CloudAuditEvents (wersja zapoznawcza)
Dotyczy:
- Microsoft Defender XDR
Tabela CloudAuditEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o zdarzeniach inspekcji chmury dla różnych platform w chmurze chronionych przez organizację Microsoft Defender for Cloud. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
ReportId |
string |
Unikatowy identyfikator zdarzenia |
DataSource |
string |
Źródłem danych zdarzeń inspekcji w chmurze może być GCP (dla platformy Google Cloud Platform), AWS (dla usług Amazon Web Services), Azure (dla platformy Azure Resource Manager), Inspekcja Kubernetes (dla platformy Kubernetes) lub inne platformy w chmurze |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie, może być: Nieznany, Tworzenie, Odczyt, Aktualizacja, Usuń, Inne |
OperationName |
string |
Nazwa operacji inspekcji zdarzenia wyświetlana w rekordzie zwykle obejmuje zarówno typ zasobu, jak i operację |
ResourceId |
string |
Unikatowy identyfikator zasobu w chmurze, do których uzyskano dostęp |
IPAddress |
string |
Adres IP klienta używany do uzyskiwania dostępu do zasobu chmury lub płaszczyzny sterowania |
IsAnonymousProxy |
boolean |
Wskazuje, czy adres IP należy do znanego anonimowego serwera proxy (1), czy nie (0) |
CountryCode |
string |
Dwuliterowy kod wskazujący kraj, w którym adres IP klienta jest geolokalizowany |
City |
string |
Miasto, w którym adres IP klienta jest geolokalizowany |
Isp |
string |
Dostawca usług internetowych (ISP) skojarzony z adresem IP |
UserAgent |
string |
Informacje o agentze użytkownika z przeglądarki internetowej lub innej aplikacji klienckiej |
RawEventData |
dynamic |
Pełne nieprzetworzone informacje o zdarzeniu ze źródła danych w formacie JSON |
AdditionalFields |
dynamic |
Dodatkowe informacje o zdarzeniu inspekcji |
Przykładowe zapytanie
Aby uzyskać przykładową listę poleceń tworzenia maszyn wirtualnych wykonanych w ciągu ostatnich siedmiu dni:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10