CloudAuditEvents (Preview)
Platí pro:
- Microsoft Defender XDR
Tabulka CloudAuditEvents ve schématu rozšířeného proaktivního proaktivního vyhledávání obsahuje informace o událostech auditu cloudu pro různé cloudové platformy chráněné Microsoft Defender organizace pro cloud. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
ReportId |
string |
Jedinečný identifikátor události |
DataSource |
string |
Zdrojem dat pro události auditu cloudu může být GCP (pro Google Cloud Platform), AWS (pro Amazon Web Services), Azure (pro Azure Resource Manager), Kubernetes Audit (pro Kubernetes) nebo jiné cloudové platformy. |
ActionType |
string |
Typ aktivity, která aktivovala událost, může být: Neznámý, Vytvořit, Číst, Aktualizovat, Odstranit, Jiné |
OperationName |
string |
Název operace auditování události tak, jak se zobrazuje v záznamu, obvykle zahrnuje typ prostředku i operaci. |
ResourceId |
string |
Jedinečný identifikátor cloudového prostředku, ke které se přistupuje |
IPAddress |
string |
IP adresa klienta použitá pro přístup ke cloudovému prostředku nebo řídicí rovině |
IsAnonymousProxy |
boolean |
Určuje, jestli IP adresa patří známému anonymnímu proxy serveru (1) nebo ne (0). |
CountryCode |
string |
Dvoumísmenný kód označující zemi, ve které je IP adresa klienta geografickylokovaná |
City |
string |
Město, ve kterém je IP adresa klienta geograficky přidělená |
Isp |
string |
Poskytovatel internetových služeb přidružený k IP adrese |
UserAgent |
string |
Informace o uživatelském agentu z webového prohlížeče nebo jiné klientské aplikace |
RawEventData |
dynamic |
Úplné nezpracované informace o událostech ze zdroje dat ve formátu JSON |
AdditionalFields |
dynamic |
Další informace o události auditu |
Ukázkový dotaz
Pokud chcete získat ukázkový seznam příkazů pro vytvoření virtuálních počítačů provedených za posledních 7 dnů:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10