AWSCloudTrail
Журналы CloudTrail, полученные из соединителя Sentinel, содержат все ваши данные и события управления учетной записи Amazon Wev Services.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AdditionalEventData | строка | Дополнительные данные о событии, которое не было частью запроса или ответа. |
| APIVersion | строка | Определяет версию API, связанную со значением события AwsApiCall. |
| AwsEventId | строка | Идентификатор GUID, созданный CloudTrail для уникальной идентификации каждого события. Это значение можно использовать для идентификации одного события. |
| AWSRegion | строка | Регион AWS, в который был сделан запрос. |
| AwsRequestId | строка | Не рекомендуется использовать AwsRequestId_. |
| AwsRequestId_ | строка | Значение, идентифицирующее запрос. Вызываемая служба создает это значение. |
| _BilledSize | real | Размер записи в байтах |
| Категория | строка | Показывает категорию событий, используемую в вызовах LookupEvents. |
| CidrIp | строка | IP-адрес CIDR находится в разделе RequestParameters в CloudTrail и используется для указания разрешений IP-адресов для правила группы безопасности. Диапазон CIDR IPv4. |
| CipherSuite | строка | Необязательный параметр. Часть tlsDetails. Набор шифров (сочетание используемых алгоритмов безопасности) запроса. |
| ClientProvidedHostHeader | строка | Необязательный параметр. Часть tlsDetails. Предоставленное клиентом имя узла, используемое в вызове API службы, которое обычно является полным доменным именем конечной точки службы. |
| DestinationPort | строка | DestinationPort находится в разделе RequestParameters в CloudTrail и используется для указания ip-разрешений для правила группы безопасности. Конец диапазона портов для протоколов TCP и UDP или код ICMP. |
| EC2RoleDelivery | строка | Понятное имя пользователя или роли, которые выпустили сеанс. |
| ErrorCode | строка | Ошибка службы AWS, если запрос возвращает ошибку. |
| ErrorMessage | строка | Описание ошибки, если доступно. Это сообщение содержит сообщения о сбоях авторизации. CloudTrail фиксирует сообщение, зарегистрированное службой при обработке исключений. |
| EventName | строка | Запрошенное действие, которое является одним из действий в API для этой службы. |
| EventSource | строка | Служба, к которому был сделан запрос. Это имя обычно представляет собой краткую форму имени службы без пробелов и amazonaws.com. |
| EventTypeName | строка | Определяет тип события, создающего запись события. Это может быть одно из следующих значений: AwsApiCall, AwsServiceEvent, AwsConsoleAction, AwsConsoleSignIn. |
| EventVersion | строка | Версия формата событий журнала. |
| IpProtocol | строка | Протокол IP находится в разделе RequestParameters в CloudTrail и используется для указания разрешений IP для правила группы безопасности. Имя или номер ПРОТОКОЛА IP. Допустимые значения: tcp, udp, icmp или номер протокола. |
| _IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
| ManagementEvent | bool | Логическое значение, определяющее, является ли событие событие событием управления. |
| OperationName | строка | Значение константы: CloudTrail. |
| Только для чтения | bool | Определяет, является ли эта операция операцией только для чтения. |
| RecipientAccountId | строка | Представляет идентификатор учетной записи, которая получила это событие. RecipientAccountID может отличаться от идентификатора accountIdentity Element CloudTrail. Это может произойти при доступе к ресурсам между учетными записями. |
| RequestParameters | строка | Параметры, если таковые есть, которые были отправлены вместе с запросом. Эти параметры описаны в справочной документации по API для соответствующей службы AWS. |
| Ресурсы | строка | Список ресурсов, доступных в событии. |
| ResponseElements | строка | Элемент ответа для действий, которые вносят изменения (создание, обновление или удаление). Если действие не изменяет состояние (например, запрос на получение или перечисление объектов), этот элемент опущен. |
| ServiceEventDetails | строка | Определяет событие службы, включая то, что вызвало событие и результат. |
| SessionCreationDate | DATETIME | Дата и время выдачи временных учетных данных безопасности. |
| SessionIssuerAccountId | строка | Учетная запись, владеющая сущностью, которая использовалась для получения учетных данных. |
| SessionIssuerArn | строка | ARN источника (учетной записи, пользователя IAM или роли), который использовался для получения временных учетных данных безопасности. |
| SessionIssuerPrincipalId | строка | Внутренний идентификатор сущности, которая использовалась для получения учетных данных. |
| SessionIssuerType | строка | Источник временных учетных данных безопасности, таких как Root, IAMUser или Role. |
| SessionIssuerUserName | строка | Понятное имя пользователя или роли, которые выпустили сеанс. |
| SessionMfaAuthenticated | bool | Значение равно true, если корневой пользователь или пользователь IAM, учетные данные которого использовались для запроса, также прошел проверку подлинности на устройстве MFA; в противном случае — false. |
| SharedEventId | строка | Идентификатор GUID, созданный CloudTrail для уникальной идентификации событий CloudTrail из того же действия AWS, которое отправляется в разные учетные записи AWS. |
| SourceIpAddress | строка | IP-адрес, с которым был выполнен запрос. Для действий, исходящих из консоли службы, адрес указывается для базового ресурса клиента, а не для веб-сервера консоли. Для служб в AWS отображается только DNS-имя. |
| SourcePort | строка | SourcePort находится в разделе RequestParameters в CloudTrail и используется для указания ip-разрешений для правила группы безопасности. Начало диапазона портов для протоколов TCP и UDP или номер типа ICMP. |
| SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Метка времени (UTC). Метка времени события поступает от локального узла, который предоставляет конечную точку API службы, в которой был выполнен вызов API. |
| TlsVersion | строка | Необязательный параметр. Часть tlsDetails. Tls-версия запроса. |
| Тип | строка | Имя таблицы. |
| UserAgent | строка | Агент, с помощью которого был выполнен запрос, например консоль управления AWS, служба AWS, пакеты SDK для AWS или ИНТЕРФЕЙС КОМАНДНОй строки AWS. |
| UserIdentityAccessKeyId | строка | Идентификатор ключа доступа, который использовался для подписи запроса. |
| UserIdentityAccountId | строка | Учетная запись, владеющая сущностью, которая предоставила разрешения для запроса. |
| UserIdentityArn | строка | Имя ресурса Amazon (ARN) субъекта, который совершил вызов. |
| UserIdentityInvokedBy | строка | Имя службы AWS, которая сделала запрос. |
| UserIdentityPrincipalid | строка | Уникальный идентификатор сущности, которая произвела вызов. |
| UserIdentityType | строка | Тип удостоверения. Возможны следующие значения: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | строка | Имя удостоверения, которое произвело вызов. |
| VpcEndpointId | строка | Определяет конечную точку VPC, в которой были выполнены запросы из VPC в другую службу AWS. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по