AWSCloudTrail
I log di CloudTrail, inseriti dal connettore di Sentinel, contiene tutti gli eventi di dati e gestione dell'account Amazon Wev Services.
Attributi tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AdditionalEventData | string | Dati aggiuntivi sull'evento che non faceva parte della richiesta o della risposta. |
| APIVersion | string | Identifica la versione dell'API associata al valore eventType awsApiCall. |
| AwsEventId | string | GUID generato da CloudTrail per identificare in modo univoco ogni evento. È possibile usare questo valore per identificare un singolo evento. |
| AWSRegion | string | Area AWS a cui è stata effettuata la richiesta. |
| AwsRequestId | string | deprecato, usare invece AwsRequestId_. |
| AwsRequestId_ | string | Valore che identifica la richiesta. Il servizio chiamato genera questo valore. |
| _BilledSize | real | Dimensioni del record in byte |
| Category | string | Mostra la categoria di eventi usata nelle chiamate LookupEvents. |
| CidrIp | string | L'IP CIDR si trova in RequestParameters in CloudTrail e viene usato per specificare le autorizzazioni IP per una regola del gruppo di sicurezza. Intervallo CIDR IPv4. |
| CipherSuite | string | Facoltativa. Parte di tlsDetails. Suite di crittografia (combinazione di algoritmi di sicurezza usati) di una richiesta. |
| ClientProvidedHostHeader | string | Facoltativa. Parte di tlsDetails. Nome host fornito dal client usato nella chiamata API del servizio, che in genere è il nome di dominio completo dell'endpoint del servizio. |
| DestinationPort | string | DestinationPort si trova in RequestParameters in CloudTrail e viene usato per specificare le autorizzazioni IP per una regola del gruppo di sicurezza. Fine dell'intervallo di porte per i protocolli TCP e UDP o un codice ICMP. |
| EC2RoleDelivery | string | Nome descrittivo dell'utente o del ruolo che ha rilasciato la sessione. |
| ErrorCode | string | Errore del servizio AWS se la richiesta restituisce un errore. |
| ErrorMessage | string | Descrizione dell'errore quando disponibile. Questo messaggio include messaggi per gli errori di autorizzazione. CloudTrail acquisisce il messaggio registrato dal servizio nella gestione delle eccezioni. |
| EventName | string | Azione richiesta, ovvero una delle azioni nell'API per tale servizio. |
| EventSource | string | Servizio a cui è stata effettuata la richiesta. Questo nome è in genere una forma breve del nome del servizio senza spazi più .amazonaws.com. |
| EventTypeName | string | Identifica il tipo di evento che ha generato il record di eventi. Può trattarsi di uno dei valori seguenti: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | string | Versione del formato evento del log. |
| IpProtocol | string | Il protocollo IP si trova in RequestParameters in CloudTrail e viene usato per specificare le autorizzazioni IP per una regola del gruppo di sicurezza. Nome o numero del protocollo IP. I valori validi sono tcp, udp, icmp o un numero di protocollo. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
| ManagementEvent | bool | Valore booleano che identifica se l'evento è un evento di gestione. |
| OperationName | string | Valore costante: CloudTrail. |
| ReadOnly | bool | Identifica se questa operazione è un'operazione di sola lettura. |
| RecipientAccountId | string | Rappresenta l'ID account che ha ricevuto questo evento. RecipientAccountID può essere diverso da CloudTrail userIdentity Element accountId. Ciò può verificarsi nell'accesso alle risorse tra account. |
| RequestParameters | string | Parametri, se presenti, inviati con la richiesta. Questi parametri sono documentati nella documentazione di riferimento dell'API per il servizio AWS appropriato. |
| Risorse | string | Elenco di risorse a cui si accede nell'evento. |
| ResponseElements | string | Elemento di risposta per le azioni che apportano modifiche (azioni di creazione, aggiornamento o eliminazione). Se un'azione non modifica lo stato , ad esempio una richiesta di recupero o elenco di oggetti , questo elemento viene omesso. |
| ServiceEventDetails | string | Identifica l'evento del servizio, inclusi gli elementi che hanno attivato l'evento e il risultato. |
| SessionCreationDate | Datetime | Data e ora di emissione delle credenziali di sicurezza temporanee. |
| SessionIssuerAccountId | string | Account proprietario dell'entità usata per ottenere le credenziali. |
| SessionIssuerArn | string | ARN dell'origine (account, utente IAM o ruolo) usato per ottenere le credenziali di sicurezza temporanee. |
| SessionIssuerPrincipalId | string | ID interno dell'entità usata per ottenere le credenziali. |
| SessionIssuerType | string | Origine delle credenziali di sicurezza temporanee, ad esempio Root, IAMUser o Role. |
| SessionIssuerUserName | string | Nome descrittivo dell'utente o del ruolo che ha emesso la sessione. |
| SessionMfaAuthenticated | bool | Il valore è true se l'utente radice o l'utente IAM le cui credenziali sono state usate per la richiesta sono state autenticate anche con un dispositivo MFA; in caso contrario, false. |
| SharedEventId | string | GUID generato da CloudTrail per identificare in modo univoco gli eventi CloudTrail dalla stessa azione AWS inviata a account AWS diversi. |
| SourceIpAddress | string | Indirizzo IP da cui è stata effettuata la richiesta. Per le azioni provenienti dalla console del servizio, l'indirizzo segnalato è relativo alla risorsa cliente sottostante, non al server Web della console. Per i servizi in AWS, viene visualizzato solo il nome DNS. |
| SourcePort | string | SourcePort si trova in RequestParameters in CloudTrail e viene usato per specificare le autorizzazioni IP per una regola del gruppo di sicurezza. Inizio dell'intervallo di porte per i protocolli TCP e UDP o un numero di tipo ICMP. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeGenerated | Datetime | Timestamp (UTC). Il timestamp di un evento proviene dall'host locale che fornisce l'endpoint dell'API del servizio in cui è stata effettuata la chiamata API. |
| TlsVersion | string | Facoltativa. Parte di tlsDetails. Versione TLS di una richiesta. |
| Type | string | Nome della tabella |
| UserAgent | string | L'agente tramite cui è stata effettuata la richiesta, ad esempio AWS Management Console, un servizio AWS, gli SDK AWS o l'interfaccia della riga di comando di AWS. |
| UserIdentityAccessKeyId | string | ID della chiave di accesso usato per firmare la richiesta. |
| UserIdentityAccountId | string | Account proprietario dell'entità che ha concesso le autorizzazioni per la richiesta. |
| UserIdentityArn | string | Nome risorsa Amazon (ARN) dell'entità che ha effettuato la chiamata. |
| UserIdentityInvokedBy | string | Nome del servizio AWS che ha effettuato la richiesta. |
| UserIdentityPrincipalid | string | Identificatore univoco per l'entità che ha effettuato la chiamata. |
| UserIdentityType | string | Tipo dell'identità. I valori seguenti sono possibili: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | string | Nome dell'identità che ha effettuato la chiamata. |
| VpcEndpointId | string | Identifica l'endpoint VPC in cui sono state effettuate richieste da un VPC a un altro servizio AWS. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per