다음을 통해 공유


CloudAuditEvents

적용 대상:

  • Microsoft Defender XDR

고급 헌팅 스키마의 테이블에는 CloudAuditEvents organization 클라우드용 Microsoft Defender 의해 보호되는 다양한 클라우드 플랫폼에 대한 클라우드 감사 이벤트에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.

열 이름 데이터 형식 설명
Timestamp datetime 이벤트가 기록된 날짜와 시간
ReportId string 이벤트에 대한 고유 식별자
DataSource string 클라우드 감사 이벤트의 데이터 원본은 GCP(Google Cloud Platform의 경우), AWS(Amazon Web Services의 경우), Azure(Azure Resource Manager), Kubernetes 감사(Kubernetes의 경우) 또는 기타 클라우드 플랫폼일 수 있습니다.
ActionType string 이벤트를 트리거한 활동 유형은 알 수 없음, Create, 읽기, 업데이트, 삭제, 기타일 수 있습니다.
OperationName string 감사 이벤트 작업 이름은 레코드에 표시되며 일반적으로 리소스 유형과 작업을 모두 포함합니다.
ResourceId string 액세스된 클라우드 리소스의 고유 식별자
IPAddress string 클라우드 리소스 또는 컨트롤 플레인에 액세스하는 데 사용되는 클라이언트 IP 주소
IsAnonymousProxy boolean IP 주소가 알려진 익명 프록시(1) 또는 아니요(0)에 속하는지 여부를 나타냅니다.
CountryCode string 클라이언트 IP 주소가 지리적으로 할당된 국가를 나타내는 두 글자 코드
City string 클라이언트 IP 주소가 지리적으로 할당된 도시
Isp string IP 주소와 연결된 ISP(인터넷 서비스 공급자)
UserAgent string 웹 브라우저 또는 기타 클라이언트 애플리케이션의 사용자 에이전트 정보
RawEventData dynamic 데이터 원본의 전체 원시 이벤트 정보(JSON 형식)
AdditionalFields dynamic 감사 이벤트에 대한 추가 정보

샘플 쿼리

지난 7일 동안 수행된 VM 만들기 명령의 샘플 목록을 얻으려면 다음을 수행합니다.

CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10