CloudAuditEvents (预览版)
适用于:
- Microsoft Defender XDR
CloudAuditEvents
高级搜寻架构中的表包含有关受组织Microsoft Defender for Cloud 保护的各种云平台的云审核事件的信息。 使用此参考来构建从此表返回信息的查询。
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
ReportId |
string |
事件的唯一标识符 |
DataSource |
string |
云审核事件的数据源可以是 Google Cloud Platform) 的 GCP (、Amazon Web Services) 的 AWS (、Azure 资源管理器) 的 Azure (、适用于 Kubernetes) 的 Kubernetes 审核 (或其他云平台 |
ActionType |
string |
触发事件的活动类型可以是:未知、创建、读取、更新、删除、其他 |
OperationName |
string |
记录中显示的审核事件操作名称,通常包括资源类型和操作 |
ResourceId |
string |
访问的云资源的唯一标识符 |
IPAddress |
string |
用于访问云资源或控制平面的客户端 IP 地址 |
IsAnonymousProxy |
boolean |
指示 IP 地址是属于已知匿名代理 (1) ,还是不属于 (0) |
CountryCode |
string |
双字母代码,指示客户端 IP 地址的地理位置所在国家/地区 |
City |
string |
将客户端 IP 地址置于地理位置的城市 |
Isp |
string |
与 IP 地址关联的 Internet 服务提供商 (ISP) |
UserAgent |
string |
Web 浏览器或其他客户端应用程序中的用户代理信息 |
RawEventData |
dynamic |
数据源中 JSON 格式的完整原始事件信息 |
AdditionalFields |
dynamic |
有关审核事件的其他信息 |
示例查询
若要获取过去七天内执行的 VM 创建命令的示例列表,请执行以下操作:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10