AWSCloudTrail
Log CloudTrail, yang diserap dari konektor Sentinel, menyimpan semua data dan peristiwa manajemen akun Amazon Wev Services Anda.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | - |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | Ya |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| AdditionalEventData | string | Data tambahan tentang peristiwa yang bukan bagian dari permintaan atau respons. |
| APIVersion | string | Mengidentifikasi versi API yang terkait dengan nilai EventType AwsApiCall. |
| AwsEventId | string | GUID yang dihasilkan oleh CloudTrail untuk mengidentifikasi setiap peristiwa secara unik. Anda dapat menggunakan nilai ini untuk mengidentifikasi satu peristiwa. |
| AWSRegion | string | Wilayah AWS tempat permintaan dibuat. |
| AwsRequestId | string | tidak digunakan lagi, silakan gunakan AwsRequestId_ sebagai gantinya. |
| AwsRequestId_ | string | Nilai yang mengidentifikasi permintaan. Layanan yang dipanggil menghasilkan nilai ini. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| Kategori | string | Memperlihatkan kategori peristiwa yang digunakan dalam panggilan LookupEvents. |
| CidrIp | string | IP CIDR terletak di bawah RequestParameters di CloudTrail, dan digunakan untuk menentukan izin IP untuk aturan grup keamanan. Rentang CIDR IPv4. |
| CipherSuite | string | Opsional. Bagian dari tlsDetails. Cipher suite (kombinasi algoritma keamanan yang digunakan) dari permintaan. |
| ClientProvidedHostHeader | string | Opsional. Bagian dari tlsDetails. Nama host yang disediakan klien yang digunakan dalam panggilan API layanan, yang biasanya merupakan FQDN dari titik akhir layanan. |
| DestinationPort | string | DestinationPort terletak di bawah RequestParameters di CloudTrail, dan digunakan untuk menentukan izin IP untuk aturan grup keamanan. Akhir rentang port untuk protokol TCP dan UDP, atau kode ICMP. |
| EC2RoleDelivery | string | Nama pengguna atau peran yang mudah diingat yang mengeluarkan sesi. |
| ErrorCode | string | Kesalahan layanan AWS jika permintaan mengembalikan kesalahan. |
| ErrorMessage | untai (karakter) | Deskripsi kesalahan jika tersedia. Pesan ini mencakup pesan untuk kegagalan otorisasi. CloudTrail menangkap pesan yang dicatat oleh layanan dalam penanganan pengecualiannya. |
| EventName | string | Tindakan yang diminta, yang merupakan salah satu tindakan dalam API untuk layanan tersebut. |
| EventSource | string | Layanan tempat permintaan dibuat. Nama ini biasanya merupakan bentuk singkat dari nama layanan tanpa spasi ditambah .amazonaws.com. |
| EventTypeName | string | Mengidentifikasi jenis peristiwa yang menghasilkan rekaman peristiwa. Ini bisa menjadi salah satu nilai berikut: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | string | Versi format peristiwa log. |
| IpProtocol | string | Protokol IP terletak di bawah RequestParameters di CloudTrail, dan digunakan untuk menentukan izin IP untuk aturan grup keamanan. Nama atau nomor protokol IP. Nilai yang valid adalah tcp, udp, icmp, atau nomor protokol. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| ManagementEvent | bool | Nilai Boolean yang mengidentifikasi apakah peristiwa tersebut adalah peristiwa manajemen. |
| OperationName | string | Nilai konstanta: CloudTrail. |
| Baca Saja | bool | Mengidentifikasi apakah operasi ini adalah operasi baca-saja. |
| RecipientAccountId | string | Mewakili ID akun yang menerima kejadian ini. recipientAccountID mungkin berbeda dari userIdentity Element AccountId CloudTrail. Ini dapat terjadi dalam akses sumber daya lintas akun. |
| RequestParameters | string | Parameter, jika ada, yang dikirim dengan permintaan. Parameter ini di dokumentasikan dalam dokumentasi referensi API untuk layanan AWS yang sesuai. |
| Sumber | string | Daftar sumber daya yang diakses dalam peristiwa tersebut. |
| ResponseElements | string | Elemen respons untuk tindakan yang membuat perubahan (membuat, memperbarui, atau menghapus tindakan). Jika tindakan tidak mengubah status (misalnya, permintaan untuk mendapatkan atau mencantumkan objek), elemen ini dihilangkan. |
| ServiceEventDetails | string | Mengidentifikasi peristiwa layanan, termasuk apa yang memicu peristiwa dan hasilnya. |
| SessionCreationDate | tanggalwaktu | Tanggal dan waktu ketika kredensial keamanan sementara dikeluarkan. |
| SessionIssuerAccountId | string | Akun yang memiliki entitas yang digunakan untuk mendapatkan kredensial. |
| SessionIssuerArn | string | ARN sumber (akun, pengguna IAM, atau peran) yang digunakan untuk mendapatkan kredensial keamanan sementara. |
| SessionIssuerPrincipalId | string | ID internal entitas yang digunakan untuk mendapatkan kredensial. |
| SessionIssuerType | string | Sumber kredensial keamanan sementara, seperti Root, IAMUser, atau Role. |
| SessionIssuerUserName | string | Nama pengguna atau peran yang mudah diingat yang mengeluarkan sesi. |
| SessionMfaAuthenticated | bool | Nilainya benar jika pengguna root atau pengguna IAM yang kredensialnya digunakan untuk permintaan juga diautentikasi dengan perangkat MFA; jika tidak, salah. |
| SharedEventId | string | GUID yang dihasilkan oleh CloudTrail untuk mengidentifikasi peristiwa CloudTrail secara unik dari tindakan AWS yang sama yang dikirim ke akun AWS yang berbeda. |
| SourceIpAddress | string | Alamat IP tempat permintaan dibuat. Untuk tindakan yang berasal dari konsol layanan, alamat yang dilaporkan adalah untuk sumber daya pelanggan yang mendasar, bukan server web konsol. Untuk layanan di AWS, hanya nama DNS yang ditampilkan. |
| SourcePort | string | SourcePort terletak di bawah RequestParameters di CloudTrail, dan digunakan untuk menentukan izin IP untuk aturan grup keamanan. Awal rentang port untuk protokol TCP dan UDP, atau nomor jenis ICMP. |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| TenantId | string | ID ruang kerja Analitik Log |
| TimeGenerated | tanggalwaktu | Tanda waktu (UTC). Stempel waktu peristiwa berasal dari host lokal yang menyediakan titik akhir API layanan tempat panggilan API dilakukan. |
| TlsVersion | string | Opsional. Bagian dari tlsDetails. Versi TLS dari permintaan. |
| Jenis | string | Nama tabel |
| UserAgent | string | Agen tempat permintaan dibuat, seperti AWS Management Console, layanan AWS, AWS SDK, atau AWS CLI. |
| UserIdentityAccessKeyId | string | ID kunci akses yang digunakan untuk menandatangani permintaan. |
| UserIdentityAccountId | string | Akun yang memiliki entitas yang memberikan izin untuk permintaan tersebut. |
| UserIdentityArn | string | Amazon Resource Name (ARN) dari prinsipal yang melakukan panggilan. |
| UserIdentityInvokedBy | string | Nama layanan AWS yang membuat permintaan. |
| UserIdentityPrincipalid | string | Pengidentifikasi unik untuk entitas yang melakukan panggilan. |
| UserIdentityType | string | Jenis identitas. Nilai berikut dimungkinkan: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | string | Nama identitas yang melakukan panggilan. |
| VpcEndpointId | string | Mengidentifikasi titik akhir VPC tempat permintaan dibuat dari VPC ke layanan AWS lain. |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk