Datenfelder für die Suche
Sie müssen dem EAP beitreten, um diese Funktion verwenden zu können.
Sie können im Data Lake nach Indikatoren für eine Bedrohung (Indicators of Compromise, IOCs) oder nach anderen Daten wie IP-Adressen oder Benutzernamen suchen. Siehe Suchen.
Unter Schema auf der Suchseite werden Datentypen angezeigt, die Sie in Ihre Suche einbeziehen können.
Neben jedem Datenfeld befindet sich ein Symbol:
-
T ist ein Textfeld. Dieses wird indiziert, wenn es den Data Lake erreicht. Sie können diese Felder ohne Platzhalter durchsuchen.
-
# Ist ein Zahlenfeld. Sie müssen Platzhalter verwenden, wenn Sie diese Felder durchsuchen.
Hier ist eine vollständige Liste der Datenfelder.
| Feldtyp | Beschreibung |
|---|---|
| src_ip | IP-Adresse, mit der eine Verbindung zu einem sekundären System hergestellt wurde |
| dest_ip | IP-Adresse, mit der ein System verbunden ist |
| logon_type | Authentifizierungsmethode für die Anmeldung bei einem Konto |
| logon_process | Prozess für die Anmeldung bei einem Konto |
| logon_protocol | Protokoll für die Anmeldung bei einem Konto |
| dest_username | Name des Kontos, das aufgerufen wurde, um eine Aktion auszuführen |
| password_last_set | Datum der letzten Kennwort-Rücksetzung |
| task_name | Name des geplanten Windows-Auftrags |
| file_path | Dateipfad der Datei, die an dem Ereignis beteiligt ist |
| process_path | Dateienpfad des ausgeführten Prozesses |
| url | URL, auf die das Gerät zugegriffen hat |
| domain_name | Name der Windows-Domäne, auf die ein Konto zugegriffen hat |
| command_line | Befehlszeileneintrag |
| parent_process_path | Dateipfad des Prozesses, der diesen untergeordneten Prozess erstellt hat |
| parent_command_line | Vorheriger Befehlszeileneintrag |
| win_src_domain | Name der Windows-Domäne, aus der eine Kontoanmeldung stammt |
| win_dest_domain | Name der Windows-Domäne, auf die ein Konto zugegriffen hat |
| registry_path | Dateipfad der betroffenen Registry-Datei |
| dest_server | Zielserver, auf den zugegriffen oder der geändert wurde |
| service_name | Name des betroffenen Service |
| service_start_type | Starttyp für den Windows-Dienst |
| service_type | Name des betreffenden Servicetyps |
| run_as_username | Benutzername zur Ausführung eines bestimmten Prozesses aufgerufen |
| parent_process_id | Prozess-ID des Prozesses, der diesen untergeordneten Prozess erstellt hat |
| file_name | Name der betroffenen Datei |
| process_name | Name des betroffenen Prozesses |
| Protokoll | Protokoll, das für die Verbindung zu einem System oder einer Domain verwendet wird |
| dest_port | Portnummer zum Empfangen von Daten |
| event_id | Windows-Ereignis-ID-Nummer |
| process_id | Prozess-ID des ausgeführten Prozesses |
| device_id | Geräte-ID des Geräts, auf dem die Aktivität erfolgte |
| device_make | Betriebssystem-Typ des Herstellers |
| device_type | Endpoint oder Server |
| device_ip | IP-Adresse, an der die Aktivität erfolgte |
| device_mac | MAC-Adresse des Geräts, auf dem die Aktivität erfolgte |
| Hostname | Hostname des betroffenen Geräts |
| Benutzername | Benutzer, der am Gerät angemeldet ist |
| customer_id | Sophos Kunden-ID |
| sha1 | SHA-1-Hashwert |
| sha256 | SHA-256-Hashwert |
| sophos_process_id | Sophos-Prozess-ID des ausgeführten Prozesses |
| sophos_parent_process_id | Sophos-Prozess-ID des Prozesses, der diesen untergeordneten Prozess erstellt hat |
| file_pua_score | Die Risikobewertung basiert auf der Wahrscheinlichkeit, dass es sich bei der Datei um eine potenziell unerwünschte Anwendung handelt, die durch Deep Learning auf dem Gerät bewertet wurde |
| file_ml_score | Die Risikobewertung basiert auf der Wahrscheinlichkeit, dass es sich bei der Datei um Malware handelt, die durch Deep Learning auf dem Gerät ermittelt wurde |
| file_global_reputation | Risikobewertung für Datei, ermittelt aus einer SophosLabs-Datei-Analyse |
| file_local_reputation | Risikobewertung der Datei, die aus den auf der Festplatte gespeicherten lokalen Reputationsdaten ermittelt wird |
| data_source | Name des Herstellers, der das Ereignis ausgelöst hat |
| kategorie | Aktivitätstyp, dem das Ereignis zugeordnet ist |
| activity_type | OS Query-Name |
| category_description | Beschreibung des Aktivitätstyps, dem das Ereignis zugeordnet ist |
| Uhrzeit | Zeitpunkt, zu dem das Ereignis aufgetreten ist |
| signature_status | Status, der angibt, ob der Code signiert ist |
| process_sid | Wertpapier-ID des Kontos, das zur Ausführung des Prozesses verwendet wird |
| process_uid | Benutzer-ID des Kontos, mit dem der Prozess ausgeführt wird |
| process_gid | Gruppen-ID, zu der das Konto gehört, das den Prozess ausgeführt hat |
| file_created_by | Name des ursprünglichen Erstellers der Microsoft Office-Datei |
| product_name | Name des betroffenen Microsoft Office-Produkts |
| file_description | Beschreibung der Microsoft Office-Datei |
| file_version | Versionsnummer der betroffenen Datei |
| process_username | Benutzername des Kontos, mit dem der Prozess ausgeführt wird |
| original_filename | Dateiname vor einer Änderung des Dateinamens |
| file_size | Größe der betroffenen Datei |
| src_username | Benutzername, der einen sekundären Account aufgerufen hat, um eine Aktion auszuführen |
| event_description | Beschreibung des Windows-Ereignisses |
| parent_process_name | Name des Prozesses, der diesen untergeordneten Prozess erstellt hat |