CloudAuditEvents (Vorschau)
Gilt für:
- Microsoft Defender XDR
Die CloudAuditEvents
Tabelle im Schema der erweiterten Suche enthält Informationen zu Cloudüberwachungsereignissen für verschiedene Cloudplattformen, die durch die Microsoft Defender für Cloud des organization geschützt sind. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
Spaltenname | Datentyp | Beschreibung |
---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses |
ReportId |
string |
Eindeutiger Bezeichner für das Ereignis |
DataSource |
string |
Die Datenquelle für die Cloudüberwachungsereignisse kann GCP (für Google Cloud Platform), AWS (für Amazon Web Services), Azure (für Azure Resource Manager), Kubernetes Audit (für Kubernetes) oder andere Cloudplattformen sein. |
ActionType |
string |
Der Typ der Aktivität, die das Ereignis ausgelöst hat, kann sein: Unbekannt, Erstellen, Lesen, Aktualisieren, Löschen, Sonstige |
OperationName |
string |
Name des Überwachungsereignisvorgangs, wie er im Datensatz angezeigt wird, enthält in der Regel sowohl Ressourcentyp als auch Vorgang. |
ResourceId |
string |
Eindeutiger Bezeichner der Cloudressource, auf die zugegriffen wird |
IPAddress |
string |
Die Client-IP-Adresse, die für den Zugriff auf die Cloudressource oder steuerungsebene verwendet wird |
IsAnonymousProxy |
boolean |
Gibt an, ob die IP-Adresse zu einem bekannten anonymen Proxy (1) oder nein (0) gehört. |
CountryCode |
string |
Aus zwei Buchstaben bestehender Code, der das Land angibt, in dem die Ip-Adresse des Clients geolokalisiert ist |
City |
string |
Ort, in dem die Client-IP-Adresse geolokal ist |
Isp |
string |
Internetdienstanbieter (ISP), der der IP-Adresse zugeordnet ist |
UserAgent |
string |
Benutzer-Agent-Informationen aus dem Webbrowser oder einer anderen Clientanwendung |
RawEventData |
dynamic |
Vollständige Unformatierte Ereignisinformationen aus der Datenquelle im JSON-Format |
AdditionalFields |
dynamic |
Zusätzliche Informationen zum Überwachungsereignis |
Beispielabfrage
So rufen Sie eine Beispielliste der Vm-Erstellungsbefehle ab, die in den letzten sieben Tagen ausgeführt wurden:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10