AWSS3ServerAccess

此堆栈通过创建一个具有最低权限的 IAM 角色来集成 Microsoft Sentinel,允许其访问存储在指定 S3 存储桶中的 S3 服务器访问日志,并将日志事件发送到 SQS 队列。

数据表属性

Attribute Value
资源类型 -
Categories 安全性
Solutions SecurityInsights
基本日志 是的
引入时转换 No
示例查询 -

Columns

Column 类型 Description
AccessPointARN 字符串 用于请求的 S3 接入点的 Amazon 资源名称(ARN),如果未使用,则为“-”。
ACLRequired 字符串 请求是否需要 ACL:“是”表示需要,否则为“-”。
AuthenticationType 字符串 用于未经身份验证的请求的身份验证类型:AuthHeader、QueryString 或“-”。
_BilledSize real 记录大小(字节)
Bucket 字符串 用于处理请求的 S3 存储桶的名称。
BucketOwner 字符串 源存储桶所有者的规范用户 ID(另一种形式的 AWS 帐户 ID)。
BytesSent int 响应字节数(不包括 HTTP 开销),或者为 0。
CipherSuite 字符串 为 HTTPS 协商的 TLS 密码套件;如果是 HTTP,则为“-”。
ErrorCode 字符串 响应中返回的 S3 错误代码,如果没有,则返回“-”。
HostHeader 字符串 用于连接到 S3 的终结点(主机标头)。
HostId 字符串 Amazon S3 扩展请求 ID (x-amz-id-2)。
HttpStatus int 响应中返回的 HTTP 状态代码。
_IsBillable 字符串 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
Key 字符串 请求中涉及的对象键(名称)。
ObjectSize int 对象的大小(以字节为单位)。
Operation 字符串 操作类型(例如,REST.PUT.OBJECT,S3.LIFECYCLETRANSITION.OBJECT)。
Referer 字符串 HTTP 引用标头(链接页面 URL)的值(如果存在)。
RemoteIp 字符串 请求者的明显 IP 地址(可能被代理或防火墙遮盖)。
Requester 字符串 Canonical 用户 ID、IAM 用户、发出请求的假定角色,如果未经过身份验证则为“-”。
RequestId 字符串 Amazon S3 生成的唯一字符串 ID,用于标识请求。
RequestUri 字符串 HTTP 请求的 URI 部分。
SignatureVersion 字符串 用于验证请求的签名版本(SigV2 或 SigV4),或者在未进行身份验证时使用“-”。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure
TenantId 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 S3 存储桶接收 AWS 服务器访问日志的时间(UTC)。
TLSVersion 字符串 客户端使用的 TLS 版本(例如 TLSv1.2),如果未使用 TLS,则为“-”。
TotalTime int 请求传输(从接收到发送最后一个响应字节)的总时间(毫秒)。
TurnAroundTime 字符串 S3 处理请求所用的时间以毫秒为单位(从最后一个请求字节到第一个响应字节)。
类型 字符串 表的名称
UserAgent 字符串 HTTP User-Agent 标头(例如客户端软件或浏览器)的值。
VersionId 字符串 请求中涉及的对象的版本 ID;如果不适用,则为“-”。