AWSCloudTrail
Sentinel'in bağlayıcısından alınan CloudTrail günlükleri, Amazon Wev Services hesabınızın tüm verilerini ve yönetim olaylarını barındırıyor.
Tablo öznitelikleri
Öznitelik | Değer |
---|---|
Kaynak türleri | - |
Kategoriler | Güvenlik |
Çözümler | SecurityInsights |
Temel günlük | No |
Alım zamanı dönüşümü | Yes |
Örnek Sorgular | Evet |
Sütunlar
Sütun | Tür | Description |
---|---|---|
AdditionalEventData | string | İstek veya yanıtın parçası olmayan olayla ilgili ek veriler. |
APIVersion | string | AwsApiCall eventType değeriyle ilişkili API sürümünü tanımlar. |
AwsEventId | string | Her olayı benzersiz bir şekilde tanımlamak için CloudTrail tarafından oluşturulan GUID. Tek bir olayı tanımlamak için bu değeri kullanabilirsiniz. |
AWSRegion | string | İsteğin yapıldığı AWS bölgesi. |
AwsRequestId | string | kullanım dışı bırakıldı, lütfen bunun yerine AwsRequestId_ kullanın. |
AwsRequestId_ | string | İsteği tanımlayan değer. Çağrılan hizmet bu değeri oluşturur. |
_BilledSize | real | Bayt cinsinden kayıt boyutu |
Kategori | string | LookupEvents çağrılarında kullanılan olay kategorisini gösterir. |
CidrIp | string | CIDR IP CloudTrail'deki RequestParameters altında bulunur ve bir güvenlik grubu kuralı için IP izinlerini belirtmek için kullanılır. IPv4 CIDR aralığı. |
CipherSuite | string | İsteğe bağlı. tlsDetails öğesinin bir parçası. bir isteğin şifre paketi (kullanılan güvenlik algoritmalarının birleşimi). |
ClientProvidedHostHeader | string | İsteğe bağlı. tlsDetails öğesinin bir parçası. Hizmet API çağrısında kullanılan, genellikle hizmet uç noktasının FQDN'si olan istemci tarafından sağlanan ana bilgisayar adı. |
DestinationPort | string | DestinationPort, CloudTrail'deki RequestParameters altında bulunur ve bir güvenlik grubu kuralı için IP izinlerini belirtmek için kullanılır. TCP ve UDP protokolleri veya bir ICMP kodu için bağlantı noktası aralığının sonu. |
EC2RoleDelivery | string | Oturumu veren kullanıcının veya rolün kolay adı. |
ErrorCode | string | İstek bir hata döndürürse AWS hizmeti hatası. |
ErrorMessage | string | Kullanılabilir olduğunda hata açıklaması. Bu ileti, yetkilendirme hatalarına yönelik iletileri içerir. CloudTrail, özel durum işlemesinde hizmet tarafından günlüğe kaydedilen iletiyi yakalar. |
EventName | string | İstenen eylem, söz konusu hizmetin API'sindeki eylemlerden biridir. |
EventSource | string | İsteğin yapıldığı hizmet. Bu ad genellikle hizmet adının boşluk ve .amazonaws.com içermeyen kısa bir biçimidir. |
EventTypeName | string | Olay kaydını oluşturan olayın türünü tanımlar. Bu, şu değerlerden biri olabilir: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
EventVersion | string | Günlük olayı biçiminin sürümü. |
IpProtocol | string | IP protokolü CloudTrail'deki RequestParameters altında bulunur ve bir güvenlik grubu kuralı için IP izinlerini belirtmek için kullanılır. IP protokolü adı veya numarası. Geçerli değerler tcp, udp, icmp veya protokol numarasıdır. |
_IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
ManagementEvent | bool | Olayın bir yönetim olayı olup olmadığını tanımlayan boole değeri. |
OperationName | string | Sabit değer: CloudTrail. |
ReadOnly | bool | Bu işlemin salt okunur bir işlem olup olmadığını tanımlar. |
RecipientAccountId | string | Bu olayı alan hesap kimliğini temsil eder. recipientAccountID, CloudTrail userIdentity Öğesi accountId öğesinden farklı olabilir. Bu, hesap arası kaynak erişiminde oluşabilir. |
RequestParameters | string | varsa, istekle gönderilen parametreler. Bu parametreler, uygun AWS hizmeti için API başvuru belgelerinde belgelenmiştir. |
Kaynaklar | string | Olayda erişilen kaynakların listesi. |
ResponseElements | string | Değişiklik (oluşturma, güncelleştirme veya silme eylemleri) eylemlerin yanıt öğesi. Bir eylem durumu değiştirmezse (örneğin, nesneleri alma veya listeleme isteği), bu öğe atlanır. |
ServiceEventDetails | string | Olayı ve sonucu tetikleyenler dahil olmak üzere hizmet olayını tanımlar. |
SessionCreationDate | datetime | Geçici güvenlik kimlik bilgilerinin verildiği tarih ve saat. |
SessionIssuerAccountId | string | Kimlik bilgilerini almak için kullanılan varlığın sahibi olan hesap. |
SessionIssuerArn | string | Geçici güvenlik kimlik bilgilerini almak için kullanılan kaynağın (hesap, IAM kullanıcısı veya rolü) ARN'i. |
SessionIssuerPrincipalId | string | Kimlik bilgilerini almak için kullanılan varlığın iç kimliği. |
SessionIssuerType | string | Kök, IAMUser veya Rol gibi geçici güvenlik kimlik bilgilerinin kaynağı. |
SessionIssuerUserName | string | Oturumu veren kullanıcının veya rolün kolay adı. |
SessionMfaAuthenticated | bool | İstek için kimlik bilgileri kullanılan kök kullanıcının veya IAM kullanıcısının kimliği de bir MFA cihazıyla doğrulandıysa değer doğrudur; aksi takdirde false. |
SharedEventId | string | Farklı AWS hesaplarına gönderilen aynı AWS eyleminden CloudTrail olaylarını benzersiz bir şekilde tanımlamak için CloudTrail tarafından oluşturulan GUID. |
SourceIpAddress | string | İsteğin yapıldığı IP adresi. Hizmet konsolundan kaynaklanan eylemler için, bildirilen adres konsol web sunucusuna değil, temel alınan müşteri kaynağına yöneliktir. AWS'deki hizmetler için yalnızca DNS adı görüntülenir. |
SourcePort | string | SourcePort, CloudTrail'deki RequestParameters altında bulunur ve bir güvenlik grubu kuralı için IP izinlerini belirtmek için kullanılır. TCP ve UDP protokolleri için bağlantı noktası aralığının başlangıcı veya bir ICMP tür numarası. |
SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
TenantId | string | Log Analytics çalışma alanı kimliği |
TimeGenerated | datetime | Zaman damgası (UTC). Olayın zaman damgası, API çağrısının yapıldığı hizmet API uç noktasını sağlayan yerel konaktan gelir. |
TlsVersion | string | İsteğe bağlı. tlsDetails öğesinin bir parçası. İsteğin TLS sürümü. |
Tür | string | Tablonun adı |
Useragent | string | AWS Yönetim Konsolu, bir AWS hizmeti, AWS SDK'ları veya AWS CLI gibi isteğin yapıldığı aracı. |
UserIdentityAccessKeyId | string | İsteği imzalamak için kullanılan erişim anahtarı kimliği. |
UserIdentityAccountId | string | İstek için izinler veren varlığa sahip olan hesap. |
UserIdentityArn | string | Çağrıyı yapan sorumlunun Amazon Kaynak Adı (ARN). |
UserIdentityInvokedBy | string | İsteği yapan AWS hizmetinin adı. |
UserIdentityPrincipalid | string | Çağrıyı yapan varlığın benzersiz tanımlayıcısı. |
UserIdentityType | string | Kimliğin türü. Aşağıdaki değerler mümkündür: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
UserIdentityUserName | string | Çağrıyı yapan kimliğin adı. |
VpcEndpointId | string | Bir VPC'den başka bir AWS hizmetine isteklerin yapıldığı VPC uç noktasını tanımlar. |
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin