Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los registros de CloudTrail, que se ingieren desde el conector de Sentinel, contienen todos los datos y eventos de administración de su cuenta de Amazon Wev Services.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | Información de seguridad |
| Registro básico | Sí |
| Transformación durante la ingesta | Sí |
| Consultas de ejemplo | Sí |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| DatosAdicionalesDelEvento | cuerda / cadena | Datos adicionales sobre el evento que no formaba parte de la solicitud o respuesta. |
| Versión de la API | cuerda / cadena | Identifica la versión de la API asociada al valor eventType de AwsApiCall. |
| AwsEventId | cuerda / cadena | GUID generado por CloudTrail para identificar de forma única cada evento. Puede usar este valor para identificar un único evento. |
| AWSRegion | cuerda / cadena | Región de AWS a la que se realizó la solicitud. |
| AwsRequestId | cuerda / cadena | en desuso, use AwsRequestId_ en su lugar. |
| AwsRequestId_ | cuerda / cadena | Valor que identifica la solicitud. El servicio al que se llama genera este valor. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| Categoría | cuerda / cadena | Muestra la categoría de eventos que se usa en las llamadas LookupEvents. |
| CidrIp | cuerda / cadena | La dirección IP CIDR se encuentra en RequestParameters en CloudTrail y se usa para especificar los permisos de IP para una regla de grupo de seguridad. El intervalo CIDR IPv4. |
| CipherSuite | cuerda / cadena | Opcional. Parte de tlsDetails. Conjunto de cifrado (combinación de algoritmos de seguridad usados) de una solicitud. |
| ClientProvidedHostHeader | cuerda / cadena | Opcional. Parte de tlsDetails. El nombre de host proporcionado por el cliente utilizado en la llamada a la API de servicio, que suele ser el FQDN del punto final del servicio. |
| Puerto de destino | cuerda / cadena | DestinationPort se encuentra en RequestParameters en CloudTrail y se usa para especificar los permisos ip de una regla de grupo de seguridad. El final del rango de puertos para los protocolos TCP y UDP, o un código ICMP. |
| EC2RoleDelivery | cuerda / cadena | El nombre descriptivo del usuario o rol que emitió la sesión. |
| Código de Error | cuerda / cadena | Error del servicio AWS si la solicitud devuelve un error. |
| Mensaje de error | cuerda / cadena | Descripción del error cuando está disponible. Este mensaje incluye mensajes para errores de autorización. CloudTrail captura el mensaje registrado por el servicio en su control de excepciones. |
| Nombre del Evento | cuerda / cadena | La acción solicitada, que es una de las acciones de la API para ese servicio. |
| FuenteDeEventos | cuerda / cadena | Servicio al que se realizó la solicitud. Este nombre suele ser una forma corta del nombre del servicio sin espacios más .amazonaws.com. |
| EventTypeName | cuerda / cadena | Identifica el tipo de evento que generó el registro de eventos. Puede ser uno de los siguientes valores: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | cuerda / cadena | La versión del formato de evento de registro. |
| Protocolo IP | cuerda / cadena | El protocolo IP se encuentra en RequestParameters en CloudTrail y se usa para especificar los permisos de IP para una regla de grupo de seguridad. Nombre o número del protocolo IP. Los valores válidos son tcp, udp, icmp o un número de protocolo. |
| _IsBillable | cuerda / cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable es false, la ingesta no se facturará a su cuenta de Azure. |
| Evento de Gestión | booleano | Valor booleano que identifica si el evento es un evento de administración. |
| NombreDeOperación | cuerda / cadena | Valor constante: CloudTrail. |
| ReadOnly | booleano | Identifica si esta operación es una operación de solo lectura. |
| RecipientAccountId | cuerda / cadena | Representa el identificador de cuenta que recibió este evento. El recipientAccountID puede ser diferente del accountId del elemento userIdentity de CloudTrail. Esto puede ocurrir en el acceso a recursos entre cuentas. |
| ParámetrosDeSolicitud | cuerda / cadena | Parámetros, si los hay, que se enviaron con la solicitud. Estos parámetros se documentan en la documentación de referencia de API para el servicio de AWS adecuado. |
| Recursos | cuerda / cadena | Lista de recursos a los que se accede en el evento. |
| Elementos de respuesta | cuerda / cadena | Elemento de respuesta para las acciones que realizan cambios (crear, actualizar o eliminar acciones). Si una acción no cambia el estado (por ejemplo, una solicitud para obtener o enumerar objetos), se omite este elemento. |
| ServiceEventDetails | cuerda / cadena | Identifica el evento de servicio, incluido lo que desencadenó el evento y el resultado. |
| SessionCreationDate | fecha y hora | Fecha y hora en que se emitieron las credenciales de seguridad temporales. |
| SessionIssuerAccountId | cuerda / cadena | La cuenta propietaria de la entidad que se usó para obtener credenciales. |
| SessionIssuerArn | cuerda / cadena | El ARN del origen (cuenta, usuario de IAM o rol) que se usó para obtener credenciales de seguridad temporales. |
| SessionIssuerPrincipalId | cuerda / cadena | Identificador interno de la entidad que se usó para obtener credenciales. |
| SessionIssuerType | cuerda / cadena | Origen de las credenciales de seguridad temporales, como Root, IAMUser o Role. |
| SessionIssuerUserName | cuerda / cadena | El nombre descriptivo del usuario o rol que emitió la sesión. |
| SessionMfaAuthenticated | booleano | El valor es verdadero si el usuario raíz o el usuario de IAM cuyas credenciales se usaron para la solicitud también se autenticó con un dispositivo MFA; de lo contrario, falso. |
| SharedEventId | cuerda / cadena | El GUID generado por CloudTrail para identificar de forma única los eventos de CloudTrail de la misma acción de AWS que se envía a diferentes cuentas de AWS. |
| Dirección IP de origen | cuerda / cadena | Dirección IP desde la que se realizó la solicitud. En el caso de las acciones que se originan en la consola de servicio, la dirección notificada es para el recurso del cliente subyacente, no para el servidor web de consola. En el caso de los servicios de AWS, solo se muestra el nombre DNS. |
| SourcePort | cuerda / cadena | SourcePort se encuentra en RequestParameters en CloudTrail y se usa para especificar los permisos de IP para una regla de grupo de seguridad. El inicio del intervalo de puertos para los protocolos TCP y UDP, o un número de tipo ICMP. |
| SourceSystem | cuerda / cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| Id de Inquilino | cuerda / cadena | ID del espacio de trabajo de Log Analytics |
| TimeGenerated | fecha y hora | Marca de tiempo (UTC). La marca de tiempo de un evento procede del host local que proporciona el punto de conexión de la API de servicio en el que se realizó la llamada a la API. |
| Versión TLS | cuerda / cadena | Opcional. Parte de tlsDetails. Versión TLS de una solicitud. |
| Tipo | cuerda / cadena | Nombre de la tabla. |
| UserAgent (Agente de Usuario) | cuerda / cadena | El agente a través del cual se realizó la solicitud, como AWS Management Console, un servicio de AWS, los SDK de AWS o la CLI de AWS. |
| UserIdentityAccessKeyId | cuerda / cadena | Identificador de clave de acceso que se usó para firmar la solicitud. |
| UserIdentityAccountId | cuerda / cadena | La cuenta propietaria de la entidad que concedió permisos para la solicitud. |
| UserIdentityArn | cuerda / cadena | El nombre de recurso de Amazon (ARN) de la entidad de seguridad que realizó la llamada. |
| UserIdentityInvokedBy | cuerda / cadena | Nombre del servicio aws que realizó la solicitud. |
| UserIdentityPrincipalid | cuerda / cadena | Identificador único de la entidad que realizó la llamada. |
| TipoDeIdentidadDeUsuario | cuerda / cadena | Tipo de la identidad. Los siguientes valores son posibles: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | cuerda / cadena | Nombre de la identidad que realizó la llamada. |
| VpcEndpointId | cuerda / cadena | Identifica el punto de conexión de VPC en el que se realizaron solicitudes de una VPC a otro servicio de AWS. |