CloudAppEvents
Platí pro:
- Microsoft Defender XDR
Tabulka CloudAppEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o událostech zahrnujících účty a objekty v Office 365 a dalších cloudových aplikacích a službách. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
ActionType |
string |
Typ aktivity, která aktivovala událost |
Application |
string |
Aplikace, která provedla zaznamenanou akci |
ApplicationId |
int |
Jedinečný identifikátor aplikace |
AppInstanceId |
int |
Jedinečný identifikátor instance aplikace. Pokud chcete tento kód převést na Microsoft Defender for Cloud Apps ID konektoru aplikace, použijteCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Jedinečný identifikátor účtu v Microsoft Entra ID |
AccountId |
string |
Identifikátor účtu, který našel Microsoft Defender for Cloud Apps. Může to být Microsoft Entra ID, hlavní název uživatele nebo jiné identifikátory. |
AccountDisplayName |
string |
Jméno zobrazené v položce adresáře pro uživatele účtu. Obvykle se jedná o kombinaci křestního jména, prostřední iniciály a příjmení uživatele. |
IsAdminOperation |
bool |
Určuje, jestli aktivitu provedl správce. |
DeviceType |
string |
Typ zařízení na základě účelu a funkčnosti, jako je síťové zařízení, pracovní stanice, server, mobilní zařízení, herní konzole nebo tiskárna |
OSPlatform |
string |
Platforma operačního systému spuštěného na zařízení Tento sloupec označuje konkrétní operační systémy, včetně variant v rámci stejné rodiny, jako jsou Windows 11, Windows 10 a Windows 7. |
IPAddress |
string |
IP adresa přiřazená zařízení během komunikace |
IsAnonymousProxy |
boolean |
Určuje, jestli IP adresa patří známému anonymnímu proxy serveru. |
CountryCode |
string |
Dvoumísmenný kód označující zemi, ve které je IP adresa klienta geografickylokovaná |
City |
string |
Město, ve kterém je IP adresa klienta geograficky přidělená |
Isp |
string |
Poskytovatel internetových služeb přidružený k IP adrese |
UserAgent |
string |
Informace o uživatelském agentu z webového prohlížeče nebo jiné klientské aplikace |
ActivityType |
string |
Typ aktivity, která aktivovala událost |
ActivityObjects |
dynamic |
Seznam objektů, jako jsou soubory nebo složky, které byly zapojeny do zaznamenané aktivity |
ObjectName |
string |
Název objektu, na který se zaznamenaná akce použila |
ObjectType |
string |
Typ objektu, jako je soubor nebo složka, u kterého byla zaznamenaná akce použita |
ObjectId |
string |
Jedinečný identifikátor objektu, u kterého byla zaznamenaná akce použita |
ReportId |
string |
Jedinečný identifikátor události |
AccountType |
string |
Typ uživatelského účtu, který označuje jeho obecnou roli a úrovně přístupu, například Normální, Systém, Správa, Aplikace |
IsExternalUser |
boolean |
Určuje, jestli uživatel v síti nepatří do domény organizace. |
IsImpersonated |
boolean |
Určuje, jestli aktivitu provedl jeden uživatel pro jiného (zosobněného) uživatele. |
IPTags |
dynamic |
Informace definované zákazníkem použité pro konkrétní IP adresy a rozsahy IP adres |
IPCategory |
string |
Další informace o IP adrese |
UserAgentTags |
dynamic |
Další informace poskytnuté Microsoft Defender for Cloud Apps ve značce v poli uživatelský agent. Může mít některou z následujících hodnot: Nativní klient, Zastaralý prohlížeč, Zastaralý operační systém, Robot |
RawEventData |
dynamic |
Nezpracované informace o událostech ze zdrojové aplikace nebo služby ve formátu JSON |
AdditionalFields |
dynamic |
Další informace o entitě nebo události |
LastSeenForUser |
dynamic |
Určuje počet dní od posledního zobrazení konkrétního atributu pro uživatele. Hodnota 0 znamená, že atribut byl zobrazen dnes, záporná hodnota značí, že se atribut zobrazuje poprvé, a kladná hodnota představuje počet dní od posledního zobrazení atributu. Například: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Seznamy atributy v události, které jsou pro uživatele považovány za neobvyklé. Použití těchto dat může pomoct vyloučit falešně pozitivní výsledky a najít anomálie. Například: ["ActivityType","ActionType"] |
AuditSource |
string |
Auditovat zdroj dat. Možné hodnoty jsou některé z následujících: – Defender for Cloud Apps řízení přístupu – řízení relace Defender for Cloud Apps – konektor aplikace Defender for Cloud Apps |
SessionData |
dynamic |
Defender for Cloud Apps ID relace pro řízení přístupu nebo relací. Například: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Jedinečný identifikátor, který se přiřadí aplikaci při registraci k Microsoft Entra pomocí protokolu OAuth 2.0. |
Zahrnuté aplikace a služby
Tabulka CloudAppEvents obsahuje rozšířené protokoly ze všech aplikací SaaS připojených k Microsoft Defender for Cloud Apps, například:
- Office 365 a aplikace Microsoftu, včetně:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype pro firmy
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Připojení podporovaných cloudových aplikací pro okamžitou a okamžitou ochranu, podrobný přehled o aktivitách uživatelů a zařízení aplikace a další. Další informace najdete v tématu Ochrana připojených aplikací pomocí rozhraní API poskytovatele cloudových služeb.