AWSCloudTrail
Os registos do CloudTrail, ingeridos a partir do conector do Sentinel, contêm todos os seus dados e eventos de gestão da sua conta do Amazon Wev Services.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | - |
Categorias | Segurança |
Soluções | SecurityInsights |
Registo básico | No |
Transformação do tempo de ingestão | Yes |
Consultas de Exemplo | Sim |
Colunas
Coluna | Tipo | Description |
---|---|---|
AdditionalEventData | string | Dados adicionais sobre o evento que não fazia parte do pedido ou resposta. |
APIVersion | string | Identifica a versão da API associada ao valor eventType AwsApiCall. |
AwsEventId | string | GUID gerado pela CloudTrail para identificar exclusivamente cada evento. Pode utilizar este valor para identificar um único evento. |
AWSRegion | string | A região do AWS à qual o pedido foi feito. |
AwsRequestId | string | preterido, utilize antes AwsRequestId_. |
AwsRequestId_ | string | O valor que identifica o pedido. O serviço chamado gera este valor. |
_BilledSize | real | O tamanho do registo em bytes |
Categoria | string | Mostra a categoria de evento que é utilizada nas chamadas LookupEvents. |
CidrIp | string | O IP CIDR está localizado em RequestParameters no CloudTrail e é utilizado para especificar as permissões de IP para uma regra de grupo de segurança. O intervalo CIDR IPv4. |
CipherSuite | string | Opcional. Parte do tlsDetails. O conjunto de cifras (combinação de algoritmos de segurança utilizados) de um pedido. |
ClientProvidedHostHeader | string | Opcional. Parte do tlsDetails. O nome do anfitrião fornecido pelo cliente utilizado na chamada à API de serviço, que é normalmente o FQDN do ponto final de serviço. |
DestinationPort | string | O DestinationPort está localizado em RequestParameters no CloudTrail e é utilizado para especificar as permissões de IP para uma regra de grupo de segurança. O fim do intervalo de portas para os protocolos TCP e UDP ou um código ICMP. |
EC2RoleDelivery | string | O nome amigável do utilizador ou função que emitiu a sessão. |
CódigoDoErro | string | O erro do serviço AWS se o pedido devolver um erro. |
ErrorMessage | string | A descrição do erro quando disponível. Esta mensagem inclui mensagens para falhas de autorização. O CloudTrail captura a mensagem registada pelo serviço no processamento de exceções. |
EventName | string | A ação pedida, que é uma das ações na API para esse serviço. |
EventSource | string | O serviço ao qual o pedido foi feito. Normalmente, este nome é uma forma abreviada do nome do serviço sem espaços e .amazonaws.com. |
EventTypeName | string | Identifica o tipo de evento que gerou o registo de eventos. Este pode ser um dos seguintes valores: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
EventVersion | string | A versão do formato do evento de registo. |
IpProtocol | string | O protocolo IP está localizado em RequestParameters no CloudTrail e é utilizado para especificar as permissões de IP para uma regra de grupo de segurança. O nome ou número do protocolo IP. Os valores válidos são tcp, udp, icmp ou um número de protocolo. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
ManagementEvent | bool | Um valor booleano que identifica se o evento é um evento de gestão. |
OperationName | string | Valor constante: CloudTrail. |
ReadOnly | bool | Identifica se esta operação é uma operação só de leitura. |
RecipientAccountId | string | Representa o ID da conta que recebeu este evento. O recipientAccountID pode ser diferente do AccountId do Elemento UserIdentity do CloudTrail. Isto pode ocorrer no acesso a recursos entre contas. |
RequestParameters | string | Os parâmetros, se existirem, que foram enviados com o pedido. Estes parâmetros estão documentados na documentação de referência da API para o serviço AWS adequado. |
Recursos | string | Uma lista de recursos acedidos no evento. |
ResponseElements | string | O elemento de resposta para ações que efetuam alterações (criar, atualizar ou eliminar ações). Se uma ação não alterar o estado (por exemplo, um pedido para obter ou listar objetos), este elemento é omitido. |
ServiceEventDetails | string | Identifica o evento do serviço, incluindo o que acionou o evento e o resultado. |
SessionCreationDate | datetime | A data e hora em que as credenciais de segurança temporárias foram emitidas. |
SessionIssuerAccountId | string | A conta que detém a entidade que foi utilizada para obter credenciais. |
SessionIssuerArn | string | O ARN da origem (conta, utilizador IAM ou função) que foi utilizado para obter credenciais de segurança temporárias. |
SessionIssuerPrincipalId | string | O ID interno da entidade que foi utilizada para obter credenciais. |
SessionIssuerType | string | A origem das credenciais de segurança temporárias, como Raiz, IAMUser ou Função. |
SessionIssuerUserName | string | O nome amigável do utilizador ou função que emitiu a sessão. |
SessionMfaAuthenticated | bool | O valor é verdadeiro se o utilizador raiz ou o utilizador IAM cujas credenciais foram utilizadas para o pedido também foram autenticadas com um dispositivo MFA; caso contrário, falso. |
SharedEventId | string | GUID gerado pela CloudTrail para identificar exclusivamente eventos do CloudTrail a partir da mesma ação do AWS que é enviada para diferentes contas do AWS. |
SourceIpAddress | string | O endereço IP a partir do qual o pedido foi feito. Para ações originárias da consola do serviço, o endereço comunicado destina-se ao recurso do cliente subjacente e não ao servidor Web da consola. Para serviços no AWS, só é apresentado o nome DNS. |
SourcePort | string | O SourcePort está localizado em RequestParameters no CloudTrail e é utilizado para especificar as permissões de IP para uma regra de grupo de segurança. O início do intervalo de portas para os protocolos TCP e UDP ou um número de tipo ICMP. |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
TenantId | string | O ID da área de trabalho do Log Analytics |
TimeGenerated | datetime | O carimbo de data/hora (UTC). O carimbo de data/hora de um evento provém do anfitrião local que fornece o ponto final da API de serviço no qual a chamada à API foi efetuada. |
TlsVersion | string | Opcional. Parte de tlsDetails. A versão TLS de um pedido. |
Tipo | string | O nome da tabela |
UserAgent | string | O agente através do qual o pedido foi feito, como a Consola de Gestão do AWS, um serviço AWS, os SDKs do AWS ou a CLI do AWS. |
UserIdentityAccessKeyId | string | O ID da chave de acesso que foi utilizado para assinar o pedido. |
UserIdentityAccountId | string | A conta que detém a entidade que concedeu permissões para o pedido. |
UserIdentityArn | string | O Amazon Resource Name (ARN) do principal que efetuou a chamada. |
UserIdentityInvokedBy | string | O nome do serviço AWS que efetuou o pedido. |
UserIdentityPrincipalid | string | Um identificador exclusivo para a entidade que efetuou a chamada. |
UserIdentityType | string | O tipo da identidade. Os seguintes valores são possíveis: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
UserIdentityUserName | string | O nome da identidade que efetuou a chamada. |
VpcEndpointId | string | Identifica o ponto final do VPC no qual os pedidos foram feitos de um VPC para outro serviço do AWS. |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários