AWSCloudTrail
Журналы CloudTrail, полученные из соединителя Sentinel, содержат все ваши данные и события управления учетной записи Amazon Wev Services.
Атрибуты таблицы
attribute | Значение |
---|---|
Типы ресурсов | - |
Категории | Безопасность |
Решения | SecurityInsights |
Базовый журнал | Нет |
Преобразование во время приема | Да |
Примеры запросов | Да |
Столбцы
Столбец | Type | Описание |
---|---|---|
AdditionalEventData | строка | Дополнительные данные о событии, которое не было частью запроса или ответа. |
APIVersion | строка | Определяет версию API, связанную со значением события AwsApiCall. |
AwsEventId | строка | Идентификатор GUID, созданный CloudTrail для уникальной идентификации каждого события. Это значение можно использовать для идентификации одного события. |
AWSRegion | строка | Регион AWS, в который был сделан запрос. |
AwsRequestId | строка | Не рекомендуется использовать AwsRequestId_. |
AwsRequestId_ | строка | Значение, идентифицирующее запрос. Вызываемая служба создает это значение. |
_BilledSize | real | Размер записи в байтах |
Категория | строка | Показывает категорию событий, используемую в вызовах LookupEvents. |
CidrIp | строка | IP-адрес CIDR находится в разделе RequestParameters в CloudTrail и используется для указания разрешений IP-адресов для правила группы безопасности. Диапазон CIDR IPv4. |
CipherSuite | строка | Необязательный параметр. Часть tlsDetails. Набор шифров (сочетание используемых алгоритмов безопасности) запроса. |
ClientProvidedHostHeader | строка | Необязательный параметр. Часть tlsDetails. Предоставленное клиентом имя узла, используемое в вызове API службы, которое обычно является полным доменным именем конечной точки службы. |
DestinationPort | строка | DestinationPort находится в разделе RequestParameters в CloudTrail и используется для указания ip-разрешений для правила группы безопасности. Конец диапазона портов для протоколов TCP и UDP или код ICMP. |
EC2RoleDelivery | строка | Понятное имя пользователя или роли, которые выпустили сеанс. |
ErrorCode | строка | Ошибка службы AWS, если запрос возвращает ошибку. |
ErrorMessage | строка | Описание ошибки, если доступно. Это сообщение содержит сообщения о сбоях авторизации. CloudTrail фиксирует сообщение, зарегистрированное службой при обработке исключений. |
EventName | строка | Запрошенное действие, которое является одним из действий в API для этой службы. |
EventSource | строка | Служба, к которому был сделан запрос. Это имя обычно представляет собой краткую форму имени службы без пробелов и amazonaws.com. |
EventTypeName | строка | Определяет тип события, создающего запись события. Это может быть одно из следующих значений: AwsApiCall, AwsServiceEvent, AwsConsoleAction, AwsConsoleSignIn. |
EventVersion | строка | Версия формата событий журнала. |
IpProtocol | строка | Протокол IP находится в разделе RequestParameters в CloudTrail и используется для указания разрешений IP для правила группы безопасности. Имя или номер ПРОТОКОЛА IP. Допустимые значения: tcp, udp, icmp или номер протокола. |
_IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
ManagementEvent | bool | Логическое значение, определяющее, является ли событие событие событием управления. |
OperationName | строка | Значение константы: CloudTrail. |
Только для чтения | bool | Определяет, является ли эта операция операцией только для чтения. |
RecipientAccountId | строка | Представляет идентификатор учетной записи, которая получила это событие. RecipientAccountID может отличаться от идентификатора accountIdentity Element CloudTrail. Это может произойти при доступе к ресурсам между учетными записями. |
RequestParameters | строка | Параметры, если таковые есть, которые были отправлены вместе с запросом. Эти параметры описаны в справочной документации по API для соответствующей службы AWS. |
Ресурсы | строка | Список ресурсов, доступных в событии. |
ResponseElements | строка | Элемент ответа для действий, которые вносят изменения (создание, обновление или удаление). Если действие не изменяет состояние (например, запрос на получение или перечисление объектов), этот элемент опущен. |
ServiceEventDetails | строка | Определяет событие службы, включая то, что вызвало событие и результат. |
SessionCreationDate | DATETIME | Дата и время выдачи временных учетных данных безопасности. |
SessionIssuerAccountId | строка | Учетная запись, владеющая сущностью, которая использовалась для получения учетных данных. |
SessionIssuerArn | строка | ARN источника (учетной записи, пользователя IAM или роли), который использовался для получения временных учетных данных безопасности. |
SessionIssuerPrincipalId | строка | Внутренний идентификатор сущности, которая использовалась для получения учетных данных. |
SessionIssuerType | строка | Источник временных учетных данных безопасности, таких как Root, IAMUser или Role. |
SessionIssuerUserName | строка | Понятное имя пользователя или роли, которые выпустили сеанс. |
SessionMfaAuthenticated | bool | Значение равно true, если корневой пользователь или пользователь IAM, учетные данные которого использовались для запроса, также прошел проверку подлинности на устройстве MFA; в противном случае — false. |
SharedEventId | строка | Идентификатор GUID, созданный CloudTrail для уникальной идентификации событий CloudTrail из того же действия AWS, которое отправляется в разные учетные записи AWS. |
SourceIpAddress | строка | IP-адрес, с которым был выполнен запрос. Для действий, исходящих из консоли службы, адрес указывается для базового ресурса клиента, а не для веб-сервера консоли. Для служб в AWS отображается только DNS-имя. |
SourcePort | строка | SourcePort находится в разделе RequestParameters в CloudTrail и используется для указания ip-разрешений для правила группы безопасности. Начало диапазона портов для протоколов TCP и UDP или номер типа ICMP. |
SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
TenantId | строка | Идентификатор рабочей области Log Analytics |
TimeGenerated | DATETIME | Метка времени (UTC). Метка времени события поступает от локального узла, который предоставляет конечную точку API службы, в которой был выполнен вызов API. |
TlsVersion | строка | Необязательный параметр. Часть tlsDetails. Tls-версия запроса. |
Тип | строка | Имя таблицы. |
UserAgent | строка | Агент, с помощью которого был выполнен запрос, например консоль управления AWS, служба AWS, пакеты SDK для AWS или ИНТЕРФЕЙС КОМАНДНОй строки AWS. |
UserIdentityAccessKeyId | строка | Идентификатор ключа доступа, который использовался для подписи запроса. |
UserIdentityAccountId | строка | Учетная запись, владеющая сущностью, которая предоставила разрешения для запроса. |
UserIdentityArn | строка | Имя ресурса Amazon (ARN) субъекта, который совершил вызов. |
UserIdentityInvokedBy | строка | Имя службы AWS, которая сделала запрос. |
UserIdentityPrincipalid | строка | Уникальный идентификатор сущности, которая произвела вызов. |
UserIdentityType | строка | Тип удостоверения. Возможны следующие значения: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
UserIdentityUserName | строка | Имя удостоверения, которое произвело вызов. |
VpcEndpointId | строка | Определяет конечную точку VPC, в которой были выполнены запросы из VPC в другую службу AWS. |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по