Compartilhar via


CloudAuditEvents

Aplica-se a:

  • Microsoft Defender XDR

A CloudAuditEvents tabela no esquema de caça avançada contém informações sobre eventos de auditoria de nuvem para várias plataformas de nuvem protegidas pelo Microsoft Defender da organização para Nuvem. Use essa referência para criar consultas que retornam informações dessa tabela.

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime A data e a hora em que o evento foi gravado
ReportId string Identificador exclusivo para o evento
DataSource string A fonte de dados para os eventos de auditoria de nuvem pode ser GCP (para Google Cloud Platform), AWS (para Amazon Web Services), Azure (para Azure Resource Manager), Auditoria do Kubernetes (para Kubernetes) ou outras plataformas de nuvem
ActionType string O tipo de atividade que acionou o evento pode ser: Desconhecido, Create, Leitura, Atualização, Exclusão, Outros
OperationName string O nome da operação de evento de auditoria como ele aparece no registro, geralmente inclui o tipo de recurso e a operação
ResourceId string Identificador exclusivo do recurso de nuvem acessado
IPAddress string O endereço IP do cliente usado para acessar o recurso de nuvem ou o plano de controle
IsAnonymousProxy boolean Indica se o endereço IP pertence a um proxy anônimo conhecido (1) ou não (0)
CountryCode string Código de duas letras indicando o país em que o endereço IP do cliente é geolocalizado
City string Cidade em que o endereço IP do cliente é geolocalizado
Isp string Provedor de serviços de Internet (ISP) associado ao endereço IP
UserAgent string Informações do agente de usuário do navegador da Web ou de outro aplicativo cliente
RawEventData dynamic Informações completas de eventos brutos da fonte de dados no formato JSON
AdditionalFields dynamic Informações adicionais sobre o evento de auditoria

Consulta de exemplo

Para obter uma lista de exemplos de comandos de criação de VM executados nos últimos sete dias:

CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10