CloudAuditEvents (Pré-visualização)
Aplica-se a:
- Microsoft Defender XDR
A CloudAuditEvents tabela no esquema de investigação avançada contém informações sobre eventos de auditoria na cloud para várias plataformas na cloud protegidas pelo Microsoft Defender da organização para a Cloud. Use essa referência para criar consultas que retornam informações dessa tabela.
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
ReportId |
string |
Identificador exclusivo do evento |
DataSource |
string |
A origem de dados para os eventos de auditoria na cloud pode ser GCP (para o Google Cloud Platform), AWS (para Amazon Web Services), Azure (para o Azure Resource Manager), Auditoria do Kubernetes (para Kubernetes) ou outras plataformas na cloud |
ActionType |
string |
O tipo de atividade que acionou o evento pode ser: Desconhecido, Criar, Ler, Atualizar, Eliminar, Outro |
OperationName |
string |
Auditar o nome da operação de evento tal como aparece no registo, normalmente inclui o tipo de recurso e a operação |
ResourceId |
string |
Identificador exclusivo do recurso da cloud acedido |
IPAddress |
string |
O endereço IP do cliente utilizado para aceder ao recurso da cloud ou ao plano de controlo |
IsAnonymousProxy |
boolean |
Indica se o endereço IP pertence a um proxy anónimo conhecido (1) ou não (0) |
CountryCode |
string |
Código de duas letras que indica o país onde o endereço IP do cliente está geolocalizado |
City |
string |
Cidade onde o endereço IP do cliente é geolocalizado |
Isp |
string |
Fornecedor de serviços Internet (ISP) associado ao endereço IP |
UserAgent |
string |
Informações do agente do utilizador a partir do browser ou de outra aplicação cliente |
RawEventData |
dynamic |
Informações completas de eventos não processados da origem de dados no formato JSON |
AdditionalFields |
dynamic |
Informações adicionais sobre o evento de auditoria |
Consulta de exemplo
Para obter uma lista de exemplo dos comandos de criação de VMs executados nos últimos sete dias:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10