Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы CloudTrail, загружаемые с помощью соединителя Sentinel, содержат все события данных и управления вашей учетной записи Amazon Web Services.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Преобразование во время загрузки данных | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Тип | Описание |
|---|---|---|
| ДополнительныеДанныеОСобытии | строка | Дополнительные данные о событии, которое не было частью запроса или ответа. |
| APIVersion | строка | Определяет версию API, связанную со значением eventType AwsApiCall. |
| Идентификатор события AWS | строка | GUID, созданный CloudTrail для уникальной идентификации каждого события. Это значение можно использовать для идентификации одного события. |
| AWSRegion | строка | Регион AWS, к которому был выполнен запрос. |
| AwsRequestId | строка | Вместо этого используйте AwsRequestId_. |
| AwsRequestId_ | строка | Значение, определяющее запрос. Вызываемая служба создает это значение. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| Категория | строка | Показывает категорию событий, используемую в вызовах LookupEvents. |
| CidrIp | строка | IP-адрес CIDR находится в разделе RequestParameters в CloudTrail и используется для указания разрешений IP для правила группы безопасности. Диапазон CIDR IPv4. |
| CipherSuite | строка | Необязательно. Часть tlsDetails. Набор шифров (сочетание алгоритмов безопасности, используемых) запроса. |
| ПараметрЗаголовкаХоста, предоставленный клиентом | строка | Необязательно. Часть tlsDetails. Имя узла, предоставленное клиентом, используемое в вызове API службы, которое обычно является полным доменным именем конечной точки службы. |
| Порт назначения | строка | Порт назначения находится в разделе RequestParameters в CloudTrail и используется для указания разрешений IP для правила группы безопасности. Конец диапазона портов для протоколов TCP и UDP или кода ICMP. |
| EC2RoleDelivery | строка | Дружественное имя пользователя или роли, создавшей сеанс. |
| Код ошибки | строка | Ошибка службы AWS, если запрос возвращает ошибку. |
| Сообщение об ошибке | строка | Описание ошибки при наличии. Это сообщение содержит сообщения о сбоях авторизации. CloudTrail фиксирует сообщение, зарегистрированное этой службой, в процессе обработки исключений. |
| Название мероприятия | строка | Запрошенное действие, которое является одним из действий в API для этой службы. |
| ИсточникСобытий | строка | Служба, в которую был отправлен запрос. Это имя обычно является короткой формой имени службы без пробелов и .amazonaws.com. |
| НазваниеТипаСобытия | строка | Определяет тип события, создающего запись события. Это может быть одно из следующих значений: AwsApiCall, AwsServiceEvent, AwsConsoleAction, AwsConsoleSignIn. |
| Версия события | строка | Версия формата события журнала. |
| IP-протокол | строка | Протокол IP находится в разделе RequestParameters в CloudTrail, и он используется для указания разрешений IP для правила группы безопасности. Имя или номер IP-протокола. Допустимые значения : tcp, udp, icmp или номер протокола. |
| _ПодлежитУчету | строка | Указывает, является ли прием данных платным. Когда _IsBillable false, оплата за использование не взимается с вашей учетной записи Azure. |
| Событие управления | булевая переменная (bool) | Логическое значение, определяющее, является ли событие событием управления. |
| Название операции | строка | Значение константы: CloudTrail. |
| ReadOnly | булевая переменная (bool) | Определяет, является ли эта операция операцией только для чтения. |
| Идентификатор счета получателя | строка | Представляет идентификатор учетной записи, получивший это событие. Идентификатор учетной записи получателя (recipientAccountID) может отличаться от идентификатора учетной записи элемента userIdentity в CloudTrail. Это может произойти в случае доступа между учетными записями к ресурсам. |
| ПараметрыЗапроса | строка | Параметры, если таковые были отправлены с запросом. Эти параметры описаны в справочной документации по API для соответствующей службы AWS. |
| Ресурсы | строка | Список ресурсов, доступных в событии. |
| Элементы ответа | строка | Элемент ответа для действий, которые вносят изменения (создание, обновление или удаление действий). Если действие не изменяет состояние (например, запрос на получение или перечисление объектов), этот элемент опущен. |
| Детали события обслуживания | строка | Идентифицирует событие службы, включая то, что вызвало событие и результат. |
| ДатаСозданияСессии | дата и время | Дата и время выдачи временных учетных данных безопасности. |
| ИдентификаторУчётнойЗаписиВыдавшегоСессию | строка | Учетная запись, владеющая сущностью, использованной для получения учетных данных. |
| SessionIssuerArn | строка | ARN источника (учетной записи, пользователя IAM или роли), который использовался для получения временных учетных данных безопасности. |
| ИдентификаторОсновногоСубъектаСессии | строка | Внутренний идентификатор сущности, которая использовалась для получения учетных данных. |
| ТипВыдающегоСессии | строка | Источник временных учетных данных безопасности, таких как Root, IAMUser или Role. |
| ИмяПользователяВыдающегоСессию | строка | Дружественное имя пользователя или роли, создавшей сеанс. |
| СессияСМФаАутентифицирована | булевая переменная (bool) | Значение равно true, если корневой пользователь или пользователь IAM, учетные данные которого использовались для запроса, также прошли проверку подлинности с помощью устройства MFA; в противном случае значение false. |
| ИдентификаторОбщегоСобытия | строка | GUID, созданный CloudTrail для уникальной идентификации событий CloudTrail, происходящих из одного и того же действия AWS и отправляемых в разные учетные записи AWS. |
| Исходный IP-адрес | строка | IP-адрес, из который был выполнен запрос. Для действий, исходящих из консоли службы, сообщается адрес основного ресурса клиента, а не веб-сервера консоли. Для служб в AWS отображается только DNS-имя. |
| SourcePort | строка | SourcePort находится в разделе RequestParameters в CloudTrail и используется для указания РАЗРЕШЕНИЙ IP для правила группы безопасности. Начало диапазона портов для протоколов TCP и UDP или номера типа ICMP. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows с прямым подключением или Operations Manager, Linux для всех агентов Linux или Azure для диагностики Azure |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| Время генерации | дата и время | Метка времени (UTC). Метка времени события поступает из локального узла, предоставляющего конечную точку API службы, в которой был выполнен вызов API. |
| Версия TLS | строка | Необязательно. Часть tlsDetails. Версия TLS запроса. |
| Тип | строка | Имя таблицы. |
| Пользовательский агент | строка | Агент, с помощью которого был выполнен запрос, например консоль управления AWS, служба AWS, пакеты SDK AWS или ИНТЕРФЕЙС командной строки AWS. |
| ИдентификаторКлючаДоступаПользователя | строка | Идентификатор ключа доступа, используемый для подписывания запроса. |
| ИдентификаторУчётнойЗаписиПользователя | строка | Учетная запись, которой принадлежит сущность, предоставившая право доступа для запроса. |
| UserIdentityArn | строка | Имя ресурса Amazon (ARN) субъекта, который сделал звонок. |
| ИдентификаторПользователяВызванныйКем | строка | Имя службы AWS, которая сделала запрос. |
| Пользовательский идентификатор Principalid | строка | Уникальный идентификатор сущности, которая сделала вызов. |
| Тип идентификации пользователя | строка | Тип идентификации. Возможны следующие значения: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| ИдентификацияПользователяИмяПользователя | строка | Имя идентификатора, которое совершило звонок. |
| VpcEndpointId | строка | Определяет конечную точку VPC, в которой запросы были сделаны из VPC в другую службу AWS. |