CloudAuditEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
A CloudAuditEvents
speciális veszélyforrás-keresési séma táblázata a szervezet felhőhöz készült Microsoft Defender által védett különböző felhőplatformok felhőnaplózási eseményeiről tartalmaz információkat. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
ReportId |
string |
Az esemény egyedi azonosítója |
DataSource |
string |
A felhőnaplózási események adatforrása lehet GCP (a Google Cloud Platformhoz), AWS (amazon webszolgáltatásokhoz), Azure (Azure Resource Manager esetén), Kubernetes-naplózás (Kuberneteshez) vagy más felhőplatformok |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa: Ismeretlen, Létrehozás, Olvasás, Frissítés, Törlés, Egyéb |
OperationName |
string |
A naplózási eseményművelet neve, ahogy a rekordban megjelenik, általában az erőforrástípust és a műveletet is tartalmazza |
ResourceId |
string |
A hozzáféréssel rendelkező felhőerőforrás egyedi azonosítója |
IPAddress |
string |
A felhőbeli erőforráshoz vagy vezérlősíkhoz való hozzáféréshez használt ügyfél IP-címe |
IsAnonymousProxy |
boolean |
Azt jelzi, hogy az IP-cím egy ismert névtelen proxyhoz (1) vagy nemhez tartozik-e (0) |
CountryCode |
string |
Kétbetűs kód, amely azt az országot jelzi, ahol az ügyfél IP-címe földrajzilag van elhelyezve |
City |
string |
Az ügyfél IP-címének földrajzi helyének helye |
Isp |
string |
Az IP-címhez társított internetszolgáltató (ISP) |
UserAgent |
string |
A böngészőből vagy más ügyfélalkalmazásból származó felhasználói ügynök adatai |
RawEventData |
dynamic |
Az adatforrás teljes nyers eseményadatai JSON formátumban |
AdditionalFields |
dynamic |
További információ a naplózási eseményről |
Mintalekérdezés
Az elmúlt hét napban végrehajtott virtuálisgép-létrehozási parancsok mintalistájának lekérése:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10