次の方法で共有


CloudAuditEvents (プレビュー)

適用対象:

  • Microsoft Defender XDR

高度なハンティング スキーマのCloudAuditEvents テーブルには、organizationの Microsoft Defender for Cloud によって保護されているさまざまなクラウド プラットフォームのクラウド監査イベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。

列名 データ型 説明
Timestamp datetime イベントが記録された日付と時刻
ReportId string イベントの一意識別子
DataSource string クラウド監査イベントのデータ ソースには、GCP (Google Cloud Platform 用)、AWS (Amazon Web Services 用)、Azure (Azure Resource Manager用)、Kubernetes Audit (Kubernetes 用)、またはその他のクラウド プラットフォームを指定できます。
ActionType string イベントをトリガーしたアクティビティの種類は、Unknown、Create、Read、Update、Delete、Other のいずれかです。
OperationName string レコードに表示されるイベント操作名を監査します。通常、リソースの種類と操作の両方が含まれます
ResourceId string アクセスされたクラウド リソースの一意識別子
IPAddress string クラウド リソースまたはコントロール プレーンへのアクセスに使用されるクライアント IP アドレス
IsAnonymousProxy boolean IP アドレスが既知の匿名プロキシ (1) に属しているか、存在しないかを示します (0)
CountryCode string クライアント IP アドレスが地理的に割り当てられた国を示す 2 文字のコード
City string クライアント IP アドレスが地理的に割り当てられた市区町村
Isp string IP アドレスに関連付けられているインターネット サービス プロバイダー (ISP)
UserAgent string Web ブラウザーまたはその他のクライアント アプリケーションからのユーザー エージェント情報
RawEventData dynamic JSON 形式のデータ ソースからの完全な生イベント情報
AdditionalFields dynamic 監査イベントに関する追加情報

サンプル クエリ

過去 7 日間に実行された VM 作成コマンドのサンプル リストを取得するには、

CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10