AWSCloudTrail
A Sentinel összekötőjéből betöltött CloudTrail-naplók az Amazon Wev Services-fiók összes adat- és felügyeleti eseményét tartalmazza.
Táblaattribútumok
Attribútum | Érték |
---|---|
Erőforrástípusok | - |
Kategóriák | Biztonság |
Megoldások | SecurityInsights |
Alapszintű napló | No |
Betöltési idő átalakítás | Yes |
Mintalekérdezések | Igen |
Oszlopok
Oszlop | Típus | Description |
---|---|---|
AdditionalEventData | sztring | További adatok az eseményről, amely nem volt része a kérésnek vagy a válasznak. |
APIVersion | sztring | Azonosítja az AwsApiCall eventType értékhez társított API-verziót. |
AwsEventId | sztring | A CloudTrail által létrehozott GUID az egyes események egyedi azonosításához. Ez az érték egyetlen esemény azonosítására használható. |
AWSRegion | sztring | Az AWS-régió, amellyel a kérést intézték. |
AwsRequestId | sztring | elavult, használja inkább a AwsRequestId_. |
AwsRequestId_ | sztring | A kérést azonosító érték. A meghívott szolgáltatás ezt az értéket hozza létre. |
_BilledSize | valós szám | A rekord mérete bájtban |
Kategória | sztring | A LookupEvents-hívásokban használt eseménykategóriát jeleníti meg. |
CidrIp | sztring | A CIDR IP-címe a CloudTrail RequestParameters területén található, és egy biztonságicsoport-szabály IP-engedélyeinek megadására szolgál. Az IPv4 CIDR-tartomány. |
CipherSuite | sztring | Választható. A tlsDetails része. A kérés titkosítási csomagja (a használt biztonsági algoritmusok kombinációja). |
ClientProvidedHostHeader | sztring | Választható. A tlsDetails része. A szolgáltatás API-hívásban használt ügyfél által megadott gazdagépnév, amely általában a szolgáltatásvégpont teljes tartományneve. |
DestinationPort | sztring | A DestinationPort a CloudTrail RequestParameters területén található, és egy biztonságicsoport-szabály IP-engedélyeinek megadására szolgál. A TCP- és UDP-protokollok porttartományának vége, vagy egy ICMP-kód. |
EC2RoleDelivery | sztring | A munkamenetet kibocsátó felhasználó vagy szerepkör rövid neve. |
ErrorCode | sztring | Az AWS szolgáltatás hibája, ha a kérés hibát ad vissza. |
ErrorMessage | sztring | A hiba leírása, ha elérhető. Ez az üzenet engedélyezési hibákra vonatkozó üzeneteket tartalmaz. A CloudTrail rögzíti a szolgáltatás által naplózott üzenetet a kivételkezelés során. |
EventName | sztring | A kért művelet, amely az adott szolgáltatás API-jának egyik művelete. |
EventSource | sztring | A szolgáltatás, amellyel a kérést intézték. Ez a név általában a szolgáltatásnév rövid formája szóközök és .amazonaws.com nélkül. |
EventTypeName | sztring | Azonosítja az eseményrekordot létrehozó esemény típusát. Ez a következő értékek egyike lehet: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
EventVersion | sztring | A naplóesemény formátumának verziója. |
IpProtocol | sztring | Az IP-protokoll a CloudTrail RequestParameters területén található, és egy biztonságicsoport-szabály IP-engedélyeinek megadására szolgál. Az IP-protokoll neve vagy száma. Az érvényes értékek: tcp, udp, icmp vagy protokollszám. |
_IsBillable | sztring | Megadja, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés false történik, a számlázás nem történik meg az Azure-fiókban |
ManagementEvent | logikai | Logikai érték, amely azonosítja, hogy az esemény felügyeleti esemény-e. |
OperationName | sztring | Állandó érték: CloudTrail. |
ReadOnly | logikai | Meghatározza, hogy ez a művelet írásvédett művelet-e. |
RecipientAccountId | sztring | Az eseményt kapott fiókazonosítót jelöli. A recipientAccountID eltérhet a CloudTrail userIdentity elem accountId azonosítójától. Ez fiókközi erőforrás-hozzáférés esetén fordulhat elő. |
RequestParameters | sztring | A kéréssel küldött paraméterek, ha vannak ilyenek. Ezeket a paramétereket a megfelelő AWS-szolgáltatás API-referenciadokumentációjában dokumentáljuk. |
Források | sztring | Az eseményben elért erőforrások listája. |
ResponseElements | sztring | A módosításokat (létrehozási, frissítési vagy törlési műveleteket) tartalmazó műveletek válaszeleme. Ha egy művelet nem módosítja az állapotot (például egy objektum lekérésére vagy listázására irányuló kérést), a program kihagyja ezt az elemet. |
ServiceEventDetails | sztring | Azonosítja a szolgáltatáseseményt, beleértve azt is, hogy mi váltotta ki az eseményt és az eredményt. |
SessionCreationDate | dátum/idő | Az ideiglenes biztonsági hitelesítő adatok kiadásának dátuma és időpontja. |
SessionIssuerAccountId | sztring | Az a fiók, amely a hitelesítő adatok lekéréséhez használt entitás tulajdonosa. |
SessionIssuerArn | sztring | Az ideiglenes biztonsági hitelesítő adatok lekéréséhez használt forrás (fiók, IAM-felhasználó vagy szerepkör) ARN-azonosítója. |
SessionIssuerPrincipalId | sztring | A hitelesítő adatok lekéréséhez használt entitás belső azonosítója. |
SessionIssuerType | sztring | Az ideiglenes biztonsági hitelesítő adatok forrása, például a Gyökér, az IAMUser vagy a Szerepkör. |
SessionIssuerUserName | sztring | A munkamenetet kibocsátó felhasználó vagy szerepkör rövid neve. |
SessionMfaAuthenticated | logikai | Az érték akkor igaz, ha a gyökérfelhasználót vagy az IAM-felhasználót, akinek a hitelesítő adatait használták a kéréshez, szintén egy MFA-eszközzel hitelesítve lett; egyéb esetben hamis. |
SharedEventId | sztring | A CloudTrail által létrehozott GUID, amely egyedileg azonosítja a CloudTrail-eseményeket ugyanazon AWS-műveletből, amelyet a rendszer különböző AWS-fiókokba küld. |
SourceIpAddress | sztring | Az IP-cím, amelyről a kérés érkezett. A szolgáltatáskonzolról származó műveletek esetében a jelentett cím a mögöttes ügyfélerőforrásra, nem pedig a konzol webkiszolgálójára tartozik. Az AWS-szolgáltatások esetében csak a DNS-név jelenik meg. |
SourcePort | sztring | A SourcePort a CloudTrail RequestParameters területén található, és egy biztonságicsoport-szabály IP-engedélyeinek megadására szolgál. A TCP- és UDP-protokollok porttartományának kezdete, vagy egy ICMP-típusszám. |
SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök, vagy Azure a Azure Diagnostics |
TenantId | sztring | A Log Analytics-munkaterület azonosítója |
TimeGenerated | dátum/idő | Az időbélyeg (UTC). Az esemény időbélyege a helyi gazdagépről származik, amely azt a szolgáltatás API-végpontot biztosítja, amelyen az API-hívás történt. |
TlsVersion | sztring | Választható. A tlsDetails része. A kérés TLS-verziója. |
Típus | sztring | A tábla neve |
Useragent | sztring | Az ügynök, amelyen keresztül a kérés érkezett, például az AWS felügyeleti konzol, egy AWS-szolgáltatás, az AWS SDK-k vagy az AWS CLI. |
UserIdentityAccessKeyId | sztring | A kérelem aláírásához használt hozzáférési kulcs azonosítója. |
UserIdentityAccountId | sztring | Az a fiók, amely a kérelemhez engedélyeket szolgáltató entitás tulajdonosa. |
UserIdentityArn | sztring | A hívást kezdeményező tag Amazon-erőforrásneve (ARN). |
UserIdentityInvokedBy | sztring | A kérést küldő AWS-szolgáltatás neve. |
UserIdentityPrincipalid | sztring | A hívást kezdeményező entitás egyedi azonosítója. |
UserIdentityType | sztring | Az identitás típusa. A következő értékek lehetségesek: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
UserIdentityUserName | sztring | A hívást kezdeményező identitás neve. |
VpcEndpointId | sztring | Azonosítja azt a VPC-végpontot, amelyben egy VPC-ből egy másik AWS-szolgáltatásba irányuló kérések érkeztek. |
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: