CloudAuditEvents
Şunlar için geçerlidir:
- Microsoft Defender XDR
CloudAuditEvents
Gelişmiş tehdit avcılığı şemasındaki tablo, kuruluşun Bulut için Microsoft Defender tarafından korunan çeşitli bulut platformlarına yönelik bulut denetim olayları hakkında bilgi içerir. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Olayın kaydedilildiği tarih ve saat |
ReportId |
string |
Olayın benzersiz tanımlayıcısı |
DataSource |
string |
Bulut denetim olaylarının veri kaynağı GCP (Google Cloud Platform için), AWS (Amazon Web Services için), Azure (Azure Resource Manager için), Kubernetes Audit (Kubernetes için) veya diğer bulut platformları olabilir |
ActionType |
string |
Olayı tetikleyen etkinliğin türü şu olabilir: Bilinmiyor, İçerik Oluşturucu, Okuma, Güncelleştirme, Silme, Diğer |
OperationName |
string |
Kayıtta göründüğü gibi olay işleminin adını denetleme, genellikle hem kaynak türünü hem de işlemi içerir |
ResourceId |
string |
Erişilen bulut kaynağının benzersiz tanımlayıcısı |
IPAddress |
string |
Bulut kaynağına veya denetim düzlemine erişmek için kullanılan istemci IP adresi |
IsAnonymousProxy |
boolean |
IP adresinin bilinen bir anonim ara sunucuya (1) ait olup olmadığını gösterir (0) |
CountryCode |
string |
İstemci IP adresinin coğrafi olarak konumlandırıldığı ülkeyi gösteren iki harfli kod |
City |
string |
İstemci IP adresinin coğrafi olarak konumlandırıldığı şehir |
Isp |
string |
IP adresiyle ilişkilendirilmiş İnternet servis sağlayıcısı (ISS) |
UserAgent |
string |
Web tarayıcısından veya diğer istemci uygulamasından kullanıcı aracısı bilgileri |
RawEventData |
dynamic |
JSON biçimindeki veri kaynağından tam ham olay bilgileri |
AdditionalFields |
dynamic |
Denetim olayı hakkında ek bilgi |
Örnek sorgu
Son yedi gün içinde gerçekleştirilen VM oluşturma komutlarının örnek listesini almak için:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10