CloudAuditEvents
適用対象:
- Microsoft Defender XDR
CloudAuditEvents高度なハンティング スキーマのテーブルには、organizationの Microsoft Defender for Cloud によって保護されているさまざまなクラウド プラットフォームのクラウド監査イベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
ReportId |
string |
イベントの一意識別子 |
DataSource |
string |
クラウド監査イベントのデータ ソースには、GCP (Google Cloud Platform 用)、AWS (Amazon Web Services 用)、Azure (Azure Resource Manager用)、Kubernetes Audit (Kubernetes 用)、またはその他のクラウド プラットフォームを指定できます。 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類は、不明、Create、読み取り、更新、削除、その他です。 |
OperationName |
string |
レコードに表示されるイベント操作名を監査します。通常、リソースの種類と操作の両方が含まれます |
ResourceId |
string |
アクセスされたクラウド リソースの一意識別子 |
IPAddress |
string |
クラウド リソースまたはコントロール プレーンへのアクセスに使用されるクライアント IP アドレス |
IsAnonymousProxy |
boolean |
IP アドレスが既知の匿名プロキシ (1) に属しているか、存在しないかを示します (0) |
CountryCode |
string |
クライアント IP アドレスが地理的に割り当てられた国を示す 2 文字のコード |
City |
string |
クライアント IP アドレスが地理的に割り当てられた市区町村 |
Isp |
string |
IP アドレスに関連付けられているインターネット サービス プロバイダー (ISP) |
UserAgent |
string |
Web ブラウザーまたはその他のクライアント アプリケーションからのユーザー エージェント情報 |
RawEventData |
dynamic |
JSON 形式のデータ ソースからの完全な生イベント情報 |
AdditionalFields |
dynamic |
監査イベントに関する追加情報 |
サンプル クエリ
過去 7 日間に実行された VM 作成コマンドのサンプル リストを取得するには、
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10