CloudAuditEvents(미리 보기)
적용 대상:
- Microsoft Defender XDR
고급 헌팅 스키마의 테이블에는 CloudAuditEvents organization 클라우드용 Microsoft Defender 의해 보호되는 다양한 클라우드 플랫폼에 대한 클라우드 감사 이벤트에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
ReportId |
string |
이벤트에 대한 고유 식별자 |
DataSource |
string |
클라우드 감사 이벤트의 데이터 원본은 GCP(Google Cloud Platform의 경우), AWS(Amazon Web Services의 경우), Azure(Azure Resource Manager), Kubernetes 감사(Kubernetes의 경우) 또는 기타 클라우드 플랫폼일 수 있습니다. |
ActionType |
string |
이벤트를 트리거한 활동 유형은 알 수 없음, 만들기, 읽기, 업데이트, 삭제, 기타일 수 있습니다. |
OperationName |
string |
감사 이벤트 작업 이름은 레코드에 표시되며 일반적으로 리소스 유형과 작업을 모두 포함합니다. |
ResourceId |
string |
액세스된 클라우드 리소스의 고유 식별자 |
IPAddress |
string |
클라우드 리소스 또는 컨트롤 플레인에 액세스하는 데 사용되는 클라이언트 IP 주소 |
IsAnonymousProxy |
boolean |
IP 주소가 알려진 익명 프록시(1) 또는 아니요(0)에 속하는지 여부를 나타냅니다. |
CountryCode |
string |
클라이언트 IP 주소가 지리적으로 할당된 국가를 나타내는 두 글자 코드 |
City |
string |
클라이언트 IP 주소가 지리적으로 할당된 도시 |
Isp |
string |
IP 주소와 연결된 ISP(인터넷 서비스 공급자) |
UserAgent |
string |
웹 브라우저 또는 기타 클라이언트 애플리케이션의 사용자 에이전트 정보 |
RawEventData |
dynamic |
데이터 원본의 전체 원시 이벤트 정보(JSON 형식) |
AdditionalFields |
dynamic |
감사 이벤트에 대한 추가 정보 |
샘플 쿼리
지난 7일 동안 수행된 VM 만들기 명령의 샘플 목록을 얻으려면 다음을 수행합니다.
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10