CloudAuditEvents
Область применения:
- Microsoft Defender XDR
Таблица CloudAuditEvents в схеме расширенной охоты содержит сведения о событиях аудита облака для различных облачных платформ, защищенных Microsoft Defender организации для облака. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
ReportId |
string |
Уникальный идентификатор события |
DataSource |
string |
Источником данных для событий аудита облака может быть GCP (для Google Cloud Platform), AWS (для Amazon Web Services), Azure (для Azure Resource Manager), аудит Kubernetes (для Kubernetes) или другие облачные платформы. |
ActionType |
string |
Тип действия, активировав событие, может быть: Unknown, Create, Read, Update, Delete, Other |
OperationName |
string |
Имя операции события аудита, как оно отображается в записи, обычно включает как тип ресурса, так и операцию. |
ResourceId |
string |
Уникальный идентификатор облачного ресурса, к который обращается |
IPAddress |
string |
IP-адрес клиента, используемый для доступа к облачному ресурсу или плоскости управления |
IsAnonymousProxy |
boolean |
Указывает, принадлежит ли IP-адрес известному анонимному прокси-серверу (1) или нет (0). |
CountryCode |
string |
Двухбуквенный код, указывающий страну, в которой геолокация IP-адреса клиента |
City |
string |
Город, в котором ip-адрес клиента геолокации |
Isp |
string |
Поставщик услуг Интернета (ISP), связанный с IP-адресом |
UserAgent |
string |
Сведения об агенте пользователя из веб-браузера или другого клиентского приложения |
RawEventData |
dynamic |
Полные необработанные сведения о событиях из источника данных в формате JSON |
AdditionalFields |
dynamic |
Дополнительные сведения о событии аудита |
Образец запроса
Чтобы получить пример списка команд создания виртуальных машин, выполненных за последние семь дней, выполните следующие действия:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10