고급 헌팅 스키마의 테이블에는 CloudAuditEvents organization 클라우드용 Microsoft Defender 의해 보호되는 다양한 클라우드 플랫폼에 대한 클라우드 감사 이벤트에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
이 고급 헌팅 테이블은 클라우드용 Microsoft Defender 레코드로 채워집니다. organization 클라우드에 대한 Microsoft Defender 없는 경우 테이블을 사용하는 쿼리는 작동하지 않거나 결과를 반환하지 않습니다. 클라우드용 Defender를 Defender XDR 통합하기 위한 필수 구성 요소에 대한 자세한 내용은 Microsoft Defender XDR 통합을 참조하세요.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
ReportId |
string |
이벤트에 대한 고유 식별자 |
DataSource |
string |
클라우드 감사 이벤트의 데이터 원본은 GCP(Google Cloud Platform의 경우), AWS(Amazon Web Services의 경우), Azure(Azure Resource Manager), Kubernetes 감사(Kubernetes의 경우) 또는 기타 클라우드 플랫폼일 수 있습니다. |
ActionType |
string |
이벤트를 트리거한 활동 유형은 알 수 없음, 만들기, 읽기, 업데이트, 삭제, 기타일 수 있습니다. |
OperationName |
string |
감사 이벤트 작업 이름은 레코드에 표시되며 일반적으로 리소스 유형과 작업을 모두 포함합니다. |
ResourceId |
string |
액세스된 클라우드 리소스의 고유 식별자 |
IPAddress |
string |
클라우드 리소스 또는 컨트롤 플레인에 액세스하는 데 사용되는 클라이언트 IP 주소 |
IsAnonymousProxy |
boolean |
IP 주소가 알려진 익명 프록시(1) 또는 아니요(0)에 속하는지 여부를 나타냅니다. |
CountryCode |
string |
클라이언트 IP 주소가 지리적으로 할당된 국가를 나타내는 두 글자 코드 |
City |
string |
클라이언트 IP 주소가 지리적으로 할당된 도시 |
Isp |
string |
IP 주소와 연결된 ISP(인터넷 서비스 공급자) |
UserAgent |
string |
웹 브라우저 또는 기타 클라이언트 애플리케이션의 사용자 에이전트 정보 |
RawEventData |
dynamic |
데이터 원본의 전체 원시 이벤트 정보(JSON 형식) |
AdditionalFields |
dynamic |
감사 이벤트에 대한 추가 정보 |
샘플 쿼리
지난 7일 동안 수행된 VM 만들기 명령의 샘플 목록을 얻으려면 다음을 수행합니다.
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10