CloudAuditEvents
S’applique à :
- Microsoft Defender XDR
Le CloudAuditEvents tableau du schéma de repérage avancé contient des informations sur les événements d’audit cloud pour différentes plateformes cloud protégées par la Microsoft Defender de l’organization pour le cloud. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
ReportId |
string |
Identificateur unique de l’événement |
DataSource |
string |
La source de données des événements d’audit cloud peut être GCP (pour Google Cloud Platform), AWS (pour Amazon Web Services), Azure (pour Azure Resource Manager), Kubernetes Audit (pour Kubernetes) ou d’autres plateformes cloud |
ActionType |
string |
Type d’activité qui a déclenché l’événement, peut être : Inconnu, Create, Lecture, Mise à jour, Suppression, Autre |
OperationName |
string |
Nom de l’opération d’événement d’audit tel qu’il apparaît dans l’enregistrement, inclut généralement à la fois le type de ressource et l’opération |
ResourceId |
string |
Identificateur unique de la ressource cloud consultée |
IPAddress |
string |
Adresse IP du client utilisée pour accéder à la ressource cloud ou au plan de contrôle |
IsAnonymousProxy |
boolean |
Indique si l’adresse IP appartient à un proxy anonyme connu (1) ou non (0) |
CountryCode |
string |
Code à deux lettres indiquant le pays où l’adresse IP du client est géolocalisée |
City |
string |
Ville où l’adresse IP du client est géolocalisée |
Isp |
string |
Fournisseur de services Internet (ISP) associé à l’adresse IP |
UserAgent |
string |
Informations de l’agent utilisateur à partir du navigateur web ou d’une autre application cliente |
RawEventData |
dynamic |
Informations complètes sur les événements bruts de la source de données au format JSON |
AdditionalFields |
dynamic |
Informations supplémentaires sur l’événement d’audit |
Exemple de requête
Pour obtenir un exemple de liste de commandes de création de machine virtuelle effectuées au cours des sept derniers jours :
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10