AWSCloudTrail
I log di CloudTrail, inseriti dal connettore di Sentinel, contiene tutti gli eventi di dati e gestione dell'account Amazon Wev Services.
Attributi tabella
Attributo | Valore |
---|---|
Tipi di risorsa | - |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | Sì |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
AdditionalEventData | string | Dati aggiuntivi sull'evento che non faceva parte della richiesta o della risposta. |
APIVersion | string | Identifica la versione dell'API associata al valore eventType awsApiCall. |
AwsEventId | string | GUID generato da CloudTrail per identificare in modo univoco ogni evento. È possibile usare questo valore per identificare un singolo evento. |
AWSRegion | string | Area AWS a cui è stata effettuata la richiesta. |
AwsRequestId | string | deprecato, usare invece AwsRequestId_. |
AwsRequestId_ | string | Valore che identifica la richiesta. Il servizio chiamato genera questo valore. |
_BilledSize | real | Dimensioni del record in byte |
Category | string | Mostra la categoria di eventi usata nelle chiamate LookupEvents. |
CidrIp | string | L'IP CIDR si trova in RequestParameters in CloudTrail e viene usato per specificare le autorizzazioni IP per una regola del gruppo di sicurezza. Intervallo CIDR IPv4. |
CipherSuite | string | Facoltativa. Parte di tlsDetails. Suite di crittografia (combinazione di algoritmi di sicurezza usati) di una richiesta. |
ClientProvidedHostHeader | string | Facoltativa. Parte di tlsDetails. Nome host fornito dal client usato nella chiamata API del servizio, che in genere è il nome di dominio completo dell'endpoint del servizio. |
DestinationPort | string | DestinationPort si trova in RequestParameters in CloudTrail e viene usato per specificare le autorizzazioni IP per una regola del gruppo di sicurezza. Fine dell'intervallo di porte per i protocolli TCP e UDP o un codice ICMP. |
EC2RoleDelivery | string | Nome descrittivo dell'utente o del ruolo che ha rilasciato la sessione. |
ErrorCode | string | Errore del servizio AWS se la richiesta restituisce un errore. |
ErrorMessage | string | Descrizione dell'errore quando disponibile. Questo messaggio include messaggi per gli errori di autorizzazione. CloudTrail acquisisce il messaggio registrato dal servizio nella gestione delle eccezioni. |
EventName | string | Azione richiesta, ovvero una delle azioni nell'API per tale servizio. |
EventSource | string | Servizio a cui è stata effettuata la richiesta. Questo nome è in genere una forma breve del nome del servizio senza spazi più .amazonaws.com. |
EventTypeName | string | Identifica il tipo di evento che ha generato il record di eventi. Può trattarsi di uno dei valori seguenti: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
EventVersion | string | Versione del formato evento del log. |
IpProtocol | string | Il protocollo IP si trova in RequestParameters in CloudTrail e viene usato per specificare le autorizzazioni IP per una regola del gruppo di sicurezza. Nome o numero del protocollo IP. I valori validi sono tcp, udp, icmp o un numero di protocollo. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
ManagementEvent | bool | Valore booleano che identifica se l'evento è un evento di gestione. |
OperationName | string | Valore costante: CloudTrail. |
ReadOnly | bool | Identifica se questa operazione è un'operazione di sola lettura. |
RecipientAccountId | string | Rappresenta l'ID account che ha ricevuto questo evento. RecipientAccountID può essere diverso da CloudTrail userIdentity Element accountId. Ciò può verificarsi nell'accesso alle risorse tra account. |
RequestParameters | string | Parametri, se presenti, inviati con la richiesta. Questi parametri sono documentati nella documentazione di riferimento dell'API per il servizio AWS appropriato. |
Risorse | string | Elenco di risorse a cui si accede nell'evento. |
ResponseElements | string | Elemento di risposta per le azioni che apportano modifiche (azioni di creazione, aggiornamento o eliminazione). Se un'azione non modifica lo stato , ad esempio una richiesta di recupero o elenco di oggetti , questo elemento viene omesso. |
ServiceEventDetails | string | Identifica l'evento del servizio, inclusi gli elementi che hanno attivato l'evento e il risultato. |
SessionCreationDate | Datetime | Data e ora di emissione delle credenziali di sicurezza temporanee. |
SessionIssuerAccountId | string | Account proprietario dell'entità usata per ottenere le credenziali. |
SessionIssuerArn | string | ARN dell'origine (account, utente IAM o ruolo) usato per ottenere le credenziali di sicurezza temporanee. |
SessionIssuerPrincipalId | string | ID interno dell'entità usata per ottenere le credenziali. |
SessionIssuerType | string | Origine delle credenziali di sicurezza temporanee, ad esempio Root, IAMUser o Role. |
SessionIssuerUserName | string | Nome descrittivo dell'utente o del ruolo che ha emesso la sessione. |
SessionMfaAuthenticated | bool | Il valore è true se l'utente radice o l'utente IAM le cui credenziali sono state usate per la richiesta sono state autenticate anche con un dispositivo MFA; in caso contrario, false. |
SharedEventId | string | GUID generato da CloudTrail per identificare in modo univoco gli eventi CloudTrail dalla stessa azione AWS inviata a account AWS diversi. |
SourceIpAddress | string | Indirizzo IP da cui è stata effettuata la richiesta. Per le azioni provenienti dalla console del servizio, l'indirizzo segnalato è relativo alla risorsa cliente sottostante, non al server Web della console. Per i servizi in AWS, viene visualizzato solo il nome DNS. |
SourcePort | string | SourcePort si trova in RequestParameters in CloudTrail e viene usato per specificare le autorizzazioni IP per una regola del gruppo di sicurezza. Inizio dell'intervallo di porte per i protocolli TCP e UDP o un numero di tipo ICMP. |
SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
TenantId | string | ID area di lavoro Log Analytics |
TimeGenerated | Datetime | Timestamp (UTC). Il timestamp di un evento proviene dall'host locale che fornisce l'endpoint dell'API del servizio in cui è stata effettuata la chiamata API. |
TlsVersion | string | Facoltativa. Parte di tlsDetails. Versione TLS di una richiesta. |
Type | string | Nome della tabella |
UserAgent | string | L'agente tramite cui è stata effettuata la richiesta, ad esempio AWS Management Console, un servizio AWS, gli SDK AWS o l'interfaccia della riga di comando di AWS. |
UserIdentityAccessKeyId | string | ID della chiave di accesso usato per firmare la richiesta. |
UserIdentityAccountId | string | Account proprietario dell'entità che ha concesso le autorizzazioni per la richiesta. |
UserIdentityArn | string | Nome risorsa Amazon (ARN) dell'entità che ha effettuato la chiamata. |
UserIdentityInvokedBy | string | Nome del servizio AWS che ha effettuato la richiesta. |
UserIdentityPrincipalid | string | Identificatore univoco per l'entità che ha effettuato la chiamata. |
UserIdentityType | string | Tipo dell'identità. I valori seguenti sono possibili: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
UserIdentityUserName | string | Nome dell'identità che ha effettuato la chiamata. |
VpcEndpointId | string | Identifica l'endpoint VPC in cui sono state effettuate richieste da un VPC a un altro servizio AWS. |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per