Delen via


CloudAuditEvents

Van toepassing op:

  • Microsoft Defender XDR

De CloudAuditEvents tabel in het geavanceerde opsporingsschema bevat informatie over cloudcontrolegebeurtenissen voor verschillende cloudplatforms die worden beveiligd door de Microsoft Defender van de organisatie voor cloud. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.

Kolomnaam Gegevenstype: Beschrijving
Timestamp datetime Datum en tijd waarop de gebeurtenis is vastgelegd
ReportId string Unieke id voor de gebeurtenis
DataSource string Gegevensbron voor de auditgebeurtenissen in de cloud kan GCP (voor Google Cloud Platform), AWS (voor Amazon Web Services), Azure (voor Azure Resource Manager), Kubernetes Audit (voor Kubernetes) of andere cloudplatforms zijn
ActionType string Het type activiteit dat de gebeurtenis heeft geactiveerd, kan zijn: Onbekend, Creatie, Lezen, Bijwerken, Verwijderen, Overig
OperationName string Naam van de gebeurtenisbewerking controleren zoals deze wordt weergegeven in de record, bevat meestal zowel het resourcetype als de bewerking
ResourceId string Unieke id van de cloudresource die wordt geopend
IPAddress string Het IP-adres van de client dat wordt gebruikt voor toegang tot de cloudresource of het besturingsvlak
IsAnonymousProxy boolean Geeft aan of het IP-adres deel uitmaakt van een bekende anonieme proxy (1) of geen (0)
CountryCode string Tweeletterige code die het land aangeeft waar het IP-adres van de client is geolocated
City string Plaats waar het IP-adres van de client is geolocated
Isp string Internetprovider (ISP) die is gekoppeld aan het IP-adres
UserAgent string Gebruikersagentgegevens uit de webbrowser of een andere clienttoepassing
RawEventData dynamic Volledige onbewerkte gebeurtenisgegevens van de gegevensbron in JSON-indeling
AdditionalFields dynamic Aanvullende informatie over de controlegebeurtenis

Voorbeeldquery

Ga als volgt te werk om een voorbeeldlijst op te halen van opdrachten voor het maken van vm's die in de afgelopen zeven dagen zijn uitgevoerd:

CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10