Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Protokoly CloudTrail, které jsou získávány z konektoru Sentinel, obsahují veškerá data a události správy účtu Amazon Web Services.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | Ano |
| Podpora DCR v čase příjmu dat | Ano |
| Příjem dat pouze u jezera | Ano |
| Ukázkové dotazy | Ano |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| AdditionalEventData | řetězec | Další data o události, která nebyla součástí požadavku nebo odpovědi. |
| APIVersion | řetězec | Identifikuje verzi rozhraní API přidruženou k hodnotě AwsApiCall eventType. |
| AwsEventId | řetězec | Identifikátor GUID vygenerovaný CloudTrail pro jedinečnou identifikaci jednotlivých událostí Tuto hodnotu můžete použít k identifikaci jedné události. |
| AWSRegion | řetězec | Oblast AWS, do které byl požadavek proveden. |
| AwsRequestId | řetězec | zastaralé, použijte místo toho AwsRequestId_. |
| AwsRequestId_ | řetězec | Hodnota, která identifikuje požadavek. Tato hodnota vygeneruje volaná služba. |
| _VyúčtovanáVelikost | skutečný | Velikost záznamu v bajtech |
| Kategorie | řetězec | Zobrazuje kategorii událostí, která se používá ve voláních LookupEvents. |
| CidrIp | řetězec | IP adresa CIDR se nachází v části RequestParameters v CloudTrail a slouží k určení oprávnění IP pro pravidlo skupiny zabezpečení. Rozsah IPv4 CIDR. |
| CipherSuite | řetězec | Nepovinné. Část detailů TLS. Šifrovací sada (kombinace používaných algoritmů zabezpečení) požadavku. |
| Clientem poskytnutá záhlavička hostitele | řetězec | Nepovinné. Část detailů TLS. Název hostitele poskytnutého klientem používaný ve volání rozhraní API služby, což je obvykle plně kvalifikovaný název domény koncového bodu služby. |
| Cílový port | řetězec | DestinationPort se nachází v části RequestParameters v CloudTrail a slouží k určení oprávnění IP pro pravidlo skupiny zabezpečení. Konec rozsahu portů pro protokoly TCP a UDP nebo kód ICMP. |
| EC2RoleDelivery | řetězec | Popisný název uživatele nebo role, která relaci zahájila. |
| Chybový kód | řetězec | Chyba služby AWS, pokud požadavek vrátí chybu. |
| Chybová zpráva | řetězec | Popis chyby, pokud je k dispozici. Tato zpráva obsahuje zprávy týkající se selhání autorizace. CloudTrail zachytí zprávu zaprotokolovanou službou při zpracování výjimek. |
| Název Události | řetězec | Požadovaná akce, která je jednou z akcí v rozhraní API pro danou službu. |
| ZdrojUdálostí | řetězec | Služba, na kterou byla žádost provedena. Tento název je obvykle krátkým tvarem názvu služby bez mezer plus .amazonaws.com. |
| NázevTypuUdálosti | řetězec | Identifikuje typ události, která vygenerovala záznam události. Může to být jedna z následujících hodnot: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| Verze události | řetězec | Verze formátu protokolové události. |
| Protokol IP | řetězec | Protokol IP se nachází v části RequestParameters v CloudTrail a používá se k určení oprávnění IP pro pravidlo skupiny zabezpečení. Název nebo číslo protokolu IP. Platné hodnoty jsou tcp, udp, icmp nebo číslo protokolu. |
| _IsFakturovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Když je _IsBillable false, příjem dat se neúčtuje na váš Azure účet. |
| Manažerská událost | Booleova hodnota | Logická hodnota, která identifikuje, zda je událost událostí správy. |
| Název operace | řetězec | Konstantní hodnota: CloudTrail. |
| Jen pro čtení | Booleova hodnota | Určuje, jestli se jedná o operaci určenou jen pro čtení. |
| ID účtu příjemce | řetězec | Představuje ID účtu, které obdrželo tuto událost. ID účtu příjemce se může lišit od účetního ID elementu userIdentity CloudTrail. K tomu může dojít v přístupu k prostředkům napříč účty. |
| ParametryŽádosti | řetězec | Parametry, pokud nějaké, které byly odeslány s požadavkem. Tyto parametry jsou popsané v referenční dokumentaci k rozhraní API pro příslušnou službu AWS. |
| Zdroje informací | řetězec | Seznam zdrojů využitých v události. |
| Prvky odezvy | řetězec | Element odpovědi pro akce, které provádějí změny (vytvoření, aktualizace nebo odstranění akcí). Pokud akce nezmění stav (například požadavek na získání nebo výpis objektů), tento prvek se vynechá. |
| Podrobnosti o události služby | řetězec | Identifikuje událost služby, včetně toho, co událost aktivovalo, a výsledek. |
| DatumVytvořeníSezení | datetime | Datum a čas vydání dočasných bezpečnostních přihlašovacích údajů. |
| IdentifikátorÚčtuVystaviteleSezení | řetězec | Účet, který vlastní entitu použitou k získání přihlašovacích údajů. |
| SessionIssuerArn | řetězec | Adresa ARN zdroje (účtu, uživatele nebo role IAM), která byla použita k získání dočasných bezpečnostních přihlašovacích údajů. |
| ID Hlavního Vydavatele Relace | řetězec | Interní ID entity, která byla použita k získání přihlašovacích údajů. |
| SessionIssuerType | řetězec | Zdroj dočasných přihlašovacích údajů zabezpečení, jako je Root, IAMUser nebo Role. |
| SessionIssuerUserName | řetězec | Popisný název uživatele nebo role, která relaci zahájila. |
| Relace MFA Ověřeno | Booleova hodnota | Hodnota je pravdivá, pokud byl uživatel root nebo IAM, jehož přihlašovací údaje byly použity k požadavku, také ověřen zařízením MFA, a v opačném případě ne. |
| SharedEventId | řetězec | Identifikátor GUID vygenerovaný službou CloudTrail pro jedinečnou identifikaci událostí CloudTrail ze stejné akce AWS, která se odesílá do různých účtů AWS. |
| Zdrojová IP adresa | řetězec | IP adresa, ze které byl požadavek proveden. U akcí pocházejících z konzoly služby je hlášená adresa pro podkladový prostředek zákazníka, nikoli pro webový server konzoly. U služeb v AWS se zobrazí pouze název DNS. |
| SourcePort | řetězec | SourcePort se nachází v části RequestParameters v CloudTrail a slouží k určení oprávnění IP pro pravidlo skupiny zabezpečení. Začátek rozsahu portů pro protokoly TCP a UDP nebo číslo typu ICMP. |
| SourceSystem | řetězec | Typ agenta, který událost zachytil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| Identifikátor nájemce | řetězec | ID pracovního prostoru služby Log Analytics |
| Čas vygenerování | datetime | Časové razítko (UTC). Časové razítko události pochází z místního hostitele, který poskytuje koncový bod rozhraní API služby, na kterém bylo volání rozhraní API provedeno. |
| TlsVersion | řetězec | Nepovinné. Část detailů TLS. Verze TLS protokolu požadavku. |
| Typ | řetězec | Název tabulky |
| Agent uživatele | řetězec | Agent, prostřednictvím kterého byl požadavek proveden, jako je konzola pro správu AWS, služba AWS, sady SDK AWS nebo rozhraní příkazového řádku AWS. |
| IdentifikačníKlíčPřístupuUživatele | řetězec | ID přístupového klíče, které se použilo k podepsání požadavku. |
| ID uživatelského účtu pro identitu | řetězec | Účet, který vlastní entitu, která udělila oprávnění k žádosti. |
| UserIdentityArn | řetězec | Amazon Resource Name (ARN) principálu, který provedl volání. |
| IdentitaUživatelVyvolanáKým | řetězec | Název služby AWS, která žádost provedla. |
| UserIdentityPrincipalid | řetězec | Jedinečný identifikátor entity, která volání provedla. |
| UserIdentityStoreArn | řetězec | ARN úložiště identit (např. adresář IAM Identity Center/SSO), ze kterého identita uživatele pochází. |
| TypUživatelskéIdentity | řetězec | Typ identity. Následující hodnoty jsou možné: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserId | řetězec | Jedinečný interní identifikátor AWS entity IAM (uživatel, role nebo federovaná identita), který danou akci provedl. |
| UživatelskáIdentitaUživatelskéJméno | řetězec | Název identity, která volala. |
| VpcEndpointId | řetězec | Identifikuje koncový bod VPC, ve kterém byly požadavky provedeny z VPC do jiné služby AWS. |