CloudAuditEvents

Область применения:

  • Microsoft Defender XDR

Таблица CloudAuditEvents в схеме расширенной охоты содержит сведения о событиях аудита облака для различных облачных платформ, защищенных Microsoft Defender организации для облака. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
ReportId string Уникальный идентификатор события
DataSource string Источником данных для событий аудита облака может быть GCP (для Google Cloud Platform), AWS (для Amazon Web Services), Azure (для Azure Resource Manager), аудит Kubernetes (для Kubernetes) или другие облачные платформы.
ActionType string Тип действия, активировав событие, может быть: Unknown, Create, Read, Update, Delete, Other
OperationName string Имя операции события аудита, как оно отображается в записи, обычно включает как тип ресурса, так и операцию.
ResourceId string Уникальный идентификатор облачного ресурса, к который обращается
IPAddress string IP-адрес клиента, используемый для доступа к облачному ресурсу или плоскости управления
IsAnonymousProxy boolean Указывает, принадлежит ли IP-адрес известному анонимному прокси-серверу (1) или нет (0).
CountryCode string Двухбуквенный код, указывающий страну, в которой геолокация IP-адреса клиента
City string Город, в котором ip-адрес клиента геолокации
Isp string Поставщик услуг Интернета (ISP), связанный с IP-адресом
UserAgent string Сведения об агенте пользователя из веб-браузера или другого клиентского приложения
RawEventData dynamic Полные необработанные сведения о событиях из источника данных в формате JSON
AdditionalFields dynamic Дополнительные сведения о событии аудита

Образец запроса

Чтобы получить пример списка команд создания виртуальных машин, выполненных за последние семь дней, выполните следующие действия:

CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10