CloudAuditEvents (versión preliminar)
Se aplica a:
- Microsoft Defender XDR
La CloudAuditEvents tabla del esquema de búsqueda avanzada contiene información sobre los eventos de auditoría en la nube para varias plataformas en la nube protegidas por la Microsoft Defender de la organización para la nube. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
ReportId |
string |
Identificador único del evento |
DataSource |
string |
El origen de datos para los eventos de auditoría en la nube puede ser GCP (para Google Cloud Platform), AWS (para Amazon Web Services), Azure (para Azure Resource Manager), Kubernetes Audit (para Kubernetes) u otras plataformas en la nube. |
ActionType |
string |
El tipo de actividad que desencadenó el evento puede ser: Desconocido, Crear, Leer, Actualizar, Eliminar, Otros |
OperationName |
string |
Nombre de la operación de evento de auditoría tal como aparece en el registro, normalmente incluye tanto el tipo de recurso como la operación. |
ResourceId |
string |
Identificador único del recurso en la nube al que se accede |
IPAddress |
string |
La dirección IP del cliente que se usa para acceder al recurso en la nube o al plano de control |
IsAnonymousProxy |
boolean |
Indica si la dirección IP pertenece a un proxy anónimo conocido (1) o no (0) |
CountryCode |
string |
Código de dos letras que indica el país donde la dirección IP del cliente está geolocalizada |
City |
string |
Ciudad donde la dirección IP del cliente está geolocalizada |
Isp |
string |
Proveedor de servicios de Internet (ISP) asociado a la dirección IP |
UserAgent |
string |
Información del agente de usuario desde el explorador web u otra aplicación cliente |
RawEventData |
dynamic |
Información completa de eventos sin procesar del origen de datos en formato JSON |
AdditionalFields |
dynamic |
Información adicional sobre el evento de auditoría |
Consulta de ejemplo
Para obtener una lista de ejemplo de los comandos de creación de máquinas virtuales realizados en los últimos siete días:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10