CloudAuditEvents
Aplica-se a:
- Microsoft Defender XDR
A CloudAuditEvents
tabela no esquema de caça avançada contém informações sobre eventos de auditoria de nuvem para várias plataformas de nuvem protegidas pelo Microsoft Defender da organização para Nuvem. Use essa referência para criar consultas que retornam informações dessa tabela.
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
ReportId |
string |
Identificador exclusivo para o evento |
DataSource |
string |
A fonte de dados para os eventos de auditoria de nuvem pode ser GCP (para Google Cloud Platform), AWS (para Amazon Web Services), Azure (para Azure Resource Manager), Auditoria do Kubernetes (para Kubernetes) ou outras plataformas de nuvem |
ActionType |
string |
O tipo de atividade que acionou o evento pode ser: Desconhecido, Create, Leitura, Atualização, Exclusão, Outros |
OperationName |
string |
O nome da operação de evento de auditoria como ele aparece no registro, geralmente inclui o tipo de recurso e a operação |
ResourceId |
string |
Identificador exclusivo do recurso de nuvem acessado |
IPAddress |
string |
O endereço IP do cliente usado para acessar o recurso de nuvem ou o plano de controle |
IsAnonymousProxy |
boolean |
Indica se o endereço IP pertence a um proxy anônimo conhecido (1) ou não (0) |
CountryCode |
string |
Código de duas letras indicando o país em que o endereço IP do cliente é geolocalizado |
City |
string |
Cidade em que o endereço IP do cliente é geolocalizado |
Isp |
string |
Provedor de serviços de Internet (ISP) associado ao endereço IP |
UserAgent |
string |
Informações do agente de usuário do navegador da Web ou de outro aplicativo cliente |
RawEventData |
dynamic |
Informações completas de eventos brutos da fonte de dados no formato JSON |
AdditionalFields |
dynamic |
Informações adicionais sobre o evento de auditoria |
Consulta de exemplo
Para obter uma lista de exemplos de comandos de criação de VM executados nos últimos sete dias:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10