AWSCloudTrail
CloudTrail-Protokolle, die über den Sentinel-Connector erfasst werden, enthalten alle Ihre Daten und Verwaltungsereignisse Ihres Amazon Wev Services-Kontos.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AdditionalEventData | Zeichenfolge | Zusätzliche Daten zu dem Ereignis, das nicht Teil der Anforderung oder Antwort war. |
| APIVersion | Zeichenfolge | Gibt die API-Version an, die dem AwsApiCall-Ereignistypwert zugeordnet ist. |
| AwsEventId | Zeichenfolge | Von CloudTrail generierte GUID, um jedes Ereignis eindeutig zu identifizieren. Sie können diesen Wert verwenden, um ein einzelnes Ereignis zu identifizieren. |
| AWSRegion | Zeichenfolge | Die AWS-Region, an die die Anforderung gestellt wurde. |
| AwsRequestId | Zeichenfolge | Veraltet, verwenden Sie stattdessen AwsRequestId_. |
| AwsRequestId_ | Zeichenfolge | Der Wert, der die Anforderung identifiziert. Der aufgerufene Dienst generiert diesen Wert. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| Category | Zeichenfolge | Zeigt die Ereigniskategorie an, die in LookupEvents-Aufrufen verwendet wird. |
| CidrIp | Zeichenfolge | Die CIDR-IP befindet sich unter RequestParameters in CloudTrail und wird verwendet, um die IP-Berechtigungen für eine Sicherheitsgruppenregel anzugeben. Der IPv4-CIDR-Bereich. |
| CipherSuite | Zeichenfolge | Optional. Teil von tlsDetails. Die Verschlüsselungssammlung (Kombination aus verwendeten Sicherheitsalgorithmen) einer Anforderung. |
| ClientProvidedHostHeader | Zeichenfolge | Optional. Teil von tlsDetails. Der vom Client bereitgestellte Hostname, der im Dienst-API-Aufruf verwendet wird, wobei es sich in der Regel um den FQDN des Dienstendpunkts handelt. |
| DestinationPort | Zeichenfolge | Der DestinationPort befindet sich in CloudTrail unter RequestParameters und wird verwendet, um die IP-Berechtigungen für eine Sicherheitsgruppenregel anzugeben. Der Portendebereich für die TCP- und UDP-Protokolle oder ein ICMP-Code. |
| EC2RoleDelivery | Zeichenfolge | Der Anzeigename des Benutzers oder der Rolle, der die Sitzung ausgestellt hat. |
| ErrorCode | Zeichenfolge | Der AWS-Dienstfehler, wenn die Anforderung einen Fehler zurückgibt. |
| ErrorMessage | Zeichenfolge | Die Fehlerbeschreibung, sofern verfügbar. Diese Meldung enthält Meldungen zu Autorisierungsfehlern. CloudTrail erfasst die vom Dienst protokollierte Nachricht bei der Ausnahmebehandlung. |
| EventName | Zeichenfolge | Die angeforderte Aktion, die eine der Aktionen in der API für diesen Dienst ist. |
| EventSource | Zeichenfolge | Der Dienst, an den die Anforderung gestellt wurde. Dieser Name ist in der Regel eine Kurzform des Dienstnamens ohne Leerzeichen plus .amazonaws.com. |
| EventTypeName | Zeichenfolge | Gibt den Typ des Ereignisses an, das den Ereignisdatensatz generiert hat. Dies kann einer der folgenden Werte sein: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | Zeichenfolge | Die Version des Protokollereignisformats. |
| IpProtocol | Zeichenfolge | Das IP-Protokoll befindet sich in CloudTrail unter RequestParameters und wird verwendet, um die IP-Berechtigungen für eine Sicherheitsgruppenregel anzugeben. Der NAME oder die Nummer des IP-Protokolls. Die gültigen Werte sind tcp, udp, icmp oder eine Protokollnummer. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| ManagementEvent | bool | Ein boolescher Wert, der angibt, ob das Ereignis ein Verwaltungsereignis ist. |
| Vorgangsname | Zeichenfolge | Konstanter Wert: CloudTrail. |
| ReadOnly | bool | Gibt an, ob es sich bei diesem Vorgang um einen schreibgeschützten Vorgang handelt. |
| RecipientAccountId | Zeichenfolge | Stellt die Konto-ID dar, die dieses Ereignis empfangen hat. Die recipientAccountID kann sich von der AccountId des CloudTrail-Elements "userIdentity" unterscheiden. Dies kann beim kontoübergreifenden Ressourcenzugriff auftreten. |
| RequestParameters | Zeichenfolge | Die Parameter, falls vorhanden, die mit der Anforderung gesendet wurden. Diese Parameter sind in der API-Referenzdokumentation für den entsprechenden AWS-Dienst dokumentiert. |
| Ressourcen | Zeichenfolge | Eine Liste der Ressourcen, auf die im Ereignis zugegriffen wird. |
| ResponseElements | Zeichenfolge | Das Antwortelement für Aktionen, die Änderungen vornehmen (Aktionen erstellen, aktualisieren oder löschen). Wenn eine Aktion den Zustand nicht ändert (z. B. eine Anforderung zum Abrufen oder Auflisten von Objekten), wird dieses Element weggelassen. |
| ServiceEventDetails | Zeichenfolge | Identifiziert das Dienstereignis, einschließlich des Ausgelösten und des Ergebnisses. |
| SessionCreationDate | datetime | Das Datum und die Uhrzeit der Ausstellung der temporären Sicherheitsanmeldeinformationen. |
| SessionIssuerAccountId | Zeichenfolge | Das Konto, das die Entität besitzt, die zum Abrufen von Anmeldeinformationen verwendet wurde. |
| SessionIssuerArn | Zeichenfolge | Der ARN der Quelle (Konto, IAM-Benutzer oder Rolle), die zum Abrufen temporärer Sicherheitsanmeldeinformationen verwendet wurde. |
| SessionIssuerPrincipalId | Zeichenfolge | Die interne ID der Entität, die zum Abrufen von Anmeldeinformationen verwendet wurde. |
| SessionIssuerType | Zeichenfolge | Die Quelle der temporären Sicherheitsanmeldeinformationen, z. B. Root, IAMUser oder Role. |
| SessionIssuerUserName | Zeichenfolge | Der Anzeigename des Benutzers oder der Rolle, der die Sitzung ausgestellt hat. |
| SessionMfaAuthenticated | bool | Der Wert ist true, wenn der Stammbenutzer oder IAM-Benutzer, dessen Anmeldeinformationen für die Anforderung verwendet wurden, auch mit einem MFA-Gerät authentifiziert wurde. Andernfalls false. |
| SharedEventId | Zeichenfolge | Von CloudTrail generierte GUID zum eindeutigen Identifizieren von CloudTrail-Ereignissen aus derselben AWS-Aktion, die an verschiedene AWS-Konten gesendet wird. |
| SourceIpAddress | Zeichenfolge | Die IP-Adresse, von der die Anforderung gestellt wurde. Bei Aktionen, die von der Dienstkonsole stammen, gilt die gemeldete Adresse für die zugrunde liegende Kundenressource, nicht für den Konsolenwebserver. Für Dienste in AWS wird nur der DNS-Name angezeigt. |
| SourcePort | Zeichenfolge | Der SourcePort befindet sich in CloudTrail unter RequestParameters und wird verwendet, um die IP-Berechtigungen für eine Sicherheitsgruppenregel anzugeben. Der Anfang des Portbereichs für die TCP- und UDP-Protokolle oder eine ICMP-Typnummer. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Der Zeitstempel (UTC). Der Zeitstempel eines Ereignisses stammt vom lokalen Host, der den Dienstendpunkt der API bereitstellt, auf dem der API-Aufruf durchgeführt wurde. |
| TlsVersion | Zeichenfolge | Optional. Teil von tlsDetails. Die TLS-Version einer Anforderung. |
| type | Zeichenfolge | Der Name der Tabelle. |
| UserAgent | Zeichenfolge | Der Agent, über den die Anforderung erfolgt ist, z. B. die AWS-Verwaltungskonsole, einen AWS-Dienst, die AWS SDKs oder die AWS CLI. |
| UserIdentityAccessKeyId | Zeichenfolge | Die Zugriffsschlüssel-ID, die zum Signieren der Anforderung verwendet wurde. |
| UserIdentityAccountId | Zeichenfolge | Das Konto, das die Entität besitzt, die Berechtigungen für die Anforderung erteilt hat. |
| UserIdentityArn | Zeichenfolge | Der Amazon-Ressourcenname (ARN) des Prinzipals, der den Aufruf durchgeführt hat. |
| UserIdentityInvokedBy | Zeichenfolge | Der Name des AWS-Diensts, der die Anforderung gestellt hat. |
| UserIdentityPrincipalid | Zeichenfolge | Ein eindeutiger Bezeichner für die Entität, die den Aufruf durchgeführt hat. |
| UserIdentityType | Zeichenfolge | Der Typ der Identität. Die folgenden Werte sind möglich: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | Zeichenfolge | Der Name der Identität, die den Aufruf getätigt hat. |
| VpcEndpointId | Zeichenfolge | Identifiziert den VPC-Endpunkt, in dem Anforderungen von einer VPC an einen anderen AWS-Dienst gesendet wurden. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für