AWSCloudTrail
Os logs do CloudTrail, ingeridos do conector do Sentinel, armazenam todos os seus dados e eventos de gerenciamento de sua conta do Amazon Wev Services.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | - |
Categorias | Segurança |
Soluções | SecurityInsights |
Log básico | No |
Transformação de tempo de ingestão | Yes |
Consultas de amostras | Sim |
Colunas
Coluna | Tipo | Descrição |
---|---|---|
AdditionalEventData | string | Dados adicionais sobre o evento que não fazia parte da solicitação ou resposta. |
APIVersion | string | Identifica a versão da API associada ao valor eventType AwsApiCall. |
AwsEventId | string | GUID gerado pelo CloudTrail para identificar exclusivamente cada evento. Você pode usar esse valor para identificar um único evento. |
AWSRegion | string | A região da AWS para a qual a solicitação foi feita. |
AwsRequestId | string | preterido, use AwsRequestId_ em vez disso. |
AwsRequestId_ | string | O valor que identifica a solicitação. O serviço que está sendo chamado gera esse valor. |
_BilledSize | real | O tamanho do registro em bytes |
Categoria | string | Mostra a categoria de evento usada em chamadas lookupEvents. |
CidrIp | string | O IP CIDR está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O intervalo CIDR IPv4. |
CipherSuite | string | Opcional. Parte de tlsDetails. O conjunto de criptografias (combinação de algoritmos de segurança usados) de uma solicitação. |
ClientProvidedHostHeader | string | Opcional. Parte de tlsDetails. O nome do host fornecido pelo cliente usado na chamada à API de serviço, que normalmente é o FQDN do ponto de extremidade de serviço. |
DestinationPort | string | O DestinationPort está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O fim do intervalo de portas para os protocolos TCP e UDP ou um código ICMP. |
EC2RoleDelivery | string | O nome amigável do usuário ou função que emitiu a sessão. |
ErrorCode | string | O erro de serviço da AWS se a solicitação retornar um erro. |
ErrorMessage | string | A descrição do erro quando disponível. Esta mensagem inclui mensagens para falhas de autorização. O CloudTrail captura a mensagem registrada pelo serviço em seu tratamento de exceção. |
EventName | string | A ação solicitada, que é uma das ações na API para esse serviço. |
EventSource | string | O serviço para o qual a solicitação foi feita. Esse nome normalmente é uma forma curta do nome do serviço sem espaços mais .amazonaws.com. |
EventTypeName | string | Identifica o tipo de evento que gerou o registro de evento. Esse pode ser um dos seguintes valores: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
EventVersion | string | A versão do formato de evento de log. |
IpProtocol | string | O protocolo IP está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O nome ou número do protocolo IP. Os valores válidos são tcp, udp, icmp ou um número de protocolo. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
ManagementEvent | bool | Um valor booliano que identifica se o evento é um evento de gerenciamento. |
OperationName | string | Valor constante: CloudTrail. |
ReadOnly | bool | Identifica se essa operação é uma operação somente leitura. |
RecipientAccountId | string | Representa a ID da conta que recebeu esse evento. O recipientAccountID pode ser diferente do userIdentity Element accountIdid do CloudTrail. Isso pode ocorrer no acesso a recursos entre contas. |
RequestParameters | string | Os parâmetros, se houver, que foram enviados com a solicitação. Esses parâmetros estão documentados na documentação de referência da API para o serviço AWS apropriado. |
Recursos | string | Uma lista de recursos acessados no evento. |
ResponseElements | string | O elemento de resposta para ações que fazem alterações (criar, atualizar ou excluir ações). Se uma ação não alterar o estado (por exemplo, uma solicitação para obter ou listar objetos), esse elemento será omitido. |
ServiceEventDetails | string | Identifica o evento de serviço, incluindo o que disparou o evento e o resultado. |
SessionCreationDate | DATETIME | A data e a hora em que as credenciais de segurança temporárias foram emitidas. |
SessionIssuerAccountId | string | A conta que possui a entidade que foi usada para obter credenciais. |
SessionIssuerArn | string | O ARN da origem (conta, usuário do IAM ou função) que foi usado para obter credenciais de segurança temporárias. |
SessionIssuerPrincipalId | string | A ID interna da entidade que foi usada para obter credenciais. |
SessionIssuerType | string | A origem das credenciais de segurança temporárias, como Raiz, IAMUser ou Função. |
SessionIssuerUserName | string | O nome amigável do usuário ou função que emitiu a sessão. |
SessionMfaAuthenticated | bool | O valor será verdadeiro se o usuário raiz ou o usuário IAM cujas credenciais foram usadas para a solicitação também tiverem sido autenticadas com um dispositivo MFA; caso contrário, false. |
SharedEventId | string | GUID gerado pelo CloudTrail para identificar exclusivamente eventos CloudTrail da mesma ação do AWS que é enviada para diferentes contas do AWS. |
Sourceipaddress | string | O endereço IP do qual a solicitação foi feita. Para ações originadas do console de serviço, o endereço relatado é para o recurso de cliente subjacente, não para o servidor Web do console. Para serviços na AWS, somente o nome DNS é exibido. |
SourcePort | string | O SourcePort está localizado em RequestParameters no CloudTrail e é usado para especificar as permissões de IP para uma regra de grupo de segurança. O início do intervalo de portas para os protocolos TCP e UDP ou um número de tipo ICMP. |
SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
TenantId | string | A ID do workspace do Log Analytics |
TimeGenerated | DATETIME | O carimbo de data/hora (UTC). O carimbo de data/hora de um evento vem do host local que fornece o ponto de extremidade da API de serviço no qual a chamada à API foi feita. |
TlsVersion | string | Opcional. Parte de tlsDetails. A versão TLS de uma solicitação. |
Type | string | O nome da tabela |
UserAgent | string | O agente por meio do qual a solicitação foi feita, como o Console de Gerenciamento da AWS, um serviço AWS, os SDKs do AWS ou a CLI da AWS. |
UserIdentityAccessKeyId | string | A ID da chave de acesso usada para assinar a solicitação. |
UserIdentityAccountId | string | A conta que possui a entidade que concedeu permissões para a solicitação. |
UserIdentityArn | string | O ARN (Nome do Recurso da Amazon) da entidade de segurança que fez a chamada. |
UserIdentityInvokedBy | string | O nome do serviço AWS que fez a solicitação. |
UserIdentityPrincipalid | string | Um identificador exclusivo para a entidade que fez a chamada. |
UserIdentityType | string | O tipo da identidade. Os seguintes valores são possíveis: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
UserIdentityUserName | string | O nome da identidade que fez a chamada. |
VpcEndpointId | string | Identifica o ponto de extremidade VPC no qual as solicitações foram feitas de um VPC para outro serviço da AWS. |
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de