Datenfelder für die Suche
Sie können im Data Lake nach Indikatoren für eine Bedrohung (Indicators of Compromise, IOCs) oder nach anderen Daten wie IP-Adressen oder Benutzernamen suchen. Siehe KI-Suche.
Hier ist eine vollständige Liste der Datenfelder.
| Feldname | Beschreibung |
|---|---|
| activity_type | OS Query-Name |
| kategorie | Aktivitätstyp, dem das Ereignis zugeordnet ist |
| command_line | Befehlszeileneintrag |
| customer_id | Sophos Kunden-ID |
| data_source | Name des Herstellers, der das Ereignis ausgelöst hat |
| dest_ip | IP-Adresse, mit der ein System verbunden ist |
| dest_port | Portnummer zum Empfangen von Daten |
| device_id | Geräte-ID des Geräts, auf dem die Aktivität erfolgte |
| device_ip | IP-Adresse, an der die Aktivität erfolgte |
| Hostname | Hostname des betroffenen Geräts |
| parent_process_path | Dateipfad des Prozesses, der diesen untergeordneten Prozess erstellt hat |
| parent_command_line | Vorheriger Befehlszeileneintrag |
| parent_process-id | ID des Prozesses, der diesen untergeordneten Prozess erstellt hat |
| src_ip | IP-Adresse, mit der eine Verbindung zu einem sekundären System hergestellt wurde |
| process_name | Name des betroffenen Prozesses |
| process_path | Dateienpfad des ausgeführten Prozesses |
| process_username | - |
| sha256 | SHA-256-Hashwert |
| sophos_process_id | Sophos-Prozess-ID des ausgeführten Prozesses |
| sophos_parent_process_id | Sophos-Prozess-ID des Prozesses, der diesen untergeordneten Prozess erstellt hat |
| Uhrzeit | Zeitpunkt, zu dem das Ereignis aufgetreten ist |
| Benutzername | Benutzer, der am Gerät angemeldet ist |