CrowdStrikeHosts 表包含已导入 Microsoft Sentinel 的 CrowdStrike Hosts API 中的日志。
数据表属性
特征 |
价值 |
资源类型 |
- |
类别 |
安全性 |
解决方案 |
SecurityInsights |
基本日志 |
是的 |
引入时转换 |
否 |
示例查询 |
- |
列
列 |
类型 |
DESCRIPTION |
AgentLoadFlags |
字符串 |
标志指示 CrowdStrike 代理加载状态。 |
AgentLocalTime |
字符串 |
安装代理的系统本地时间。 |
AgentVersion |
字符串 |
已安装的 CrowdStrike 代理的版本。 |
BaseImageVersion |
字符串 |
基础作业系统映像的版本。 |
_BilledSize(账单大小) |
真实 |
记录大小(字节) |
BIOS制造商 |
字符串 |
系统 BIOS 的制造商。 |
BIOS版本 |
字符串 |
系统 BIOS 的版本。 |
BuildNumber |
字符串 |
作系统内部版本号。 |
机箱类型 |
字符串 |
系统底盘的类型(数字标识符)。 |
机箱类型描述 |
字符串 |
系统底盘类型的说明。 |
Cid |
字符串 |
CrowdStrike平台上的Cid。 |
ConfigIdBase |
字符串 |
CrowdStrike 代理的基本配置 ID。 |
ConfigIdBuild |
字符串 |
为 CrowdStrike 代理生成配置 ID。 |
ConfigIdPlatform |
字符串 |
特定于平台的 CrowdStrike 代理配置 ID。 |
ConnectionIp |
字符串 |
主机用来连接到 CrowdStrike 云的 IP 地址。 |
ConnectionMacAddress |
字符串 |
用于 CrowdStrike 连接的网络接口的 MAC 地址。 |
CpuSignature |
字符串 |
CPU 体系结构和功能的唯一标识符。 |
CpuVendor |
字符串 |
CPU 制造商。 |
默认网关IP |
字符串 |
默认网络网关的 IP 地址。 |
DeploymentType |
字符串 |
主机上的 CrowdStrike 代理部署类型。 |
检测抑制状态 |
字符串 |
应用于主机的检测抑制规则的状态。 |
DeviceId |
字符串 |
CrowdStrike 平台中设备的唯一标识符。 |
设备策略 |
动态的 |
应用于设备的安全策略列表。 |
Email |
字符串 |
与主机或主要用户关联的电子邮件地址。 |
外部IP |
字符串 |
主机的外部 IP 地址。 |
文件系统封闭状态 |
字符串 |
主机文件系统隔离功能的状态。 |
首次登录时间戳 |
字符串 |
主机上第一个用户登录的时间戳。 |
FirstSeen |
字符串 |
CrowdStrike首次检测到主机的时间戳。 |
GroupHash(组哈希) |
字符串 |
用于识别主机组成员身份的哈希标识符。 |
群组 |
动态的 |
主机所属的安全组列表。 |
HostHiddenStatus |
字符串 |
显示主机是否在常规可见范围之外。 |
主机名 |
字符串 |
系统的网络主机名。 |
主机UTC偏移 |
字符串 |
主机时区的 UTC 时间偏移量。 |
实例ID |
字符串 |
云实例标识符(如果适用)。 |
网络暴露 |
字符串 |
主机的互联网曝光级别。 |
_IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
K8sClusterGitVersion |
字符串 |
Kubernetes 群集部署的 Git 版本。 |
K8sClusterId |
字符串 |
Kubernetes 群集的唯一标识符。 |
K8sClusterVersion |
字符串 |
Kubernetes 集群的版本。 |
内核版本 |
字符串 |
操作系统内核的版本。 |
最后登录时间戳 |
字符串 |
最近用户登录的时间戳。 |
最后登录用户ID (LastLoginUid) |
字符串 |
要登录的最后一个用户的用户 ID。 |
最后登录用户 |
字符串 |
要登录的最后一个用户的用户名。 |
LastLoginUserSid |
字符串 |
要登录的最后一个用户的安全标识符(SID)。 |
上次重启 |
字符串 |
上次系统重新启动的时间戳。 |
LastSeen |
字符串 |
上次被 CrowdStrike 发现主机处于活动状态的时间戳。 |
LinuxSensorMode |
字符串 |
Linux 系统上 CrowdStrike 传感器的工作模式。 |
本地IP |
字符串 |
主机的本地/内部 IP 地址。 |
Mac 地址 |
字符串 |
主机的主 MAC 地址。 |
MachineDomain |
字符串 |
计算机加入的域名。 |
MajorVersion |
字符串 |
操作系统的主要版本号。 |
ManagedApps |
动态的 |
主机上由 CrowdStrike 管理的应用程序列表。 |
Meta |
动态的 |
有关主机的其他元数据。 |
MigrationCompletedTime |
字符串 |
代理迁移完成时的时间戳。 |
MinorVersion |
字符串 |
操作系统的次要版本号。 |
修改时间戳 |
字符串 |
上次修改主机记录时的时间戳。 |
注释 |
动态的 |
有关主机的自定义笔记或注释。 |
OsBuild |
字符串 |
作系统的内部版本号。 |
OsProductName |
字符串 |
操作系统的产品名称。 |
OsVersion |
字符串 |
操作系统版本字符串。 |
Ou |
动态的 |
主机的组织单位信息。 |
PlatformId |
字符串 |
平台类型的唯一标识符。 |
PlatformName |
字符串 |
平台的名称。 |
PodAnnotations |
动态的 |
与主机关联的 Kubernetes Pod 注释。 |
PodHostIp4 |
字符串 |
Kubernetes Pod 主机的 IPv4 地址。 |
PodHostIp6 |
字符串 |
Kubernetes Pod 主机的 IPv6 地址。 |
PodHostname |
字符串 |
Kubernetes Pod 的主机名。 |
PodId |
字符串 |
Kubernetes Pod 的唯一标识符。 |
PodIp4 |
字符串 |
分配给 Kubernetes Pod 的 IPv4 地址。 |
PodIp6 |
字符串 |
分配给 Kubernetes Pod 的 IPv6 地址。 |
PodLabels |
动态的 |
分配给 Kubernetes Pod 的标签。 |
PodName |
字符串 |
Kubernetes Pod 的名称。 |
PodNamespace |
字符串 |
部署 Pod 的 Kubernetes 命名空间。 |
PodServiceAccountName |
字符串 |
Pod 使用的 Kubernetes 服务帐户的名称。 |
指针大小 |
字符串 |
系统体系结构的内存指针大小(32/64 位)。 |
策略 |
动态的 |
应用于主机的所有安全策略的列表。 |
产品类型 |
字符串 |
产品或系统的类型(数字标识符)。 |
产品类型描述 |
字符串 |
产品或系统类型的说明。 |
ProvisionStatus |
字符串 |
主机的当前预配状态。 |
简化功能模式 |
字符串 |
指示主机是否以缩减功能模式运行。 |
ReleaseGroup |
字符串 |
软件发布管理的组标识符。 |
RtrState |
字符串 |
实时响应功能的状态。 |
序列号 |
字符串 |
BIOS/硬件的系统序列号。 |
ServicePackMajor |
字符串 |
已安装服务包的主要版本。 |
ServicePackMinor |
字符串 |
已安装服务包的小版本。 |
服务提供商 |
字符串 |
托管系统的云服务提供商。 |
服务提供商账户ID |
字符串 |
来自云服务提供商的帐户标识符。 |
网站名称 |
字符串 |
主机所在的站点的名称。 |
SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager (可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux ,或适用于 Azure Diagnostics 的 Azure 。 |
状态 |
字符串 |
主机的当前作业状态。 |
SystemManufacturer |
字符串 |
系统硬件制造商。 |
SystemProductName |
字符串 |
系统的产品名称或模型。 |
标记 |
动态的 |
分配给主机的自定义标签。 |
租户ID |
字符串 |
Log Analytics 工作区 ID |
TimeGenerated |
日期/时间 |
引入主机数据时的时间戳(UTC)。 |
类型 |
字符串 |
表的名称 |