AWSCloudTrail
Protokoly CloudTrail, které se ingestují z konektoru služby Sentinel, obsahují všechna data a události správy vašeho účtu služby Amazon Wev Services.
Atributy tabulky
Atribut | Hodnota |
---|---|
Typy prostředků | - |
Kategorie | Zabezpečení |
Řešení | SecurityInsights |
Základní protokol | No |
Transformace doby příjmu dat | Yes |
Ukázkové dotazy | Ano |
Sloupce
Sloupec | Typ | Description |
---|---|---|
AdditionalEventData | řetězec | Další data o události, která nebyla součástí požadavku nebo odpovědi. |
Verze rozhraní API | řetězec | Identifikuje verzi rozhraní API přidruženou k hodnotě AwsApiCall eventType. |
AwsEventId | řetězec | Identifikátor GUID vygenerovaný službou CloudTrail pro jedinečnou identifikaci každé události Tuto hodnotu můžete použít k identifikaci jedné události. |
Oblast AWS | řetězec | Oblast AWS, do které byla žádost podána. |
AwsRequestId | řetězec | místo toho použijte AwsRequestId_. |
AwsRequestId_ | řetězec | Hodnota, která identifikuje požadavek. Volaná služba vygeneruje tuto hodnotu. |
_BilledSize | real | Velikost záznamu v bajtech |
Kategorie | řetězec | Zobrazuje kategorii události, která se používá ve voláních LookupEvents. |
CidrIp | řetězec | IP adresa CIDR se v CloudTrail nachází v části RequestParameters a slouží k určení oprávnění IP pro pravidlo skupiny zabezpečení. Rozsah CIDR IPv4. |
CipherSuite | řetězec | Nepovinný parametr. Součást tlsDetails. Šifrovací sada (použitá kombinace algoritmů zabezpečení) požadavku. |
ClientProvidedHostHeader | řetězec | Nepovinný parametr. Součást tlsDetails. Název hostitele zadaný klientem použitý ve volání rozhraní API služby, což je obvykle plně kvalifikovaný název domény koncového bodu služby. |
Cílový port | řetězec | DestinationPort se nachází v části RequestParameters v CloudTrail a používá se k určení oprávnění IP pro pravidlo skupiny zabezpečení. Konec rozsahu portů pro protokoly TCP a UDP nebo kód ICMP. |
EC2RoleDelivery | řetězec | Popisný název uživatele nebo role, která relaci vydala. |
ErrorCode | řetězec | Pokud požadavek vrátí chybu, dojde k chybě služby AWS. |
ErrorMessage | řetězec | Popis chyby, pokud je k dispozici. Tato zpráva obsahuje zprávy o chybách autorizace. CloudTrail zaznamená zprávu zaprotokolovanou službou při zpracování výjimek. |
EventName | řetězec | Požadovaná akce, což je jedna z akcí v rozhraní API pro danou službu. |
EventSource | řetězec | Služba, na kterou byl požadavek proveden. Tento název je obvykle krátkým názvem služby bez mezer a .amazonaws.com. |
Název typu události | řetězec | Určuje typ události, která vygenerovala záznam události. Může to být jedna z následujících hodnot: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
Verze události | řetězec | Verze formátu událostí protokolu. |
IpProtocol | řetězec | Protokol IP se nachází v části RequestParameters v CloudTrail a používá se k určení oprávnění IP pro pravidlo skupiny zabezpečení. Název nebo číslo protokolu IP. Platné hodnoty jsou tcp, udp, icmp nebo číslo protokolu. |
_IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
ManagementEvent | bool | Logická hodnota, která určuje, zda je událost událostí správy. |
OperationName | řetězec | Konstantní hodnota: CloudTrail. |
ReadOnly | bool | Určuje, zda je tato operace operace jen pro čtení. |
RecipientAccountId | řetězec | Představuje ID účtu, který přijal tuto událost. RecipientAccountID se může lišit od id účtu elementu CloudTrail userIdentity. K tomu může dojít při přístupu k prostředkům mezi účty. |
RequestParameters | řetězec | Případné parametry, které byly odeslány spolu s požadavkem. Tyto parametry jsou popsané v referenční dokumentaci k rozhraní API pro příslušnou službu AWS. |
Zdroje informací | řetězec | Seznam prostředků, ke které se při události přistupuje. |
ResponseElements | řetězec | Element response pro akce, které provádějí změny (akce vytvoření, aktualizace nebo odstranění). Pokud akce nezmění stav (například požadavek na získání nebo výpis objektů), tento prvek se vynechá. |
ServiceEventDetails | řetězec | Identifikuje událost služby, včetně toho, co událost aktivovalo a výsledek. |
SessionCreationDate | datetime | Datum a čas, kdy byly dočasné přihlašovací údaje zabezpečení vydány. |
SessionIssuerAccountId | řetězec | Účet, který vlastní entitu, která se použila k získání přihlašovacích údajů. |
SessionIssuerArn | řetězec | Adresa ARN zdroje (účet, uživatel IAM nebo role), která se použila k získání dočasných přihlašovacích údajů zabezpečení. |
SessionIssuerPrincipalId | řetězec | Interní ID entity, která se použila k získání přihlašovacích údajů. |
SessionIssuerType | řetězec | Zdroj dočasných přihlašovacích údajů zabezpečení, například Root, IAMUser nebo Role. |
SessionIssuerUserName | řetězec | Popisný název uživatele nebo role, která relaci vydala. |
SessionMfaAuthenticated | bool | Hodnota je true, pokud byl uživatel root nebo uživatel IAM, jehož přihlašovací údaje byly použity pro požadavek, také ověřen pomocí zařízení MFA; jinak nepravda. |
SharedEventId | řetězec | Identifikátor GUID vygenerovaný službou CloudTrail pro jedinečnou identifikaci událostí CloudTrail ze stejné akce AWS, která se odesílá do různých účtů AWS. |
SourceIpAddress | řetězec | IP adresa, ze které byl požadavek proveden. U akcí, které pocházejí z konzoly služby, je hlášená adresa pro základní prostředek zákazníka, nikoli pro webový server konzoly. U služeb v AWS se zobrazí jenom název DNS. |
SourcePort | řetězec | SourcePort se nachází v části RequestParameters v CloudTrail a slouží k určení oprávnění IP pro pravidlo skupiny zabezpečení. Začátek rozsahu portů pro protokoly TCP a UDP nebo číslo typu ICMP. |
SourceSystem | řetězec | Typ agenta, pro který byla událost shromážděna. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
TimeGenerated | datetime | Časové razítko (UTC). Časové razítko události pochází od místního hostitele, který poskytuje koncový bod rozhraní API služby, na kterém bylo provedeno volání rozhraní API. |
TlsVersion | řetězec | Nepovinný parametr. Součást tlsDetails. Verze protokolu TLS požadavku. |
Typ | řetězec | Název tabulky |
Useragent | řetězec | Agent, jehož prostřednictvím byl požadavek proveden, například konzola pro správu AWS, služba AWS, sady SDK AWS nebo rozhraní příkazového řádku AWS. |
UserIdentityAccessKeyId | řetězec | ID přístupového klíče, které se použilo k podepsání žádosti. |
UserIdentityAccountId | řetězec | Účet, který vlastní entitu, která udělila oprávnění k žádosti. |
UserIdentityArn | řetězec | Název amazonského prostředku (ARN) objektu zabezpečení, který provedl volání. |
UserIdentityInvokedBy | řetězec | Název služby AWS, která žádost učinila. |
UserIdentityPrincipalid | řetězec | Jedinečný identifikátor entity, která provedla volání. |
UserIdentityType | řetězec | Typ identity. Možné jsou následující hodnoty: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
UserIdentityUserName | řetězec | Název identity, která provedla volání. |
Id koncového bodu | řetězec | Identifikuje koncový bod VPC, ve kterém byly požadavky z VPC na jinou službu AWS provedeny. |
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro