Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os logs do CloudTrail, que foram ingeridos do conector do Sentinel, contém todos os seus dados e eventos de gerenciamento de sua conta da Amazon Web Services.
Características da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | Sim |
| Transformação de tempo de ingestão | Sim |
| Consultas de exemplo | Sim |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| DadosAdicionaisDoEvento | cadeia de caracteres | Dados adicionais sobre o evento que não fazia parte da solicitação ou resposta. |
| Versão da API | cadeia de caracteres | Identifica a versão da API associada ao valor AwsApiCall eventType. |
| AwsEventId | cadeia de caracteres | GUID gerado pelo CloudTrail para identificar de forma exclusiva cada evento. Você pode usar esse valor para identificar um único evento. |
| AWSRegion | cadeia de caracteres | A região da AWS para a qual a solicitação foi feita. |
| AwsRequestId | cadeia de caracteres | obsoleto, use AwsRequestId_ em vez disso. |
| AwsRequestId_ | cadeia de caracteres | O valor que identifica a solicitação. O serviço que está sendo chamado gera esse valor. |
| _BilledSize | verdadeiro | O tamanho do registro em bytes |
| Categoria | cadeia de caracteres | Mostra a categoria de evento usada em chamadas para LookupEvents. |
| CidrIp | cadeia de caracteres | O IP CIDR está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O intervalo CIDR IPv4. |
| CipherSuite | cadeia de caracteres | Opcional. Parte de tlsDetails. O conjunto de criptografia (combinação de algoritmos de segurança usados) de uma solicitação. |
| ClientProvidedHostHeader | cadeia de caracteres | Opcional. Parte de tlsDetails. O nome do host fornecido pelo cliente usado na chamada de API do serviço, que normalmente é o FQDN do endpoint do serviço. |
| Porta de Destino | cadeia de caracteres | O DestinationPort está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O fim do intervalo de portas para os protocolos TCP e UDP ou um código ICMP. |
| EC2RoleDelivery | cadeia de caracteres | O nome amigável do usuário ou função que emitiu a sessão. |
| Código de Erro | cadeia de caracteres | O erro de serviço da AWS ocorre quando a solicitação retorna um erro. |
| Mensagem de Erro | cadeia de caracteres | A descrição do erro, quando disponível. Esta mensagem inclui notificações de falhas de autorização. O CloudTrail captura a mensagem registrada pelo serviço em seu tratamento de exceções. |
| Nome do Evento | cadeia de caracteres | A ação solicitada, que é uma das ações na API para esse serviço. |
| FonteDeEventos | cadeia de caracteres | O serviço para o qual a solicitação foi feita. Esse nome geralmente é uma forma abreviada do nome do serviço sem espaços mais .amazonaws.com. |
| NomeDoTipoDeEvento | cadeia de caracteres | Identifica o tipo de evento que gerou o registro de evento. Pode ser um dos seguintes valores: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | cadeia de caracteres | A versão do formato de evento de log. |
| Protocolo IP | cadeia de caracteres | O protocolo IP está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O nome ou número do protocolo IP. Os valores válidos são tcp, udp, icmp ou um número de protocolo. |
| _IsBillable | cadeia de caracteres | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| Evento de Gestão | bool | Um valor booliano que identifica se o evento é um evento de gerenciamento. |
| NomeDaOperação | cadeia de caracteres | Valor constante: CloudTrail. |
| ReadOnly | bool | Identifica se essa é uma operação somente de leitura. |
| RecipientAccountId | cadeia de caracteres | Representa a ID da conta que recebeu esse evento. O recipientAccountID pode ser diferente do accountId do elemento userIdentity do CloudTrail. Isso pode ocorrer no acesso a recursos entre contas. |
| ParâmetrosDeRequisição | cadeia de caracteres | Os parâmetros, se houver, que foram enviados com a solicitação. Esses parâmetros estão documentados na documentação de referência da API para o serviço da AWS apropriado. |
| Recursos | cadeia de caracteres | Uma lista de recursos acessados no evento. |
| Elementos de resposta | cadeia de caracteres | O elemento de resposta para ações que fazem alterações (ações de criação, atualização ou exclusão). Se uma ação não alterar o estado (por exemplo, uma solicitação para obter ou listar objetos), esse elemento será omitido. |
| ServiceEventDetails | cadeia de caracteres | Identifica o evento de serviço, incluindo o que acionou o evento e o resultado. |
| Data de Criação da Sessão | data e hora | A data e a hora em que as credenciais de segurança temporárias foram emitidas. |
| SessionIssuerAccountId | cadeia de caracteres | A conta que possui a entidade que foi usada para obter credenciais. |
| SessionIssuerArn | cadeia de caracteres | O ARN da origem (conta, usuário do IAM ou função) que foi usado para obter credenciais de segurança temporárias. |
| SessionIssuerPrincipalId | cadeia de caracteres | A ID interna da entidade que foi usada para obter credenciais. |
| TipoDeEmissorDeSessão | cadeia de caracteres | A origem das credenciais de segurança temporárias, como Raiz, IAMUser ou Função. |
| NomeDeUsuárioDoEmissorDeSessão | cadeia de caracteres | O nome amigável do usuário ou função que emitiu a sessão. |
| SessionMfaAuthenticated | bool | O valor será true se o usuário raiz ou usuário do IAM cujas credenciais foram usadas para a solicitação também tiver sido autenticado com um dispositivo MFA; caso contrário, false. |
| ID de Evento Compartilhado | cadeia de caracteres | GUID gerado pelo CloudTrail para identificar exclusivamente eventos CloudTrail da mesma ação da AWS que é enviada para contas diferentes da AWS. |
| Endereço de Origem IP | cadeia de caracteres | O endereço IP do qual a solicitação foi feita. Para ações originadas do console de serviço, o endereço relatado é para o recurso do cliente subjacente, não para o servidor Web do console. Para serviços na AWS, somente o nome DNS é exibido. |
| SourcePort | cadeia de caracteres | O SourcePort está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O início do intervalo de portas para os protocolos TCP e UDP ou um número de tipo ICMP. |
| SourceSystem | cadeia de caracteres | O tipo de agente que coletou o evento. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure |
| ID do Locatário | cadeia de caracteres | A ID do workspace do Log Analytics |
| TimeGenerated | data e hora | O carimbo de data/hora (UTC). O carimbo de data/hora de um evento vem do host local que fornece o ponto de extremidade da API de serviço no qual a chamada à API foi feita. |
| Versão TLS | cadeia de caracteres | Opcional. Parte de tlsDetails. A versão TLS de uma solicitação. |
| Tipo | cadeia de caracteres | O nome da tabela |
| Agente do Usuário (UserAgent) | cadeia de caracteres | O agente por meio do qual a solicitação foi feita, como o Console de Gerenciamento da AWS, um serviço da AWS, os SDKs da AWS ou a AWS CLI. |
| UserIdentityAccessKeyId | cadeia de caracteres | A ID da chave de acesso que foi usada para assinar a solicitação. |
| UserIdentityAccountId | cadeia de caracteres | A conta que possui a entidade que concedeu permissões para a solicitação. |
| UserIdentityArn | cadeia de caracteres | O ARN (Nome do Recurso da Amazon) da entidade de segurança que fez a chamada. |
| UserIdentityInvokedBy | cadeia de caracteres | O nome do serviço da AWS que fez a solicitação. |
| UserIdentityPrincipalid | cadeia de caracteres | Um identificador exclusivo para a entidade que fez a chamada. |
| TipoDeIdentidadeDoUsuário | cadeia de caracteres | O tipo da identidade. Os seguintes valores são possíveis: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| NomeDeUsuárioIdentidadeDoUsuário | cadeia de caracteres | O nome da identidade que fez a chamada. |
| VpcEndpointId | cadeia de caracteres | Identifica o endpoint da VPC no qual as solicitações foram feitas de uma VPC para outro serviço da AWS. |