Поделиться через


AWSCloudTrail

Журналы CloudTrail, полученные из соединителя Sentinel, содержат все события данных и управления учетной записью Amazon Wev Services.

Атрибуты таблицы

Атрибут Значение
Типы ресурсов -
Категории Безопасность
Решения SecurityInsights
Базовый журнал No
Преобразование ingestion-time Да
Примеры запросов Да

Столбцы

Column Type Описание
AdditionalEventData строка Дополнительные данные о событии, которое не было частью запроса или ответа.
APIVersion строка Определяет версию API, связанную со значением eventType AwsApiCall.
AwsEventId строка GUID, созданный CloudTrail для уникальной идентификации каждого события. Это значение можно использовать для идентификации одного события.
AWSRegion строка Регион AWS, к которому был выполнен запрос.
AwsRequestId строка Вместо этого используйте AwsRequestId_.
AwsRequestId_ строка Значение, определяющее запрос. Вызываемая служба создает это значение.
_BilledSize real Размер записи в байтах
Категория строка Показывает категорию событий, используемую в вызовах LookupEvents.
CidrIp строка IP-адрес CIDR находится в разделе RequestParameters в CloudTrail и используется для указания разрешений IP для правила группы безопасности. Диапазон CIDR IPv4.
CipherSuite строка Необязательно. Часть tlsDetails. Набор шифров (сочетание алгоритмов безопасности, используемых) запроса.
ClientProvidedHostHeader строка Необязательно. Часть tlsDetails. Имя узла, предоставленное клиентом, используемое в вызове API службы, которое обычно является полным доменным именем конечной точки службы.
Порт назначения строка НазначениеPort находится в разделе RequestParameters в CloudTrail, и используется для указания РАЗРЕШЕНИЙ IP для правила группы безопасности. Конец диапазона портов для протоколов TCP и UDP или кода ICMP.
EC2RoleDelivery строка Понятное имя пользователя или роли, выдавшей сеанс.
ErrorCode строка Ошибка службы AWS, если запрос возвращает ошибку.
ErrorMessage строка Описание ошибки при наличии. Это сообщение содержит сообщения о сбоях авторизации. CloudTrail записывает сообщение, зарегистрированное службой, в обработке исключений.
EventName строка Запрошенное действие, которое является одним из действий в API для этой службы.
EventSource строка Служба, в которую был выполнен запрос. Это имя обычно является короткой формой имени службы без пробелов и .amazonaws.com.
EventTypeName строка Определяет тип события, создающего запись события. Это может быть одно из следующих значений: AwsApiCall, AwsServiceEvent, AwsConsoleAction, AwsConsoleSignIn.
EventVersion строка Версия формата события журнала.
IpProtocol строка Протокол IP находится в разделе RequestParameters в CloudTrail, и он используется для указания разрешений IP для правила группы безопасности. Имя или номер IP-протокола. Допустимые значения : tcp, udp, icmp или номер протокола.
_IsBillable строка Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
ManagementEvent bool Логическое значение, определяющее, является ли событие событием управления.
OperationName строка Значение константы: CloudTrail.
ReadOnly bool Определяет, является ли эта операция операцией только для чтения.
RecipientAccountId строка Представляет идентификатор учетной записи, который получил это событие. ПолучательAccountID может отличаться от идентификатора учетной записи элемента CloudTrail userIdentity. Это может произойти в доступе к ресурсам между учетными записями.
RequestParameters строка Параметры, если таковые были отправлены с запросом. Эти параметры описаны в справочной документации по API для соответствующей службы AWS.
Ресурсы строка Список ресурсов, доступных в событии.
ResponseElements строка Элемент ответа для действий, которые вносят изменения (создание, обновление или удаление действий). Если действие не изменяет состояние (например, запрос на получение или перечисление объектов), этот элемент опущен.
ServiceEventDetails строка Идентифицирует событие службы, включая то, что вызвало событие и результат.
SessionCreationDate datetime Дата и время выдачи временных учетных данных безопасности.
SessionIssuerAccountId строка Учетная запись, которая владеет сущностью, которая использовалась для получения учетных данных.
SessionIssuerArn строка ARN источника (учетной записи, пользователя IAM или роли), который использовался для получения временных учетных данных безопасности.
SessionIssuerPrincipalId строка Внутренний идентификатор сущности, которая использовалась для получения учетных данных.
SessionIssuerType строка Источник временных учетных данных безопасности, таких как Root, IAMUser или Role.
SessionIssuerUserName строка Понятное имя пользователя или роли, выдавшей сеанс.
SessionMfaAuthenticated bool Значение равно true, если корневой пользователь или пользователь IAM, учетные данные которого использовались для запроса, также прошли проверку подлинности с помощью устройства MFA; в противном случае значение false.
SharedEventId строка GUID, созданный CloudTrail для уникальной идентификации событий CloudTrail из одного действия AWS, который отправляется в разные учетные записи AWS.
SourceIpAddress строка IP-адрес, из который был выполнен запрос. Для действий, исходящих из консоли службы, адрес, указанный для базового ресурса клиента, а не для веб-сервера консоли. Для служб в AWS отображается только DNS-имя.
SourcePort строка SourcePort находится в разделе RequestParameters в CloudTrail и используется для указания РАЗРЕШЕНИЙ IP для правила группы безопасности. Начало диапазона портов для протоколов TCP и UDP или номера типа ICMP.
SourceSystem строка Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
TenantId строка Идентификатор рабочей области Log Analytics
TimeGenerated datetime Метка времени (UTC). Метка времени события поступает из локального узла, предоставляющего конечную точку API службы, в которой был выполнен вызов API.
TlsVersion строка Необязательно. Часть tlsDetails. Версия TLS запроса.
Тип строка Имя таблицы.
UserAgent строка Агент, с помощью которого был выполнен запрос, например консоль управления AWS, служба AWS, пакеты SDK AWS или ИНТЕРФЕЙС командной строки AWS.
UserIdentityAccessKeyId строка Идентификатор ключа доступа, используемый для подписывания запроса.
UserIdentityAccountId строка Учетная запись, которая владеет сущностью, которая предоставила разрешения для запроса.
UserIdentityArn строка Имя ресурса Amazon (ARN) субъекта, который сделал звонок.
UserIdentityInvokedBy строка Имя службы AWS, которая сделала запрос.
UserIdentityPrincipalid строка Уникальный идентификатор сущности, которая сделала вызов.
UserIdentityType строка Тип удостоверения. Возможны следующие значения: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown.
UserIdentityUserName строка Имя удостоверения, который сделал звонок.
VpcEndpointId строка Определяет конечную точку VPC, в которой запросы были сделаны из VPC в другую службу AWS.