CloudAuditEvents
Gælder for:
- Microsoft Defender XDR
Tabellen CloudAuditEvents i det avancerede jagtskema indeholder oplysninger om cloud-overvågningshændelser for forskellige cloudplatforme, der er beskyttet af organisationens Microsoft Defender for Cloud. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for registrering af hændelsen |
ReportId |
string |
Entydigt id for hændelsen |
DataSource |
string |
Datakilde til cloudrevisionshændelser kan være GCP (for Google Cloud Platform), AWS (for Amazon Web Services), Azure (til Azure Resource Manager), Kubernetes Audit (til Kubernetes) eller andre cloudplatforme |
ActionType |
string |
Aktivitetstype, der udløste hændelsen, kan være: Ukendt, Create, Læs, Opdater, Slet, Andet |
OperationName |
string |
Navnet på overvågningshændelseshandlingen, som det vises i posten, indeholder normalt både ressourcetype og handling |
ResourceId |
string |
Entydigt id for den cloudressource, der er adgang til |
IPAddress |
string |
Klientens IP-adresse, der bruges til at få adgang til cloudressourcen eller kontrolflade |
IsAnonymousProxy |
boolean |
Angiver, om IP-adressen tilhører en kendt anonym proxy (1) eller ingen (0) |
CountryCode |
string |
Kode på to bogstaver, der angiver det land, hvor klientens IP-adresse er geolokaliseret |
City |
string |
By, hvor klientens IP-adresse er geolokaliseret |
Isp |
string |
Internetudbyder, der er knyttet til IP-adressen |
UserAgent |
string |
Brugeragentoplysninger fra webbrowseren eller et andet klientprogram |
RawEventData |
dynamic |
Komplette rå hændelsesoplysninger fra datakilden i JSON-format |
AdditionalFields |
dynamic |
Yderligere oplysninger om overvågningshændelsen |
Eksempelforespørgsel
Sådan får du vist et eksempel på kommandoer til oprettelse af vm'er, der er udført inden for de seneste syv dage:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10