次の方法で共有


AWSCloudTrail

Sentinel のコネクタから取り込まれた CloudTrail ログには、Amazon Wev Services アカウントのすべてのデータと管理イベントが保持されます。

テーブル属性

属性 Value
リソースの種類 -
Categories (カテゴリ) セキュリティ
ソリューション SecurityInsights
基本的なログ いいえ
インジェスト時間変換 はい
サンプル クエリ はい

タイプ 説明
AdditionalEventData string 要求または応答の一部ではなかったイベントに関する追加データ。
APIVersion string AwsApiCall eventType 値に関連付けられている API バージョンを識別します。
AwsEventId string 各イベントを一意に識別するために CloudTrail によって生成される GUID。 この値を使用して、1 つのイベントを識別できます。
AWSRegion string 要求が行われた AWS リージョン。
AwsRequestId string 非推奨の場合は、代わりにAwsRequestId_を使用してください。
AwsRequestId_ string 要求を識別する値。 呼び出されるサービスによってこの値が生成されます。
_BilledSize real レコード サイズ (バイト単位)
カテゴリ string LookupEvents 呼び出しで使用されるイベント カテゴリを示します。
CidrIp string CIDR IP は CloudTrail の RequestParameters の下にあり、セキュリティ グループ規則の IP アクセス許可を指定するために使用されます。 IPv4 CIDR 範囲。
CipherSuite string 省略可能。 tlsDetails の一部。 要求の暗号スイート (使用されるセキュリティ アルゴリズムの組み合わせ)。
ClientProvidedHostHeader string 省略可能。 tlsDetails の一部。 サービス API 呼び出しで使用されるクライアント指定のホスト名。通常はサービス エンドポイントの FQDN です。
DestinationPort string DestinationPort は CloudTrail の RequestParameters の下にあり、セキュリティ グループ規則の IP アクセス許可を指定するために使用されます。 TCP および UDP プロトコルのポート範囲の末尾、または ICMP コード。
EC2RoleDelivery string セッションを発行したユーザーまたはロールのフレンドリ名。
ErrorCode string 要求からエラーが返された場合の AWS サービス エラー。
ErrorMessage string エラーの説明 (使用可能な場合)。 このメッセージには、承認エラーのメッセージが含まれます。 CloudTrail は、例外処理でサービスによってログに記録されたメッセージをキャプチャします。
EventName string 要求されたアクション。これは、そのサービスの API のアクションの 1 つです。
EventSource string 要求が行われたサービス。 通常、この名前は、スペースに .amazonaws.com を加えた短い形式のサービス名です。
EventTypeName string イベント レコードを生成したイベントの種類を識別します。 AwsApiCall、AwsServiceEvent、AwsConsoleAction、AwsConsoleSignIn のいずれかの値を指定できます。
EventVersion string ログ イベント形式のバージョン。
IpProtocol string IP プロトコルは CloudTrail の RequestParameters の下にあり、セキュリティ グループ規則の IP アクセス許可を指定するために使用されます。 IP プロトコルの名前または番号。 有効な値は、tcp、udp、icmp、またはプロトコル番号です。
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
ManagementEvent [bool] イベントが管理イベントであるかどうかを識別するブール値。
OperationName string 定数値: CloudTrail。
ReadOnly [bool] この操作が読み取り専用操作であるかどうかを識別します。
RecipientAccountId string このイベントを受信したアカウント ID を表します。 recipientAccountID は、CloudTrail userIdentity 要素 accountId とは異なる場合があります。 これは、クロスアカウント リソース アクセスで発生する可能性があります。
RequestParameters string 要求と共に送信されたパラメーター (存在する場合)。 これらのパラメーターは、適切な AWS サービスの API リファレンス ドキュメントに記載されています。
リソース string イベントでアクセスされるリソースの一覧。
ResponseElements string 変更 (アクションの作成、更新、または削除) を行うアクションの応答要素。 アクションが状態を変更しない場合 (オブジェクトを取得または一覧表示する要求など)、この要素は省略されます。
ServiceEventDetails string イベントのトリガーや結果など、サービス イベントを識別します。
SessionCreationDate datetime 一時的なセキュリティ資格情報が発行された日時。
SessionIssuerAccountId string 資格情報の取得に使用されたエンティティを所有するアカウント。
SessionIssuerArn string 一時的なセキュリティ資格情報を取得するために使用されたソース (アカウント、IAM ユーザー、またはロール) の ARN。
SessionIssuerPrincipalId string 資格情報の取得に使用されたエンティティの内部 ID。
SessionIssuerType string ルート、IAMUser、ロールなどの一時的なセキュリティ資格情報のソース。
SessionIssuerUserName string セッションを発行したユーザーまたはロールのフレンドリ名。
SessionMfaAuthenticated [bool] この値は、要求に資格情報が使用されたルート ユーザーまたは IAM ユーザーも MFA デバイスで認証された場合に true になります。それ以外の場合は false。
SharedEventId string 異なる AWS アカウントに送信されるのと同じ AWS アクションから CloudTrail イベントを一意に識別するために CloudTrail によって生成された GUID。
SourceIpAddress string 要求が行われた IP アドレス。 サービス コンソールから送信されたアクションの場合、報告されるアドレスは、コンソール Web サーバーではなく、基になる顧客リソース用です。 AWS のサービスの場合、DNS 名のみが表示されます。
SourcePort string SourcePort は CloudTrail の RequestParameters の下にあり、セキュリティ グループ規則の IP アクセス許可を指定するために使用されます。 TCP および UDP プロトコルのポート範囲の開始、または ICMP タイプ番号。
SourceSystem string イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
TenantId string Log Analytics ワークスペース ID
TimeGenerated datetime タイムスタンプ (UTC)。 イベントのタイム スタンプは、API 呼び出しが行われたサービス API エンドポイントを提供するローカル ホストから取得されます。
TlsVersion string 省略可能。 tlsDetails の一部。 要求の TLS バージョン。
種類 string テーブルの名前
UserAgent string AWS マネジメントコンソール、AWS サービス、AWS SDK、AWS CLI など、要求が行われたエージェント。
UserIdentityAccessKeyId string 要求の署名に使用されたアクセス キー ID。
UserIdentityAccountId string 要求のアクセス許可を付与したエンティティを所有するアカウント。
UserIdentityArn string 呼び出しを行ったプリンシパルの Amazon リソース名 (ARN)。
UserIdentityInvokedBy string 要求を行った AWS サービスの名前。
UserIdentityPrincipalid string 呼び出しを行ったエンティティの一意識別子。
UserIdentityType string ID の型。 可能な値は、Root、IAMUser、AssumedRole、FederatedUser、Directory、AWSAccount、AWSService、Unknown です。
UserIdentityUserName string 呼び出しを行った ID の名前。
VpcEndpointId string VPC から別の AWS サービスへの要求が行われた VPC エンドポイントを識別します。