AWSCloudTrail
從 Sentinel 連接器擷取的 CloudTrail 記錄會保存 Amazon Wev Services 帳戶的所有數據和管理事件。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | - |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | 是 |
資料行
資料行 | 類型 | Description |
---|---|---|
AdditionalEventData | 字串 | 不屬於要求或回應之事件的其他數據。 |
APIVersion | 字串 | 識別與 AwsApiCall eventType 值相關聯的 API 版本。 |
AwsEventId | 字串 | CloudTrail 所產生的 GUID 可唯一識別每個事件。 您可以使用此值來識別單一事件。 |
AWSRegion | 字串 | 提出要求的 AWS 區域。 |
AwsRequestId | 字串 | 已被取代,請改用AwsRequestId_。 |
AwsRequestId_ | 字串 | 識別要求的值。 所呼叫的服務會產生此值。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
類別 | 字串 | 顯示LookupEvents呼叫中使用的事件類別目錄。 |
CidrIp | 字串 | CIDR IP 位於 CloudTrail 中的 RequestParameters 底下,用來指定安全組規則的 IP 許可權。 IPv4 CIDR 範圍。 |
CipherSuite | 字串 | 選擇性。 tlsDetails 的一部分。 加密套件 (要求) 使用的安全性演算法組合。 |
ClientProvidedHostHeader | 字串 | 選擇性。 tlsDetails 的一部分。 服務 API 呼叫中使用的用戶端提供的主機名,通常是服務端點的 FQDN。 |
DestinationPort | 字串 | DestinationPort 位於 CloudTrail 中的 RequestParameters 底下,用來指定安全組規則的 IP 許可權。 TCP 和 UDP 通訊協定的埠範圍結束,或 ICMP 程式代碼。 |
EC2RoleDelivery | 字串 | 發出工作階段之使用者或角色的易記名稱。 |
ErrorCode | 字串 | 如果要求傳回錯誤,AWS 服務錯誤。 |
ErrorMessage | 字串 | 可用時的錯誤描述。 此訊息包含授權失敗的訊息。 CloudTrail 會擷取服務在其例外狀況處理中記錄的訊息。 |
EventName | 字串 | 要求的動作,這是該服務的 API 中的其中一個動作。 |
EventSource | 字串 | 提出要求的服務。 此名稱通常是簡短形式的服務名稱,不含空格加上 .amazonaws.com。 |
EventTypeName | 字串 | 識別產生事件記錄的事件類型。 這可以是下列其中一個值:AwsApiCall、AwsServiceEvent、AwsConsoleAction 、AwsConsoleSignIn。 |
EventVersion | 字串 | 記錄事件格式的版本。 |
IpProtocol | 字串 | IP 通訊協議位於 CloudTrail 中的 RequestParameters 底下,用來指定安全組規則的 IP 許可權。 IP 通訊協定名稱或號碼。 有效值為 tcp、udp、icmp 或通訊協議號碼。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
ManagementEvent | bool | 布爾值,識別事件是否為管理事件。 |
OperationName | 字串 | 常數值:CloudTrail。 |
唯讀 | bool | 識別此作業是否為唯讀作業。 |
RecipientAccountId | 字串 | 表示收到此事件的帳戶標識碼。 recipientAccountID 可能與 CloudTrail userIdentity Element accountId 不同。 這可能會發生在跨帳戶資源存取中。 |
RequestParameters | 字串 | 如果有任何參數,則為與要求一起傳送的參數。 這些參數記載於適用於適當 AWS 服務的 API 參考檔中。 |
資源 | 字串 | 事件中存取的資源清單。 |
ResponseElements | 字串 | (建立、更新或刪除動作) 之動作的響應專案。 例如,如果動作不會變更狀態 (,則會省略要求取得或列出) 的物件。 |
ServiceEventDetails | 字串 | 識別服務事件,包括觸發事件和結果的專案。 |
SessionCreationDate | datetime | 發出暫存安全性認證的日期和時間。 |
SessionIssuerAccountId | 字串 | 擁有用來取得認證的實體帳戶。 |
SessionIssuerArn | 字串 | 用來取得暫時安全性認證的來源 (帳戶、IAM 使用者或角色) ARN。 |
SessionIssuerPrincipalId | 字串 | 用來取得認證的實體內部標識碼。 |
SessionIssuerType | 字串 | 暫存安全性認證的來源,例如 Root、IAMUser 或 Role。 |
SessionIssuerUserName | 字串 | 發出工作階段之使用者或角色的易記名稱。 |
SessionMfaAuthenticated | bool | 如果根使用者或用於要求之認證的 IAM 用戶也經過 MFA 裝置驗證,則值為 true;否則為 false。 |
SharedEventId | 字串 | CloudTrail 所產生的 GUID,可唯一識別來自傳送至不同 AWS 帳戶之相同 AWS 動作的 CloudTrail 事件。 |
SourceIpAddress | 字串 | 要求的來源IP位址。 對於源自服務控制台的動作,回報的位址是基礎客戶資源,而不是控制台 Web 伺服器。 針對 AWS 中的服務,只會顯示 DNS 名稱。 |
SourcePort | 字串 | SourcePort 位於 CloudTrail 中的 RequestParameters 底下,用來指定安全組規則的 IP 許可權。 TCP 和 UDP 通訊協定的埠範圍開始,或 ICMP 類型號碼。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager 針對 Windows 代理程式、直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
TenantId | 字串 | Log Analytics 工作區標識符 |
TimeGenerated | Datetime | 時間戳 (UTC) 。 事件的時間戳來自本機主機,該主機會提供進行 API 呼叫的服務 API 端點。 |
TlsVersion | 字串 | 選擇性。 tlsDetails 的一部分。 要求的 TLS 版本。 |
類型 | 字串 | 資料表的名稱 |
UserAgent | 字串 | 執行要求的代理程式,例如 AWS 管理控制台、AWS 服務、AWS SDK 或 AWS CLI。 |
UserIdentityAccessKeyId | 字串 | 用來簽署要求的存取金鑰標識碼。 |
UserIdentityAccountId | 字串 | 擁有授與要求許可權之實體的帳戶。 |
UserIdentityArn | 字串 | 發出呼叫之主體的 Amazon 資源名稱 (ARN) 。 |
UserIdentityInvokedBy | 字串 | 提出要求的 AWS 服務名稱。 |
UserIdentityPrincipalid | 字串 | 進行呼叫之實體的唯一標識符。 |
UserIdentityType | 字串 | 身分識別的類型。 下列值可能:Root、IAMUser、AssumedRole、FederatedUser、Directory、AWSAccount、AWSService、Unknown。 |
UserIdentityUserName | 字串 | 進行呼叫的身分識別名稱。 |
VpEndpointId | 字串 | 識別從 AWS 對另一個 AWS 服務提出要求所在的 CSV 端點。 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應