AWSCloudTrail
Sentinel'in bağlayıcısından alınan CloudTrail günlükleri, Amazon Wev Services hesabınızın tüm verilerini ve yönetim olaylarını barındırıyor.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | - |
| Kategoriler | Güvenlik |
| Çözümler | SecurityInsights |
| Temel günlük | No |
| Alım zamanı dönüşümü | Yes |
| Örnek Sorgular | Evet |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| AdditionalEventData | string | İstek veya yanıtın parçası olmayan olayla ilgili ek veriler. |
| APIVersion | string | AwsApiCall eventType değeriyle ilişkili API sürümünü tanımlar. |
| AwsEventId | string | Her olayı benzersiz bir şekilde tanımlamak için CloudTrail tarafından oluşturulan GUID. Tek bir olayı tanımlamak için bu değeri kullanabilirsiniz. |
| AWSRegion | string | İsteğin yapıldığı AWS bölgesi. |
| AwsRequestId | string | kullanım dışı bırakıldı, lütfen bunun yerine AwsRequestId_ kullanın. |
| AwsRequestId_ | string | İsteği tanımlayan değer. Çağrılan hizmet bu değeri oluşturur. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| Kategori | string | LookupEvents çağrılarında kullanılan olay kategorisini gösterir. |
| CidrIp | string | CIDR IP CloudTrail'deki RequestParameters altında bulunur ve bir güvenlik grubu kuralı için IP izinlerini belirtmek için kullanılır. IPv4 CIDR aralığı. |
| CipherSuite | string | İsteğe bağlı. tlsDetails öğesinin bir parçası. bir isteğin şifre paketi (kullanılan güvenlik algoritmalarının birleşimi). |
| ClientProvidedHostHeader | string | İsteğe bağlı. tlsDetails öğesinin bir parçası. Hizmet API çağrısında kullanılan, genellikle hizmet uç noktasının FQDN'si olan istemci tarafından sağlanan ana bilgisayar adı. |
| DestinationPort | string | DestinationPort, CloudTrail'deki RequestParameters altında bulunur ve bir güvenlik grubu kuralı için IP izinlerini belirtmek için kullanılır. TCP ve UDP protokolleri veya bir ICMP kodu için bağlantı noktası aralığının sonu. |
| EC2RoleDelivery | string | Oturumu veren kullanıcının veya rolün kolay adı. |
| ErrorCode | string | İstek bir hata döndürürse AWS hizmeti hatası. |
| ErrorMessage | string | Kullanılabilir olduğunda hata açıklaması. Bu ileti, yetkilendirme hatalarına yönelik iletileri içerir. CloudTrail, özel durum işlemesinde hizmet tarafından günlüğe kaydedilen iletiyi yakalar. |
| EventName | string | İstenen eylem, söz konusu hizmetin API'sindeki eylemlerden biridir. |
| EventSource | string | İsteğin yapıldığı hizmet. Bu ad genellikle hizmet adının boşluk ve .amazonaws.com içermeyen kısa bir biçimidir. |
| EventTypeName | string | Olay kaydını oluşturan olayın türünü tanımlar. Bu, şu değerlerden biri olabilir: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | string | Günlük olayı biçiminin sürümü. |
| IpProtocol | string | IP protokolü CloudTrail'deki RequestParameters altında bulunur ve bir güvenlik grubu kuralı için IP izinlerini belirtmek için kullanılır. IP protokolü adı veya numarası. Geçerli değerler tcp, udp, icmp veya protokol numarasıdır. |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| ManagementEvent | bool | Olayın bir yönetim olayı olup olmadığını tanımlayan boole değeri. |
| OperationName | string | Sabit değer: CloudTrail. |
| ReadOnly | bool | Bu işlemin salt okunur bir işlem olup olmadığını tanımlar. |
| RecipientAccountId | string | Bu olayı alan hesap kimliğini temsil eder. recipientAccountID, CloudTrail userIdentity Öğesi accountId öğesinden farklı olabilir. Bu, hesap arası kaynak erişiminde oluşabilir. |
| RequestParameters | string | varsa, istekle gönderilen parametreler. Bu parametreler, uygun AWS hizmeti için API başvuru belgelerinde belgelenmiştir. |
| Kaynaklar | string | Olayda erişilen kaynakların listesi. |
| ResponseElements | string | Değişiklik (oluşturma, güncelleştirme veya silme eylemleri) eylemlerin yanıt öğesi. Bir eylem durumu değiştirmezse (örneğin, nesneleri alma veya listeleme isteği), bu öğe atlanır. |
| ServiceEventDetails | string | Olayı ve sonucu tetikleyenler dahil olmak üzere hizmet olayını tanımlar. |
| SessionCreationDate | datetime | Geçici güvenlik kimlik bilgilerinin verildiği tarih ve saat. |
| SessionIssuerAccountId | string | Kimlik bilgilerini almak için kullanılan varlığın sahibi olan hesap. |
| SessionIssuerArn | string | Geçici güvenlik kimlik bilgilerini almak için kullanılan kaynağın (hesap, IAM kullanıcısı veya rolü) ARN'i. |
| SessionIssuerPrincipalId | string | Kimlik bilgilerini almak için kullanılan varlığın iç kimliği. |
| SessionIssuerType | string | Kök, IAMUser veya Rol gibi geçici güvenlik kimlik bilgilerinin kaynağı. |
| SessionIssuerUserName | string | Oturumu veren kullanıcının veya rolün kolay adı. |
| SessionMfaAuthenticated | bool | İstek için kimlik bilgileri kullanılan kök kullanıcının veya IAM kullanıcısının kimliği de bir MFA cihazıyla doğrulandıysa değer doğrudur; aksi takdirde false. |
| SharedEventId | string | Farklı AWS hesaplarına gönderilen aynı AWS eyleminden CloudTrail olaylarını benzersiz bir şekilde tanımlamak için CloudTrail tarafından oluşturulan GUID. |
| SourceIpAddress | string | İsteğin yapıldığı IP adresi. Hizmet konsolundan kaynaklanan eylemler için, bildirilen adres konsol web sunucusuna değil, temel alınan müşteri kaynağına yöneliktir. AWS'deki hizmetler için yalnızca DNS adı görüntülenir. |
| SourcePort | string | SourcePort, CloudTrail'deki RequestParameters altında bulunur ve bir güvenlik grubu kuralı için IP izinlerini belirtmek için kullanılır. TCP ve UDP protokolleri için bağlantı noktası aralığının başlangıcı veya bir ICMP tür numarası. |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| TimeGenerated | datetime | Zaman damgası (UTC). Olayın zaman damgası, API çağrısının yapıldığı hizmet API uç noktasını sağlayan yerel konaktan gelir. |
| TlsVersion | string | İsteğe bağlı. tlsDetails öğesinin bir parçası. İsteğin TLS sürümü. |
| Tür | string | Tablonun adı |
| Useragent | string | AWS Yönetim Konsolu, bir AWS hizmeti, AWS SDK'ları veya AWS CLI gibi isteğin yapıldığı aracı. |
| UserIdentityAccessKeyId | string | İsteği imzalamak için kullanılan erişim anahtarı kimliği. |
| UserIdentityAccountId | string | İstek için izinler veren varlığa sahip olan hesap. |
| UserIdentityArn | string | Çağrıyı yapan sorumlunun Amazon Kaynak Adı (ARN). |
| UserIdentityInvokedBy | string | İsteği yapan AWS hizmetinin adı. |
| UserIdentityPrincipalid | string | Çağrıyı yapan varlığın benzersiz tanımlayıcısı. |
| UserIdentityType | string | Kimliğin türü. Aşağıdaki değerler mümkündür: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | string | Çağrıyı yapan kimliğin adı. |
| VpcEndpointId | string | Bir VPC'den başka bir AWS hizmetine isteklerin yapıldığı VPC uç noktasını tanımlar. |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin