CloudAuditEvents
Gjelder for:
- Microsoft Defender XDR
Tabellen CloudAuditEvents i det avanserte jaktskjemaet inneholder informasjon om overvåkingshendelser i skyen for ulike skyplattformer som er beskyttet av organisasjonens Microsoft Defender for Cloud. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
ReportId |
string |
Unik identifikator for hendelsen |
DataSource |
string |
Datakilde for overvåkingshendelser i skyen kan være GCP (for Google Cloud Platform), AWS (for Amazon Web Services), Azure (for Azure Resource Manager), Kubernetes Audit (for Kubernetes) eller andre skyplattformer |
ActionType |
string |
Type aktivitet som utløste hendelsen, kan være: Ukjent, Opprett, Les, Oppdater, Slett, Annet |
OperationName |
string |
Navn på overvåkingshendelsesoperasjon slik det vises i posten, inkluderer vanligvis både ressurstype og operasjon |
ResourceId |
string |
Unik identifikator for skyressursen som er åpnet |
IPAddress |
string |
Klient-IP-adressen som brukes til å få tilgang til skyressursen eller kontrollflyet |
IsAnonymousProxy |
boolean |
Angir om IP-adressen tilhører en kjent anonym proxy (1) eller nei (0) |
CountryCode |
string |
Kode på to bokstaver som angir landet der klientens IP-adresse er geolokert |
City |
string |
Poststed der klient-IP-adressen er geolokert |
Isp |
string |
Internett-leverandør (ISP) som er knyttet til IP-adressen |
UserAgent |
string |
Brukeragentinformasjon fra nettleseren eller et annet klientprogram |
RawEventData |
dynamic |
Informasjon om fullstendig råhendelse fra datakilden i JSON-format |
AdditionalFields |
dynamic |
Tilleggsinformasjon om overvåkingshendelsen |
Eksempelspørring
Slik får du en eksempelliste over kommandoer for vm-oppretting utført i løpet av de siste sju dagene:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10