此解決方案堆疊會透過建立一個具備最低必要權限的 IAM 角色來整合 Microsoft Sentinel,以存取儲存在指定 S3 存儲桶中的 S3 伺服器訪問日志,並將日志事件傳送至 SQS 隊列。
數據表屬性
| 屬性 |
價值觀 |
|
資源類型 |
- |
|
類別 |
安全性 |
|
解決方案 |
SecurityInsights |
|
基本記錄 |
是的 |
|
資料引入時進行的轉換 |
是的 |
|
範例查詢 |
- |
資料行
| Column |
類型 |
說明 |
| AccessPointARN |
字串 |
用於要求的 S3 存取點的 Amazon 資源名稱 (ARN),或者若未使用則為 '-'。 |
| ACLRequired |
字串 |
指出要求時是否需要 ACL:"是",否則為 "-"。 |
| 驗證類型 |
字串 |
用於未驗證要求的驗證類型:AuthHeader、QueryString 或 '-'。 |
| _BilledSize (帳單大小) |
real |
以位元組為單位的記錄大小 |
| 桶子 |
字串 |
處理要求所對應的 S3 貯體名稱。 |
| BucketOwner |
字串 |
來源貯體擁有者的正式使用者標識碼(另一種形式的 AWS 帳戶標識符)。 |
| BytesSent |
整數 (int) |
傳送的回應位元組數目,不包括 HTTP 額外負荷或 0。 |
| CipherSuite |
字串 |
針對 HTTPS 所交涉的 TLS 加密套件,或者若為 HTTP 則為 '-'。 |
| 錯誤代碼 |
字串 |
回應中傳回的 S3 錯誤碼,如果沒有,則為 『-』。 |
| HostHeader |
字串 |
用於連線到 S3 的端點 (主機標頭) (例如,s3.us-west-2.amazonaws.com)。 |
| 主機識別碼 |
字串 |
Amazon S3 擴充請求標識碼 (x-amz-id-2)。 |
| HTTP狀態 |
整數 (int) |
回應中傳回的 HTTP 狀態代碼。 |
| _IsBillable // 是否可計費 |
字串 |
指定輸入數據是否會產生費用。 當 _IsBillable 為 false 時,此操作不會向您的 Azure 帳戶收費 |
| 鑰匙 |
字串 |
要求所涉及的物件鍵(名稱)。 |
| 物件大小 |
整數 (int) |
以位元組為單位的物件大小。 |
| 作業 |
字串 |
作業類型(例如 REST.PUT.OBJECT,S3.LIFECYCLETRANSITION.OBJECT)。 |
| 推薦者 |
字串 |
如果存在,則為 HTTP Referer 標頭的值(連結頁面的 URL)。 |
| RemoteIp |
字串 |
要求者的明顯IP位址(可能由 Proxy或防火牆遮蔽)。 |
| 要求者 |
字串 |
發出要求的標準使用者識別碼、IAM 使用者,或假定的角色;或者若為未驗證的要求,則為 '-'。 |
| RequestId(請求識別碼) |
字串 |
Amazon S3 產生的唯一字串標識碼,用來識別要求。 |
| RequestUri |
字串 |
HTTP 要求的 URI 部分。 |
| SignatureVersion |
字串 |
簽章版本(SigV2 或 SigV4)用來驗證身份的要求,或 '-' 代表未驗證身份。 |
| SourceSystem |
字串 |
事件被收集時所使用的代理程式類型。 例如,OpsManager 適用於 Windows 代理程式,可以直接連線或使用 Operations Manager;Linux 適用於所有 Linux 代理程式;Azure 則適用於 Azure 診斷。 |
| 租戶識別碼 (TenantId) |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
日期時間 |
接收 AWS 伺服器存取日誌的 S3 儲存桶時間,以 UTC 表示。 |
| TLSVersion |
字串 |
用戶端所使用的 TLS 版本(例如 TLSv1.2),如果未使用 TLS,則為 '-'。 |
| TotalTime |
整數 (int) |
要求傳輸的總時間 (以毫秒為單位) (從接收到傳送最後一個回應位元組)。 |
| TurnAroundTime |
字串 |
S3 處理要求所花費的時間以毫秒為單位(從最後一個要求位元組到第一個回應位元組)。 |
| 類型 |
字串 |
資料表的名稱 |
| 用戶代理 (UserAgent) |
字串 |
HTTP User-Agent 標頭的值(例如,用戶端軟體或瀏覽器)。 |
| 版本ID |
字串 |
與要求相關的物件版本標識碼,如果不適用,則為 『-』。 |