Campi dati nella ricerca
È possibile cercare Indicatori di compromissione (IOC) o altri dati, ad esempio indirizzi IP o nomi utente, nel Data Lake. Vedere Cerca.
Di seguito viene fornito un elenco completo dei campi dati.
| Nome campo | Descrizione |
|---|---|
| activity_type | Il nome in osquery |
| category | Il tipo di attività a cui è associato l’evento |
| command_line | La voce della riga di comando |
| customer_id | L’ID cliente Sophos |
| data_source | Il nome del vendor che ha generato l’evento |
| dest_ip | L’indirizzo IP con cui un sistema ha stabilito una connessione |
| dest_port | Il numero di porta utilizzato per ricevere dati |
| device_id | L’ID dispositivo su cui è stata svolta l’attività |
| device_ip | L’indirizzo IP su cui è stata svolta l’attività |
| nome host | Il nome host del dispositivo interessato |
| parent_process_path | Il percorso del file del processo che ha creato questo processo figlio |
| parent_command_line | La voce della riga di comando precedente |
| parent_process-id | L’ID del processo che ha creato questo processo figlio |
| src_ip | L’indirizzo IP che ha avviato una connessione a un sistema secondario |
| process_name | Il nome del processo interessato |
| process_path | Il percorso del file del processo eseguito |
| process_username | - |
| sha256 | Hash del file SHA-256 |
| sophos_process_id | L’ID processo Sophos del processo eseguito |
| sophos_parent_process_id | L’ID processo Sophos del processo che ha creato questo processo figlio |
| tempo | L’ora in cui si è verificato l’evento |
| nome utente | L’utente che ha effettuato l’accesso al dispositivo |