CrowdStrikeHosts 表包含已导入 Microsoft Sentinel 的 CrowdStrike Hosts API 中的日志。
数据表属性
| 特征 |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时转换 |
否 |
|
示例查询 |
- |
列
| 列 |
类型 |
DESCRIPTION |
| AgentLoadFlags |
字符串 |
标志指示 CrowdStrike 代理加载状态。 |
| AgentLocalTime |
字符串 |
安装代理的系统本地时间。 |
| AgentVersion |
字符串 |
已安装的 CrowdStrike 代理的版本。 |
| BaseImageVersion |
字符串 |
基础作业系统映像的版本。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| BIOS制造商 |
字符串 |
系统 BIOS 的制造商。 |
| BIOS版本 |
字符串 |
系统 BIOS 的版本。 |
| BuildNumber |
字符串 |
作系统内部版本号。 |
| 机箱类型 |
字符串 |
系统底盘的类型(数字标识符)。 |
| 机箱类型描述 |
字符串 |
系统底盘类型的说明。 |
| Cid |
字符串 |
CrowdStrike平台上的Cid。 |
| ConfigIdBase |
字符串 |
CrowdStrike 代理的基本配置 ID。 |
| ConfigIdBuild |
字符串 |
为 CrowdStrike 代理生成配置 ID。 |
| ConfigIdPlatform |
字符串 |
特定于平台的 CrowdStrike 代理配置 ID。 |
| ConnectionIp |
字符串 |
主机用来连接到 CrowdStrike 云的 IP 地址。 |
| ConnectionMacAddress |
字符串 |
用于 CrowdStrike 连接的网络接口的 MAC 地址。 |
| CpuSignature |
字符串 |
CPU 体系结构和功能的唯一标识符。 |
| CpuVendor |
字符串 |
CPU 制造商。 |
| 默认网关IP |
字符串 |
默认网络网关的 IP 地址。 |
| DeploymentType |
字符串 |
主机上的 CrowdStrike 代理部署类型。 |
| 检测抑制状态 |
字符串 |
应用于主机的检测抑制规则的状态。 |
| DeviceId |
字符串 |
CrowdStrike 平台中设备的唯一标识符。 |
| 设备策略 |
动态的 |
应用于设备的安全策略列表。 |
| Email |
字符串 |
与主机或主要用户关联的电子邮件地址。 |
| 外部IP |
字符串 |
主机的外部 IP 地址。 |
| 文件系统封闭状态 |
字符串 |
主机文件系统隔离功能的状态。 |
| 首次登录时间戳 |
字符串 |
主机上第一个用户登录的时间戳。 |
| FirstSeen |
字符串 |
CrowdStrike首次检测到主机的时间戳。 |
| GroupHash(组哈希) |
字符串 |
用于识别主机组成员身份的哈希标识符。 |
| 群组 |
动态的 |
主机所属的安全组列表。 |
| HostHiddenStatus |
字符串 |
显示主机是否在常规可见范围之外。 |
| 主机名 |
字符串 |
系统的网络主机名。 |
| 主机UTC偏移 |
字符串 |
主机时区的 UTC 时间偏移量。 |
| 实例ID |
字符串 |
云实例标识符(如果适用)。 |
| 网络暴露 |
字符串 |
主机的互联网曝光级别。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| K8sClusterGitVersion |
字符串 |
Kubernetes 群集部署的 Git 版本。 |
| K8sClusterId |
字符串 |
Kubernetes 群集的唯一标识符。 |
| K8sClusterVersion |
字符串 |
Kubernetes 集群的版本。 |
| 内核版本 |
字符串 |
操作系统内核的版本。 |
| 最后登录时间戳 |
字符串 |
最近用户登录的时间戳。 |
| 最后登录用户ID (LastLoginUid) |
字符串 |
要登录的最后一个用户的用户 ID。 |
| 最后登录用户 |
字符串 |
要登录的最后一个用户的用户名。 |
| LastLoginUserSid |
字符串 |
要登录的最后一个用户的安全标识符(SID)。 |
| 上次重启 |
字符串 |
上次系统重新启动的时间戳。 |
| LastSeen |
字符串 |
上次被 CrowdStrike 发现主机处于活动状态的时间戳。 |
| LinuxSensorMode |
字符串 |
Linux 系统上 CrowdStrike 传感器的工作模式。 |
| 本地IP |
字符串 |
主机的本地/内部 IP 地址。 |
| Mac 地址 |
字符串 |
主机的主 MAC 地址。 |
| MachineDomain |
字符串 |
计算机加入的域名。 |
| MajorVersion |
字符串 |
操作系统的主要版本号。 |
| ManagedApps |
动态的 |
主机上由 CrowdStrike 管理的应用程序列表。 |
| Meta |
动态的 |
有关主机的其他元数据。 |
| MigrationCompletedTime |
字符串 |
代理迁移完成时的时间戳。 |
| MinorVersion |
字符串 |
操作系统的次要版本号。 |
| 修改时间戳 |
字符串 |
上次修改主机记录时的时间戳。 |
| 注释 |
动态的 |
有关主机的自定义笔记或注释。 |
| OsBuild |
字符串 |
作系统的内部版本号。 |
| OsProductName |
字符串 |
操作系统的产品名称。 |
| OsVersion |
字符串 |
操作系统版本字符串。 |
| Ou |
动态的 |
主机的组织单位信息。 |
| PlatformId |
字符串 |
平台类型的唯一标识符。 |
| PlatformName |
字符串 |
平台的名称。 |
| PodAnnotations |
动态的 |
与主机关联的 Kubernetes Pod 注释。 |
| PodHostIp4 |
字符串 |
Kubernetes Pod 主机的 IPv4 地址。 |
| PodHostIp6 |
字符串 |
Kubernetes Pod 主机的 IPv6 地址。 |
| PodHostname |
字符串 |
Kubernetes Pod 的主机名。 |
| PodId |
字符串 |
Kubernetes Pod 的唯一标识符。 |
| PodIp4 |
字符串 |
分配给 Kubernetes Pod 的 IPv4 地址。 |
| PodIp6 |
字符串 |
分配给 Kubernetes Pod 的 IPv6 地址。 |
| PodLabels |
动态的 |
分配给 Kubernetes Pod 的标签。 |
| PodName |
字符串 |
Kubernetes Pod 的名称。 |
| PodNamespace |
字符串 |
部署 Pod 的 Kubernetes 命名空间。 |
| PodServiceAccountName |
字符串 |
Pod 使用的 Kubernetes 服务帐户的名称。 |
| 指针大小 |
字符串 |
系统体系结构的内存指针大小(32/64 位)。 |
| 策略 |
动态的 |
应用于主机的所有安全策略的列表。 |
| 产品类型 |
字符串 |
产品或系统的类型(数字标识符)。 |
| 产品类型描述 |
字符串 |
产品或系统类型的说明。 |
| ProvisionStatus |
字符串 |
主机的当前预配状态。 |
| 简化功能模式 |
字符串 |
指示主机是否以缩减功能模式运行。 |
| ReleaseGroup |
字符串 |
软件发布管理的组标识符。 |
| RtrState |
字符串 |
实时响应功能的状态。 |
| 序列号 |
字符串 |
BIOS/硬件的系统序列号。 |
| ServicePackMajor |
字符串 |
已安装服务包的主要版本。 |
| ServicePackMinor |
字符串 |
已安装服务包的小版本。 |
| 服务提供商 |
字符串 |
托管系统的云服务提供商。 |
| 服务提供商账户ID |
字符串 |
来自云服务提供商的帐户标识符。 |
| 网站名称 |
字符串 |
主机所在的站点的名称。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 状态 |
字符串 |
主机的当前作业状态。 |
| SystemManufacturer |
字符串 |
系统硬件制造商。 |
| SystemProductName |
字符串 |
系统的产品名称或模型。 |
| 标记 |
动态的 |
分配给主机的自定义标签。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
引入主机数据时的时间戳(UTC)。 |
| 类型 |
字符串 |
表的名称 |