CloudAuditEvents

Aplica-se a:

  • Microsoft Defender XDR

A CloudAuditEvents tabela no esquema de investigação avançada contém informações sobre eventos de auditoria na cloud para várias plataformas na cloud protegidas pelo Microsoft Defender da organização para a Cloud. Utilize esta referência para construir consultas que devolvem informações desta tabela.

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o evento foi gravado
ReportId string Identificador exclusivo do evento
DataSource string A origem de dados para os eventos de auditoria na cloud pode ser GCP (para o Google Cloud Platform), AWS (para Amazon Web Services), Azure (para o Azure Resource Manager), Auditoria do Kubernetes (para Kubernetes) ou outras plataformas na cloud
ActionType string O tipo de atividade que acionou o evento pode ser: Desconhecido, Create, Ler, Atualizar, Eliminar, Outro
OperationName string Auditar o nome da operação de evento tal como aparece no registo, normalmente inclui o tipo de recurso e a operação
ResourceId string Identificador exclusivo do recurso da cloud acedido
IPAddress string O endereço IP do cliente utilizado para aceder ao recurso da cloud ou ao plano de controlo
IsAnonymousProxy boolean Indica se o endereço IP pertence a um proxy anónimo conhecido (1) ou não (0)
CountryCode string Código de duas letras que indica o país onde o endereço IP do cliente está geolocalizado
City string Cidade onde o endereço IP do cliente é geolocalizado
Isp string Fornecedor de serviços Internet (ISP) associado ao endereço IP
UserAgent string Informações do agente do utilizador a partir do browser ou de outra aplicação cliente
RawEventData dynamic Informações completas de eventos não processados da origem de dados no formato JSON
AdditionalFields dynamic Informações adicionais sobre o evento de auditoria

Consulta de exemplo

Para obter uma lista de exemplo dos comandos de criação de VMs executados nos últimos sete dias:

CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10