CloudAuditEvents
Koskee seuraavia:
- Microsoft Defender XDR
CloudAuditEvents
Kehittyneen metsästysrakenteen taulukko sisältää tietoja pilvivalvontatapahtumista eri pilvipalveluympäristöissä, jotka on suojattu organisaation Microsoft Defender pilvipalveluille. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
Sarakkeen nimi | Tietotyyppi | Kuvaus |
---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
ReportId |
string |
Tapahtuman yksilöllinen tunnus |
DataSource |
string |
Pilvivalvontatapahtumien tietolähde voi olla GCP (Google Cloud Platformille), AWS (Amazon Web Servicesille), Azure (Azure Resource Manager), Kubernetes Audit (Kubernetesille) tai muut pilviympäristöt |
ActionType |
string |
Tapahtuman käynnistäneen toiminnon tyyppi voi olla: Tuntematon, Create, Luku, Päivitys, Poista, Muu |
OperationName |
string |
Valvontatapahtumatoiminnon nimi sellaisena kuin se näkyy tietueessa, sisältää yleensä sekä resurssityypin että toiminnon |
ResourceId |
string |
Sen pilviresurssin yksilöllinen tunnus, jota käytetään |
IPAddress |
string |
Asiakkaan IP-osoite, jota käytetään pilviresurssin tai hallintatason käyttämiseen |
IsAnonymousProxy |
boolean |
Ilmaisee, kuuluuko IP-osoite tunnettuun anonyymiin välityspalvelimeen (1) vai ei (0) |
CountryCode |
string |
Kaksikirjaiminen koodi, joka ilmaisee maan, jossa asiakkaan IP-osoite on maantieteellisesti |
City |
string |
Paikka, jossa asiakkaan IP-osoite on geolokattu |
Isp |
string |
IP-osoitteeseen liittyvä Internet-palveluntarjoaja |
UserAgent |
string |
Käyttäjäagentin tiedot selaimesta tai muusta asiakassovelluksesta |
RawEventData |
dynamic |
Tietolähteen täydet raakatapahtumatiedot JSON-muodossa |
AdditionalFields |
dynamic |
Lisätietoja valvontatapahtumasta |
Esimerkkikysely
Saat viimeisen seitsemän päivän aikana suoritettujen näennäiskoneiden luontikomentojen esimerkkiluettelon seuraavasti:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10