• 事件概述：2024 年 7 月 19 日，CrowdStrike 因 Windows 系统传感器配置更新出错导致全球系统崩溃和蓝屏，影响约 15%-20%的系统和组织，约 850 万设备受影响，涉及航空、医疗和金融等多个行业，Delta 航空公司仍在恢复中。CrowdStrike 与微软合作提供修复步骤，受影响机器需手动删除故障.sys 文件。
• Bitsight 调查：Bitsight 利用其多样数据集和能力，研究此次事件。通过查看 CrowdStrike 相关 IP 地址的流量样本，发现每日新连接 CrowdStrike Falcon 服务器的唯一 IP 数量快速下降，确认 Falcon 代理的频繁更新请求。观察数据包和字节数，发现 7 月 16 日左右有流量峰值，7 月 19 日有下降。独特 IP 数量在 7 月 16 日 22 点左右有尖峰，之后下降，周末也有类似下降，且组织数量也有类似下降。
• 结论：从数据角度看，7 月 16 日 22 点有流量尖峰后出流量下降，7 月 19 日后连接 CrowdStrike Falcon 服务器的唯一 IP 和组织数量下降 15%-20%。虽不能推断 16 日流量模式变化的根本原因，但引发对 16 日观察与 19 日出事的相关性疑问，全球组织应注重技术卫生，系统管理员应尽快修复服务器。