Datenfelder für die Suche
Sie können im Data Lake nach Indikatoren für eine Bedrohung (Indicators of Compromise, IOCs) oder nach anderen Daten wie IP-Adressen oder Benutzernamen suchen. Siehe Suche.
Hier ist eine vollständige Liste der Datenfelder.
Feldname | Beschreibung |
---|---|
activity_type | OS Query-Name |
kategorie | Aktivitätstyp, dem das Ereignis zugeordnet ist |
command_line | Befehlszeileneintrag |
customer_id | Sophos Kunden-ID |
data_source | Name des Herstellers, der das Ereignis ausgelöst hat |
dest_ip | IP-Adresse, mit der ein System verbunden ist |
dest_port | Portnummer zum Empfangen von Daten |
device_id | Geräte-ID des Geräts, auf dem die Aktivität erfolgte |
device_ip | IP-Adresse, an der die Aktivität erfolgte |
Hostname | Hostname des betroffenen Geräts |
parent_process_path | Dateipfad des Prozesses, der diesen untergeordneten Prozess erstellt hat |
parent_command_line | Vorheriger Befehlszeileneintrag |
parent_process-id | ID des Prozesses, der diesen untergeordneten Prozess erstellt hat |
src_ip | IP-Adresse, mit der eine Verbindung zu einem sekundären System hergestellt wurde |
process_name | Name des betroffenen Prozesses |
process_path | Dateienpfad des ausgeführten Prozesses |
process_username | - |
sha256 | SHA-256-Hashwert |
sophos_process_id | Sophos-Prozess-ID des ausgeführten Prozesses |
sophos_parent_process_id | Sophos-Prozess-ID des Prozesses, der diesen untergeordneten Prozess erstellt hat |
Uhrzeit | Zeitpunkt, zu dem das Ereignis aufgetreten ist |
Benutzername | Benutzer, der am Gerät angemeldet ist |