CloudAppEvents
Gælder for:
- Microsoft Defender XDR
Tabellen CloudAppEvents i det avancerede jagtskema indeholder oplysninger om hændelser, der involverer konti og objekter i Office 365 og andre cloudapps og -tjenester. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for registrering af hændelsen |
ActionType |
string |
Aktivitetstype, der udløste hændelsen |
Application |
string |
Program, der udførte den registrerede handling |
ApplicationId |
int |
Entydigt id for programmet |
AppInstanceId |
int |
Entydigt id for forekomsten af et program. Hvis du vil konvertere dette til Microsoft Defender for Cloud Apps app-connector-id, skal du brugeCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Entydigt id for kontoen i Microsoft Entra ID |
AccountId |
string |
Et id for kontoen, som blev fundet af Microsoft Defender for Cloud Apps. Det kan være Microsoft Entra ID, brugerens hovednavn eller andre id'er. |
AccountDisplayName |
string |
Det navn, der vises i posten i adressekartoteket for kontobrugeren. Dette er normalt en kombination af brugerens fornavn, mellemnavn og efternavn. |
IsAdminOperation |
bool |
Angiver, om aktiviteten blev udført af en administrator |
DeviceType |
string |
Enhedstype baseret på formål og funktionalitet, f.eks. netværksenhed, arbejdsstation, server, mobil, spillekonsol eller printer |
OSPlatform |
string |
Platform for det operativsystem, der kører på enheden. Denne kolonne angiver specifikke operativsystemer, herunder variationer inden for den samme familie, f.eks. Windows 11, Windows 10 og Windows 7. |
IPAddress |
string |
IP-adresse, der tildeles til enheden under kommunikation |
IsAnonymousProxy |
boolean |
Angiver, om IP-adressen tilhører en kendt anonym proxy |
CountryCode |
string |
Kode på to bogstaver, der angiver det land, hvor klientens IP-adresse er geolokaliseret |
City |
string |
By, hvor klientens IP-adresse er geolokaliseret |
Isp |
string |
Internetudbyder, der er knyttet til IP-adressen |
UserAgent |
string |
Brugeragentoplysninger fra webbrowseren eller et andet klientprogram |
ActivityType |
string |
Aktivitetstype, der udløste hændelsen |
ActivityObjects |
dynamic |
Liste over objekter, f.eks. filer eller mapper, der var involveret i den registrerede aktivitet |
ObjectName |
string |
Navnet på det objekt, som den registrerede handling blev anvendt på |
ObjectType |
string |
Objekttype, f.eks. en fil eller mappe, som den registrerede handling blev anvendt på |
ObjectId |
string |
Entydigt id for det objekt, som den registrerede handling blev anvendt på |
ReportId |
string |
Entydigt id for hændelsen |
AccountType |
string |
Type af brugerkonto, der angiver dens generelle rolle og adgangsniveauer, f.eks. Almindelig, System, Administration, Program |
IsExternalUser |
boolean |
Angiver, om en bruger på netværket ikke tilhører organisationens domæne |
IsImpersonated |
boolean |
Angiver, om aktiviteten blev udført af én bruger for en anden (repræsenteret) bruger |
IPTags |
dynamic |
Kundedefinerede oplysninger, der anvendes på bestemte IP-adresser og IP-adresseområder |
IPCategory |
string |
Yderligere oplysninger om IP-adressen |
UserAgentTags |
dynamic |
Du kan få flere oplysninger fra Microsoft Defender for Cloud Apps i en kode i feltet brugeragent. Kan have en af følgende værdier: Oprindelig klient, Forældet browser, Forældet operativsystem, Robot |
RawEventData |
dynamic |
Rådata om hændelser fra kildeprogrammet eller -tjenesten i JSON-format |
AdditionalFields |
dynamic |
Yderligere oplysninger om enheden eller hændelsen |
LastSeenForUser |
dynamic |
Angiver antallet af dage, siden en bestemt attribut sidst blev set for brugeren. Værdien 0 betyder, at attributten blev set i dag, en negativ værdi angiver, attributten ses for første gang, og en positiv værdi repræsenterer antallet af dage, siden attributten sidst blev set. For eksempel: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Lister de attributter i hændelsen, der anses for at være ualmindelige for brugeren. Brug af disse data kan hjælpe med at udelukke falske positiver og finde uregelmæssigheder. For eksempel: ["ActivityType","ActionType"] |
AuditSource |
string |
Overvåg datakilde. Mulige værdier er en af følgende: - Defender for Cloud Apps adgangskontrol - Defender for Cloud Apps sessionskontrol - Defender for Cloud Apps appconnector |
SessionData |
dynamic |
Det Defender for Cloud Apps sessions-id for adgangs- eller sessionskontrol. For eksempel: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Et entydigt id, der tildeles til et program, når det er registreret til Microsoft Entra med OAuth 2.0-protokollen. |
Omfattede apps og tjenester
Tabellen CloudAppEvents indeholder forbedrede logge fra alle SaaS-programmer, der er forbundet med Microsoft Defender for Cloud Apps, f.eks.:
- Office 365 og Microsoft Applications, herunder:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassisk
Opret forbindelse til understøttede cloudapps med øjeblikkelig, klar til brug, dyb indsigt i appens bruger- og enhedsaktiviteter m.m. Du kan få flere oplysninger under Beskyt forbundne apps ved hjælp af API'er til cloududbydere.