CloudAuditEvents (förhandsversion)
Gäller för:
- Microsoft Defender XDR
Tabellen CloudAuditEvents i det avancerade jaktschemat innehåller information om molngranskningshändelser för olika molnplattformar som skyddas av organisationens Microsoft Defender för molnet. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
ReportId |
string |
Unik identifierare för händelsen |
DataSource |
string |
Datakälla för molngranskningshändelser kan vara GCP (för Google Cloud Platform), AWS (för Amazon Web Services), Azure (för Azure Resource Manager), Kubernetes Audit (för Kubernetes) eller andra molnplattformar |
ActionType |
string |
Typ av aktivitet som utlöste händelsen kan vara: Okänd, Skapa, Läsa, Uppdatera, Ta bort, Övrigt |
OperationName |
string |
Granska händelseåtgärdens namn som det visas i posten, innehåller vanligtvis både resurstyp och åtgärd |
ResourceId |
string |
Unik identifierare för den molnresurs som används |
IPAddress |
string |
Klientens IP-adress som används för att komma åt molnresursen eller kontrollplanet |
IsAnonymousProxy |
boolean |
Anger om IP-adressen tillhör en känd anonym proxy (1) eller ingen (0) |
CountryCode |
string |
Kod med två bokstäver som anger det land där klientens IP-adress är geolokaliserad |
City |
string |
Ort där klientens IP-adress är geolokaliserad |
Isp |
string |
Internetleverantör (ISP) som är associerad med IP-adressen |
UserAgent |
string |
Information om användaragenten från webbläsaren eller något annat klientprogram |
RawEventData |
dynamic |
Fullständig råhändelseinformation från datakällan i JSON-format |
AdditionalFields |
dynamic |
Ytterligare information om granskningshändelsen |
Exempelfråga
Så här hämtar du en exempellista över kommandon för att skapa virtuella datorer som utförts under de senaste sju dagarna:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10