CB6AC4F10C34F5BB0A2788760E870F5\",\"src.process.indicatorPersistenceCount\":0,\"src.process.parent.signedStatus\":\"signed\",\"src.process.parent.user\":\"NTAUTHORITY\\\\\SYSTEM\",\"event.type\":\"CommandScript\",\"src.process.indicatorPostExploitationCount\":0,\"src.process.parent.pid\":6008}",
"type": [
"info"
]
},
"group": {
"id": "asdf"
},
"host": {
"hostname": "asdf1",
"id": "asdf356783457dfds4456d65",
"os": {
"name": "WindowsServer2019Standard",
"platform": "windows",
"type": "windows"
},
"type": "server"
},
"input": {
"type": "aws-s3"
},
"log": {
"file": {
"path": "https://elastic-package-sentinel-one-bucket-53400.s3.us-east-1.amazonaws.com/command_script.log"
},
"offset": 0
},
"powershell": {
"file": {
"script_block_text": "$global:?"
}
},
"process": {
"args": [
"powershell.exe-ExecutionPolicyRestricted-CommandWrite-Host'Finalresult:1';"
],
"args_count": 1,
"code_signature": {
"exists": true,
"subject_name": "MICROSOFTWINDOWS",
"trusted": true
},
"command_line": "powershell.exe-ExecutionPolicyRestricted-CommandWrite-Host'Finalresult:1';",
"entity_id": "230B188E26085676",
"executable": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"hash": {
"md5": "7353f60b1739074eb17c5f4dddefe239",
"sha1": "6cbce4a295c163791b60fc23d285e6d84f28ee4c",
"sha256": "de96a6e69944335375dc1ac238336066889d9ffc7d73628ef4fe1b1b160ab32c"
},
"name": "powershell.exe",
"parent": {
"args": [
"C:\\Windows\\system32\\CompatTelRunner.exe-m:appraiser.dll-f:DoScheduledTelemetryRun-cv:1DRRwZous0W15sCL.2"
],
"args_count": 1,
"command_line": "C:\\Windows\\system32\\CompatTelRunner.exe-m:appraiser.dll-f:DoScheduledTelemetryRun-cv:1DRRwZous0W15sCL.2",
"entity_id": "8608188E26085676",
"executable": "C:\\Windows\\System32\\CompatTelRunner.exe",
"hash": {
"sha1": "134fd2ad04cf59b0c10596230da5daf6fc711bd1",
"sha256": "046f009960f70981597cd7b3a1e44cbb4ba5893cc1407734366aa55fbeda5d66"
},
"name": "CompatTelRunner.exe",
"pid": 6008,
"start": "2022-10-25T07:46:11.590Z",
"title": "MicrosoftCompatibilityTelemetry",
"user": {
"name": "NTAUTHORITY\\SYSTEM"
}
},
"pid": 5912,
"start": "2022-10-25T07:47:21.917Z",
"title": "WindowsPowerShell",
"user": {
"name": "NTAUTHORITY\\SYSTEM"
}
},
"related": {
"hash": [
"7353f60b1739074eb17c5f4dddefe239",
"6cbce4a295c163791b60fc23d285e6d84f28ee4c",
"de96a6e69944335375dc1ac238336066889d9ffc7d73628ef4fe1b1b160ab32c",
"134fd2ad04cf59b0c10596230da5daf6fc711bd1",
"046f009960f70981597cd7b3a1e44cbb4ba5893cc1407734366aa55fbeda5d66",
"47dd94d79d9bac54a2c3a1cf502770c6",
"feb60de98632d9f666e16e89bd1c99174801c761115d4a9f52f05ef41e397d2d"
],
"hosts": [
"asdf1",
"windows",
"server"
],
"user": [
"NTAUTHORITY\\SYSTEM"
]
},
"sentinel_one_cloud_funnel": {
"event": {
"account_id": "123456789123456789",
"agent": {
"uuid": "asdf356783457dfds4456d65",
"version": "22.1.4.10010"
},
"category": "command_script",
"cmd_script": {
"application_name": "PowerShell_C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe_10.0.17763.1",
"content": "$global:?",
"is_complete": true,
"original_size": 18,
"sha256": "feb60de98632d9f666e16e89bd1c99174801c761115d4a9f52f05ef41e397d2d"
},
"data_source": {
"category": "security",
"name": "SentinelOne"
},
"i": {
"scheme": "edr",
"version": "preprocess-lib-1.0"
},
"meta_event_name": "SCRIPTS",
"mgmt": {
"id": "1337",
"os_revision": "17763",
"url": "asdf-123.sentinelone.org"
},
"os_name": "WindowsServer2019Standard",
"packet_id": "9CB6AC4F10C34F5BB0A2788760E870F5",
"process_unique_key": "230B188E26085676",
"sca": {
"atlantis_ingest_time": "2022-10-25T07:47:37.507Z",
"ingest_time": "1970-01-20T06:58:04.063Z"
},
"site": {
"id": "123456789123456789",
"name": "ASDF"
},
"src": {
"process": {
"active_content": {
"hash": "a8ae2c841e3f0f39d494a45370815a90cf00421e",
"id": "3EFA3EFA3EFA3EFA",
"path": "\\Unknowndevice\\Unknownfile",
"signed_status": "unsigned",
"type": "CLI"
},
"child_proc_count": 1,
"cross_process": {
"count": 0,
"dup": {
"remote_process_handle_count": 0,
"thread_handle_count": 0
},
"open_process_count": 0,
"out_of_storyline_count": 0,
"thread_create_count": 0
},
"dns_count": 0,
"image": {
"binary_is_executable": true,
"path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe"
},
"indicator": {
"boot_configuration_update_count": 0,
"evasion_count": 1,
"exploitation_count": 0,
"general_count": 49,
"info_stealer_count": 0,
"injection_count": 0,
"persistence_count": 0,
"post_exploitation_count": 0,
"ransomware_count": 0,
"reconnaissance_count": 8
},
"integrity_level": "SYSTEM",
"is_native_64_bit": false,
"is_redirect_cmd_processor": false,
"is_storyline_tm_root": false,
"module_count": 284,
"net_conn": {
"count": 0,
"in_count": 0,
"out_count": 0
},
"parent": {
"image": {
"md5": "47dd94d79d9bac54a2c3a1cf502770c6",
"path": "C:\\Windows\\System32\\CompatTelRunner.exe"
},
"integrity_level": "SYSTEM",
"is_native_64_bit": false,
"is_redirect_cmd_processor": false,
"is_storyline_tm_root": false,
"publisher": "MICROSOFTWINDOWS",
"session_id": "0",
"signed_status": "signed",
"storyline_tm_id": "87EE3C19E0250305",
"subsystem": "SYS_WIN32",
"uid": "8608188E26085676"
},
"publisher": "MICROSOFTWINDOWS",
"registry_change_count": 0,
"session_id": "0",
"signed_status": "signed",
"storyline_tm_id": "87EE3C19E0250305",
"subsystem": "SYS_WIN32",
"tgt_file": {
"creation_count": 0,
"deletion_count": 0,
"modification_count": 4
},
"uid": "230B188E26085676",
"verified_status": "verified"
}
},
"tgt": {
"file": {
"is_signed": "signed"
}
},
"timestamp": "2024-01-01T10:47:24.180Z",
"trace_id": "01GG71RXEEHZQFY6XZ1WGS2BAE",
"type": "CommandScript"
}
},
"tags": [
"collect_sqs_logs",
"preserve_original_event",
"forwarded",
"sentinel_one_cloud_funnel-event"
],
"user": {
"domain": "NTAUTHORITY",
"name": "SYSTEM"
}
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
aws.s3.bucket.arn |
关键字 |
|
aws.s3.bucket.name |
关键字 |
|
aws.s3.object.key |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
关键字 |
log.offset |
日志偏移量。 |
长整型 |
powershell.file.script_block_text |
已执行的脚本块的文本。 |
文本 |
process.Ext.token.integrity_level_name |
别名 |
|
process.executable |
进程可执行文件的绝对路径。 |
关键字 |
process.executable.caseless |
|
关键字 |
process.executable.text |
|
match_only_text |
process.name |
进程名称。有时称为程序名称或类似名称。 |
关键字 |
process.name.caseless |
|
关键字 |
process.name.text |
|
match_only_text |
sentinel_one_cloud_funnel.event.account_id |
SentinelOne 帐户 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.agent.uuid |
代理唯一 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.agent.version |
SentinelOne 代理的版本。 |
关键字 |
sentinel_one_cloud_funnel.event.category |
事件中对象的类型。 |
关键字 |
sentinel_one_cloud_funnel.event.cmd_script.application_name |
运行命令脚本的应用程序名称。 |
关键字 |
sentinel_one_cloud_funnel.event.cmd_script.content |
通过源进程执行的命令脚本。 |
关键字 |
sentinel_one_cloud_funnel.event.cmd_script.is_complete |
命令脚本是完全可用还是已截断。 |
布尔 |
sentinel_one_cloud_funnel.event.cmd_script.original_size |
原始命令脚本大小(以字节为单位)。 |
长整型 |
sentinel_one_cloud_funnel.event.cmd_script.sha256 |
命令脚本的 SHA-256(用于排除)。 |
关键字 |
sentinel_one_cloud_funnel.event.data_source.category |
关键字 |
|
sentinel_one_cloud_funnel.event.data_source.name |
关键字 |
|
sentinel_one_cloud_funnel.event.dns.request |
EventDnsRequest 字段。 |
关键字 |
sentinel_one_cloud_funnel.event.dns.response |
EventDnsResponse 字段。 |
关键字 |
sentinel_one_cloud_funnel.event.dns.status |
关键字 |
|
sentinel_one_cloud_funnel.event.driver.certificate.thumbprint.algorithm |
驱动程序证书指纹算法。 |
长整型 |
sentinel_one_cloud_funnel.event.driver.certificate.thumbprint.value |
驱动程序证书指纹。 |
关键字 |
sentinel_one_cloud_funnel.event.driver.is_loaded_before_monitor |
是否在监视器之前加载。 |
布尔 |
sentinel_one_cloud_funnel.event.driver.load_verdict |
驱动程序加载结果。 |
关键字 |
sentinel_one_cloud_funnel.event.driver.pe.sha1 |
驱动程序 PE SHA-1。 |
关键字 |
sentinel_one_cloud_funnel.event.driver.pe.sha256 |
驱动程序 PE SHA-256。 |
关键字 |
sentinel_one_cloud_funnel.event.driver.start_type |
驱动程序加载启动类型。 |
关键字 |
sentinel_one_cloud_funnel.event.dst.ip_address |
目标的 IP 地址。 |
ip |
sentinel_one_cloud_funnel.event.dst.port_number |
目标的端口号。 |
长整型 |
sentinel_one_cloud_funnel.event.endpoint.name |
具有代理的端点的主机名。 |
关键字 |
sentinel_one_cloud_funnel.event.endpoint.os |
端点操作系统:windows、osx、linux。 |
关键字 |
sentinel_one_cloud_funnel.event.endpoint.type |
机器类型:服务器、笔记本电脑、台式机、Kubernetes 节点。 |
关键字 |
sentinel_one_cloud_funnel.event.group.id |
关键字 |
|
sentinel_one_cloud_funnel.event.group.type |
关键字 |
|
sentinel_one_cloud_funnel.event.i.scheme |
产品方案。 |
关键字 |
sentinel_one_cloud_funnel.event.i.version |
产品版本。 |
关键字 |
sentinel_one_cloud_funnel.event.id |
事件的唯一 SentinelOne ID。 |
关键字 |
sentinel_one_cloud_funnel.event.indicator.category |
指示器的类别名称。 |
关键字 |
sentinel_one_cloud_funnel.event.indicator.description |
指示器的说明。 |
关键字 |
sentinel_one_cloud_funnel.event.indicator.identifier |
关键字 |
|
sentinel_one_cloud_funnel.event.indicator.metadata |
指示器的元数据。 |
关键字 |
sentinel_one_cloud_funnel.event.indicator.name |
指示器名称。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.container.id |
容器 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.container.image.sha256 |
容器镜像 SHA-256。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.container.image.value |
容器镜像。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.container.labels |
容器标签。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.container.name |
容器名称。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.controller.labels |
Kubernetes 控制器标签。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.controller.name |
Kubernetes 控制器名称。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.controller.type |
Kubernetes 控制器类型。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.name |
Kubernetes 集群名称。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.namespace.labels |
Kubernetes 命名空间标签。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.namespace.value |
Kubernetes 命名空间。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.node_name |
Kubernetes 节点名称。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.pod.labels |
Kubernetes Pod 标签。 |
关键字 |
sentinel_one_cloud_funnel.event.k8s_cluster.pod.name |
Kubernetes Pod 名称。 |
关键字 |
sentinel_one_cloud_funnel.event.login.account.domain |
执行登录尝试的域或计算机名称。 |
关键字 |
sentinel_one_cloud_funnel.event.login.account.name |
执行登录尝试的帐户登录名。 |
关键字 |
sentinel_one_cloud_funnel.event.login.account.sid |
尝试登录的帐户的 SID。 |
关键字 |
sentinel_one_cloud_funnel.event.login.base_type |
登录的基本类型。 |
关键字 |
sentinel_one_cloud_funnel.event.login.failure_reason |
登录失败原因。 |
关键字 |
sentinel_one_cloud_funnel.event.login.is_administrator_equivalent |
登录尝试是否等同于管理员。 |
布尔 |
sentinel_one_cloud_funnel.event.login.is_successful |
登录尝试是否成功。 |
布尔 |
sentinel_one_cloud_funnel.event.login.session_id |
成功登录的会话 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.login.tgt.domain_name |
关键字 |
|
sentinel_one_cloud_funnel.event.login.tgt.user.name |
关键字 |
|
sentinel_one_cloud_funnel.event.login.tgt.user.sid |
关键字 |
|
sentinel_one_cloud_funnel.event.login.type |
执行的登录类型。 |
关键字 |
sentinel_one_cloud_funnel.event.login.user_name |
登录用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.logout.tgt.domain_name |
关键字 |
|
sentinel_one_cloud_funnel.event.logout.tgt.user.name |
关键字 |
|
sentinel_one_cloud_funnel.event.logout.tgt.user.sid |
关键字 |
|
sentinel_one_cloud_funnel.event.logout.type |
关键字 |
|
sentinel_one_cloud_funnel.event.meta_event_name |
关键字 |
|
sentinel_one_cloud_funnel.event.mgmt.id |
关键字 |
|
sentinel_one_cloud_funnel.event.mgmt.os_revision |
关键字 |
|
sentinel_one_cloud_funnel.event.mgmt.url |
关键字 |
|
sentinel_one_cloud_funnel.event.module.md5 |
模块 MD5 签名。 |
关键字 |
sentinel_one_cloud_funnel.event.module.path |
模块路径。 |
关键字 |
sentinel_one_cloud_funnel.event.module.sha1 |
模块 SHA-1 签名。 |
关键字 |
sentinel_one_cloud_funnel.event.named_pipe.access_mode |
管道访问模式。 |
关键字 |
sentinel_one_cloud_funnel.event.named_pipe.connection_type |
管道连接类型。 |
关键字 |
sentinel_one_cloud_funnel.event.named_pipe.is_first_instance |
是否使用 First Instance 标志创建命名管道。 |
布尔 |
sentinel_one_cloud_funnel.event.named_pipe.is_overlapped |
是否使用 Overlapped 创建命名管道。 |
布尔 |
sentinel_one_cloud_funnel.event.named_pipe.is_write_through |
是否使用 Write-through 标志创建命名管道。 |
布尔 |
sentinel_one_cloud_funnel.event.named_pipe.max_instances |
管道的最大实例数。 |
长整型 |
sentinel_one_cloud_funnel.event.named_pipe.name |
唯一的管道名称。 |
关键字 |
sentinel_one_cloud_funnel.event.named_pipe.read_mode |
管道读取模式。 |
关键字 |
sentinel_one_cloud_funnel.event.named_pipe.remote_clients |
管道类型(本地或远程)的指示。 |
关键字 |
sentinel_one_cloud_funnel.event.named_pipe.security.groups |
命名管道安全描述符组。 |
关键字 |
sentinel_one_cloud_funnel.event.named_pipe.security.owner |
命名管道安全描述符所有者。 |
关键字 |
sentinel_one_cloud_funnel.event.named_pipe.type_mode |
管道类型模式。 |
关键字 |
sentinel_one_cloud_funnel.event.named_pipe.wait_mode |
管道等待模式。 |
关键字 |
sentinel_one_cloud_funnel.event.network.connection_status |
网络事件状态。 |
关键字 |
sentinel_one_cloud_funnel.event.network.direction |
连接方向。 |
关键字 |
sentinel_one_cloud_funnel.event.network.protocol_name |
每个 IANA 众所周知端口分布的协议名称。 |
关键字 |
sentinel_one_cloud_funnel.event.os_name |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.active_content.hash |
源进程的活动内容 SHA-1(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.active_content.id |
源进程的活动内容文件唯一 ID(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.active_content.path |
源进程的活动内容文件路径(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.active_content.signed_status |
源进程的活动内容文件签名状态(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.active_content.type |
源进程的活动内容类型(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.child_proc_count |
子进程计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.cmd_line |
与源进程一起发送的命令参数(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.cross_process.count |
目标进程事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.cross_process.dup.remote_process_handle_count |
“重复进程句柄”事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.cross_process.dup.thread_handle_count |
“重复线程句柄”计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.cross_process.open_process_count |
“打开进程”计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.cross_process.out_of_storyline_count |
“超出故事情节”事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.cross_process.thread_create_count |
“远程线程”计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.display_name |
源进程的显示名称(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.dns_count |
DNS 请求计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.image.binary_is_executable |
支持源进程(由操作系统属性)的二进制文件是否为可执行文件。 |
布尔 |
sentinel_one_cloud_funnel.event.os_src_process.image.extension |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.image.location |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.image.md5 |
源进程的 MD5(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.image.path |
源进程的映像路径(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.image.sha1 |
源进程的 SHA-1(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.image.sha256 |
源进程的 SHA-256(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.image.signature_is_valid |
布尔 |
|
sentinel_one_cloud_funnel.event.os_src_process.image.size |
长整型 |
|
sentinel_one_cloud_funnel.event.os_src_process.image.type |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.image.uid |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.indicator.boot_configuration_update_count |
指示器计数 - 启动配置更新。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.indicator.evasion_count |
指示器计数 - 规避。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.indicator.exploitation_count |
指示器计数 - 利用。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.indicator.general_count |
指示器计数 - 常规。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.indicator.injection_count |
指示器计数 - 注入。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.indicator.persistence_count |
指示器计数 - 持久性。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.indicator.post_exploitation_count |
指示器计数 - 后期利用。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.indicator.ransomware_count |
指示器计数 - 勒索软件。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.indicator.reconnaissance_count |
指示器计数 - 侦察。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.indicator_info_stealer_count |
指示器计数 - 信息窃取器。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.integrity_level |
源进程的完整性级别(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.is_native_64_bit |
源进程(由操作系统属性)是否为 64 位本机编译或作为 WoW 运行。 |
布尔 |
sentinel_one_cloud_funnel.event.os_src_process.is_redirect_cmd_processor |
源进程(由操作系统属性)的解释器是否具有 stdout 重定向。 |
布尔 |
sentinel_one_cloud_funnel.event.os_src_process.is_storyline_root |
源进程(由操作系统属性)是否为故事情节的根。 |
布尔 |
sentinel_one_cloud_funnel.event.os_src_process.module_count |
已加载模块的计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.name |
源进程的名称(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.net_conn.count |
网络连接计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.net_conn.in_count |
传入网络连接计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.net_conn.out_count |
传出网络连接计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.parent.active_content.hash |
操作系统源进程父级的活动内容 SHA-1(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.active_content.id |
操作系统源进程父级的活动内容文件唯一 ID(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.active_content.path |
操作系统源进程父级的活动内容文件路径(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.active_content.signed_status |
操作系统源进程父级的活动内容文件签名状态(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.active_content.type |
操作系统源进程父级的活动内容类型(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.cmd_line |
与创建操作系统源进程的进程一起发送的命令参数(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.display_name |
创建操作系统源进程的进程的显示名称(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.image.binary_is_executable |
布尔 |
|
sentinel_one_cloud_funnel.event.os_src_process.parent.image.extension |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.parent.image.location |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.parent.image.md5 |
创建操作系统源进程的进程的 MD5(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.image.path |
创建操作系统源进程的进程的映像路径(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.image.sha1 |
创建操作系统源进程的进程的 SHA-1(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.image.sha256 |
创建操作系统源进程的进程的 SHA-256(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.image.signature_is_valid |
布尔 |
|
sentinel_one_cloud_funnel.event.os_src_process.parent.image.size |
长整型 |
|
sentinel_one_cloud_funnel.event.os_src_process.parent.image.type |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.parent.image.uid |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.parent.integrity_level |
创建操作系统源进程的进程的完整性级别(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.is_native_64_bit |
操作系统源进程父级(由操作系统属性)是否为 64 位本机编译或作为 WoW 运行。 |
布尔 |
sentinel_one_cloud_funnel.event.os_src_process.parent.is_redirect_cmd_processor |
操作系统源进程父级(由操作系统属性)解释器是否具有 stdout 重定向。 |
布尔 |
sentinel_one_cloud_funnel.event.os_src_process.parent.is_storyline_root |
操作系统源进程父级(由操作系统属性)是否为故事情节的根。 |
布尔 |
sentinel_one_cloud_funnel.event.os_src_process.parent.name |
创建操作系统源进程的进程的名称(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.pid |
创建操作系统源进程的进程的 PID(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.publisher |
作为创建操作系统源进程的进程的一部分调用的已签名二进制文件的发布者(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.reason_signature_invalid |
创建操作系统源进程的进程签名无效的原因(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.session_id |
创建操作系统源进程的进程的终端(cmd、shell 或其他)会话的 ID(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.signed_status |
创建操作系统源进程的进程的签名状态(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.start_time |
创建操作系统源进程的进程开始运行的时间(由操作系统属性),格式:月 日, 年 时:分:秒。 |
日期 |
sentinel_one_cloud_funnel.event.os_src_process.parent.storyline_id |
创建操作系统源进程的进程的故事情节 ID(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.subsystem |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.parent.uid |
创建操作系统源进程的进程的唯一 ID(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.user.name |
创建操作系统源进程的进程在其下运行的用户名(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.parent.user.sid |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.pid |
源进程的 PID(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.publisher |
作为进程一部分调用的已签名二进制文件的发布者(由操作系统属性)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.reason_signature_invalid |
进程(由操作系统属性)签名无效的原因。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.registry_change_count |
注册表项更改计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.session_id |
源进程(由操作系统归属)的终端(cmd、shell 或其他)会话 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.signed_status |
源进程的签名状态(由操作系统归属)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.start_time |
源进程的启动时间(由操作系统归属),格式:月 日, 年 时:分:秒。 |
日期 |
sentinel_one_cloud_funnel.event.os_src_process.storyline_id |
源进程的故事线 ID(由操作系统归属)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.subsystem |
源进程的子系统(由操作系统归属)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.tgt_file.creation_count |
文件创建事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.tgt_file.deletion_count |
文件删除事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.tgt_file.modification_count |
文件修改事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.os_src_process.uid |
源进程的唯一 ID(由操作系统归属)。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.user.name |
源进程(由操作系统归属)运行所使用的用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.os_src_process.user.sid |
关键字 |
|
sentinel_one_cloud_funnel.event.os_src_process.verified_status |
进程签名的验证状态(由操作系统归属)。 |
关键字 |
sentinel_one_cloud_funnel.event.packet_id |
关键字 |
|
sentinel_one_cloud_funnel.event.process_termination.exit_code |
长整型 |
|
sentinel_one_cloud_funnel.event.process_termination.signal |
关键字 |
|
sentinel_one_cloud_funnel.event.process_unique_key |
关键字 |
|
sentinel_one_cloud_funnel.event.registry.export_path |
关键字 |
|
sentinel_one_cloud_funnel.event.registry.import_path |
关键字 |
|
sentinel_one_cloud_funnel.event.registry.key.path |
注册表项的完整路径位置。 |
关键字 |
sentinel_one_cloud_funnel.event.registry.key.uid |
注册表项的唯一 ID(由 SentinelOne 分配)。 |
关键字 |
sentinel_one_cloud_funnel.event.registry.old_value.detail |
注册表先前的值(在修改的情况下)。 |
关键字 |
sentinel_one_cloud_funnel.event.registry.old_value.full_size |
注册表先前的完整大小(在修改的情况下)。 |
长整型 |
sentinel_one_cloud_funnel.event.registry.old_value.is_complete |
先前的注册表值是完整大小还是被截断(在修改的情况下)。 |
布尔 |
sentinel_one_cloud_funnel.event.registry.old_value.type |
注册表先前的值类型(在修改的情况下)。 |
关键字 |
sentinel_one_cloud_funnel.event.registry.owner.user.name |
关键字 |
|
sentinel_one_cloud_funnel.event.registry.owner.user.sid |
关键字 |
|
sentinel_one_cloud_funnel.event.registry.security_info |
长整型 |
|
sentinel_one_cloud_funnel.event.registry.val |
注册表值。 |
关键字 |
sentinel_one_cloud_funnel.event.registry.value.full_size |
注册表值的完整大小(如果被截断)。 |
长整型 |
sentinel_one_cloud_funnel.event.registry.value.is_complete |
注册表值是完整大小还是被截断。 |
布尔 |
sentinel_one_cloud_funnel.event.registry.value.type |
注册表值的类型。 |
关键字 |
sentinel_one_cloud_funnel.event.repetition_count |
并发相同事件的计数。 |
长整型 |
sentinel_one_cloud_funnel.event.rerouted |
该事件已从事件数据流中重新路由。 |
布尔 |
sentinel_one_cloud_funnel.event.sca.atlantis_ingest_time |
日期 |
|
sentinel_one_cloud_funnel.event.sca.ingest_time |
日期 |
|
sentinel_one_cloud_funnel.event.site.id |
SentinelOne 站点 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.site.name |
SentinelOne 站点名称。 |
关键字 |
sentinel_one_cloud_funnel.event.src.endpoint_ip_address |
执行登录尝试的计算机名称的 IP 地址。 |
ip |
sentinel_one_cloud_funnel.event.src.ip_address |
流量源的 IP 地址。 |
ip |
sentinel_one_cloud_funnel.event.src.port_number |
流量源的端口号。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.active_content.hash |
源进程的活动内容 SHA-1。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.active_content.id |
源进程的活动内容文件唯一 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.active_content.path |
源进程的活动内容文件路径。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.active_content.signed_status |
源进程的活动内容文件签名状态。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.active_content.type |
源进程的活动内容类型。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.child_proc_count |
子进程计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.cmd_line |
随进程发送的命令参数。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.cross_process.count |
目标进程事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.cross_process.dup.remote_process_handle_count |
“重复进程句柄”事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.cross_process.dup.thread_handle_count |
“重复线程句柄”计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.cross_process.open_process_count |
“打开进程”计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.cross_process.out_of_storyline_count |
“超出故事情节”事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.cross_process.thread_create_count |
“远程线程”计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.display_name |
源进程的显示名称。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.dns_count |
DNS 请求计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.e_user.name |
进程运行所使用的有效用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.e_user.uid |
执行源进程的帐户的 EUID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.exe_modification_count |
长整型 |
|
sentinel_one_cloud_funnel.event.src.process.image.binary_is_executable |
支持源进程的二进制文件是否为可执行文件。 |
布尔 |
sentinel_one_cloud_funnel.event.src.process.image.description |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.image.extension |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.image.internal_name |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.image.location |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.image.md5 |
MD5 签名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.image.original_file_name |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.image.path |
源进程的路径名称。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.image.product.name |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.image.product.version |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.image.sha1 |
SHA-1 签名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.image.sha256 |
SHA-256 签名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.image.size |
长整型 |
|
sentinel_one_cloud_funnel.event.src.process.image.type |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.image.uid |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.indicator.boot_configuration_update_count |
指示器计数 - 启动配置更新。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.indicator.evasion_count |
指示器计数 - 规避。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.indicator.exploitation_count |
指示器计数 - 利用。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.indicator.general_count |
指示器计数 - 常规。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.indicator.info_stealer_count |
指示器计数 - 信息窃取器。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.indicator.injection_count |
指示器计数 - 注入。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.indicator.persistence_count |
指示器计数 - 持久性。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.indicator.post_exploitation_count |
指示器计数 - 后期利用。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.indicator.ransomware_count |
指示器计数 - 勒索软件。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.indicator.reconnaissance_count |
指示器计数 - 侦察。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.integrity_level |
进程完整性级别。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.is_native_64_bit |
指示该进程是 32 位还是 64 位。 |
布尔 |
sentinel_one_cloud_funnel.event.src.process.is_redirect_cmd_processor |
指示解释器是否使用标准输出重定向。 |
布尔 |
sentinel_one_cloud_funnel.event.src.process.is_storyline_root |
指示该进程是否为根进程。 |
布尔 |
sentinel_one_cloud_funnel.event.src.process.is_storyline_tm_root |
布尔 |
|
sentinel_one_cloud_funnel.event.src.process.l_user.name |
进程运行所使用的登录用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.l_user.uid |
执行源进程的帐户的 LUID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.model_child_process_count |
长整型 |
|
sentinel_one_cloud_funnel.event.src.process.module_count |
已加载模块的计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.name |
源进程的名称。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.net_conn.count |
网络连接计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.net_conn.in_count |
传入网络连接计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.net_conn.out_count |
传出网络连接计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.parent.active_content.hash |
源进程父进程的活动内容 SHA-1。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.active_content.id |
源进程父进程的活动内容文件唯一 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.active_content.path |
源进程父进程的活动内容文件路径。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.active_content.signed_status |
源进程父进程的活动内容文件签名状态。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.active_content.type |
源进程父进程的活动内容类型。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.cmd_line |
随创建此进程的进程发送的命令参数。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.display_name |
创建此进程的进程的显示名称。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.e_user.name |
父进程运行所使用的有效用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.e_user.uid |
执行源进程父进程的帐户的 EUID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.image.binary_is_executable |
布尔 |
|
sentinel_one_cloud_funnel.event.src.process.parent.image.extension |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.parent.image.location |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.parent.image.md5 |
创建此进程的进程的 MD5。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.image.path |
创建此进程的进程的映像路径。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.image.sha1 |
创建此进程的进程的 SHA-1。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.image.sha256 |
创建此进程的进程的 SHA-256。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.image.signature_is_valid |
布尔 |
|
sentinel_one_cloud_funnel.event.src.process.parent.image.size |
长整型 |
|
sentinel_one_cloud_funnel.event.src.process.parent.image.type |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.parent.image.uid |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.parent.integrity_level |
创建此进程的进程的完整性级别。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.is_native_64_bit |
源进程父进程是为 64 位本机编译还是作为 WoW 运行。 |
布尔 |
sentinel_one_cloud_funnel.event.src.process.parent.is_redirect_cmd_processor |
源进程父进程解释器是否具有标准输出重定向。 |
布尔 |
sentinel_one_cloud_funnel.event.src.process.parent.is_storyline_root |
源进程父进程是否为故事线的根进程。 |
布尔 |
sentinel_one_cloud_funnel.event.src.process.parent.is_storyline_tm_root |
布尔 |
|
sentinel_one_cloud_funnel.event.src.process.parent.l_user.name |
父进程运行所使用的登录用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.l_user.uid |
执行源进程父进程的帐户的 LUID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.name |
创建此进程的进程的名称。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.pid |
创建此进程的进程的 PID。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.parent.publisher |
作为创建此进程的进程一部分调用的二进制文件的签名发布者。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.r_user.name |
父进程运行所使用的实际用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.r_user.uid |
执行源进程父进程的帐户的 RUID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.reason_signature_invalid |
进程签名无效的原因。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.session_id |
源进程的终端(cmd、shell 或其他)会话 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.signed_status |
创建此进程的进程的签名状态。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.start_time |
创建此进程的进程开始运行的时间,格式:月 日, 年 时:分:秒。 |
日期 |
sentinel_one_cloud_funnel.event.src.process.parent.storyline_id |
创建此进程的进程的故事线 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.storyline_tm_id |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.parent.subsystem |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.parent.uid |
创建此进程的进程的唯一 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.user.name |
创建此进程的进程运行所使用的用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.parent.user.sid |
源进程父进程的用户 SID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.pid |
源进程的 PID。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.publisher |
签名标识。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.r_user.name |
进程运行所使用的实际用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.r_user.uid |
执行源进程的帐户的 RUID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.reason_signature_invalid |
签名未验证的原因。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.registry_change_count |
注册表项更改计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.rpid |
实际/重链接的 PID(重链接后)。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.session_id |
进程运行所在的会话。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.signed_status |
已签名、未签名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.start_time |
源进程的启动时间,格式:月 日, 年 时:分:秒。 |
日期 |
sentinel_one_cloud_funnel.event.src.process.storyline_id |
故事线 ID 源进程。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.storyline_tm_id |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.subsystem |
进程的子系统 Win32/WSL。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.tgt_file.creation_count |
文件创建事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.tgt_file.deletion_count |
文件删除事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.tgt_file.modification_count |
文件修改事件计数。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.tid |
线程 ID。 |
长整型 |
sentinel_one_cloud_funnel.event.src.process.uid |
父进程的唯一 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.user.name |
源进程运行所使用的用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.src.process.user.sid |
关键字 |
|
sentinel_one_cloud_funnel.event.src.process.verified_status |
已验证、未验证。 |
关键字 |
sentinel_one_cloud_funnel.event.task.name |
由主机生成的计划任务的名称。 |
关键字 |
sentinel_one_cloud_funnel.event.task.path |
计划任务的完整路径位置。 |
关键字 |
sentinel_one_cloud_funnel.event.task.trigger_type |
长整型 |
|
sentinel_one_cloud_funnel.event.tgt.file.convicted_by |
信誉、静态 AI。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.creation_time |
文件创建的日期和时间,格式:月 日, 年 时:分:秒。 |
日期 |
sentinel_one_cloud_funnel.event.tgt.file.description |
文件描述。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.extension |
文件扩展名。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.id |
文件的唯一 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.internal_name |
文件的内部名称。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.is_directory |
布尔 |
|
sentinel_one_cloud_funnel.event.tgt.file.is_executable |
文件是否为可执行文件。 |
布尔 |
sentinel_one_cloud_funnel.event.tgt.file.is_kernel_module |
布尔 |
|
sentinel_one_cloud_funnel.event.tgt.file.is_signed |
文件是否已签名。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.location |
文件的位置。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.md5 |
文件的 MD5 签名。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.modification_time |
文件被修改的日期和时间,格式:月 日,年 时:分:秒。 |
日期 |
sentinel_one_cloud_funnel.event.tgt.file.name |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.file.old.md5 |
修改前的旧文件 MD5。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.old.path |
重命名前的旧路径。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.old.sha1 |
修改前的旧文件 SHA-1。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.old.sha256 |
修改前的旧文件 SHA-256。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.original_file_name |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.file.owner.name |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.file.owner.user_sid |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.file.path |
路径和文件名。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.product.name |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.file.product.version |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.file.publisher |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.file.sha1 |
文件的 SHA-1 签名。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.sha256 |
文件的 SHA-256 签名。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.file.signature.invalid_reason |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.file.signature.is_valid |
布尔 |
|
sentinel_one_cloud_funnel.event.tgt.file.size |
文件大小。 |
长整型 |
sentinel_one_cloud_funnel.event.tgt.file.type |
文件类型。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.access_rights |
跨进程授予进程的访问权限类型。 |
长整型 |
sentinel_one_cloud_funnel.event.tgt.process.active_content.hash |
目标进程的活动内容 SHA-1。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.active_content.id |
目标进程的活动内容文件的唯一 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.active_content.path |
源进程的活动内容文件路径是事件的目标。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.active_content.signed_status |
目标进程的活动内容文件签名状态。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.active_content.type |
目标进程的活动内容类型。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.cmd_line |
随目标进程发送的命令参数。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.completeness_hints |
长整型 |
|
sentinel_one_cloud_funnel.event.tgt.process.display_name |
目标进程的显示名称。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.e_user.name |
目标进程运行所用的有效用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.e_user.uid |
执行目标进程的帐户的 EUID。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.image.binary_is_executable |
支持目标进程的二进制文件是否为可执行文件。 |
布尔 |
sentinel_one_cloud_funnel.event.tgt.process.image.extension |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.process.image.md5 |
目标进程的 MD5。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.image.path |
目标进程的镜像路径。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.image.sha1 |
目标进程的 SHA-1。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.image.sha256 |
目标进程的 SHA-256。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.image.size |
长整型 |
|
sentinel_one_cloud_funnel.event.tgt.process.image.uid |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.process.integrity_level |
目标进程的完整性级别。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.is_native_64_bit |
目标进程是本机编译为 64 位还是作为 WoW 运行。 |
布尔 |
sentinel_one_cloud_funnel.event.tgt.process.is_redirect_cmd_processor |
是否为具有标准输出重定向的目标进程的解释器。 |
布尔 |
sentinel_one_cloud_funnel.event.tgt.process.is_storyline_root |
目标进程是否为 Storyline 的根进程。 |
布尔 |
sentinel_one_cloud_funnel.event.tgt.process.l_user.name |
目标进程运行所用的登录用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.l_user.uid |
执行目标进程的帐户的 LUID。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.name |
目标进程的名称。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.parent.image.location |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.process.parent.image.type |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.process.pid |
目标进程的 PID。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.publisher |
以目标进程一部分调用的二进制文件的数字签名发布者。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.r_user.name |
目标进程运行所用的实际用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.r_user.uid |
执行目标进程的帐户的 RUID。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.reason_signature_invalid |
指示目标进程签名无效的原因。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.relation |
源进程和目标进程之间的关系。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.session_id |
目标进程的终端(cmd、shell 或其他)会话的 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.signed_status |
目标进程的签名状态。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.start_time |
目标进程的启动时间,格式:月 日,年 时:分:秒。 |
日期 |
sentinel_one_cloud_funnel.event.tgt.process.storyline_id |
目标事件的 Storyline ID。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.subsystem |
目标进程的子系统。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.uid |
目标进程的唯一 ID。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.user.name |
目标进程运行所用的用户名。 |
关键字 |
sentinel_one_cloud_funnel.event.tgt.process.user.sid |
关键字 |
|
sentinel_one_cloud_funnel.event.tgt.process.verified_status |
目标进程的签名验证状态,例如:已验证、未验证。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.added_by |
上传威胁情报指标的用户。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.categories |
已识别的威胁情报指标的类别,例如,与该指标关联的恶意软件类型。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.comparison_method |
SentinelOne 用于触发事件的比较方法。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.creation_time |
威胁情报指标最初创建的时间(由威胁情报来源指示)。 |
日期 |
sentinel_one_cloud_funnel.event.ti_indicator.description |
已识别的威胁情报指标的描述。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.external_id |
威胁情报来源提供的威胁情报指标的唯一标识符。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.intrusion_sets |
与威胁情报指标关联的入侵集。也就是说,一组具有共同属性的对抗性行为和资源,被认为由单个组织编排。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.metadata |
已识别的威胁情报指标的元数据。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.mitre_tactics |
与威胁情报指标关联的 MITRE 战术 - 指示在杀伤链该阶段的恶意行为。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.modification_time |
威胁情报指标在 SentinelOne 数据库中上次更新的时间。 |
日期 |
sentinel_one_cloud_funnel.event.ti_indicator.name |
已识别的威胁情报指标的名称。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.original_event.id |
关键字 |
|
sentinel_one_cloud_funnel.event.ti_indicator.original_event.index |
长整型 |
|
sentinel_one_cloud_funnel.event.ti_indicator.original_event.time |
日期 |
|
sentinel_one_cloud_funnel.event.ti_indicator.original_event.trace_id |
关键字 |
|
sentinel_one_cloud_funnel.event.ti_indicator.references |
与威胁情报指标关联的外部引用。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.source |
已识别的威胁情报指标的来源。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.threat_actors |
与威胁情报指标关联的威胁参与者。威胁参与者是被认为怀有恶意意图的实际个人、团体或组织。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.type |
已识别的威胁情报指标的类型。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.uid |
SentinelOne 提供的威胁情报指标的唯一标识符。 |
关键字 |
sentinel_one_cloud_funnel.event.ti_indicator.upload_time |
威胁情报指标上传到 SentinelOne 数据库的时间。 |
日期 |
sentinel_one_cloud_funnel.event.ti_indicator.valid_until |
威胁情报指标不再被监控的日期。 |
日期 |
sentinel_one_cloud_funnel.event.ti_indicator.value |
已识别的威胁情报指标的值。 |
关键字 |
sentinel_one_cloud_funnel.event.time |
事件创建时间,格式:月 日,年 时:分:秒。 |
日期 |
sentinel_one_cloud_funnel.event.timestamp |
日期 |
|
sentinel_one_cloud_funnel.event.trace_id |
关键字 |
|
sentinel_one_cloud_funnel.event.type |
事件类型。 |
关键字 |
sentinel_one_cloud_funnel.event.url.action |
进程的 URL 操作。 |
关键字 |
sentinel_one_cloud_funnel.event.url.address |
完整 URL。 |
关键字 |
sentinel_one_cloud_funnel.event.url.source |
关键字 |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.7.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.3.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
0.14.2 |
增强 (查看拉取请求) |
— |
0.14.1 |
缺陷修复 (查看拉取请求) |
— |
0.14.0 |
增强 (查看拉取请求) |
— |
0.13.0 |
增强 (查看拉取请求) |
— |
0.12.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
— |
0.11.0 |
增强 (查看拉取请求) |
— |
0.10.1 |
增强 (查看拉取请求) |
— |
0.10.0 |
增强 (查看拉取请求) |
— |
0.9.0 |
增强 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.1 |
缺陷修复 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.1-next |
缺陷修复 (查看拉取请求) 缺陷修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |