跳至主内容

XDR搜索字段

以下表格按类别展示XDR搜索字段:

网络

字段名称

描述

network.bytes_in

传入的字节数。该数值始终大于零。

network.bytes_out

传出的字节数。该数值始终大于零。

network.container_id

在虚拟化环境中,此字段表示唯一标识网络容器的ID。

network.container_name

在虚拟化环境中,此字段表示网络容器的名称。

network.destination_ip

目标IP地址

network.destination_port

目标端口

network.direction

网络流量的方向:

  • 出站

  • 入站

  • 双向

network.domain_name

域名

network.file_path

传输文件的路径

network.hostname

主机名

network.mac

发起请求的端点MAC地址。

network.protocol

网络流量使用的协议。

network.request_method

HTTP请求方法的类型。例如: GET , POST .

network.source_ip

源IP地址

network.source_port

源端口

network.status_code

HTTP响应代码。例如: 200 , 300 .

network.stream_type

流的响应方法。例如: application/x-msdownload .

network.uri

触发警报的访问URL。

用户

字段名称

描述

user.domain

执行操作的用户(行为者)所属租户组织的身份信息。

user.email

用户的电子邮件

user.extended_properties

Azure Active Directory事件的扩展属性。

user.external_access

指定操作是由组织内部还是外部人员执行。

user.id

第三方平台或应用提供的用户ID

user.modified_properties

该字段包含已修改属性的详细信息,例如属性名称、旧值、新值。根据处理的日志文件不同,该字段可能包含不同细节。更多信息请查阅 ModifiedProperties 位于 此微软网页 .

user.name

用户名称

user.operation

对用户账户执行的操作:

  • 启用账户

  • 禁用账户

  • 删除账户

  • 锁定账户

  • 解锁账户

  • 更改密码

  • 重置密码

  • 添加到安全组

  • 从安全组移除

  • 未知

user.shared_with

资源被共享的目标用户

user.sharing_permissions

授予资源被共享用户的共享权限类型

user.target

执行操作的目标用户

user.team_guid

Microsoft Teams中的团队ID

user.team_members

团队成员列表,记录被添加或移出团队的用户。每个用户条目包含所属组织名称及成员邮箱地址。以下数值代表分配给用户的角色类型:

  • 1 - 表示所有者角色

  • 2 - 表示成员角色

  • 3 - 表示访客角色

user.team_name

Microsoft Teams中的团队名称

user.type

执行操作的用户类型,以下数值表示用户类型:

  • user - 普通用户

  • organization_administrator - Microsoft 365组织管理员

  • datacenter_account - 微软数据中心管理员或数据中心系统账户

  • system_acount - 系统账户

  • application - 应用程序

  • service - 服务主体

  • custom_policy - 自定义策略

  • system_policy - 系统策略

Process

字段名称

描述

process.access_privileges

指示进程以何种权限运行:

  • 提升权限

  • 受限权限

process.command_line

启动进程的命令行。

process.create_type

指示进程是通过 fork 系统调用还是 execve 函数生成的。

process.injection_method

用于注入进程的方法。

process.injection_target_path

生成目标进程的可执行文件路径。

process.injection_target_pid

被注入进程的标识符。

process.injection_writer_path

生成写入进程的可执行文件路径。

process.injection_writer_pid

注入其他进程的进程标识符

process.integrity_level

进程完整性可能具有以下值之一:

  • 不受信任

  • 系统

process.is_driver

指示该进程是否为驱动程序。可能取值:

process.module

触发警报的已加载模块名称。

process.module_pid

加载该模块的进程标识符。

process.new_service_name

服务的新名称(如被重命名时)

process.parent_access_privileges

指示父进程运行时具有的权限级别:

  • 提升权限

  • 受限权限

process.parent_cmdline

启动父进程的命令行。

process.parent_integrity_level

父进程完整性级别可能为以下值之一:

  • 不受信任

  • 系统

process.parent_path

父进程路径

process.parent_pid

父进程标识符

process.parent_user

启动父进程的用户。

process.path

进程路径

process.pid

进程标识符

process.service_name

服务名称

process.service_start_type

指示服务启动方式:

  • auto_start - 服务随系统自动启动

  • manual_start - 系统启动后手动启动服务

  • disabled_service - 服务已禁用

  • none - 服务未启动

process.target_name

对于计划任务事件,此字段表示设定要运行的可执行文件名称

process.target_path

对于计划任务事件,此字段表示设定要运行的可执行文件路径

process.user

启动进程的用户

文件

字段名称

描述

file.attribute_operation

文件属性变更操作类型:

  • security_change

  • basic_attributes_change

  • datetime_change

file.destination_file

文件被移动或复制后重命名的新名称。若未重命名,则显示原始文件名。

file.destination_url

文件上传至的目标文件夹URL。

file.ext

被复制或移动文件的扩展名。

file.is_remote

指示文件变更是否通过远程连接发生:

file.item_type

被访问或修改对象的类型。可能取值包括:

  • 文件

  • 文件夹

  • 网页

  • 站点

  • 租户

file.md5

所访问文件的MD5哈希值(当文件为可执行文件时)。

file.name

文件名

file.operation

文件操作类型:

  • 读取

  • 写入

  • 删除

  • 重命名

  • 关闭

  • 创建

file.path

触发警报的文件路径。

file.sha256

被访问文件的SHA256哈希值(若该文件为可执行文件)。

  • 文件

  • 文件夹

  • 网站

  • 站点

  • 租户

file.site

用户访问的文件或文件夹所在站点的GUID标识符。

file.size

文件大小

file.url

文件的直接下载链接

注册表

字段名称

描述

registry.data

已被修改的注册表键值。

registry.key

触发警报的注册表键所在目录。

registry.operation

数据访问类型:

  • 读取

  • 写入

  • 创建

  • 删除

registry.type

注册表数据类型:

  • sz - 以空字符结尾的字符串。根据使用的是Unicode还是ANSI函数,它可以是Unicode字符串或ANSI字符串。

  • expand_sz - 以空字符结尾的字符串,其中包含对环境变量的未展开引用,例如 %PATH% 。根据使用的是Unicode还是ANSI函数,它可以是Unicode字符串或ANSI字符串。

  • binary - 任何形式的二进制数据。

  • dword - 一个32位数字。

  • dword_little_endian - 以小端格式存储的32位数字。

  • dword_big_endian - 以大端格式存储的32位数字。某些UNIX系统支持大端架构。

  • link - 以空字符结尾的Unicode字符串,包含通过调用 RegCreateKeyEx 函数并指定 REG_OPTION_CREATE_LINK .

  • multi_sz - 一系列以空字符结尾的字符串,以一个空字符串(\0)终止。

  • resource_list

  • full_resource_descriptor

  • resource_requirements_list

  • qword - 一个64位数字。

registry.value

注册表值

资源

图转换捕获节点间的交互。根据这些交互,告警中涉及的资源可能有所不同。下方列出可搜索资源字段列表。

字段名称

描述

resource.app_address

接收认证令牌的应用程序地址

resource.data

部分或全部与资源相关的数据,以字符串形式显示。

resource.id

资源ID

resource.md5

资源的MD5哈希值

resource.name

资源名称

resource.path

资源的文件路径

resource.policy_type

若资源为策略,此字段显示策略类型。

resource.sha256

资源的SHA256哈希值

resource.size

资源大小(以字节为单位)

resource.ssh_public_key

若资源为SSH密钥,此字段显示公钥。

resource.type

资源类型:

  • application - 用作资源的应用程序名称

  • email - 用作资源的电子邮件主题字段

  • file - 用作资源的文件名称。

  • flow - 用作资源的自动化邮件流程ID。

  • generic - 在可用时提供所用资源的通用信息。

  • key_vault - 用作资源的凭据集合(密钥保管库)名称。

  • launch_template - 用作资源的实例配置信息(启动模板)名称。

  • policy - 用作资源的策略名称。

  • role - 用作资源的用户角色名称。

  • sharing_link - 用作资源的共享链接中的文档名称。

  • ssh_key - 用作资源的SSH公钥。

  • url - 用作资源的URL地址。

resource.url

若资源为文件,该字段显示文件的直接下载链接;若资源为URL,则显示该URL。

邮件

字段名

描述

email.attachments_hashes

附件哈希值

email.attachments_names

附件名称

email.attachments_number

邮件附件数量

email.attachments_size

每个邮件附件的大小(以字节为单位)

email.attachments_types

附件类型

email.attachments_uris

邮件中所有URL的列表

email.bcc_address

邮件 密送 字段中列出的电子邮件地址

email.bcc_name

邮件 密送 字段中列出的电子邮件地址的显示名称

email.cc_address

邮件 抄送 字段中列出的电子邮件地址

email.cc_name

邮件 抄送 字段中列出的电子邮件地址的显示名称

email.client

用于访问或发送邮件的软件类型(例如:Outlook)

email.date

邮件发送日期

email.event_name

事件名称

email.id

唯一标识邮件的ID

email.login_status

标识Office365中可能发生的登录失败

email.logon_type

邮箱访问类型。以下值表示访问邮箱的用户类型:

  • owner - 邮箱所有者

  • administrator - 管理员

  • delegate - 代理人

  • microsoft_transport_service - 数据中心传输服务

  • microsoft_service_account - 数据中心服务账户

  • delegated_administrator - 委派管理员

email.mailbox_guid

唯一标识邮箱的ID

email.mailbox_owner

邮箱所有者

email.origin_ip

邮件发送源IP地址

email.parameters

对于Exchange管理员活动,表示与Operation属性中标识的 cmdlet 一起使用的所有参数的名称和值

email.path

被访问邮件所在的邮箱文件夹名称。该属性也标识创建邮件的文件夹,或邮件被复制/移动到的文件夹。

email.receiver_address

收件人的电子邮件地址

email.receiver_name

收件人的显示名称

email.sender_address

发件人的电子邮件地址

email.sender_name

发件人的显示名称

email.subject

邮件主题

email.to_address

收件人的电子邮件地址

email.to_name

收件人字段中列出的电子邮件地址对应的显示名称 收件人 字段

警报

字段名称

描述

alert.actions_taken

对文件采取的操作:

  • 无效

  • 无操作

  • 阻止

  • 阻止并清除

  • 仅清除

  • 删除

  • 隔离

alert.att&ck_subtechnique_id

部分Mitre技术包含子技术。此字段显示子技术ID。例如: T1595.002 .

alert.att&ck_subtechnique

部分Mitre技术存在子技术项。此字段显示子技术名称。

alert.att&ck_tactic

所有Mitre技术均按战术分类。此字段显示战术名称。

alert.att&ck_technique

Mitre技术名称(依据官网文档)。例如: 命令与脚本解释器 .

alert.att&ck_technique_id

Mitre技术ID(依据官网文档)。例如: T1074 .

alert.description

触发该告警的事件描述。

alert.incident_number

事件编号

alert.mark

描述告警类型。可选值包括:

  • info - 信息类告警;仅用于通知目的。

  • suspicious - 告警描述可疑行为。该值常见于 EDR 检测场景。

  • malware - 告警描述恶意行为

alert.name

告警名称

alert.scan_type

扫描类型:

  • 实时防护

  • 按需扫描

  • HTTP流量扫描

alert.severity_score

警报分数。取值范围从 1 (表示最低严重性)到 100 (表示最高严重性)。

alert.type

生成警报的技术类型:

  • atd - 基于ATD行为检测触发的警报。

  • am - 基于反恶意软件模块检测触发的警报。

  • hd - 基于反恶意软件Hyperdetect检测触发的警报。

  • hd_report - 基于反恶意软件Hyperdetect检测触发的警报(HD仅设置为报告模式时)。

  • cmdline - 基于命令行扫描模块检测触发的警报。

  • ctc - 基于EDR引擎检测触发的警报。

  • ghoster - 基于网络攻击防护模块检测触发的警报。

  • sandbox - 基于沙箱观察行为触发的警报。

  • memory_scan - 基于进程内存扫描触发的警报。

  • urlstatus - 该警报基于URL拦截活动触发。

  • gemma - 该警报基于ATD代码缓冲区检测触发。

  • anomaly_detection - 该警报基于异常检测引擎触发,因检测到与已学习行为相关的异常行为。

  • amsi - 该警报基于Windows反恶意软件扫描接口缓冲区触发。

  • dynamic_ml - 该警报基于机器学习模型输入触发。

  • self_protect - 该警报基于 Bitdefender 产品对自身组件的保护行为触发。

  • user_detection - 该警报基于BD用户编写的规则触发。

  • crypt_protect - 该警报基于勒索软件防护模块触发。

  • etw - 该警报基于Windows ETW日志事件触发。

  • user_detection_yara - 该警报基于BD用户用Yara语言编写的规则触发。

  • anti_tampering

  • firewall

  • generic_heuristic_engine

  • PHASR

其他

字段名称

描述

other.agent

有关用户浏览器的信息,即用户代理字符串。此信息由浏览器提供。

other.api

触发警报的挂钩Windows API名称。

other.arch

架构类型:

  • x86

  • x64

other.compliance_center_event

表示该活动为Microsoft 365合规中心事件:

  • true

  • false

other.detection_class

检测类型:

  • edr_detection - 基于EDR引擎检测触发的警报。

  • ransomware - 基于勒索软件防护模块活动触发的警报。

  • antimalware_scan_interface - 基于Windows反恶意软件扫描接口缓冲区触发的警报。

  • amsi_detection - 基于Windows反恶意软件扫描接口缓冲区触发的警报。

  • anomaly_detection - 基于异常检测引擎触发的警报,因检测到与学习行为相关的异常行为。

  • antimalware_detection - 基于反恶意软件模块检测触发的警报。

  • atd_detection - 基于ATD行为检测触发的警报。

  • gemma_detection - 基于ATD代码缓冲区检测触发的警报。

  • hd_detection - 基于反恶意软件Hyperdetect检测触发的警报。

  • hd_report_detection - 当HD仅设置为报告模式时,基于反恶意软件Hyperdetect检测触发的警报。

  • machine_learning_detection - 基于机器学习模型输入触发的警报。

  • memory_scan_detection - 基于进程内存扫描触发的警报。

  • network_scan_detection - 基于网络攻击防护模块检测触发的警报。

  • user_defined_detection - 基于BD用户编写的规则触发的警报。

  • command_line_scanning_detection - 基于命令行扫描模块检测触发的警报。

  • sandbox_detection - 基于观察到的沙箱行为触发的警报。

  • urlstatus_detection - 基于URL拦截活动触发的警报。

  • cryptprotect_detection - 基于勒索软件防护模块触发的警报。

  • etw_detection - 基于Windows ETW日志事件触发的警报。

  • user_detection_yara - 基于BD用户用Yara语言编写的规则触发的警报。

  • anti-tampering

  • antiphishing_detection

  • firewall_detection

  • generic_heuristic_engine_detection

  • PHASR

  • selfprotect_detection

  • user_detection

other.event_id

事件的唯一ID

other.event_type

事件类型:

  • raw - 原始事件

  • alert - EDR 警报

  • xalert - XDR 警报

other.exclusion_id

用户在 GravityZone .

other.hostname

生成流量或事件的端点名称

other.organization_id

表示公司ID(位于 GravityZone .

other.os

操作系统类型。可选值包括:

  • windows

  • linux

  • macos

other.record_type

记录所指示的操作类型。该属性表示触发操作的服务或功能。

other.result_status

指示操作是否成功:

  • true

  • false

  • failed

  • invalid

  • none

  • running

  • stopped

  • successful

  • unkonwn

other.script

生成事件的脚本。

other.sensor_name

生成警报的传感器:

  • atc

  • edr

  • filescan

  • trafficscan

  • endpoint

  • o365mails

  • PHASR

  • xdr

other.user

事件发生时的登录用户

本节内容 :