XDR搜索字段
以下表格按类别展示XDR搜索字段:
|
字段名称 |
描述 |
|---|---|
|
network.bytes_in |
传入字节数。该数值始终大于零。 |
|
network.bytes_out |
传出字节数。该数值始终大于零。 |
|
network.container_id |
对于虚拟化环境,此字段表示唯一标识网络容器的ID。 |
|
network.container_name |
对于虚拟化环境,此字段表示网络容器的名称。 |
|
network.destination_ip |
目标IP地址 |
|
network.destination_port |
目标端口 |
|
network.direction |
网络流量的方向:
|
|
network.domain_name |
域名 |
|
network.file_path |
传输文件的路径 |
|
network.hostname |
主机名 |
|
network.mac |
发起请求的端点MAC地址 |
|
network.protocol |
网络流量使用的协议 |
|
network.request_method |
HTTP请求方法的类型。例如:
|
|
network.source_ip |
源IP地址 |
|
network.source_port |
源端口 |
|
network.status_code |
HTTP响应代码。例如:
|
|
network.stream_type |
流的响应方法。例如:
|
|
network.uri |
触发警报的访问URL。 |
|
字段名 |
描述 |
|---|---|
|
user.domain |
执行操作的用户(参与者)所属租户组织的身份信息。 |
|
user.email |
用户的电子邮件 |
|
user.extended_properties |
Azure Active Directory事件的扩展属性。 |
|
user.external_access |
指定操作是由组织内部还是外部人员执行。 |
|
user.id |
第三方平台或应用提供的用户ID |
|
user.modified_properties |
该字段包含已修改属性的详细信息,如属性名称、旧值、新值。根据处理的日志文件不同,字段可能包含不同细节。更多信息请查阅
|
|
user.name |
用户名称 |
|
user.operation |
对用户账户执行的操作:
|
|
user.shared_with |
资源被共享的目标用户。 |
|
user.sharing_permissions |
分配给资源被共享用户的共享权限类型。 |
|
user.target |
执行操作的目标用户。 |
|
user.team_guid |
Microsoft Teams中的团队ID。 |
|
user.team_members |
被添加或移除出团队的用户列表。每个用户包含所属组织名称及成员邮箱地址。以下数值表示分配给用户的角色类型:
|
|
user.team_name |
Microsoft Teams 中的团队名称。 |
|
user.type |
执行操作的用户类型。以下值表示用户类型:
|
|
字段名称 |
描述 |
|---|---|
|
process.access_privileges |
表示进程运行的权限级别:
|
|
process.command_line |
启动该进程的命令行。 |
|
process.create_type |
指示该进程是通过
|
|
process.injection_method |
用于注入该进程的方法。 |
|
process.injection_target_path |
生成目标进程的可执行文件路径。 |
|
process.injection_target_pid |
被注入进程的标识符。 |
|
process.injection_writer_path |
生成写入进程的可执行文件路径。 |
|
process.injection_writer_pid |
注入其他进程的进程标识符 |
|
process.integrity_level |
进程完整性可能具有以下值之一:
|
|
process.is_driver |
指示该进程是否为驱动程序。可能取值:
|
|
process.module |
触发警报的已加载模块名称。 |
|
process.module_pid |
加载该模块的进程标识符。 |
|
process.new_service_name |
服务的新名称(若曾被重命名)。 |
|
process.parent_access_privileges |
指示父进程运行时的权限级别:
|
|
process.parent_cmdline |
启动父进程的命令行。 |
|
process.parent_integrity_level |
父进程完整性可能包含以下值之一:
|
|
process.parent_path |
父进程路径 |
|
process.parent_pid |
父进程标识符 |
|
process.parent_user |
启动父进程的用户。 |
|
process.path |
进程路径 |
|
process.pid |
进程标识符 |
|
process.service_name |
服务名称 |
|
process.service_start_type |
指示服务启动方式:
|
|
process.target_name |
对于计划任务事件,此字段表示设定要运行的可执行文件名称。 |
|
process.target_path |
对于计划任务事件,此字段表示设定要运行的可执行文件路径。 |
|
process.user |
启动进程的用户。 |
|
字段名称 |
描述 |
|---|---|
|
file.attribute_operation |
文件属性变更操作类型:
|
|
file.destination_file |
文件移动或复制后重命名的新文件名。若未重命名,则显示原始文件名。 |
|
file.destination_url |
文件上传至的目标文件夹URL。 |
|
file.ext |
正在复制或移动的文件的扩展名。 |
|
file.is_remote |
指示对文件的更改是否通过远程连接发生:
|
|
file.item_type |
被访问或修改的对象类型。可能的值包括:
|
|
file.md5 |
所访问文件的MD5哈希值(若文件为可执行文件)。 |
|
file.name |
文件名 |
|
file.operation |
对文件的操作类型:
|
|
file.path |
触发警报的文件路径。 |
|
file.sha256 |
所访问文件的SHA256哈希值(若文件为可执行文件)。
|
|
文件站点 |
用户访问的文件或文件夹所在站点的GUID。 |
|
文件大小 |
文件大小 |
|
文件URL |
文件的直接下载链接 |
|
字段名称 |
描述 |
|---|---|
|
注册表数据 |
已被修改的注册表值。 |
|
注册表键 |
生成警报的注册表键所在文件夹。 |
|
注册表操作 |
数据访问类型:
|
|
注册表类型 |
注册表数据类型:
|
|
registry.value |
注册表值 |
图转换捕获节点之间的交互。根据这些交互,警报中涉及的资源可能有所不同。以下是可搜索资源字段的列表。
|
字段名称 |
描述 |
|---|---|
|
resource.app_address |
接收认证令牌的应用地址 |
|
resource.data |
部分或全部与资源相关的数据,以字符串形式显示。 |
|
resource.id |
资源ID |
|
resource.md5 |
资源的MD5哈希值 |
|
resource.name |
资源名称 |
|
resource.path |
资源的文件路径 |
|
resource.policy_type |
若资源为策略,此字段显示策略类型。 |
|
resource.sha256 |
资源的SHA256哈希值 |
|
resource.size |
资源大小(以字节为单位) |
|
resource.ssh_public_key |
若资源为SSH密钥,此字段显示公钥。 |
|
resource.type |
资源类型:
|
|
resource.url |
如果资源是文件,该字段显示文件的直接下载链接。如果资源是URL,该字段显示URL。 |
|
字段名称 |
描述 |
|---|---|
|
email.attachments_hashes |
附件哈希值 |
|
email.attachments_names |
附件名称 |
|
email.attachments_number |
电子邮件附件的数量 |
|
email.attachments_size |
每个电子邮件附件的大小(以字节为单位) |
|
email.attachments_types |
附件类型 |
|
email.attachments_uris |
邮件中所有URL链接的列表 |
|
email.bcc_address |
邮件 密送 字段中列出的电子邮件地址 |
|
email.bcc_name |
邮件 密送 字段中列出的电子邮件地址的显示名称 |
|
email.cc_address |
邮件 抄送 字段中列出的电子邮件地址 |
|
email.cc_name |
邮件 抄送 字段中列出的电子邮件地址的显示名称 |
|
email.client |
用于访问或发送邮件的软件类型,例如:Outlook。 |
|
email.date |
邮件发送日期。 |
|
email.event_name |
事件名称 |
|
email.id |
唯一标识邮件的ID |
|
email.login_status |
标识Office365中可能发生的登录失败情况。 |
|
email.logon_type |
邮箱访问类型。以下值表示访问邮箱的用户类型:
|
|
email.mailbox_guid |
唯一标识邮箱的ID |
|
email.mailbox_owner |
邮箱的所有者 |
|
email.origin_ip |
发送邮件的IP地址 |
|
email.parameters |
对于Exchange管理员活动,记录与Operation属性中标识的cmdlet一起使用的所有参数的名称和值
|
|
email.path |
被访问邮件所在的邮箱文件夹名称。此属性还标识创建邮件的文件夹,或将邮件复制或移动到的文件夹。 |
|
email.receiver_address |
收件人的电子邮件地址 |
|
email.receiver_name |
收件人的显示名称 |
|
email.sender_address |
发件人的电子邮件地址 |
|
email.sender_name |
发件人显示名称 |
|
email.subject |
邮件主题 |
|
email.to_address |
收件人邮箱地址 |
|
email.to_name |
收件人字段中列出的邮箱地址对应的显示名称 收件人 字段 |
|
字段名称 |
描述 |
|---|---|
|
alert.actions_taken |
对文件采取的操作:
|
|
alert.att&ck_subtechnique_id |
部分MITRE技术存在子技术。此字段显示子技术ID。例如:
|
|
alert.att&ck_subtechnique |
部分MITRE技术存在子技术。此字段显示子技术名称。 |
|
alert.att&ck_tactic |
所有MITRE技术均按战术分类。此字段显示战术名称。 |
|
alert.att&ck_technique |
Mitre技术名称,以官方网站文档为准。例如:
|
|
alert.att&ck_technique_id |
Mitre技术ID,以官方网站文档为准。例如:
|
|
alert.description |
触发警报的事件描述。 |
|
alert.incident_number |
事件编号 |
|
alert.mark |
描述警报类型。可能取值包括:
|
|
alert.name |
警报名称 |
|
alert.scan_type |
扫描类型:
|
|
alert.severity_score |
警报分数。取值范围从
|
|
alert.type |
生成警报的技术类型:
|
|
字段名称 |
描述 |
|---|---|
|
other.agent |
关于用户浏览器的信息,即用户代理字符串。此信息由浏览器提供。 |
|
other.api |
生成警报的挂钩Windows API名称。 |
|
other.arch |
架构类型:
|
|
other.compliance_center_event |
表示该活动是Microsoft 365合规中心事件:
|
|
other.detection_class |
检测类型:
|
|
其他.事件ID |
事件的唯一ID |
|
其他.事件类型 |
事件类型:
|
|
other.exclusion_id |
用户在GravityZone中创建的排除项ID GravityZone . |
|
other.hostname |
生成流量或事件的终端名称。 |
|
other.organization_id |
表示GravityZone中的公司ID GravityZone . |
|
other.os |
操作系统类型。可选值包括:
|
|
other.record_type |
记录所指示的操作类型。该属性标识触发操作的服务或功能。 |
|
other.result_status |
指示操作是否成功:
|
|
其他.脚本 |
生成事件的脚本。 |
|
其他.传感器名称 |
生成警报的传感器:
|
|
其他.用户 |
事件发生时的登录用户 |