AWSCloudTrail
Sentinel のコネクタから取り込まれた CloudTrail ログには、Amazon Wev Services アカウントのすべてのデータと管理イベントが保持されます。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | - |
Categories (カテゴリ) | セキュリティ |
ソリューション | SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | Yes |
サンプル クエリ | はい |
列
Column | Type | 説明 |
---|---|---|
AdditionalEventData | string | 要求または応答の一部ではないイベントに関する追加データ。 |
APIVersion | string | AwsApiCall eventType 値に関連付けられている API バージョンを識別します。 |
AwsEventId | string | 各イベントを一意に識別するために CloudTrail によって生成される GUID。 この値を使用して、1 つのイベントを識別できます。 |
AWSRegion | string | 要求が行われた AWS リージョン。 |
AwsRequestId | string | 非推奨です。代わりに AwsRequestId_ を使用してください。 |
AwsRequestId_ | string | 要求を識別する値。 呼び出されるサービスによってこの値が生成されます。 |
_BilledSize | real | レコード サイズ (バイト単位) |
カテゴリ | string | LookupEvents 呼び出しで使用されるイベント カテゴリを示します。 |
CidrIp | string | CIDR IP は、CloudTrail の RequestParameters の下にあり、セキュリティ グループ規則の IP アクセス許可を指定するために使用されます。 IPv4 CIDR 範囲。 |
CipherSuite | string | 省略可能。 tlsDetails の一部。 要求の暗号スイート (使用されるセキュリティ アルゴリズムの組み合わせ)。 |
ClientProvidedHostHeader | string | 省略可能。 tlsDetails の一部。 サービス API 呼び出しで使用されるクライアント指定のホスト名 。通常はサービス エンドポイントの FQDN です。 |
DestinationPort | string | DestinationPort は CloudTrail の RequestParameters の下にあり、セキュリティ グループ規則の IP アクセス許可を指定するために使用されます。 TCP および UDP プロトコルのポート範囲の末尾、または ICMP コード。 |
EC2RoleDelivery | string | セッションを発行したユーザーまたはロールのフレンドリ名。 |
ErrorCode | string | 要求からエラーが返された場合の AWS サービス エラー。 |
ErrorMessage | string | エラーの説明 (使用可能な場合)。 このメッセージには、承認エラーのメッセージが含まれます。 CloudTrail は、例外処理でサービスによってログに記録されたメッセージをキャプチャします。 |
EventName | string | 要求されたアクション。これは、そのサービスの API のアクションの 1 つです。 |
EventSource | string | 要求が行われたサービス。 通常、この名前は、スペースと .amazonaws.com を含まない短い形式のサービス名です。 |
EventTypeName | string | イベント レコードを生成したイベントの種類を識別します。 これは、AwsApiCall、AwsServiceEvent、AwsConsoleAction、AwsConsoleSignIn のいずれかの値になります。 |
EventVersion | string | ログ イベント形式のバージョン。 |
IpProtocol | string | IP プロトコルは、CloudTrail の RequestParameters の下にあり、セキュリティ グループ規則の IP アクセス許可を指定するために使用されます。 IP プロトコルの名前または番号。 有効な値は tcp、udp、icmp、またはプロトコル番号です。 |
_IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
ManagementEvent | [bool] | イベントが管理イベントであるかどうかを識別するブール値。 |
OperationName | string | 定数値: CloudTrail。 |
ReadOnly | [bool] | この操作が読み取り専用操作であるかどうかを識別します。 |
RecipientAccountId | string | このイベントを受信したアカウント ID を表します。 recipientAccountID は、CloudTrail userIdentity Element accountId とは異なる場合があります。 これは、クロスアカウント リソース アクセスで発生する可能性があります。 |
RequestParameters | string | 要求と共に送信されたパラメーター (存在する場合)。 これらのパラメーターは、適切な AWS サービスの API リファレンス ドキュメントに記載されています。 |
リソース | string | イベントでアクセスされるリソースの一覧。 |
ResponseElements | string | 変更 (アクションの作成、更新、または削除) を行うアクションの response 要素。 アクションが状態を変更しない場合 (たとえば、オブジェクトを取得または一覧表示する要求)、この要素は省略されます。 |
ServiceEventDetails | string | イベントをトリガーした内容や結果など、サービス イベントを識別します。 |
SessionCreationDate | DATETIME | 一時的なセキュリティ資格情報が発行された日時。 |
SessionIssuerAccountId | string | 資格情報の取得に使用されたエンティティを所有するアカウント。 |
SessionIssuerArn | string | 一時的なセキュリティ資格情報を取得するために使用されたソース (アカウント、IAM ユーザー、またはロール) の ARN。 |
SessionIssuerPrincipalId | string | 資格情報の取得に使用されたエンティティの内部 ID。 |
SessionIssuerType | string | ルート、IAMUser、ロールなどの一時的なセキュリティ資格情報のソース。 |
SessionIssuerUserName | string | セッションを発行したユーザーまたはロールのフレンドリ名。 |
SessionMfaAuthenticated | [bool] | 要求に資格情報が使用されたルート ユーザーまたは IAM ユーザーも MFA デバイスで認証された場合、値は true です。それ以外の場合は false。 |
SharedEventId | string | 異なる AWS アカウントに送信されるのと同じ AWS アクションから CloudTrail イベントを一意に識別するために CloudTrail によって生成される GUID。 |
SourceIpAddress | string | 要求の元の IP アドレス。 サービス コンソールから発生したアクションの場合、報告されるアドレスは、コンソール Web サーバーではなく、基になる顧客リソースに対するものです。 AWS のサービスの場合、DNS 名のみが表示されます。 |
SourcePort | string | SourcePort は CloudTrail の RequestParameters の下にあり、セキュリティ グループルールの IP アクセス許可を指定するために使用されます。 TCP および UDP プロトコルのポート範囲の開始、または ICMP の種類番号。 |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
TenantId | string | Log Analytics ワークスペース ID |
TimeGenerated | DATETIME | タイムスタンプ (UTC)。 イベントのタイム スタンプは、API 呼び出しが行われたサービス API エンドポイントを提供するローカル ホストから取得されます。 |
TlsVersion | string | 省略可能。 tlsDetails の一部。 要求の TLS バージョン。 |
Type | string | テーブルの名前 |
UserAgent | string | AWS マネジメントコンソール、AWS サービス、AWS SDK、AWS CLI など、要求が行われたエージェント。 |
UserIdentityAccessKeyId | string | 要求の署名に使用されたアクセス キー ID。 |
UserIdentityAccountId | string | 要求のアクセス許可を付与したエンティティを所有するアカウント。 |
UserIdentityArn | string | 呼び出しを行ったプリンシパルの Amazon リソース名 (ARN)。 |
UserIdentityInvokedBy | string | 要求を行った AWS サービスの名前。 |
UserIdentityPrincipalid | string | 呼び出しを行ったエンティティの一意識別子。 |
UserIdentityType | string | ID の型。 Root、IAMUser、AssumedRole、FederatedUser、Directory、AWSAccount、AWSService、Unknown の値を使用できます。 |
UserIdentityUserName | string | 呼び出しを行った ID の名前。 |
VpcEndpointId | string | VPC から別の AWS サービスへの要求が行われた VPC エンドポイントを識別します。 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示