Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
CloudAuditEvents
Kehittyneen metsästysrakenteen taulukko sisältää tietoja pilvivalvontatapahtumista eri pilvipalveluympäristöissä, jotka on suojattu organisaation Microsoft Defender pilvipalveluille. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Tämä kehittynyt metsästystaulukko täytetään cloud-Microsoft Defender tietueilla. Jos organisaatiollasi ei ole Microsoft Defender Cloudille, taulukkoa käyttävät kyselyt eivät toimi tai palauta tuloksia. Lisätietoja edellytyksistä Defender for Cloudin integroimisessa Defender XDR on artikkelissa Microsoft Defender XDR integrointi.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
ReportId |
string |
Tapahtuman yksilöllinen tunnus |
DataSource |
string |
Pilvivalvontatapahtumien tietolähde voi olla GCP (Google Cloud Platformille), AWS (Amazon Web Servicesille), Azure (Azure Resource Manager), Kubernetes Audit (Kubernetesille) tai muut pilviympäristöt |
ActionType |
string |
Tapahtuman käynnistäneen toiminnon tyyppi voi olla: Tuntematon, Luo, Lue, Päivitä, Poista, Muu |
OperationName |
string |
Valvontatapahtumatoiminnon nimi sellaisena kuin se näkyy tietueessa, sisältää yleensä sekä resurssityypin että toiminnon |
ResourceId |
string |
Sen pilviresurssin yksilöllinen tunnus, jota käytetään |
IPAddress |
string |
Asiakkaan IP-osoite, jota käytetään pilviresurssin tai hallintatason käyttämiseen |
IsAnonymousProxy |
boolean |
Ilmaisee, kuuluuko IP-osoite tunnettuun anonyymiin välityspalvelimeen (1) vai ei (0) |
CountryCode |
string |
Kaksikirjaiminen koodi, joka ilmaisee maan, jossa asiakkaan IP-osoite on maantieteellisesti |
City |
string |
Paikka, jossa asiakkaan IP-osoite on geolokattu |
Isp |
string |
IP-osoitteeseen liittyvä Internet-palveluntarjoaja |
UserAgent |
string |
Käyttäjäagentin tiedot selaimesta tai muusta asiakassovelluksesta |
RawEventData |
dynamic |
Tietolähteen täydet raakatapahtumatiedot JSON-muodossa |
AdditionalFields |
dynamic |
Lisätietoja valvontatapahtumasta |
Esimerkkikysely
Saat viimeisen seitsemän päivän aikana suoritettujen näennäiskoneiden luontikomentojen esimerkkiluettelon seuraavasti:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10