CloudAuditEvents (anteprima)
Si applica a:
- Microsoft Defender XDR
La CloudAuditEvents tabella nello schema di ricerca avanzata contiene informazioni sugli eventi di controllo cloud per varie piattaforme cloud protette dal Microsoft Defender dell'organizzazione per il cloud. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
ReportId |
string |
Identificatore univoco per l'evento |
DataSource |
string |
L'origine dati per gli eventi di controllo cloud può essere GCP (per Google Cloud Platform), AWS (per Amazon Web Services), Azure (per Azure Resource Manager), Controllo Kubernetes (per Kubernetes) o altre piattaforme cloud |
ActionType |
string |
Il tipo di attività che ha attivato l'evento può essere: Sconosciuto, Crea, Leggi, Aggiorna, Elimina, Altro |
OperationName |
string |
Controlla il nome dell'operazione dell'evento come viene visualizzato nel record, in genere include sia il tipo di risorsa che l'operazione |
ResourceId |
string |
Identificatore univoco della risorsa cloud a cui si accede |
IPAddress |
string |
Indirizzo IP client usato per accedere alla risorsa cloud o al piano di controllo |
IsAnonymousProxy |
boolean |
Indica se l'indirizzo IP appartiene a un proxy anonimo noto (1) o no (0) |
CountryCode |
string |
Codice di due lettere che indica il paese in cui l'indirizzo IP del client è geolocalato |
City |
string |
Città in cui l'indirizzo IP del client è geolocalato |
Isp |
string |
Provider di servizi Internet (ISP) associato all'indirizzo IP |
UserAgent |
string |
Informazioni sull'agente utente dal Web browser o da un'altra applicazione client |
RawEventData |
dynamic |
Informazioni complete sugli eventi non elaborati dall'origine dati in formato JSON |
AdditionalFields |
dynamic |
Informazioni aggiuntive sull'evento di controllo |
Query di esempio
Per ottenere un elenco di esempio dei comandi di creazione della macchina virtuale eseguiti negli ultimi sette giorni:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10