AWSCloudTrail
Protokoly CloudTrail, které se ingestují z konektoru služby Sentinel, obsahují všechna data a události správy vašeho účtu služby Amazon Wev Services.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | Ano |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| AdditionalEventData | řetězec | Další data o události, která nebyla součástí požadavku nebo odpovědi. |
| Verze rozhraní API | řetězec | Identifikuje verzi rozhraní API přidruženou k hodnotě AwsApiCall eventType. |
| AwsEventId | řetězec | Identifikátor GUID vygenerovaný službou CloudTrail pro jedinečnou identifikaci každé události Tuto hodnotu můžete použít k identifikaci jedné události. |
| Oblast AWS | řetězec | Oblast AWS, do které byla žádost podána. |
| AwsRequestId | řetězec | místo toho použijte AwsRequestId_. |
| AwsRequestId_ | řetězec | Hodnota, která identifikuje požadavek. Volaná služba vygeneruje tuto hodnotu. |
| _BilledSize | real | Velikost záznamu v bajtech |
| Kategorie | řetězec | Zobrazuje kategorii události, která se používá ve voláních LookupEvents. |
| CidrIp | řetězec | IP adresa CIDR se v CloudTrail nachází v části RequestParameters a slouží k určení oprávnění IP pro pravidlo skupiny zabezpečení. Rozsah CIDR IPv4. |
| CipherSuite | řetězec | Nepovinný parametr. Součást tlsDetails. Šifrovací sada (použitá kombinace algoritmů zabezpečení) požadavku. |
| ClientProvidedHostHeader | řetězec | Nepovinný parametr. Součást tlsDetails. Název hostitele zadaný klientem použitý ve volání rozhraní API služby, což je obvykle plně kvalifikovaný název domény koncového bodu služby. |
| Cílový port | řetězec | DestinationPort se nachází v části RequestParameters v CloudTrail a používá se k určení oprávnění IP pro pravidlo skupiny zabezpečení. Konec rozsahu portů pro protokoly TCP a UDP nebo kód ICMP. |
| EC2RoleDelivery | řetězec | Popisný název uživatele nebo role, která relaci vydala. |
| ErrorCode | řetězec | Pokud požadavek vrátí chybu, dojde k chybě služby AWS. |
| ErrorMessage | řetězec | Popis chyby, pokud je k dispozici. Tato zpráva obsahuje zprávy o chybách autorizace. CloudTrail zaznamená zprávu zaprotokolovanou službou při zpracování výjimek. |
| EventName | řetězec | Požadovaná akce, což je jedna z akcí v rozhraní API pro danou službu. |
| EventSource | řetězec | Služba, na kterou byl požadavek proveden. Tento název je obvykle krátkým názvem služby bez mezer a .amazonaws.com. |
| Název typu události | řetězec | Určuje typ události, která vygenerovala záznam události. Může to být jedna z následujících hodnot: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| Verze události | řetězec | Verze formátu událostí protokolu. |
| IpProtocol | řetězec | Protokol IP se nachází v části RequestParameters v CloudTrail a používá se k určení oprávnění IP pro pravidlo skupiny zabezpečení. Název nebo číslo protokolu IP. Platné hodnoty jsou tcp, udp, icmp nebo číslo protokolu. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
| ManagementEvent | bool | Logická hodnota, která určuje, zda je událost událostí správy. |
| OperationName | řetězec | Konstantní hodnota: CloudTrail. |
| ReadOnly | bool | Určuje, zda je tato operace operace jen pro čtení. |
| RecipientAccountId | řetězec | Představuje ID účtu, který přijal tuto událost. RecipientAccountID se může lišit od id účtu elementu CloudTrail userIdentity. K tomu může dojít při přístupu k prostředkům mezi účty. |
| RequestParameters | řetězec | Případné parametry, které byly odeslány spolu s požadavkem. Tyto parametry jsou popsané v referenční dokumentaci k rozhraní API pro příslušnou službu AWS. |
| Zdroje informací | řetězec | Seznam prostředků, ke které se při události přistupuje. |
| ResponseElements | řetězec | Element response pro akce, které provádějí změny (akce vytvoření, aktualizace nebo odstranění). Pokud akce nezmění stav (například požadavek na získání nebo výpis objektů), tento prvek se vynechá. |
| ServiceEventDetails | řetězec | Identifikuje událost služby, včetně toho, co událost aktivovalo a výsledek. |
| SessionCreationDate | datetime | Datum a čas, kdy byly dočasné přihlašovací údaje zabezpečení vydány. |
| SessionIssuerAccountId | řetězec | Účet, který vlastní entitu, která se použila k získání přihlašovacích údajů. |
| SessionIssuerArn | řetězec | Adresa ARN zdroje (účet, uživatel IAM nebo role), která se použila k získání dočasných přihlašovacích údajů zabezpečení. |
| SessionIssuerPrincipalId | řetězec | Interní ID entity, která se použila k získání přihlašovacích údajů. |
| SessionIssuerType | řetězec | Zdroj dočasných přihlašovacích údajů zabezpečení, například Root, IAMUser nebo Role. |
| SessionIssuerUserName | řetězec | Popisný název uživatele nebo role, která relaci vydala. |
| SessionMfaAuthenticated | bool | Hodnota je true, pokud byl uživatel root nebo uživatel IAM, jehož přihlašovací údaje byly použity pro požadavek, také ověřen pomocí zařízení MFA; jinak nepravda. |
| SharedEventId | řetězec | Identifikátor GUID vygenerovaný službou CloudTrail pro jedinečnou identifikaci událostí CloudTrail ze stejné akce AWS, která se odesílá do různých účtů AWS. |
| SourceIpAddress | řetězec | IP adresa, ze které byl požadavek proveden. U akcí, které pocházejí z konzoly služby, je hlášená adresa pro základní prostředek zákazníka, nikoli pro webový server konzoly. U služeb v AWS se zobrazí jenom název DNS. |
| SourcePort | řetězec | SourcePort se nachází v části RequestParameters v CloudTrail a slouží k určení oprávnění IP pro pravidlo skupiny zabezpečení. Začátek rozsahu portů pro protokoly TCP a UDP nebo číslo typu ICMP. |
| SourceSystem | řetězec | Typ agenta, pro který byla událost shromážděna. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| TimeGenerated | datetime | Časové razítko (UTC). Časové razítko události pochází od místního hostitele, který poskytuje koncový bod rozhraní API služby, na kterém bylo provedeno volání rozhraní API. |
| TlsVersion | řetězec | Nepovinný parametr. Součást tlsDetails. Verze protokolu TLS požadavku. |
| Typ | řetězec | Název tabulky |
| Useragent | řetězec | Agent, jehož prostřednictvím byl požadavek proveden, například konzola pro správu AWS, služba AWS, sady SDK AWS nebo rozhraní příkazového řádku AWS. |
| UserIdentityAccessKeyId | řetězec | ID přístupového klíče, které se použilo k podepsání žádosti. |
| UserIdentityAccountId | řetězec | Účet, který vlastní entitu, která udělila oprávnění k žádosti. |
| UserIdentityArn | řetězec | Název amazonského prostředku (ARN) objektu zabezpečení, který provedl volání. |
| UserIdentityInvokedBy | řetězec | Název služby AWS, která žádost učinila. |
| UserIdentityPrincipalid | řetězec | Jedinečný identifikátor entity, která provedla volání. |
| UserIdentityType | řetězec | Typ identity. Možné jsou následující hodnoty: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | řetězec | Název identity, která provedla volání. |
| Id koncového bodu | řetězec | Identifikuje koncový bod VPC, ve kterém byly požadavky z VPC na jinou službu AWS provedeny. |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro