AWSCloudTrail
Os logs do CloudTrail, ingeridos do conector do Sentinel, armazenam todos os seus dados e eventos de gerenciamento de sua conta do Amazon Wev Services.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | No |
| Transformação de tempo de ingestão | Yes |
| Consultas de amostras | Sim |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| AdditionalEventData | string | Dados adicionais sobre o evento que não fazia parte da solicitação ou resposta. |
| APIVersion | string | Identifica a versão da API associada ao valor eventType AwsApiCall. |
| AwsEventId | string | GUID gerado pelo CloudTrail para identificar exclusivamente cada evento. Você pode usar esse valor para identificar um único evento. |
| AWSRegion | string | A região da AWS para a qual a solicitação foi feita. |
| AwsRequestId | string | preterido, use AwsRequestId_ em vez disso. |
| AwsRequestId_ | string | O valor que identifica a solicitação. O serviço que está sendo chamado gera esse valor. |
| _BilledSize | real | O tamanho do registro em bytes |
| Categoria | string | Mostra a categoria de evento usada em chamadas lookupEvents. |
| CidrIp | string | O IP CIDR está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O intervalo CIDR IPv4. |
| CipherSuite | string | Opcional. Parte de tlsDetails. O conjunto de criptografias (combinação de algoritmos de segurança usados) de uma solicitação. |
| ClientProvidedHostHeader | string | Opcional. Parte de tlsDetails. O nome do host fornecido pelo cliente usado na chamada à API de serviço, que normalmente é o FQDN do ponto de extremidade de serviço. |
| DestinationPort | string | O DestinationPort está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O fim do intervalo de portas para os protocolos TCP e UDP ou um código ICMP. |
| EC2RoleDelivery | string | O nome amigável do usuário ou função que emitiu a sessão. |
| ErrorCode | string | O erro de serviço da AWS se a solicitação retornar um erro. |
| ErrorMessage | string | A descrição do erro quando disponível. Esta mensagem inclui mensagens para falhas de autorização. O CloudTrail captura a mensagem registrada pelo serviço em seu tratamento de exceção. |
| EventName | string | A ação solicitada, que é uma das ações na API para esse serviço. |
| EventSource | string | O serviço para o qual a solicitação foi feita. Esse nome normalmente é uma forma curta do nome do serviço sem espaços mais .amazonaws.com. |
| EventTypeName | string | Identifica o tipo de evento que gerou o registro de evento. Esse pode ser um dos seguintes valores: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | string | A versão do formato de evento de log. |
| IpProtocol | string | O protocolo IP está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O nome ou número do protocolo IP. Os valores válidos são tcp, udp, icmp ou um número de protocolo. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
| ManagementEvent | bool | Um valor booliano que identifica se o evento é um evento de gerenciamento. |
| OperationName | string | Valor constante: CloudTrail. |
| ReadOnly | bool | Identifica se essa operação é uma operação somente leitura. |
| RecipientAccountId | string | Representa a ID da conta que recebeu esse evento. O recipientAccountID pode ser diferente do userIdentity Element accountIdid do CloudTrail. Isso pode ocorrer no acesso a recursos entre contas. |
| RequestParameters | string | Os parâmetros, se houver, que foram enviados com a solicitação. Esses parâmetros estão documentados na documentação de referência da API para o serviço AWS apropriado. |
| Recursos | string | Uma lista de recursos acessados no evento. |
| ResponseElements | string | O elemento de resposta para ações que fazem alterações (criar, atualizar ou excluir ações). Se uma ação não alterar o estado (por exemplo, uma solicitação para obter ou listar objetos), esse elemento será omitido. |
| ServiceEventDetails | string | Identifica o evento de serviço, incluindo o que disparou o evento e o resultado. |
| SessionCreationDate | DATETIME | A data e a hora em que as credenciais de segurança temporárias foram emitidas. |
| SessionIssuerAccountId | string | A conta que possui a entidade que foi usada para obter credenciais. |
| SessionIssuerArn | string | O ARN da origem (conta, usuário do IAM ou função) que foi usado para obter credenciais de segurança temporárias. |
| SessionIssuerPrincipalId | string | A ID interna da entidade que foi usada para obter credenciais. |
| SessionIssuerType | string | A origem das credenciais de segurança temporárias, como Raiz, IAMUser ou Função. |
| SessionIssuerUserName | string | O nome amigável do usuário ou função que emitiu a sessão. |
| SessionMfaAuthenticated | bool | O valor será verdadeiro se o usuário raiz ou o usuário IAM cujas credenciais foram usadas para a solicitação também tiverem sido autenticadas com um dispositivo MFA; caso contrário, false. |
| SharedEventId | string | GUID gerado pelo CloudTrail para identificar exclusivamente eventos CloudTrail da mesma ação do AWS que é enviada para diferentes contas do AWS. |
| Sourceipaddress | string | O endereço IP do qual a solicitação foi feita. Para ações originadas do console de serviço, o endereço relatado é para o recurso de cliente subjacente, não para o servidor Web do console. Para serviços na AWS, somente o nome DNS é exibido. |
| SourcePort | string | O SourcePort está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O início do intervalo de portas para os protocolos TCP e UDP ou um número de tipo ICMP. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| TenantId | string | A ID do workspace do Log Analytics |
| TimeGenerated | DATETIME | O carimbo de data/hora (UTC). O carimbo de data/hora de um evento vem do host local que fornece o ponto de extremidade da API de serviço no qual a chamada à API foi feita. |
| TlsVersion | string | Opcional. Parte de tlsDetails. A versão TLS de uma solicitação. |
| Type | string | O nome da tabela |
| UserAgent | string | O agente por meio do qual a solicitação foi feita, como o Console de Gerenciamento da AWS, um serviço AWS, os SDKs do AWS ou a CLI da AWS. |
| UserIdentityAccessKeyId | string | A ID da chave de acesso usada para assinar a solicitação. |
| UserIdentityAccountId | string | A conta que possui a entidade que concedeu permissões para a solicitação. |
| UserIdentityArn | string | O ARN (Nome do Recurso da Amazon) da entidade de segurança que fez a chamada. |
| UserIdentityInvokedBy | string | O nome do serviço AWS que fez a solicitação. |
| UserIdentityPrincipalid | string | Um identificador exclusivo para a entidade que fez a chamada. |
| UserIdentityType | string | O tipo da identidade. Os seguintes valores são possíveis: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | string | O nome da identidade que fez a chamada. |
| VpcEndpointId | string | Identifica o ponto de extremidade VPC no qual as solicitações foram feitas de um VPC para outro serviço da AWS. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de