Freigeben über


CloudAuditEvents (Vorschau)

Gilt für:

  • Microsoft Defender XDR

Die CloudAuditEvents Tabelle im Schema der erweiterten Suche enthält Informationen zu Cloudüberwachungsereignissen für verschiedene Cloudplattformen, die durch die Microsoft Defender für Cloud des organization geschützt sind. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
ReportId string Eindeutiger Bezeichner für das Ereignis
DataSource string Die Datenquelle für die Cloudüberwachungsereignisse kann GCP (für Google Cloud Platform), AWS (für Amazon Web Services), Azure (für Azure Resource Manager), Kubernetes Audit (für Kubernetes) oder andere Cloudplattformen sein.
ActionType string Der Typ der Aktivität, die das Ereignis ausgelöst hat, kann sein: Unbekannt, Erstellen, Lesen, Aktualisieren, Löschen, Sonstige
OperationName string Name des Überwachungsereignisvorgangs, wie er im Datensatz angezeigt wird, enthält in der Regel sowohl Ressourcentyp als auch Vorgang.
ResourceId string Eindeutiger Bezeichner der Cloudressource, auf die zugegriffen wird
IPAddress string Die Client-IP-Adresse, die für den Zugriff auf die Cloudressource oder steuerungsebene verwendet wird
IsAnonymousProxy boolean Gibt an, ob die IP-Adresse zu einem bekannten anonymen Proxy (1) oder nein (0) gehört.
CountryCode string Aus zwei Buchstaben bestehender Code, der das Land angibt, in dem die Ip-Adresse des Clients geolokalisiert ist
City string Ort, in dem die Client-IP-Adresse geolokal ist
Isp string Internetdienstanbieter (ISP), der der IP-Adresse zugeordnet ist
UserAgent string Benutzer-Agent-Informationen aus dem Webbrowser oder einer anderen Clientanwendung
RawEventData dynamic Vollständige Unformatierte Ereignisinformationen aus der Datenquelle im JSON-Format
AdditionalFields dynamic Zusätzliche Informationen zum Überwachungsereignis

Beispielabfrage

So rufen Sie eine Beispielliste der Vm-Erstellungsbefehle ab, die in den letzten sieben Tagen ausgeführt wurden:

CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10