Contribuir en GitHub: Editar en línea Modelo de dominio y definiciones de vista
Las vistas predefinidas events y events_all representan los elementos de consulta más utilizados en el lago de datos QRadar . Utilice las vistas para simplificar las consultas y reducir los costes de consulta.
Ver: events
La vista events contiene un número limitado de columnas y es más eficaz para consultar sucesos de finalidad general.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
| hora_original | fecha y hora | Hora original. |
| nombre_origen_datos | serie | Nombre de origen de datos proporcionado por el usuario. |
| nombre | serie | Nombre del suceso. |
| user_id | serie | ID de usuario. |
| categorías de nivel inferior | dynamic: int Matriz | Categorías de nivel bajo. |
| i_srs | Entero largo | Valor. |
| puerto_origen | ent | Especifica el puerto de origen utilizado en el tráfico de red, como un entero. El valor de puerto DEBE estar en el rango de 0 a 65535. |
| ip_estándar | Entero largo | Valor. |
| puerto_dstd | ent | Especifica el puerto de destino utilizado en el tráfico de red, como un entero. El valor de puerto DEBE estar en el rango de 0 a 65535. |
| gravedad | ent | Gravedad. |
| event_uuid | serie | Identificador de suceso interno. |
| carga útil | serie | Carga útil de suceso en bruto. |
Ver: alerts
La vista alerts contiene un número limitado de columnas y es más eficaz para consultar alerts.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
| hora_original | fecha y hora | Hora original. |
| nombre_origen_datos | serie | Nombre de origen de datos proporcionado por el usuario. |
| nombre | serie | Nombre del suceso. |
| user_id | serie | ID de usuario. |
| categorías de nivel inferior | dynamic: int Matriz | Categorías de nivel bajo. |
| i_srs | Entero largo | Valor. |
| puerto_origen | ent | Especifica el puerto de origen utilizado en el tráfico de red, como un entero. El valor de puerto DEBE estar en el rango de 0 a 65535. |
| ip_estándar | Entero largo | Valor. |
| puerto_dstd | ent | Especifica el puerto de destino utilizado en el tráfico de red, como un entero. El valor de puerto DEBE estar en el rango de 0 a 65535. |
| gravedad | ent | Gravedad. |
| event_uuid | serie | Identificador de suceso interno. |
| carga útil | serie | Carga útil de suceso en bruto. |
Ver: network_events
La vista predeterminada para buscar eventsmás orientados a la red.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
| hora_original | fecha y hora | Hora original. |
| nombre_origen_datos | serie | Nombre de origen de datos proporcionado por el usuario. |
| nombre | serie | Nombre del suceso. |
| user_id | serie | ID de usuario. |
| categorías de nivel inferior | dynamic: int Matriz | Categorías de nivel bajo. |
| protocolos | dynamic: string Matriz | Especifica los protocolos observados en el tráfico de red, junto con su estado correspondiente. |
| i_srs | Entero largo | Valor. |
| puerto_origen | ent | Especifica el puerto de origen utilizado en el tráfico de red, como un entero. El valor de puerto DEBE estar en el rango de 0 a 65535. |
| recuento_byte_src | ent | Especifica el número de bytes enviados desde el origen al destino. |
| paquetes de origen | Entero largo | Especifica el número de paquetes enviados desde el origen al destino. |
| ip_estándar | Entero largo | Valor. |
| puerto_dstd | ent | Especifica el puerto de destino utilizado en el tráfico de red, como un entero. El valor de puerto DEBE estar en el rango de 0 a 65535. |
| recuento de bytes de dst_byte_count | ent | Especifica el número de bytes enviados desde el destino al origen. |
| paquetes dst_paquetes | Entero largo | Especifica el número de paquetes enviados de destino al origen. |
| gravedad | ent | Gravedad. |
| event_uuid | serie | Identificador de suceso interno. |
| carga útil | serie | Carga útil de suceso en bruto. |
Ver: events_all
La vista events_all es adecuada para buscar cualquier tipo de event o alert. Todas las columnas están disponibles.
Importante: Para minimizar el coste de la consulta, proporcione siempre una lista explícita de columnas al proyecto.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
| contexto_cuenta | serie | Contexto. |
| inicio_cuenta | serie | Inicio de sesión de cuenta. |
| tipo_cuenta | serie | Tipo de cuenta. |
| clave_campo_cabecera_adicional | dynamic: string Matriz | Clave de campos de cabecera adicionales de mensaje de correo electrónico. |
| valor_campos_cabecera_adicional | dynamic: string Matriz | Valor de campos de cabecera adicionales de mensaje de correo electrónico. |
| versión_agente | serie | Versión del agente de punto final. |
| valor_esperado_anómalo | serie | Valor esperado de anomalía. |
| valor_observado_anómalo | serie | Valor observado de anomalía. |
| ANOMALY_SCORE | ent | Puntuación de anomalía. |
| indicación_fecha_hora_anomalías | Entero largo | Indicación de fecha y hora de anomalía. |
| fabricante bios_fabricante | serie | Fabricante de BIOS de punto final. |
| versión_bioss | serie | Versión de BIOS de punto final. |
| descripción_correlación | serie | Descripción de correlación. |
| id_correlación | serie | Identificador exclusivo de correlación representado como una serie. |
| correlation_source | serie | Origen de correlación. |
| indicación_fecha_hora_correlación | Entero largo | Indicación de fecha y hora de correlación. |
| id_de_creado_por | ent | Creado por ID de análisis |
| tipo_creado_por | ent | Creado por tipo de análisis. 'NONE' =1, 'SEARCH_BASED_RULE' =2, 'REALTIME_RULE' =3, 'BEHAVIORAL_RULE' =4 |
| versión_creada_por | ent | Creado por versión de análisis. |
| credibilidad | ent | Credibilidad. |
| id_origen_datos | serie | ID de origen de datos. |
| tipo_tipo_origen_datos | dynamic: int Matriz | Categorías de tipo de origen de datos. |
| id_tipo_origen_datos | ent | ID de tipo de origen de datos. |
| descripción | serie | Descripción de suceso. |
| dir_contains_ref | serie | El directorio contiene referencias. |
| contexto_dir | serie | Contexto de directorio. |
| id_dir | serie | Identificador exclusivo de directorio representado como una serie. |
| vía_acceso_dir | serie | Vía de acceso del directorio. |
| dir_vía_acceso_enc | serie | Codificación de vía de acceso de directorio. |
| dir_tiempo_observado | Entero largo | Tiempo de directorio observado. |
| contexto_dominio | serie | Contexto. |
| domain_id | serie | Identificador exclusivo de nombre de dominio representado como una serie. |
| domain_resolves_to_ref | serie | La lista de referencias se resuelve en. |
| valor_dominio | serie | Nombre de dominio. |
| recuento de bytes de dst_byte_count | ent | Especifica el número de bytes enviados desde el destino al origen. |
| ip_estándar | Entero largo | Dirección IPv4 de destino. |
| dst_ipv6 | serie | Dirección IPv6 de destino. |
| paquetes dst_paquetes | Entero largo | Especifica el número de paquetes enviados de destino al origen. |
| puerto_dstd | ent | Especifica el puerto de destino utilizado en el tráfico de red, como un entero. El valor de puerto DEBE estar en el rango de 0 a 65535. |
| ref_estándar | serie | Especifica el destino del tráfico de red, como referencia a uno o varios objetos observables. |
| email_addr_pertens_to_ref | serie | Lista de direcciones de correo electrónico a las que pertenecen las referencias. |
| contexto_addr_correo electrónico | serie | Contexto de dirección de correo electrónico. |
| id_addr_correo_electrónico | serie | Identificador exclusivo de dirección de correo electrónico representado como una serie. |
| nombre_addr_correo_electrónico | serie | Nombre de visualización de dirección de correo electrónico. |
| valor_addr_correo_electrónico | serie | dirección de correo electrónico. |
| email_msg_bcc_ref | serie | Referencias de Bcc de mensaje de correo electrónico. |
| email_msg_cc_ref | serie | Referencias de cc de mensaje de correo electrónico. |
| tipo_contenido_correo_electrónico | dynamic: string Matriz | Tipo de contenido de mensaje de correo electrónico. |
| fecha_msj_correo_electrónico | Entero largo | Fecha de mensaje de correo electrónico. |
| email_msg_from_ref | serie | Mensaje de correo electrónico de referencia. |
| id_msj_correo_electrónico | serie | Identificador exclusivo de mensaje de correo electrónico representado como una serie. |
| email_msg_sender_ref | serie | Referencia de remitente de mensaje de correo electrónico. |
| tema_msj_correo electrónico | serie | Asunto del mensaje de correo electrónico. |
| email_msg_to_ref | serie | Mensaje de correo electrónico a referencias. |
| contexto_punto_final | serie | Contexto de punto final. |
| id_dispositivo_punto_final | serie | ID de dispositivo de punto final. |
| punto_final_visto | Entero largo | Visto por primera vez. |
| id_grupo_punto_final | dynamic: string Matriz | ID de grupo de punto final. |
| grupo_punto_final | dynamic: string Matriz | Grupos de puntos finales. |
| nombre_host_punto_final | serie | Nombre de host de punto final. |
| id_punto_final | serie | Identificador exclusivo de punto final representado como una serie. |
| endpoint_last_seen | Entero largo | Última vista. |
| endpoint_mac_ref | serie | Referencias MAC de punto final. |
| categoría_enriquecimiento | serie | Categoría de enriquecimiento. |
| descripción_enriquecimiento | serie | Descripción de enriquecimiento. |
| id_enriquecimiento | serie | Identificador exclusivo de enriquecimiento representado como una serie. |
| módulo_enriquecimiento | serie | Módulo de enriquecimiento. |
| severidad de enriquecimiento | ent | Gravedad de enriquecimiento. |
| fecha_fecha_hora_enriquecimiento | Entero largo | Indicación de fecha y hora de enriquecimiento. |
| event_type | ent | Tipo de suceso 1=Event o 2=Alert. |
| event_uuid | serie | Identificador de suceso interno. |
| id_alerta_externa | serie | ID de alerta externa. |
| credibilidad externa | serie | Credibilidad externa. |
| id_detección_externa | serie | ID de detección externa. |
| severidad externa | serie | Gravedad externa. |
| file_contains_ref | serie | El archivo contiene referencias. |
| contexto_archivo | serie | Contexto de archivo. |
| id_archivo | serie | Identificador exclusivo de archivo representado como una serie. |
| file_md5_hash | serie | Algoritmo de hash MD5 . |
| tipo_mime_archivo | serie | Tipo mime de archivo. |
| hora_modificada_archivo | Entero largo | Hora de modificación de archivo. |
| file_name | serie | Nombre de archivo. |
| file_path | serie | Vía de acceso de archivo completa. |
| file_parent_contains_ref | serie | El archivo padre contiene referencias. |
| contexto_padre de archivo | serie | Contexto de archivo padre. |
| file_parent_directorio_ref | serie | Referencia de directorio padre de archivo. |
| vía_acceso_padre_archivo | serie | Vía de acceso de archivo padre completa. |
| id_padre_archivo | serie | Identificador exclusivo de archivo padre representado como una serie. |
| file_parent_md5_hash | serie | Algoritmo de hash MD5 . |
| tipo_mime_parente_archivo | serie | Tipo mime de archivo padre. |
| nombre_padre_archivo | serie | Nombre de archivo padre. |
| file_parent_parent_directorio_ref | serie | Referencia de directorio padre de archivo padre. |
| file_parent_sha1_hash | serie | Algoritmo de hash SHA_1 . |
| file_parent_sha256_hash | serie | Algoritmo de hash SHA_256 . |
| file_parent_imphash | serie | Algoritmo de hash IPHASH. |
| tamaño_padre_archivo | Entero largo | Tamaño de archivo padre. |
| file_sha1_hash | serie | Algoritmo de hash SHA_1 . |
| file_sha256_hash | serie | Algoritmo de hash SHA_256 . |
| file_imphash | serie | Algoritmo de hash IMPHASH. |
| File_Size | Entero largo | El tamaño del archivo. |
| id_cuenta_interna | serie | ID de cuenta interna. |
| consulta_investigación | serie | Consulta de investigación de anomalía. |
| ip6_context | serie | IPv6 Contexto de dirección. |
| ip6_dst_context | serie | Contexto de dirección IPv6 de destino. |
| ip6_dst_id | serie | Identificador exclusivo de dirección IPv6 de destino representado como una serie. |
| ip6_dst_resolves_to_ref | serie | Destino IPv6 Lista de direcciones en las que se resuelve la referencia. |
| ip6_id | serie | IPv6 Identificador exclusivo de dirección representado como una serie. |
| ip6_resolves_to_ref | serie | IPv6 Lista de direcciones en las que se resuelven las referencias. |
| ip6_src_context | serie | Contexto de dirección IPv6 de origen. |
| ip6_src_id | serie | Identificador exclusivo de dirección IPv6 de origen representado como una serie. |
| ip6_src_resolves_to_ref | serie | La lista de direcciones de origen IPv6 de referencias se resuelve en. |
| ip6_value | serie | IPv6 Dirección. |
| contexto_ip | serie | IPv4 Contexto de dirección. |
| ip_dst_pertens_to_ref | serie | Destino al que pertenece la lista de direcciones IPv4 de referencias. |
| contexto_ID_ip | serie | Contexto de dirección IPv4 de destino. |
| id_id_ip | serie | Identificador exclusivo de dirección IPv4 de destino representado como una serie. |
| ip_dst_resolves_to_ref | serie | La lista de direcciones IPv4 de destino de las referencias se resuelve en. |
| id_ip | serie | IPv4 Identificador exclusivo de dirección representado como una serie. |
| ip_resolves_to_ref | serie | IPv4 Lista de direcciones en las que se resuelven las referencias. |
| contexto_ip | serie | Contexto de dirección IPv4 de origen. |
| id_ip_src_id | serie | Identificador exclusivo de dirección IPv4 de origen representado como una serie. |
| ip_src_resolves_to_ref | serie | La lista de direcciones IPv4 de origen de las referencias se resuelve en. |
| valor_ip | Entero largo | IPv4 Dirección. |
| is_multiparte | bool | El mensaje de correo electrónico es de varias partes. |
| categorías de nivel inferior | dynamic: int Matriz | Categorías de nivel bajo. |
| contexto_mac | serie | Contexto de dirección MAC. |
| contexto_dst_mac | serie | Contexto de dirección MAC de destino. |
| id_id_macd | serie | Identificador exclusivo de dirección MAC de destino representado como una serie. |
| valor_dst_mac | serie | Especifica una única dirección MAC. |
| mac_id | serie | Identificador exclusivo de dirección MAC representado como una serie. |
| contexto_mac_origen | serie | Contexto de dirección MAC de origen. |
| id_origen_macc | serie | Identificador exclusivo de dirección MAC de origen representado como una serie. |
| valor_origen_macc | serie | Especifica una única dirección MAC. |
| mac_time_observado | Entero largo | Tiempo de dirección MAC observado. |
| valor_mac | serie | Especifica una única dirección MAC. |
| id_coincidente | dynamic: int Matriz | Coincidente por ID de análisis. |
| tipos_coincidentes | dynamic: int Matriz | Emparejado por analítica-Está completo o parcial |
| cuerpo_mensaje | dynamic: string Matriz | Cuerpo del mensaje de correo electrónico. |
| contexto_mensaje | serie | Contexto de mensaje de correo electrónico. |
| id_mensaje | serie | ID de mensaje de correo electrónico. |
| mitre_ids | dynamic: string Matriz | ID mitre. |
| cuerpo_multiparte | dynamic: string Matriz | Cuerpo de varias partes. |
| multipart_body_raw_ref | dynamic: string Matriz | Referencia en bruto de cuerpo de varias partes. |
| disposición_contenido_múltiple | dynamic: string Matriz | Disposición de contenido de varias partes. |
| tipo_contenido_multiparte | dynamic: string Matriz | Tipo de contenido de varias partes. |
| contexto_texto | serie | Contexto de mútex. |
| nombre | serie | Nombre. |
| hora_original | Entero largo | Hora original. |
| os_ref_software_ref | serie | Referencia de software de SO de punto final. |
| hora_análisis | Entero largo | Tiempo de análisis. |
| parsing_aborted_timeout_data_source_type_ids | dynamic: int Matriz | Analizando ID de tipo de origen de datos de tiempo de espera terminado anormalmente. |
| carga útil | serie | Carga útil de suceso en bruto. |
| formato_datos_carga_útil | serie | Formato de la carga útil de suceso. |
| bytes de tamaño de carga de pago | ent | Tamaño de la carga útil de suceso en bytes. |
| puerto_dst_post_nat_ | ent | Network Traffic Post nat dst port. |
| puerto_src_post_nat_src | ent | Network Traffic Post nat src port. |
| puerto_dst_pre_nat_ | ent | Puerto anterior a nat dst de tráfico de red. |
| puerto_origen_anterior | ent | Puerto de origen anterior a nat de tráfico de red. |
| process_línea_mandatos | serie | Especifica la línea de mandatos completa utilizada en la ejecución del proceso, incluido el nombre del proceso (en función del sistema operativo). |
| contexto_proceso | serie | Contexto de proceso. |
| hora_creada_proceso | Entero largo | Especifica la fecha/hora en la que se creó el proceso. |
| process_creator_user_ref | serie | Especifica el usuario que ha creado el proceso, como referencia a un objeto de cuenta de usuario. |
| PROCESS_ID | serie | Identificador exclusivo de proceso representado como una serie. |
| process_image_ref | serie | Referencia de imagen de proceso. |
| process_es_oculto | bool | Especifica si el proceso está oculto. |
| process_name | serie | Nombre de proceso. |
| process_opened_connection_ref | serie | Especifica la lista de conexiones de red abiertas por el proceso, como referencia a uno o varios objetos de tráfico de red. |
| process_parent_child_ref | serie | Claves de variables de entorno de proceso padre. |
| process_parent_command_line | serie | Línea de mandatos de proceso padre. |
| contexto_proceso_padre | serie | Contexto de proceso padre. |
| process_parent_created_time | Entero largo | Hora de creación del proceso padre. |
| process_parent_creator_user_ref | serie | Referencia de usuario de creador de proceso padre. |
| id_padre_proceso | serie | Identificador exclusivo de proceso padre representado como una serie. |
| process_parent_image_ref | serie | Referencia de imagen de proceso padre. |
| process_parent_es_oculto | bool | El proceso padre está oculto. |
| nombre_parente_proceso | serie | Nombre de proceso padre. |
| process_parent_opened_connection_ref | serie | Referencia de conexión abierta de proceso padre. |
| process_parent_parent_ref | serie | Referencia padre de proceso padre. |
| process_parent_pid | ent | PID de proceso padre. |
| nombre_pipea_parentes_proceso | Serie | Nombre de conducto de proceso padre |
| process_parent_ref | serie | Referencia de padre de proceso. |
| process_parent_time_observado | Entero largo | Tiempo de proceso padre observado. |
| process_pid | ent | Especifica el ID de proceso, o PID, del proceso. |
| nombre_pipe_proceso | Serie | Nombre de conducto. |
| protocolos | dynamic: string Matriz | Especifica los protocolos observados en el tráfico de red, junto con su estado correspondiente. |
| qid | Entero largo | QID. |
| id_tipo_origen_datos_qid | ent | ID de tipo de origen de datos de QID. |
| categoría_suceso_qid | serie | Categoría de suceso QID. |
| id_suceso_q | serie | ID de suceso de QID. |
| hora_recepción | Entero largo | Tiempo de recepción. |
| contexto_regg | serie | Contexto de clave de registro de Windows. |
| reg_creador_ref_usuario | serie | Referencia de usuario creador. |
| datos_regg | serie | Datos de valores de clave de registro. |
| tipo_datos_regg | serie | Tipo de datos de valores de clave de registro. |
| reg_id | serie | Identificador exclusivo representado como una serie. |
| clave_regg | serie | Clave de registro de Windows. |
| nombre_valor_rege | serie | Nombre de valores de clave de registro. |
| sistema_acciones_respuesta | serie | Sistema de acción de respuesta. |
| categoría_respuestas | serie | Categoría de respuesta. |
| descripción_respuesta | serie | Descripción de la respuesta. |
| id_respuesta | serie | Identificador exclusivo de respuesta representado como una serie. |
| sistema_origen_respuestas | serie | Sistema de origen de respuesta. |
| indicación_fecha_hora_respuesta | Entero largo | Indicación de fecha y hora de respuesta. |
| retention_bucket | uint8 | Grupo de retención. |
| sending_ip | serie | Valor de IP de envío. |
| gravedad | ent | Gravedad. |
| contexto_software | serie | Contexto de software. |
| id_software | serie | Identificador exclusivo de software representado como una serie. |
| nombre_software | serie | Nombre de software. |
| proveedor_software | serie | Proveedor de software. |
| versión_software | serie | Versión de software. |
| recuento_byte_src | ent | Especifica el número de bytes enviados desde el origen al destino. |
| i_srs | Entero largo | Dirección IPv4 de origen. |
| src_ipv6 | serie | Dirección IPv6 de origen. |
| paquetes de origen | Entero largo | Especifica el número de paquetes enviados desde el origen al destino. |
| puerto_origen | ent | Especifica el puerto de origen utilizado en el tráfico de red, como un entero. El valor de puerto DEBE estar en el rango de 0 a 65535. |
| ref_src | serie | Especifica el origen del tráfico de red, como referencia a uno o varios objetos observables. |
| tiempo_almacenamiento | Entero largo | Tiempo de almacenamiento. |
| contexto_cuenta_destino | serie | Contexto de cuenta de usuario de destino. |
| inicio_cuenta_destino | serie | Inicio de sesión de cuenta. |
| tipo_cuenta_destino | serie | Tipo de cuenta. |
| target_credential_last_cambiado | Entero largo | Última modificación de credencial. |
| identificador_origen_datos_destino | serie | Identificador de origen de datos de destino. |
| usuario_destino | serie | Nombre de visualización de cuenta de usuario de destino. |
| contexto_tráficos | serie | Contexto de tráfico de red. |
| hora_final_tráfico | Entero largo | Especifica la fecha/hora en que finalizó el tráfico de red, si se conoce. |
| id_tráfico | serie | Identificador exclusivo de tráfico de red representado como una serie. |
| hora_inicio_tráfico | Entero largo | Especifica la fecha/hora en que se inició el tráfico de red, si se conoce. |
| Truncado | bool | Indicador si la carga útil se ha truncado. |
| hora_actualización | Entero largo | Hora de actualización. |
| contexto_url | serie | URL Contexto. |
| id_url | serie | URL Identificador exclusivo representado como una serie. |
| valor_url | serie | URL. |
| usuario | serie | Nombre de visualización de cuenta de usuario. |
| id_cuenta_usuario | serie | Identificador exclusivo de cuenta de usuario representado como una serie. |
| id_destino_cuenta_usuario | serie | Identificador exclusivo de cuenta de usuario de destino representado como una serie. |
| id_usuario | ent | GID. |
| grupo_usuarios | dynamic: string Matriz | Grupos. |
| dir_inicio_usuario | serie | directorio inicial WTS. |
| user_id | serie | ID de usuario. |
| usuario_es_privilegiado | bool | Tiene privilegios. |
| cuenta_servicio_is_usuario | bool | Es cuenta de servicio. |
| shell de usuario | serie | Shell. |
| id_destino_usuario | serie | ID de usuario. |
| usuario_destino_es_privilegiado | bool | Tiene privilegios. |
| cuenta_servicio_es_destino | bool | Es cuenta de servicio. |