CrowdStrikeIncidents 테이블에는 Microsoft Sentinel에 수집된 CrowdStrike 인시던트 API의 로그가 포함되어 있습니다.
테이블 특성
| 특성 |
가치 |
| 리소스 종류 |
- |
| 카테고리 |
안전 |
| 솔루션 |
보안 인사이트 |
| 기본 로그 |
예 |
| 인제션 시간 변환 |
아니오 |
| 샘플 쿼리 |
- |
칼럼
| 칼럼 |
유형 |
설명 |
| 할당됨 |
문자열 |
인시던트에 할당된 사용자의 ID입니다. |
| AssignedToName |
문자열 |
인시던트 처리에 할당된 사용자의 이름입니다. |
| _BilledSize |
진짜 / 현실 |
레코드 크기(바이트) |
| Cid |
문자열 |
CrowdStrike 플랫폼의 고객 ID입니다. |
| 생성됨 |
날짜 및 시간 |
인시던트가 생성된 시간 표시입니다. |
| 설명 |
문자열 |
인시던트에 대한 자세한 설명입니다. |
| 이메일 상태 |
문자열 |
인시던트에 대한 이메일 알림의 현재 상태입니다. |
| 끝 |
날짜 및 시간 |
인시던트가 닫혔거나 해결된 타임스탬프입니다. |
| 이벤트히스토그램 |
동적 |
인시던트 관련 이벤트의 타임라인입니다. |
| FineScore |
정수 (int) |
인시던트에 할당된 심각도 점수입니다. |
| GroupingIds |
동적 |
관련 인시던트 그룹화에 사용되는 ID 목록입니다. |
| HostIds |
동적 |
인시던트에 관련된 호스트 ID 목록입니다. |
| 호스트 |
동적 |
영향을 받는 호스트에 대한 자세한 정보입니다. |
| IncidentId |
문자열 |
인시던트에 대한 고유 식별자입니다. |
| Incident Type (사고 유형) |
정수 (int) |
인시던트 유형에 대한 숫자 식별자입니다. |
| _IsBillable (과금 가능 여부) |
문자열 |
데이터 수신이 청구 대상인지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| LmHostIds |
동적 |
경량 모드와 연결된 호스트 ID 목록입니다. |
| LmHostsCapped |
bool |
경량 모드 호스트 수가 제한되었는지를 나타냅니다. |
| LmraHostIds |
동적 |
LMRA(경량 모드 원격 액세스)와 연결된 호스트 ID 목록입니다. |
| LmraHostsCapped |
bool |
LMRA 호스트 수가 제한되었는지를 나타냅니다. |
| LmTypes |
정수 (int) |
경량 모드 구성 유형입니다. |
| 수정된 타임스탬프 |
날짜 및 시간 |
인시던트가 마지막으로 수정된 타임스탬프입니다. |
| 이름 |
문자열 |
인시던트 이름 또는 제목입니다. |
| 목표 |
동적 |
인시던트에서 식별된 공격자 목표 목록입니다. |
| 소스 시스템 |
문자열 |
이벤트 데이터를 수집한 에이전트의 유형. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| 시작 |
날짜 및 시간 |
인시던트가 시작된 타임스탬프입니다. |
| 시스템 상태 |
문자열 |
인시던트의 현재 상태. |
| 상태 |
정수 (int) |
인시던트에 대한 숫자 상태 코드입니다. |
| 전술 |
동적 |
인시던트에서 확인된 MITRE ATT&CK 전술 목록입니다. |
| 태그들 |
동적 |
인시던트에 연결된 사용자 지정 태그입니다. |
| 기술 |
동적 |
인시던트에서 식별된 MITRE ATT&CK 기술 목록입니다. |
| 테넌트아이디 |
문자열 |
Log Analytics 작업 영역 ID |
| 타임제너레이티드 |
날짜 및 시간 |
인시던트 데이터가 수집된 타임스탬프(UTC)입니다. |
| 유형 |
문자열 |
테이블의 이름입니다. |
| 사용자 |
동적 |
인시던트에 관련되거나 영향을 받는 사용자 목록입니다. |