Champs de données pour la recherche
Vous pouvez rechercher des indicateurs de compromission (IOC) ou d’autres données telles que des adresses IP ou des noms d’utilisateurs dans le Data Lake. Voir Rechercher.
Voici une liste complète des champs de données.
| Nom du champ | Description |
|---|---|
| activity_type | Nom de requête du système d’exploitation |
| catégorie | Type d’activité à laquelle l’événement est associé |
| command_line | Entrée de ligne de commande |
| customer_id | Identifiant client Sophos |
| data_source | Nom de l’éditeur ayant généré l’événement |
| ip_dest | Adresse IP à laquelle un système s’est connecté |
| dest_port | Numéro de port utilisé pour recevoir des données |
| device_id | ID de l’appareil sur lequel l’activité s’est produite |
| device_ip | Adresse IP sur laquelle l’activité s’est produite |
| nom d’hôte | Nom d’hôte de l’appareil impliqué |
| parent_process_path | Chemin de fichier du processus qui a créé le processus enfant en question |
| parent_command_line | Entrée de ligne de commande précédente |
| parent_process-id | ID de processus du processus qui a créé le processus enfant en question |
| src_ip | Adresse IP qui a démarré une connexion à un système secondaire |
| process_name | Nom du processus impliqué |
| process_path | Chemin du fichier du processus qui a été exécuté |
| process_username | - |
| sha256 | Hachage de fichier SHA-256 |
| sophos_process_id | ID de processus Sophos du processus qui a été exécuté |
| sophos_parent_process_id | ID de processus Sophos du processus qui a créé le processus enfant en question |
| time | Heure à laquelle l’événement s’est produit |
| nom d’utilisateur | Utilisateur connecté à l’appareil |