Jaa


CloudAuditEvents

Koskee seuraavia:

  • Microsoft Defender XDR

CloudAuditEventsKehittyneen metsästysrakenteen taulukko sisältää tietoja pilvivalvontatapahtumista eri pilvipalveluympäristöissä, jotka on suojattu organisaation Microsoft Defender pilvipalveluille. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.

Sarakkeen nimi Tietotyyppi Kuvaus
Timestamp datetime Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin
ReportId string Tapahtuman yksilöllinen tunnus
DataSource string Pilvivalvontatapahtumien tietolähde voi olla GCP (Google Cloud Platformille), AWS (Amazon Web Servicesille), Azure (Azure Resource Manager), Kubernetes Audit (Kubernetesille) tai muut pilviympäristöt
ActionType string Tapahtuman käynnistäneen toiminnon tyyppi voi olla: Tuntematon, Create, Luku, Päivitys, Poista, Muu
OperationName string Valvontatapahtumatoiminnon nimi sellaisena kuin se näkyy tietueessa, sisältää yleensä sekä resurssityypin että toiminnon
ResourceId string Sen pilviresurssin yksilöllinen tunnus, jota käytetään
IPAddress string Asiakkaan IP-osoite, jota käytetään pilviresurssin tai hallintatason käyttämiseen
IsAnonymousProxy boolean Ilmaisee, kuuluuko IP-osoite tunnettuun anonyymiin välityspalvelimeen (1) vai ei (0)
CountryCode string Kaksikirjaiminen koodi, joka ilmaisee maan, jossa asiakkaan IP-osoite on maantieteellisesti
City string Paikka, jossa asiakkaan IP-osoite on geolokattu
Isp string IP-osoitteeseen liittyvä Internet-palveluntarjoaja
UserAgent string Käyttäjäagentin tiedot selaimesta tai muusta asiakassovelluksesta
RawEventData dynamic Tietolähteen täydet raakatapahtumatiedot JSON-muodossa
AdditionalFields dynamic Lisätietoja valvontatapahtumasta

Esimerkkikysely

Saat viimeisen seitsemän päivän aikana suoritettujen näennäiskoneiden luontikomentojen esimerkkiluettelon seuraavasti:

CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10