CloudAuditEvents (Preview)
適用於:
- Microsoft Defender XDR
進CloudAuditEvents
階搜捕架構中的數據表包含受組織雲端 Microsoft Defender 保護之各種雲端平臺的雲端稽核事件相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。
重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
欄名稱 | 資料類型 | 描述 |
---|---|---|
Timestamp |
datetime |
事件記錄的日期和時間 |
ReportId |
string |
事件的唯一標識碼 |
DataSource |
string |
雲端稽核事件的數據源可以是適用於Google Cloud Platform) 的 GCP (、Amazon Web Services) 的 AWS (、適用於 Azure Resource Manager) 的 Azure (、Kubernetes Audit (for Kubernetes) 或其他雲端平臺 |
ActionType |
string |
觸發事件的活動類型可以是:Unknown、Create、Read、Update、Delete、Other |
OperationName |
string |
稽核記錄中顯示的事件作業名稱,通常同時包含資源類型和作業 |
ResourceId |
string |
所存取雲端資源的唯一標識符 |
IPAddress |
string |
用來存取雲端資源或控制平面的用戶端 IP 位址 |
IsAnonymousProxy |
boolean |
指出 IP 位址是否屬於已知的匿名 Proxy (1) 或否 (0) |
CountryCode |
string |
兩個字母的代碼,指出用戶端IP位址地理位置的國家/地區 |
City |
string |
用戶端IP位址地理位置所在的城市 |
Isp |
string |
與IP位址相關聯的因特網服務提供者 (ISP) |
UserAgent |
string |
來自網頁瀏覽器或其他用戶端應用程式的使用者代理程序資訊 |
RawEventData |
dynamic |
JSON 格式的數據源完整原始事件資訊 |
AdditionalFields |
dynamic |
稽核事件的其他相關信息 |
範例查詢
若要取得過去七天內執行的 VM 建立命令範例清單:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10