包含有关受组织Microsoft Defender for Cloud保护的各种云平台的云审核事件的信息。
数据表属性
| Attribute |
价值 |
|
资源类型 |
- |
|
Categories |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
否 |
|
仅湖引入 |
是的 |
|
示例查询 |
Yes |
Columns
| 列 |
类型 |
说明 |
| 操作类型 |
字符串 |
触发事件的活动类型可以是:未知、创建、读取、更新、删除、其他 |
| AdditionalFields |
dynamic |
有关审核事件的其他信息 |
| _BilledSize |
real |
记录大小(字节) |
| 城市 |
字符串 |
客户端 IP 地址所在的城市 |
| CloudResourceId |
字符串 |
访问的云资源的唯一标识符 |
| 国家/地区代码 |
字符串 |
双字母代码,表示客户端 IP 地址的地理位置所对应的国家/地区 |
| 数据源 |
字符串 |
云审核事件的数据源可以是 Google Cloud Platform) 的 GCP (、Amazon Web Services) 的 AWS (、适用于 Azure 资源管理器) 的 Azure (、适用于 Kubernetes) 的 Kubernetes 审核 (或其他云平台 |
| IP地址 |
字符串 |
用于访问云资源或控制平面的客户端 IP 地址 |
| IsAnonymousProxy |
布尔 |
指示 IP 地址是属于已知匿名代理 (1) ,还是不属于 (0) |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| Isp |
字符串 |
与 IP 地址关联的 Internet 服务提供商 (ISP) |
| 操作名称 |
字符串 |
记录中显示的审核事件操作名称,通常包括资源类型和操作 |
| RawEventData |
dynamic |
数据源中 JSON 格式的完整原始事件信息 |
| ReportId |
字符串 |
事件的唯一标识符 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断 的 Azure。 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
生成记录时的日期和时间 (UTC) |
| 类型 |
字符串 |
表的名称 |
| 用户代理 (UserAgent) |
字符串 |
来自 Web 浏览器或其他客户端应用程序的用户代理信息 |