שתף באמצעות

ענןAuditEvents

  • מאמר

חל על:

  • Microsoft Defender XDR

הטבלה CloudAuditEventsבסכימת הציד המתקדמות מכילה מידע אודות אירועי ביקורת בענן עבור פלטפורמות ענן שונות המוגנות על-ידי הארגון Microsoft Defender עבור ענן. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.

חשוב

חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.

שם עמודה סוג נתונים תיאור
Timestamp datetime תאריך ושעה שבהם האירוע הוקלט
ReportId string מזהה ייחודי עבור האירוע
DataSource string מקור נתונים עבור אירועי ביקורת הענן יכול להיות GCP (עבור Google Cloud Platform), AWS (עבור Amazon Web Services), Azure (עבור Azure Resource Manager), ביקורת Kubernetes (עבור Kubernetes) או פלטפורמות ענן אחרות
ActionType string סוג הפעילות שהפעילה את האירוע יכול להיות: לא ידוע, Create, קריאה, עדכון, מחיקה, אחר
OperationName string שם פעולת אירוע ביקורת כפי שהוא מופיע ברשומה, כולל בדרך כלל הן סוג משאב והן פעולה
ResourceId string המזהה הייחודי של משאב הענן שהגישה אליו
IPAddress string כתובת ה- IP של הלקוח המשמשת לגישה למשאב הענן או למטוס הבקרה
IsAnonymousProxy boolean מציין אם כתובת ה- IP שייכת ל- Proxy אנונימי ידוע (1) או לא (0)
CountryCode string קוד דו-אותיות המציין את המדינה שבה כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי
City string עיר שבה כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי
Isp string ספק שירותי אינטרנט (ISP) המשויך לכתובת ה- IP
UserAgent string פרטי סוכן משתמש מדפדפן האינטרנט או מיישום לקוח אחר
RawEventData dynamic מידע מלא על אירוע גולמי ממקור הנתונים בתבנית JSON
AdditionalFields dynamic מידע נוסף אודות אירוע הביקורת

שאילתה לדוגמה

כדי לקבל רשימה לדוגמה של פקודות יצירה של מחשבים וירטואליים שבוצעו בשבעת הימים האחרונים:

CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10