CloudAuditEvents (Pré-visualização)
Aplica-se a:
- Microsoft Defender XDR
A CloudAuditEvents
tabela no esquema de investigação avançada contém informações sobre eventos de auditoria na cloud para várias plataformas na cloud protegidas pelo Microsoft Defender da organização para a Cloud. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
ReportId |
string |
Identificador exclusivo do evento |
DataSource |
string |
A origem de dados para os eventos de auditoria na cloud pode ser GCP (para o Google Cloud Platform), AWS (para Amazon Web Services), Azure (para o Azure Resource Manager), Auditoria do Kubernetes (para Kubernetes) ou outras plataformas na cloud |
ActionType |
string |
O tipo de atividade que acionou o evento pode ser: Desconhecido, Criar, Ler, Atualizar, Eliminar, Outro |
OperationName |
string |
Auditar o nome da operação de evento tal como aparece no registo, normalmente inclui o tipo de recurso e a operação |
ResourceId |
string |
Identificador exclusivo do recurso da cloud acedido |
IPAddress |
string |
O endereço IP do cliente utilizado para aceder ao recurso da cloud ou ao plano de controlo |
IsAnonymousProxy |
boolean |
Indica se o endereço IP pertence a um proxy anónimo conhecido (1) ou não (0) |
CountryCode |
string |
Código de duas letras que indica o país onde o endereço IP do cliente está geolocalizado |
City |
string |
Cidade onde o endereço IP do cliente é geolocalizado |
Isp |
string |
Fornecedor de serviços Internet (ISP) associado ao endereço IP |
UserAgent |
string |
Informações do agente do utilizador a partir do browser ou de outra aplicação cliente |
RawEventData |
dynamic |
Informações completas de eventos não processados da origem de dados no formato JSON |
AdditionalFields |
dynamic |
Informações adicionais sobre o evento de auditoria |
Consulta de exemplo
Para obter uma lista de exemplo dos comandos de criação de VMs executados nos últimos sete dias:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10