AWSCloudTrail
Os registos do CloudTrail, ingeridos a partir do conector do Sentinel, contêm todos os seus dados e eventos de gestão da sua conta do Amazon Wev Services.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Registo básico | No |
| Transformação do tempo de ingestão | Yes |
| Consultas de Exemplo | Sim |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| AdditionalEventData | string | Dados adicionais sobre o evento que não fazia parte do pedido ou resposta. |
| APIVersion | string | Identifica a versão da API associada ao valor eventType AwsApiCall. |
| AwsEventId | string | GUID gerado pela CloudTrail para identificar exclusivamente cada evento. Pode utilizar este valor para identificar um único evento. |
| AWSRegion | string | A região do AWS à qual o pedido foi feito. |
| AwsRequestId | string | preterido, utilize antes AwsRequestId_. |
| AwsRequestId_ | string | O valor que identifica o pedido. O serviço chamado gera este valor. |
| _BilledSize | real | O tamanho do registo em bytes |
| Categoria | string | Mostra a categoria de evento que é utilizada nas chamadas LookupEvents. |
| CidrIp | string | O IP CIDR está localizado em RequestParameters no CloudTrail e é utilizado para especificar as permissões de IP para uma regra de grupo de segurança. O intervalo CIDR IPv4. |
| CipherSuite | string | Opcional. Parte do tlsDetails. O conjunto de cifras (combinação de algoritmos de segurança utilizados) de um pedido. |
| ClientProvidedHostHeader | string | Opcional. Parte do tlsDetails. O nome do anfitrião fornecido pelo cliente utilizado na chamada à API de serviço, que é normalmente o FQDN do ponto final de serviço. |
| DestinationPort | string | O DestinationPort está localizado em RequestParameters no CloudTrail e é utilizado para especificar as permissões de IP para uma regra de grupo de segurança. O fim do intervalo de portas para os protocolos TCP e UDP ou um código ICMP. |
| EC2RoleDelivery | string | O nome amigável do utilizador ou função que emitiu a sessão. |
| CódigoDoErro | string | O erro do serviço AWS se o pedido devolver um erro. |
| ErrorMessage | string | A descrição do erro quando disponível. Esta mensagem inclui mensagens para falhas de autorização. O CloudTrail captura a mensagem registada pelo serviço no processamento de exceções. |
| EventName | string | A ação pedida, que é uma das ações na API para esse serviço. |
| EventSource | string | O serviço ao qual o pedido foi feito. Normalmente, este nome é uma forma abreviada do nome do serviço sem espaços e .amazonaws.com. |
| EventTypeName | string | Identifica o tipo de evento que gerou o registo de eventos. Este pode ser um dos seguintes valores: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | string | A versão do formato do evento de registo. |
| IpProtocol | string | O protocolo IP está localizado em RequestParameters no CloudTrail e é utilizado para especificar as permissões de IP para uma regra de grupo de segurança. O nome ou número do protocolo IP. Os valores válidos são tcp, udp, icmp ou um número de protocolo. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| ManagementEvent | bool | Um valor booleano que identifica se o evento é um evento de gestão. |
| OperationName | string | Valor constante: CloudTrail. |
| ReadOnly | bool | Identifica se esta operação é uma operação só de leitura. |
| RecipientAccountId | string | Representa o ID da conta que recebeu este evento. O recipientAccountID pode ser diferente do AccountId do Elemento UserIdentity do CloudTrail. Isto pode ocorrer no acesso a recursos entre contas. |
| RequestParameters | string | Os parâmetros, se existirem, que foram enviados com o pedido. Estes parâmetros estão documentados na documentação de referência da API para o serviço AWS adequado. |
| Recursos | string | Uma lista de recursos acedidos no evento. |
| ResponseElements | string | O elemento de resposta para ações que efetuam alterações (criar, atualizar ou eliminar ações). Se uma ação não alterar o estado (por exemplo, um pedido para obter ou listar objetos), este elemento é omitido. |
| ServiceEventDetails | string | Identifica o evento do serviço, incluindo o que acionou o evento e o resultado. |
| SessionCreationDate | datetime | A data e hora em que as credenciais de segurança temporárias foram emitidas. |
| SessionIssuerAccountId | string | A conta que detém a entidade que foi utilizada para obter credenciais. |
| SessionIssuerArn | string | O ARN da origem (conta, utilizador IAM ou função) que foi utilizado para obter credenciais de segurança temporárias. |
| SessionIssuerPrincipalId | string | O ID interno da entidade que foi utilizada para obter credenciais. |
| SessionIssuerType | string | A origem das credenciais de segurança temporárias, como Raiz, IAMUser ou Função. |
| SessionIssuerUserName | string | O nome amigável do utilizador ou função que emitiu a sessão. |
| SessionMfaAuthenticated | bool | O valor é verdadeiro se o utilizador raiz ou o utilizador IAM cujas credenciais foram utilizadas para o pedido também foram autenticadas com um dispositivo MFA; caso contrário, falso. |
| SharedEventId | string | GUID gerado pela CloudTrail para identificar exclusivamente eventos do CloudTrail a partir da mesma ação do AWS que é enviada para diferentes contas do AWS. |
| SourceIpAddress | string | O endereço IP a partir do qual o pedido foi feito. Para ações originárias da consola do serviço, o endereço comunicado destina-se ao recurso do cliente subjacente e não ao servidor Web da consola. Para serviços no AWS, só é apresentado o nome DNS. |
| SourcePort | string | O SourcePort está localizado em RequestParameters no CloudTrail e é utilizado para especificar as permissões de IP para uma regra de grupo de segurança. O início do intervalo de portas para os protocolos TCP e UDP ou um número de tipo ICMP. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| TimeGenerated | datetime | O carimbo de data/hora (UTC). O carimbo de data/hora de um evento provém do anfitrião local que fornece o ponto final da API de serviço no qual a chamada à API foi efetuada. |
| TlsVersion | string | Opcional. Parte de tlsDetails. A versão TLS de um pedido. |
| Tipo | string | O nome da tabela |
| UserAgent | string | O agente através do qual o pedido foi feito, como a Consola de Gestão do AWS, um serviço AWS, os SDKs do AWS ou a CLI do AWS. |
| UserIdentityAccessKeyId | string | O ID da chave de acesso que foi utilizado para assinar o pedido. |
| UserIdentityAccountId | string | A conta que detém a entidade que concedeu permissões para o pedido. |
| UserIdentityArn | string | O Amazon Resource Name (ARN) do principal que efetuou a chamada. |
| UserIdentityInvokedBy | string | O nome do serviço AWS que efetuou o pedido. |
| UserIdentityPrincipalid | string | Um identificador exclusivo para a entidade que efetuou a chamada. |
| UserIdentityType | string | O tipo da identidade. Os seguintes valores são possíveis: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | string | O nome da identidade que efetuou a chamada. |
| VpcEndpointId | string | Identifica o ponto final do VPC no qual os pedidos foram feitos de um VPC para outro serviço do AWS. |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários