AWSCloudTrail
A Sentinel összekötőjéből betöltött CloudTrail-naplók az Amazon Wev Services-fiók összes adat- és felügyeleti eseményét tartalmazza.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | No |
| Betöltési idő átalakítás | Yes |
| Mintalekérdezések | Igen |
Oszlopok
| Oszlop | Típus | Description |
|---|---|---|
| AdditionalEventData | sztring | További adatok az eseményről, amely nem volt része a kérésnek vagy a válasznak. |
| APIVersion | sztring | Azonosítja az AwsApiCall eventType értékhez társított API-verziót. |
| AwsEventId | sztring | A CloudTrail által létrehozott GUID az egyes események egyedi azonosításához. Ez az érték egyetlen esemény azonosítására használható. |
| AWSRegion | sztring | Az AWS-régió, amellyel a kérést intézték. |
| AwsRequestId | sztring | elavult, használja inkább a AwsRequestId_. |
| AwsRequestId_ | sztring | A kérést azonosító érték. A meghívott szolgáltatás ezt az értéket hozza létre. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| Kategória | sztring | A LookupEvents-hívásokban használt eseménykategóriát jeleníti meg. |
| CidrIp | sztring | A CIDR IP-címe a CloudTrail RequestParameters területén található, és egy biztonságicsoport-szabály IP-engedélyeinek megadására szolgál. Az IPv4 CIDR-tartomány. |
| CipherSuite | sztring | Választható. A tlsDetails része. A kérés titkosítási csomagja (a használt biztonsági algoritmusok kombinációja). |
| ClientProvidedHostHeader | sztring | Választható. A tlsDetails része. A szolgáltatás API-hívásban használt ügyfél által megadott gazdagépnév, amely általában a szolgáltatásvégpont teljes tartományneve. |
| DestinationPort | sztring | A DestinationPort a CloudTrail RequestParameters területén található, és egy biztonságicsoport-szabály IP-engedélyeinek megadására szolgál. A TCP- és UDP-protokollok porttartományának vége, vagy egy ICMP-kód. |
| EC2RoleDelivery | sztring | A munkamenetet kibocsátó felhasználó vagy szerepkör rövid neve. |
| ErrorCode | sztring | Az AWS szolgáltatás hibája, ha a kérés hibát ad vissza. |
| ErrorMessage | sztring | A hiba leírása, ha elérhető. Ez az üzenet engedélyezési hibákra vonatkozó üzeneteket tartalmaz. A CloudTrail rögzíti a szolgáltatás által naplózott üzenetet a kivételkezelés során. |
| EventName | sztring | A kért művelet, amely az adott szolgáltatás API-jának egyik művelete. |
| EventSource | sztring | A szolgáltatás, amellyel a kérést intézték. Ez a név általában a szolgáltatásnév rövid formája szóközök és .amazonaws.com nélkül. |
| EventTypeName | sztring | Azonosítja az eseményrekordot létrehozó esemény típusát. Ez a következő értékek egyike lehet: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | sztring | A naplóesemény formátumának verziója. |
| IpProtocol | sztring | Az IP-protokoll a CloudTrail RequestParameters területén található, és egy biztonságicsoport-szabály IP-engedélyeinek megadására szolgál. Az IP-protokoll neve vagy száma. Az érvényes értékek: tcp, udp, icmp vagy protokollszám. |
| _IsBillable | sztring | Megadja, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés false történik, a számlázás nem történik meg az Azure-fiókban |
| ManagementEvent | logikai | Logikai érték, amely azonosítja, hogy az esemény felügyeleti esemény-e. |
| OperationName | sztring | Állandó érték: CloudTrail. |
| ReadOnly | logikai | Meghatározza, hogy ez a művelet írásvédett művelet-e. |
| RecipientAccountId | sztring | Az eseményt kapott fiókazonosítót jelöli. A recipientAccountID eltérhet a CloudTrail userIdentity elem accountId azonosítójától. Ez fiókközi erőforrás-hozzáférés esetén fordulhat elő. |
| RequestParameters | sztring | A kéréssel küldött paraméterek, ha vannak ilyenek. Ezeket a paramétereket a megfelelő AWS-szolgáltatás API-referenciadokumentációjában dokumentáljuk. |
| Források | sztring | Az eseményben elért erőforrások listája. |
| ResponseElements | sztring | A módosításokat (létrehozási, frissítési vagy törlési műveleteket) tartalmazó műveletek válaszeleme. Ha egy művelet nem módosítja az állapotot (például egy objektum lekérésére vagy listázására irányuló kérést), a program kihagyja ezt az elemet. |
| ServiceEventDetails | sztring | Azonosítja a szolgáltatáseseményt, beleértve azt is, hogy mi váltotta ki az eseményt és az eredményt. |
| SessionCreationDate | dátum/idő | Az ideiglenes biztonsági hitelesítő adatok kiadásának dátuma és időpontja. |
| SessionIssuerAccountId | sztring | Az a fiók, amely a hitelesítő adatok lekéréséhez használt entitás tulajdonosa. |
| SessionIssuerArn | sztring | Az ideiglenes biztonsági hitelesítő adatok lekéréséhez használt forrás (fiók, IAM-felhasználó vagy szerepkör) ARN-azonosítója. |
| SessionIssuerPrincipalId | sztring | A hitelesítő adatok lekéréséhez használt entitás belső azonosítója. |
| SessionIssuerType | sztring | Az ideiglenes biztonsági hitelesítő adatok forrása, például a Gyökér, az IAMUser vagy a Szerepkör. |
| SessionIssuerUserName | sztring | A munkamenetet kibocsátó felhasználó vagy szerepkör rövid neve. |
| SessionMfaAuthenticated | logikai | Az érték akkor igaz, ha a gyökérfelhasználót vagy az IAM-felhasználót, akinek a hitelesítő adatait használták a kéréshez, szintén egy MFA-eszközzel hitelesítve lett; egyéb esetben hamis. |
| SharedEventId | sztring | A CloudTrail által létrehozott GUID, amely egyedileg azonosítja a CloudTrail-eseményeket ugyanazon AWS-műveletből, amelyet a rendszer különböző AWS-fiókokba küld. |
| SourceIpAddress | sztring | Az IP-cím, amelyről a kérés érkezett. A szolgáltatáskonzolról származó műveletek esetében a jelentett cím a mögöttes ügyfélerőforrásra, nem pedig a konzol webkiszolgálójára tartozik. Az AWS-szolgáltatások esetében csak a DNS-név jelenik meg. |
| SourcePort | sztring | A SourcePort a CloudTrail RequestParameters területén található, és egy biztonságicsoport-szabály IP-engedélyeinek megadására szolgál. A TCP- és UDP-protokollok porttartományának kezdete, vagy egy ICMP-típusszám. |
| SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök, vagy Azure a Azure Diagnostics |
| TenantId | sztring | A Log Analytics-munkaterület azonosítója |
| TimeGenerated | dátum/idő | Az időbélyeg (UTC). Az esemény időbélyege a helyi gazdagépről származik, amely azt a szolgáltatás API-végpontot biztosítja, amelyen az API-hívás történt. |
| TlsVersion | sztring | Választható. A tlsDetails része. A kérés TLS-verziója. |
| Típus | sztring | A tábla neve |
| Useragent | sztring | Az ügynök, amelyen keresztül a kérés érkezett, például az AWS felügyeleti konzol, egy AWS-szolgáltatás, az AWS SDK-k vagy az AWS CLI. |
| UserIdentityAccessKeyId | sztring | A kérelem aláírásához használt hozzáférési kulcs azonosítója. |
| UserIdentityAccountId | sztring | Az a fiók, amely a kérelemhez engedélyeket szolgáltató entitás tulajdonosa. |
| UserIdentityArn | sztring | A hívást kezdeményező tag Amazon-erőforrásneve (ARN). |
| UserIdentityInvokedBy | sztring | A kérést küldő AWS-szolgáltatás neve. |
| UserIdentityPrincipalid | sztring | A hívást kezdeményező entitás egyedi azonosítója. |
| UserIdentityType | sztring | Az identitás típusa. A következő értékek lehetségesek: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | sztring | A hívást kezdeményező identitás neve. |
| VpcEndpointId | sztring | Azonosítja azt a VPC-végpontot, amelyben egy VPC-ből egy másik AWS-szolgáltatásba irányuló kérések érkeztek. |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: