AWSCloudTrail
Les journaux CloudTrail, qui ont été ingérés à partir du connecteur Sentinel, contiennent tous vos données et événements de gestion de votre compte Amazon Wev Services.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AdditionalEventData | string | Données supplémentaires sur l’événement qui ne faisait pas partie de la demande ou de la réponse. |
| APIVersion | string | Identifie la version de l’API associée à la valeur eventType AwsApiCall. |
| AwsEventId | string | GUID généré par CloudTrail pour identifier chaque événement de manière unique. Vous pouvez utiliser cette valeur pour identifier un événement unique. |
| AWSRegion | string | Région AWS à laquelle la demande a été effectuée. |
| AwsRequestId | string | déprécié, utilisez AwsRequestId_ à la place. |
| AwsRequestId_ | string | Valeur qui identifie la demande. Le service appelé génère cette valeur. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| Category | string | Affiche la catégorie d’événement utilisée dans les appels LookupEvents. |
| CidrIp | string | L’adresse IP CIDR se trouve sous RequestParameters dans CloudTrail, et elle est utilisée pour spécifier les autorisations IP pour une règle de groupe de sécurité. Plage CIDR IPv4. |
| CipherSuite | string | facultatif. Partie de tlsDetails. Suite de chiffrement (combinaison d’algorithmes de sécurité utilisés) d’une requête. |
| ClientProvidedHostHeader | string | facultatif. Partie de tlsDetails. Nom d’hôte fourni par le client utilisé dans l’appel d’API de service, qui est généralement le nom de domaine complet du point de terminaison de service. |
| DestinationPort | string | DestinationPort se trouve sous RequestParameters dans CloudTrail et est utilisé pour spécifier les autorisations IP pour une règle de groupe de sécurité. Fin de la plage de ports pour les protocoles TCP et UDP, ou un code ICMP. |
| EC2RoleDelivery | string | Nom convivial de l’utilisateur ou du rôle qui a émis la session. |
| ErrorCode | string | Erreur du service AWS si la requête retourne une erreur. |
| ErrorMessage | string | Description de l’erreur lorsqu’elle est disponible. Ce message inclut des messages pour les échecs d’autorisation. CloudTrail capture le message journalisé par le service dans sa gestion des exceptions. |
| EventName | string | Action demandée, qui est l’une des actions de l’API pour ce service. |
| EventSource | string | Service auquel la demande a été effectuée. Ce nom est généralement une forme abrégée du nom du service sans espaces plus .amazonaws.com. |
| EventTypeName | string | Identifie le type d’événement qui a généré l’enregistrement d’événement. Il peut s’agir de l’une des valeurs suivantes : AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | string | Version du format d’événement du journal. |
| IpProtocol | string | Le protocole IP se trouve sous RequestParameters dans CloudTrail, et il est utilisé pour spécifier les autorisations IP pour une règle de groupe de sécurité. Nom ou numéro du protocole IP. Les valeurs valides sont tcp, udp, icmp ou un numéro de protocole. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| ManagementEvent | bool | Valeur booléenne qui identifie si l’événement est un événement de gestion. |
| NomOpération | string | Valeur constante : CloudTrail. |
| ReadOnly | bool | Identifie si cette opération est en lecture seule. |
| RecipientAccountId | string | Représente l’ID de compte qui a reçu cet événement. Le recipientAccountID peut être différent de l’id de compte de l’élément UserIdentity CloudTrail. Cela peut se produire dans l’accès aux ressources inter-comptes. |
| RequestParameters | string | Les paramètres, le cas échéant, qui ont été envoyés avec la demande. Ces paramètres sont documentés dans la documentation de référence de l’API pour le service AWS approprié. |
| Ressources | string | Liste des ressources consultées dans l’événement. |
| ResponseElements | string | Élément response pour les actions qui apportent des modifications (créer, mettre à jour ou supprimer des actions). Si une action ne change pas d’état (par exemple, une demande d’obtention ou de liste d’objets), cet élément est omis. |
| ServiceEventDetails | string | Identifie l’événement de service, y compris ce qui a déclenché l’événement et le résultat. |
| SessionCreationDate | DATETIME | Date et heure d’émission des informations d’identification de sécurité temporaires. |
| SessionIssuerAccountId | string | Compte propriétaire de l’entité utilisée pour obtenir les informations d’identification. |
| SessionIssuerArn | string | ARN de la source (compte, utilisateur IAM ou rôle) qui a été utilisé pour obtenir des informations d’identification de sécurité temporaires. |
| SessionIssuerPrincipalId | string | ID interne de l’entité utilisée pour obtenir les informations d’identification. |
| SessionIssuerType | string | Source des informations d’identification de sécurité temporaires, telles que Root, IAMUser ou Role. |
| SessionIssuerUserName | string | Nom convivial de l’utilisateur ou du rôle qui a émis la session. |
| SessionMfaAuthenticated | bool | La valeur est true si l’utilisateur racine ou l’utilisateur IAM dont les informations d’identification ont été utilisées pour la demande a également été authentifié avec un appareil MFA ; sinon, false. |
| SharedEventId | string | GUID généré par CloudTrail pour identifier de manière unique les événements CloudTrail à partir de la même action AWS qui est envoyée à différents comptes AWS. |
| SourceIpAddress | string | Adresse IP à partir de laquelle la demande a été effectuée. Pour les actions qui proviennent de la console de service, l’adresse signalée concerne la ressource client sous-jacente, et non le serveur web de la console. Pour les services dans AWS, seul le nom DNS est affiché. |
| SourcePort | string | SourcePort se trouve sous RequestParameters dans CloudTrail, et il est utilisé pour spécifier les autorisations IP pour une règle de groupe de sécurité. Début de la plage de ports pour les protocoles TCP et UDP, ou un numéro de type ICMP. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Horodatage (UTC). L’horodatage d’un événement provient de l’hôte local qui fournit le point de terminaison de l’API de service sur lequel l’appel d’API a été effectué. |
| TlsVersion | string | facultatif. Partie de tlsDetails. Version TLS d’une requête. |
| Type | string | Le nom de la table |
| UserAgent | string | Agent par le biais duquel la demande a été effectuée, tel que aws Management Console, un service AWS, les kits SDK AWS ou l’interface DE ligne de commande AWS. |
| UserIdentityAccessKeyId | string | ID de clé d’accès utilisé pour signer la demande. |
| UserIdentityAccountId | string | Compte propriétaire de l’entité qui a accordé des autorisations pour la demande. |
| UserIdentityArn | string | Amazon Resource Name (ARN) du principal qui a effectué l’appel. |
| UserIdentityInvokedBy | string | Nom du service AWS qui a effectué la demande. |
| UserIdentityPrincipalid | string | Identificateur unique de l’entité qui a effectué l’appel. |
| UserIdentityType | string | Type de l’identité. Les valeurs suivantes sont possibles : Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | string | Nom de l’identité qui a effectué l’appel. |
| VpcEndpointId | string | Identifie le point de terminaison VPC dans lequel les demandes ont été effectuées à partir d’un VPC vers un autre service AWS. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour