CloudAuditEvents
Van toepassing op:
- Microsoft Defender XDR
De CloudAuditEvents
tabel in het geavanceerde opsporingsschema bevat informatie over cloudcontrolegebeurtenissen voor verschillende cloudplatforms die worden beveiligd door de Microsoft Defender van de organisatie voor cloud. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
Kolomnaam | Gegevenstype: | Beschrijving |
---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
ReportId |
string |
Unieke id voor de gebeurtenis |
DataSource |
string |
Gegevensbron voor de auditgebeurtenissen in de cloud kan GCP (voor Google Cloud Platform), AWS (voor Amazon Web Services), Azure (voor Azure Resource Manager), Kubernetes Audit (voor Kubernetes) of andere cloudplatforms zijn |
ActionType |
string |
Het type activiteit dat de gebeurtenis heeft geactiveerd, kan zijn: Onbekend, Creatie, Lezen, Bijwerken, Verwijderen, Overig |
OperationName |
string |
Naam van de gebeurtenisbewerking controleren zoals deze wordt weergegeven in de record, bevat meestal zowel het resourcetype als de bewerking |
ResourceId |
string |
Unieke id van de cloudresource die wordt geopend |
IPAddress |
string |
Het IP-adres van de client dat wordt gebruikt voor toegang tot de cloudresource of het besturingsvlak |
IsAnonymousProxy |
boolean |
Geeft aan of het IP-adres deel uitmaakt van een bekende anonieme proxy (1) of geen (0) |
CountryCode |
string |
Tweeletterige code die het land aangeeft waar het IP-adres van de client is geolocated |
City |
string |
Plaats waar het IP-adres van de client is geolocated |
Isp |
string |
Internetprovider (ISP) die is gekoppeld aan het IP-adres |
UserAgent |
string |
Gebruikersagentgegevens uit de webbrowser of een andere clienttoepassing |
RawEventData |
dynamic |
Volledige onbewerkte gebeurtenisgegevens van de gegevensbron in JSON-indeling |
AdditionalFields |
dynamic |
Aanvullende informatie over de controlegebeurtenis |
Voorbeeldquery
Ga als volgt te werk om een voorbeeldlijst op te halen van opdrachten voor het maken van vm's die in de afgelopen zeven dagen zijn uitgevoerd:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10