Campi dati nella ricerca
Per utilizzare questa funzionalità, occorre l’iscrizione all’EAP (Early Access Program).
È possibile cercare Indicatori di compromissione (IOC) o altri dati, ad esempio indirizzi IP o nomi utente, nel Data Lake. Vedere Cerca.
Il riquadro Schema nella pagina Ricerca indica i campi dati che possono essere utilizzati nella ricerca.
Accanto a ciascun campo dati viene indicato un simbolo:
-
T significa campo di testo. Viene indicizzato quando raggiunge il Data Lake. In questo tipo di campo è possibile eseguire ricerche anche senza utilizzare caratteri jolly.
-
# significa campo numerico. Quando si eseguono ricerche in questo tipo di campo, è obbligatorio utilizzare caratteri jolly.
Di seguito viene fornito un elenco completo dei campi dati.
| Tipo campo | Descrizione |
|---|---|
| src_ip | L’indirizzo IP che ha avviato una connessione a un sistema secondario |
| dest_ip | L’indirizzo IP con cui un sistema ha stabilito una connessione |
| logon_type | Il metodo di autenticazione utilizzato per accedere a un account |
| logon_process | Il processo utilizzato per accedere a un account |
| logon_protocol | Il protocollo utilizzato per accedere a un account |
| dest_username | Il nome dell’account richiamato per eseguire un’azione |
| password_last_set | La data dell’ultima reimpostazione della password |
| task_name | Il nome dell’attività pianificata di Windows |
| file_path | Il percorso del file coinvolto nell’evento |
| process_path | Il percorso del file del processo eseguito |
| url | L’URL a cui il dispositivo ha effettuato l’accesso |
| domain_name | Il nome del dominio a cui è stato effettuato l’accesso |
| command_line | La voce della riga di comando |
| parent_process_path | Il percorso del file del processo che ha creato questo processo figlio |
| parent_command_line | La voce della riga di comando precedente |
| win_src_domain | Il nome del dominio Windows da cui ha avuto origine l’accesso a un account |
| win_dest_domain | Il nome del dominio Windows a cui un account ha effettuato l’accesso |
| registry_path | Il percorso del file di registro interessato |
| dest_server | Il server di destinazione a cui è stato effettuato l’accesso o che è stato modificato |
| service_name | Il nome del servizio interessato |
| service_start_type | Il tipo di avvio per il servizio Windows |
| service_type | Il nome del tipo di servizio interessato |
| run_as_username | Il nome utente richiamato per eseguire un processo specifico |
| parent_process_id | L’ID processo del processo che ha creato questo processo figlio |
| file_name | Il nome del file interessato |
| process_name | Il nome del processo interessato |
| protocollo | Il protocollo utilizzato per effettuare la connessione a un sistema o a un dominio |
| dest_port | Il numero di porta utilizzato per ricevere dati |
| event_id | Il numero dell’ID evento Windows |
| process_id | L’ID processo del processo eseguito |
| device_id | L’ID dispositivo su cui è stata svolta l’attività |
| device_make | Il tipo di sistema operativo dell’azienda produttrice |
| device_type | Endpoint o server |
| device_ip | L’indirizzo IP su cui è stata svolta l’attività |
| device_mac | L’indirizzo MAC del dispositivo su cui è stata svolta l’attività |
| nome host | Il nome host del dispositivo interessato |
| nome utente | L’utente che ha effettuato l’accesso al dispositivo |
| customer_id | L’ID cliente Sophos |
| sha1 | Hash del file SHA-1 |
| sha256 | Hash del file SHA-256 |
| sophos_process_id | L’ID processo Sophos del processo eseguito |
| sophos_parent_process_id | L’ID processo Sophos del processo che ha creato questo processo figlio |
| file_pua_score | Il punteggio di rischio del file, in base alla probabilità che il file sia un’Applicazione potenzialmente indesiderata, secondo la valutazione effettuata dal deep learning sul dispositivo |
| file_ml_score | Il punteggio di rischio del file, in base alla probabilità che il file contenga malware, secondo la valutazione effettuata dal deep learning sul dispositivo |
| file_global_reputation | Il punteggio di rischio del file ottenuto da un’analisi del file svolta dai SophosLabs |
| file_local_reputation | Il punteggio di rischio del file ottenuto dai dati di reputazione locali memorizzati sul disco |
| data_source | Il nome del vendor che ha generato l’evento |
| category | Il tipo di attività a cui è associato l’evento |
| activity_type | Il nome in osquery |
| category_description | La descrizione del tipo di attività a cui è associato l’evento |
| tempo | L’ora in cui si è verificato l’evento |
| signature_status | Lo stato che indica se il codice è firmato o meno |
| process_sid | L’ID di sicurezza dell’account utilizzato per eseguire il processo |
| process_uid | L’ID utente dell’account utilizzato per eseguire il processo |
| process_gid | L’ID del gruppo a cui appartiene l’account che ha eseguito il processo |
| file_created_by | Il nome di chi ha creato originariamente il file di Microsoft Office |
| product_name | Il nome del prodotto Microsoft Office interessato |
| file_description | La descrizione del file di Microsoft Office |
| file_version | Il numero di versione del file interessato |
| process_username | Il nome utente dell’account utilizzato per eseguire il processo |
| original_filename | Il nome del file prima di una modifica del nome del file |
| file_size | Le dimensioni del file interessato |
| src_username | Il nome utente che ha richiamato un account secondario per eseguire un’azione |
| event_description | La descrizione dell’evento Windows |
| parent_process_name | Il nome del processo che ha creato questo processo figlio |