Compartilhar via


AWSCloudTrail

Os logs do CloudTrail, que foram ingeridos do conector do Sentinel, contêm todos os seus dados e eventos de gerenciamento da sua conta do Amazon Wev Services.

Atributos da tabela

Atributo Valor
Tipos de recursos -
Categorias Segurança
Soluções SecurityInsights
Log básico Não
Transformação de tempo de ingestão Sim
Consultas de amostras Sim

Colunas

Coluna Type Descrição
AdditionalEventData string Dados adicionais sobre o evento que não fazia parte da solicitação ou resposta.
APIVersion string Identifica a versão da API associada ao valor AwsApiCall eventType.
AwsEventId string GUID gerado pelo CloudTrail para identificar exclusivamente cada evento. Você pode usar esse valor para identificar um único evento.
AWSRegion string A região da AWS para a qual a solicitação foi feita.
AwsRequestId string obsoleto, use AwsRequestId_ em vez disso.
AwsRequestId_ string O valor que identifica a solicitação. O serviço que está sendo chamado gera esse valor.
_BilledSize real O tamanho do registro em bytes
Categoria string Mostra a categoria de evento usada em chamadas LookupEvents.
CidrIp string O IP CIDR está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O intervalo CIDR IPv4.
CipherSuite string Opcional. Parte de tlsDetails. O conjunto de criptografia (combinação de algoritmos de segurança usados) de uma solicitação.
ClientProvidedHostHeader string Opcional. Parte de tlsDetails. O nome do host fornecido pelo cliente usado na chamada à API de serviço, que normalmente é o FQDN do ponto de extremidade de serviço.
DestinationPort string O DestinationPort está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O fim do intervalo de portas para os protocolos TCP e UDP ou um código ICMP.
EC2RoleDelivery string O nome amigável do usuário ou da função que emitiu a sessão.
ErrorCode string O erro de serviço da AWS se a solicitação retornar um erro.
ErrorMessage string A descrição do erro, quando disponível. Essa mensagem inclui mensagens para falhas de autorização. O CloudTrail captura a mensagem registrada pelo serviço em seu tratamento de exceções.
EventName string A ação solicitada, que é uma das ações na API para esse serviço.
EventSource string O serviço para o qual a solicitação foi feita. Esse nome geralmente é uma forma abreviada do nome do serviço sem espaços mais .amazonaws.com.
EventTypeName string Identifica o tipo de evento que gerou o registro de evento. Pode ser um dos seguintes valores: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn.
Versão do evento string A versão do formato de evento de log.
Protocolo IP string O protocolo IP está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O nome ou número do protocolo IP. Os valores válidos são tcp, udp, icmp ou um número de protocolo.
_IsBillable string Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure
GestãoEvento bool Um valor booliano que identifica se o evento é um evento de gerenciamento.
OperationName string Valor constante: CloudTrail.
ReadOnly bool Identifica se essa operação é uma operação somente leitura.
Identificação da conta do destinatário string Representa a ID da conta que recebeu esse evento. O recipientAccountID pode ser diferente do accountId do elemento userIdentity do CloudTrail. Isso pode ocorrer no acesso a recursos entre contas.
RequestParameters string Os parâmetros, se houver, que foram enviados com a solicitação. Esses parâmetros estão documentados na documentação de referência da API para o serviço da AWS apropriado.
Recursos string Uma lista de recursos acessados no evento.
Elementos de resposta string O elemento de resposta para ações que fazem alterações (ações de criação, atualização ou exclusão). Se uma ação não alterar o estado (por exemplo, uma solicitação para obter ou listar objetos), esse elemento será omitido.
Detalhes do evento de serviço string Identifica o evento de serviço, incluindo o que acionou o evento e o resultado.
DataDeCriação da Sessão datetime A data e a hora em que as credenciais de segurança temporárias foram emitidas.
SessionIssuerAccountId string A conta que possui a entidade que foi usada para obter credenciais.
SessionIssuerArn string O ARN da origem (conta, usuário do IAM ou função) que foi usado para obter credenciais de segurança temporárias.
SessionIssuerPrincipalId string A ID interna da entidade que foi usada para obter credenciais.
SessionIssuerType string A origem das credenciais de segurança temporárias, como Raiz, IAMUser ou Função.
SessionIssuerUserName string O nome amigável do usuário ou da função que emitiu a sessão.
SessionMfaAuthenticated bool O valor será true se o usuário raiz ou usuário do IAM cujas credenciais foram usadas para a solicitação também tiver sido autenticado com um dispositivo MFA; caso contrário, false.
Compartilhado string GUID gerado pelo CloudTrail para identificar exclusivamente eventos do CloudTrail da mesma ação da AWS que é enviada para diferentes contas da AWS.
Endereço de Origem IP string O endereço IP do qual a solicitação foi feita. Para ações originadas do console de serviço, o endereço relatado é para o recurso do cliente subjacente, não para o servidor Web do console. Para serviços na AWS, somente o nome DNS é exibido.
SourcePort string O SourcePort está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O início do intervalo de portas para os protocolos TCP e UDP ou um número do tipo ICMP.
SourceSystem string O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure
TenantId string A ID do workspace do Log Analytics
TimeGenerated datetime O carimbo de data/hora (UTC). O carimbo de data/hora de um evento vem do host local que fornece o ponto de extremidade da API de serviço no qual a chamada de API foi feita.
TlsVersion string Opcional. Parte de tlsDetails. A versão TLS de uma solicitação.
Type string O nome da tabela
UserAgent string O agente por meio do qual a solicitação foi feita, como o Console de Gerenciamento da AWS, um serviço da AWS, os SDKs da AWS ou a AWS CLI.
UserIdentityAccessKeyId string A ID da chave de acesso que foi usada para assinar a solicitação.
UserIdentityAccountId string A conta que possui a entidade que concedeu permissões para a solicitação.
UserIdentityArn string O nome de recurso da Amazon (ARN) da entidade principal que fez a chamada.
UserIdentityInvokedBy string O nome do serviço da AWS que fez a solicitação.
IdentidadePrincipalid do Usuário string Um identificador exclusivo para a entidade que fez a chamada.
UserIdentityType string O tipo de identidade. Os seguintes valores são possíveis: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown.
UserIdentityUserName string O nome da identidade que fez a chamada.
VpcEndpointId string Identifica o endpoint da VPC no qual as solicitações foram feitas de uma VPC para outro serviço da AWS.