高度なハンティング スキーマのCloudAuditEvents テーブルには、organizationの Microsoft Defender for Cloud によって保護されているさまざまなクラウド プラットフォームのクラウド監査イベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
この高度なハンティング テーブルは、Microsoft Defender for Cloud のレコードによって設定されます。 organizationに Cloud のMicrosoft Defenderがない場合、テーブルを使用するクエリは機能せず、結果も返されません。 Defender for Cloud とDefender XDRの統合の前提条件の詳細については、「Microsoft Defender XDR統合」を参照してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
ReportId |
string |
イベントの一意識別子 |
DataSource |
string |
クラウド監査イベントのデータ ソースには、GCP (Google Cloud Platform 用)、AWS (Amazon Web Services 用)、Azure (Azure Resource Manager用)、Kubernetes Audit (Kubernetes 用)、またはその他のクラウド プラットフォームを指定できます。 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類は、Unknown、Create、Read、Update、Delete、Other のいずれかです。 |
OperationName |
string |
レコードに表示されるイベント操作名を監査します。通常、リソースの種類と操作の両方が含まれます |
ResourceId |
string |
アクセスされたクラウド リソースの一意識別子 |
IPAddress |
string |
クラウド リソースまたはコントロール プレーンへのアクセスに使用されるクライアント IP アドレス |
IsAnonymousProxy |
boolean |
IP アドレスが既知の匿名プロキシ (1) に属しているか、存在しないかを示します (0) |
CountryCode |
string |
クライアント IP アドレスが地理的に割り当てられた国を示す 2 文字のコード |
City |
string |
クライアント IP アドレスが地理的に割り当てられた市区町村 |
Isp |
string |
IP アドレスに関連付けられているインターネット サービス プロバイダー (ISP) |
UserAgent |
string |
Web ブラウザーまたはその他のクライアント アプリケーションからのユーザー エージェント情報 |
RawEventData |
dynamic |
JSON 形式のデータ ソースからの完全な生イベント情報 |
AdditionalFields |
dynamic |
監査イベントに関する追加情報 |
サンプル クエリ
過去 7 日間に実行された VM 作成コマンドのサンプル リストを取得するには、
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10