共用方式為

CloudAuditEvents

  • 發行項

適用於:

  • Microsoft Defender XDR

CloudAuditEvents搜捕架構中的數據表包含受組織雲端 Microsoft Defender 保護之各種雲端平臺的雲端稽事件相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。

重要事項

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。

欄名稱 資料類型 描述
Timestamp datetime 事件記錄的日期和時間
ReportId string 事件的唯一標識碼
DataSource string 雲端稽核事件的數據源可以是適用於Google Cloud Platform) 的 GCP (、Amazon Web Services) 的 AWS (、適用於 Azure Resource Manager) 的 Azure (、Kubernetes) 的 Kubernetes 稽核 (或其他雲端平臺
ActionType string 觸發事件的活動類型可以是:未知、Create、讀取、更新、刪除、其他
OperationName string 稽核記錄中顯示的事件作業名稱,通常同時包含資源類型和作業
ResourceId string 所存取雲端資源的唯一標識符
IPAddress string 用來存取雲端資源或控制平面的用戶端 IP 位址
IsAnonymousProxy boolean 指出 IP 位址是否屬於已知的匿名 Proxy (1) 或否 (0)
CountryCode string 兩個字母的代碼,指出用戶端IP位址地理位置的國家/地區
City string 用戶端IP位址地理位置所在的城市
Isp string 與IP位址相關聯的因特網服務提供者 (ISP)
UserAgent string 來自網頁瀏覽器或其他用戶端應用程式的使用者代理程序資訊
RawEventData dynamic JSON 格式的數據源完整原始事件資訊
AdditionalFields dynamic 稽核事件的其他相關信息

範例查詢

若要取得過去七天內執行的 VM 建立命令範例清單:

CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10