AWSCloudTrail
Los registros de CloudTrail, que se ingieren desde el conector de Sentinel, contienen todos los eventos de administración y datos de su cuenta de Amazon Wev Services.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | SecurityInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | Sí |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| AdditionalEventData | string | Datos adicionales sobre el evento que no formaba parte de la solicitud o respuesta. |
| APIVersion | string | Identifica la versión de la API asociada al valor eventType de AwsApiCall. |
| AwsEventId | string | GUID generado por CloudTrail para identificar de forma única cada evento. Puede usar este valor para identificar un único evento. |
| AWSRegion | string | Región de AWS a la que se realizó la solicitud. |
| AwsRequestId | string | en desuso, use AwsRequestId_ en su lugar. |
| AwsRequestId_ | string | Valor que identifica la solicitud. El servicio al que se llama genera este valor. |
| _BilledSize | real | Tamaño del registro en bytes |
| Category | string | Muestra la categoría de eventos que se usa en las llamadas lookupEvents. |
| CidrIp | string | La dirección IP CIDR se encuentra en RequestParameters en CloudTrail y se usa para especificar los permisos de IP para una regla de grupo de seguridad. Intervalo CIDR IPv4. |
| CipherSuite | string | Opcional. Parte de tlsDetails. Conjunto de cifrado (combinación de algoritmos de seguridad usados) de una solicitud. |
| ClientProvidedHostHeader | string | Opcional. Parte de tlsDetails. El nombre de host proporcionado por el cliente que se usa en la llamada API de servicio, que suele ser el FQDN del punto de conexión de servicio. |
| DestinationPort | string | DestinationPort se encuentra en RequestParameters in CloudTrail y se usa para especificar los permisos ip de una regla de grupo de seguridad. El final del intervalo de puertos para los protocolos TCP y UDP, o un código ICMP. |
| EC2RoleDelivery | string | Nombre descriptivo del usuario o rol que emitió la sesión. |
| ErrorCode | string | Error del servicio aws si la solicitud devuelve un error. |
| ErrorMessage | string | Descripción del error cuando está disponible. Este mensaje incluye mensajes para errores de autorización. CloudTrail captura el mensaje registrado por el servicio en su control de excepciones. |
| EventName | string | La acción solicitada, que es una de las acciones de la API para ese servicio. |
| EventSource | string | Servicio al que se realizó la solicitud. Este nombre suele ser una forma corta del nombre del servicio sin espacios más .amazonaws.com. |
| EventTypeName | string | Identifica el tipo de evento que generó el registro de eventos. Puede ser uno de los siguientes valores: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | string | La versión del formato del evento de registro. |
| IpProtocol | string | El protocolo IP se encuentra en RequestParameters en CloudTrail y se usa para especificar los permisos de IP para una regla de grupo de seguridad. Nombre o número del protocolo IP. Los valores válidos son tcp, udp, icmp o un número de protocolo. |
| _IsBillable | string | Especifica si la ingesta de los datos se puede facturar. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure |
| ManagementEvent | bool | Valor booleano que identifica si el evento es un evento de administración. |
| OperationName | string | Valor constante: CloudTrail. |
| ReadOnly | bool | Identifica si esta operación es una operación de solo lectura. |
| RecipientAccountId | string | Representa el identificador de cuenta que recibió este evento. RecipientAccountID puede ser diferente del valor de userIdentity Element accountId de CloudTrail. Esto puede ocurrir en el acceso a recursos entre cuentas. |
| RequestParameters | string | Parámetros, si los hay, que se enviaron con la solicitud. Estos parámetros se documentan en la documentación de referencia de la API para el servicio de AWS adecuado. |
| Recursos | string | Lista de recursos a los que se accede en el evento. |
| ResponseElements | string | Elemento de respuesta de acciones que realizan cambios (acciones de creación, actualización o eliminación). Si una acción no cambia el estado (por ejemplo, una solicitud para obtener o enumerar objetos), este elemento se omite. |
| ServiceEventDetails | string | Identifica el evento de servicio, incluido lo que desencadenó el evento y el resultado. |
| SessionCreationDate | datetime | Fecha y hora en que se emitieron las credenciales de seguridad temporales. |
| SessionIssuerAccountId | string | La cuenta propietaria de la entidad que se usó para obtener las credenciales. |
| SessionIssuerArn | string | Arn del origen (cuenta, usuario de IAM o rol) que se usó para obtener credenciales de seguridad temporales. |
| SessionIssuerPrincipalId | string | Identificador interno de la entidad que se usó para obtener las credenciales. |
| SessionIssuerType | string | Origen de las credenciales de seguridad temporales, como Root, IAMUser o Role. |
| SessionIssuerUserName | string | Nombre descriptivo del usuario o rol que emitió la sesión. |
| SessionMfaAuthenticated | bool | El valor es true si el usuario raíz o el usuario IAM cuyas credenciales se usaron para la solicitud también se autenticaron con un dispositivo MFA; de lo contrario, false. |
| SharedEventId | string | GUID generado por CloudTrail para identificar de forma única los eventos de CloudTrail de la misma acción de AWS que se envía a diferentes cuentas de AWS. |
| SourceIpAddress | string | Dirección IP desde la que se realizó la solicitud. En el caso de las acciones que se originan en la consola de servicio, la dirección notificada es para el recurso del cliente subyacente, no para el servidor web de consola. En el caso de los servicios de AWS, solo se muestra el nombre DNS. |
| SourcePort | string | SourcePort se encuentra en RequestParameters en CloudTrail y se usa para especificar los permisos de IP para una regla de grupo de seguridad. Inicio del intervalo de puertos para los protocolos TCP y UDP, o un número de tipo ICMP. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| TenantId | string | Identificador del área de trabajo de Log Analytics |
| TimeGenerated | datetime | Marca de tiempo (UTC). La marca de tiempo de un evento procede del host local que proporciona el punto de conexión de la API de servicio en el que se realizó la llamada a la API. |
| TlsVersion | string | Opcional. Parte de tlsDetails. La versión tls de una solicitud. |
| Tipo | string | Nombre de la tabla. |
| UserAgent | string | El agente a través del cual se realizó la solicitud, como la Consola de administración de AWS, un servicio de AWS, los SDK de AWS o la CLI de AWS. |
| UserIdentityAccessKeyId | string | Identificador de clave de acceso que se usó para firmar la solicitud. |
| UserIdentityAccountId | string | La cuenta que posee la entidad que concedió permisos para la solicitud. |
| UserIdentityArn | string | El nombre de recurso de Amazon (ARN) de la entidad de seguridad que realizó la llamada. |
| UserIdentityInvokedBy | string | Nombre del servicio de AWS que realizó la solicitud. |
| UserIdentityPrincipalid | string | Identificador único de la entidad que realizó la llamada. |
| UserIdentityType | string | Tipo de la identidad. Los valores siguientes son posibles: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | string | Nombre de la identidad que realizó la llamada. |
| VpcEndpointId | string | Identifica el punto de conexión de VPC en el que se realizaron solicitudes de una VPC a otro servicio de AWS. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de