你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
CrowdStrikeHosts 表包含已引入Microsoft Sentinel 的 CrowdStrike Hosts API 中的日志。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 是的 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| AgentLoadFlags | 字符串 | CrowdStrike 代理加载状态指示标志。 |
| AgentLocalTime | 字符串 | 安装代理的系统本地时间。 |
| AgentVersion | 字符串 | 已安装的 CrowdStrike 代理的版本。 |
| BaseImageVersion | 字符串 | 基础操作系统映像的版本。 |
| _BilledSize(账单大小) | 真实 | 记录大小(字节) |
| BIOS制造商 | 字符串 | 系统 BIOS 的制造商。 |
| BIOS版本 | 字符串 | 系统 BIOS 的版本。 |
| BuildNumber | 字符串 | 操作系统内部版本号。 |
| 机箱类型 | 字符串 | 系统底盘的类型(数字标识符)。 |
| 机箱类型说明 | 字符串 | 系统底盘类型的说明。 |
| Cid | 字符串 | CrowdStrike 平台的 Cid。 |
| ConfigIdBase | 字符串 | CrowdStrike 代理的基本配置 ID。 |
| ConfigIdBuild | 字符串 | 为 CrowdStrike 代理生成配置 ID。 |
| ConfigIdPlatform | 字符串 | CrowdStrike 代理特定于平台的配置 ID。 |
| ConnectionIp | 字符串 | 主机用来连接到 CrowdStrike 云的 IP 地址。 |
| 连接MAC地址 | 字符串 | 用于 CrowdStrike 连接的网络接口的 MAC 地址。 |
| CpuSignature | 字符串 | CPU 体系结构和功能的唯一标识符。 |
| CpuVendor | 字符串 | CPU 制造商。 |
| 默认网关IP地址 (DefaultGatewayIp) | 字符串 | 默认网络网关的 IP 地址。 |
| DeploymentType | 字符串 | 主机上的 CrowdStrike 代理部署类型。 |
| 检测抑制状态 | 字符串 | 应用于主机的检测抑制规则的状态。 |
| DeviceId | 字符串 | CrowdStrike 平台中设备的唯一标识符。 |
| 设备策略 | 动态 | 应用于设备的安全策略列表。 |
| 字符串 | 与主机或主要用户关联的电子邮件地址。 | |
| 外部IP | 字符串 | 主机的外部 IP 地址。 |
| FilesystemContainmentStatus | 字符串 | 主机的文件系统包含功能的状态。 |
| 首次登录时间戳 | 字符串 | 主机上第一个用户登录的时间戳。 |
| FirstSeen | 字符串 | CrowdStrike首次看到主机时的时间戳。 |
| GroupHash | 字符串 | 主机组成员身份的哈希标识符。 |
| 群组 | 动态 | 主机所属的安全组列表。 |
| 主机隐藏状态 | 字符串 | 指示主机是否隐藏在正常可见性中。 |
| 主机名 | 字符串 | 系统的网络主机名。 |
| 主机UTC偏移 | 字符串 | 主机时区的 UTC 时间偏移量。 |
| 实例ID | 字符串 | 云实例标识符(如果适用)。 |
| 互联网暴露 | 字符串 | 主机的互联网暴露级别。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| K8sClusterGitVersion | 字符串 | Kubernetes 群集部署的 Git 版本。 |
| K8sClusterId | 字符串 | Kubernetes 群集的唯一标识符。 |
| K8sClusterVersion | 字符串 | Kubernetes 群集的版本。 |
| 内核版本 | 字符串 | 操作系统内核的版本。 |
| LastLoginTimestamp (最后登录时间戳) | 字符串 | 最近用户登录的时间戳。 |
| 最后登录用户ID | 字符串 | 要登录的最后一个用户的用户 ID。 |
| LastLoginUser | 字符串 | 要登录的最后一个用户的用户名。 |
| LastLoginUserSid | 字符串 | 要登录的最后一个用户的安全标识符(SID)。 |
| LastReboot | 字符串 | 上次系统重新启动的时间戳。 |
| LastSeen | 字符串 | CrowdStrike最后一次看到主机处于活动状态的时间戳。 |
| LinuxSensorMode | 字符串 | Linux 系统上 CrowdStrike 传感器的操作模式。 |
| LocalIp | 字符串 | 主机的本地/内部 IP 地址。 |
| Mac 地址 | 字符串 | 主机的主 MAC 地址。 |
| MachineDomain | 字符串 | 计算机加入的域名。 |
| MajorVersion | 字符串 | 操作系统的主要版本号。 |
| ManagedApps | 动态 | 主机上由 CrowdStrike 管理的应用程序列表。 |
| Meta | 动态 | 有关主机的其他元数据。 |
| 迁移完成时间 | 字符串 | 代理迁移完成时的时间戳。 |
| MinorVersion | 字符串 | 操作系统的次要版本号。 |
| 修改时间戳 | 字符串 | 上次修改主机记录时的时间戳。 |
| 注释 | 动态 | 有关主机的自定义笔记或注释。 |
| OsBuild | 字符串 | 操作系统的内部版本号。 |
| OsProductName | 字符串 | 操作系统的产品名称。 |
| OsVersion | 字符串 | 操作系统的版本字符串。 |
| Ou | 动态 | 主机的组织单位信息。 |
| PlatformId | 字符串 | 平台类型的唯一标识符。 |
| PlatformName | 字符串 | 平台的名称。 |
| PodAnnotations | 动态 | 与主机关联的 Kubernetes Pod 注释。 |
| PodHostIp4 | 字符串 | Kubernetes Pod 主机的 IPv4 地址。 |
| PodHostIp6 | 字符串 | Kubernetes Pod 主机的 IPv6 地址。 |
| PodHostname | 字符串 | Kubernetes Pod 的主机名。 |
| PodId | 字符串 | Kubernetes Pod 的唯一标识符。 |
| PodIp4 | 字符串 | 分配给 Kubernetes Pod 的 IPv4 地址。 |
| PodIp6 | 字符串 | 分配给 Kubernetes Pod 的 IPv6 地址。 |
| PodLabels | 动态 | 分配给 Kubernetes Pod 的标签。 |
| PodName | 字符串 | Kubernetes Pod 的名称。 |
| PodNamespace | 字符串 | 部署 Pod 的 Kubernetes 命名空间。 |
| PodServiceAccountName | 字符串 | Pod 使用的 Kubernetes 服务帐户的名称。 |
| 指针大小 | 字符串 | 系统体系结构的内存指针大小(32/64 位)。 |
| 策略 | 动态 | 应用于主机的所有安全策略的列表。 |
| 产品类型 | 字符串 | 产品或系统的类型(数字标识符)。 |
| 产品类型描述 | 字符串 | 产品或系统类型的说明。 |
| ProvisionStatus | 字符串 | 主机的当前预配状态。 |
| 功能受限模式 | 字符串 | 指示主机是否以缩减功能模式运行。 |
| ReleaseGroup | 字符串 | 软件发布管理的组标识符。 |
| RtrState | 字符串 | 实时响应功能的状态。 |
| 序列号 | 字符串 | BIOS/硬件的系统序列号。 |
| ServicePackMajor | 字符串 | 已安装服务包的主要版本。 |
| ServicePackMinor | 字符串 | 已安装服务包的次要版本。 |
| 服务提供商 | 字符串 | 托管系统的云服务提供商。 |
| 服务提供商账号ID (ServiceProviderAccountId) | 字符串 | 来自云服务提供商的帐户标识符。 |
| 网站名称 | 字符串 | 主机所在的站点的名称。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 状态 | 字符串 | 主机的当前作业状态。 |
| 系统制造商 | 字符串 | 系统硬件制造商。 |
| SystemProductName | 字符串 | 系统的产品名称或模型。 |
| 标记 | 动态 | 分配给主机的自定义标记。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 主机数据被摄取时的时间戳(UTC)。 |
| 类型 | 字符串 | 表的名称 |