Trust Network 数据定义
使用这些 Trust Network 数据定义可帮助您分析仪表板中的小组件、创建报告以及在 Workspace ONE Intelligence 中创建自动化。
我们将不断为此内容更新信息。如果您看不到自己的 Trust Network 合作伙伴,我们计划很快列出更多合作伙伴。
Carbon Black 数据定义
Intelligence 控制台中显示的引入数据
列出的这些数据从 Carbon Black 引入到 Workspace ONE Intelligence,并显示在 Intelligence 控制台中。
| 数据字段 | 定义 | Carbon Black API 字段名称 |
|---|---|---|
| Carbon Black CB Defense 事件 ID | 表示事件的唯一标识符,如 Carbon Black 所报告。 | threatinfo_threatcause_causeeventid |
| Carbon Black 设备电子邮件地址 | 列出用于在 Carbon Black Defense 控制台中注册设备的电子邮件地址。 | deviceinfo_email |
| Carbon Black 设备 ID | Carbon Black 数据库中的唯一设备标识符。 | deviceinfo_deviceid |
| Carbon Black 设备名称 | Carbon Black 控制台中显示的设备名称。 | deviceinfo_devicename |
| Carbon Black 事件说明 | 威胁事件的说明,如 Carbon Black 所报告。 | eventdescription |
| Carbon Black 外部 IP 地址 | 列出设备的外部 IP 地址,如 Carbon Black 所报告。 | deviceinfo_externalipaddress |
| Carbon Black 组名称 | 列出 Carbon Black Defense 控制台中的设备组名称。 | deviceinfo_groupname |
| Carbon Black 事件 ID | 由 Carbon Black 生成的每个事件的唯一标识。 | threatinfo_incidentid |
| Carbon Black 内部 IP 地址 | 列出设备的内部 IP 地址,如 Carbon Black 所报告。 | deviceinfo_internalipaddress |
| Carbon Black 主进程哈希 (SHA256) | 列出引发威胁事件的进程的哈希/签名,如 Carbon Black 所报告。 | threatinfo_threatcause_actor |
| Carbon Black 主进程信誉 | 进程的信誉,如 Carbon Black 所报告。 | threatinfo_threatcause_reputation |
| Carbon Black 原始来源 | 威胁的来源,如 Carbon Black 所报告。 | threatinfo_threatcause_originsourcetype |
| Carbon Black 规则名称 | 列出用于在 Carbon Black Defense 控制台中标识规则的唯一名称。 | rulename |
| Carbon Black 严重性评分 | 由 Carbon Black 用来表示威胁事件严重性的已编号评分。 | threatinfo_score |
| Carbon Black 威胁名称 | 列出用于标识威胁的名称,如 Carbon Black 所报告。 | threatinfo_threatcause_actorname |
| Carbon Black 威胁原因 | 威胁的原因,如 Carbon Black 所报告。 | threatinfo_threatcause_reason |
| Carbon Black 威胁摘要 | 威胁事件的摘要,如 Carbon Black 所报告。 | threatinfo_summary |
| 指向 CB Defense 警示的链接 | 提供指向 Carbon Black Defense 控制台中的威胁详细信息的链接。 | url |
Intelligence 控制台中未显示的引入数据
列出的这些数据从 Carbon Black 引入到 Workspace ONE Intelligence,但未显示在 Intelligence 控制台中。
| Carbon Black API 字段名称 | 定义 |
|---|---|
deviceinfo_devicetype |
列出设备的制造商或类型,如 Carbon Black 所报告。 |
deviceinfo_deviceversion |
列出设备的操作系统版本,如 Carbon Black 所报告。 |
deviceinfo_targetprioritycode |
列出设备的数值优先级(在设备上安装传感器时定义),如 Carbon Black 所报告。 |
deviceinfo_targetprioritytype |
列出设备的优先级(在设备上安装传感器时定义为“低”、“中”或“高”),如 Carbon Black 所报告。 |
deviceinfo_uemid |
列出 Carbon Black 与每个威胁事件一起报告的设备唯一标识符,Workspace ONE Intelligence 中的设备关联需要该标识符。 |
eventtime |
发生威胁事件的时间,如 Carbon Black 所报告。 |
threatinfo_indicators |
列出威胁指标,如 Carbon Black 所报告。 |
threatinfo_threatcause_actorprocessppid |
有问题的进程的进程 ID,如 Carbon Black 所报告。 |
threatinfo_threatcause_threatcategory |
威胁的类别,如 Carbon Black 所报告。 |
threatinfo_time |
表示 Carbon Black 生成威胁信息的时间。 |
type |
列出威胁的类型,如 Carbon Black 所报告。 |
