CloudAppEvents
Se aplica a:
- Microsoft Defender XDR
La CloudAppEvents tabla del esquema de búsqueda avanzada contiene información sobre eventos que implican cuentas y objetos en Office 365 y otras aplicaciones y servicios en la nube. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
ActionType |
string |
Tipo de actividad que desencadenó el evento |
Application |
string |
Aplicación que realizó la acción registrada |
ApplicationId |
int |
Identificador único de la aplicación |
AppInstanceId |
int |
Identificador único de la instancia de una aplicación. Para convertir esto en Microsoft Defender for Cloud Apps App-connector-ID, useCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Identificador único de la cuenta en Microsoft Entra ID |
AccountId |
string |
Identificador de la cuenta tal como lo encuentra Microsoft Defender for Cloud Apps. Puede ser Microsoft Entra ID, nombre principal de usuario u otros identificadores. |
AccountDisplayName |
string |
Nombre que se muestra en la entrada de la libreta de direcciones del usuario de la cuenta. Por lo general, se trata de una combinación del nombre, la inicial intermedia y el apellido del usuario. |
IsAdminOperation |
bool |
Indica si la actividad la realizó un administrador |
DeviceType |
string |
Tipo de dispositivo basado en el propósito y la funcionalidad, como dispositivo de red, estación de trabajo, servidor, móvil, consola de juegos o impresora |
OSPlatform |
string |
Plataforma del sistema operativo que se ejecuta en el dispositivo. Esta columna indica sistemas operativos específicos, incluidas las variaciones dentro de la misma familia, como Windows 11, Windows 10 y Windows 7. |
IPAddress |
string |
Dirección IP asignada al dispositivo durante la comunicación |
IsAnonymousProxy |
boolean |
Indica si la dirección IP pertenece a un proxy anónimo conocido |
CountryCode |
string |
Código de dos letras que indica el país donde la dirección IP del cliente está geolocalizada |
City |
string |
Ciudad donde la dirección IP del cliente está geolocalizada |
Isp |
string |
Proveedor de servicios de Internet asociado a la dirección IP |
UserAgent |
string |
Información del agente de usuario desde el explorador web u otra aplicación cliente |
ActivityType |
string |
Tipo de actividad que desencadenó el evento |
ActivityObjects |
dynamic |
Lista de objetos, como archivos o carpetas, que participaron en la actividad registrada |
ObjectName |
string |
Nombre del objeto al que se aplicó la acción registrada |
ObjectType |
string |
Tipo de objeto, como un archivo o una carpeta, al que se aplicó la acción registrada |
ObjectId |
string |
Identificador único del objeto al que se aplicó la acción registrada |
ReportId |
string |
Identificador único del evento |
AccountType |
string |
Tipo de cuenta de usuario, que indica su rol general y sus niveles de acceso, como Normal, Sistema, Administración, Aplicación |
IsExternalUser |
boolean |
Indica si un usuario dentro de la red no pertenece al dominio de la organización |
IsImpersonated |
boolean |
Indica si un usuario realizó la actividad para otro usuario (suplantado) |
IPTags |
dynamic |
Información definida por el cliente aplicada a direcciones IP específicas e intervalos de direcciones IP |
IPCategory |
string |
Información adicional sobre la dirección IP |
UserAgentTags |
dynamic |
Más información proporcionada por Microsoft Defender for Cloud Apps en una etiqueta en el campo agente de usuario. Puede tener cualquiera de los siguientes valores: cliente nativo, explorador obsoleto, sistema operativo obsoleto, robot |
RawEventData |
dynamic |
Información de eventos sin procesar de la aplicación o servicio de origen en formato JSON |
AdditionalFields |
dynamic |
Información adicional sobre la entidad o el evento |
LastSeenForUser |
dynamic |
Indica el número de días transcurridos desde que se vio por última vez un atributo específico para el usuario. Un valor de 0 significa que el atributo se ha visto hoy, un valor negativo indica que el atributo se está viendo por primera vez y un valor positivo representa el número de días desde que se vio por última vez el atributo. Por ejemplo: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Listas los atributos en caso de que se consideren poco comunes para el usuario. El uso de estos datos puede ayudar a descartar falsos positivos y a encontrar anomalías. Por ejemplo: ["ActivityType","ActionType"] |
AuditSource |
string |
Auditar el origen de datos. Los valores posibles son uno de los siguientes: - Defender for Cloud Apps control de acceso - Defender for Cloud Apps control de sesión - conector de aplicación de Defender for Cloud Apps |
SessionData |
dynamic |
El identificador de sesión de Defender for Cloud Apps para el control de acceso o sesión. Por ejemplo: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Identificador único que se asigna a una aplicación cuando se registra en Microsoft Entra con el protocolo OAuth 2.0. |
Aplicaciones y servicios cubiertos
La tabla CloudAppEvents contiene registros enriquecidos de todas las aplicaciones SaaS conectadas a Microsoft Defender for Cloud Apps, como:
- Office 365 y aplicaciones de Microsoft, incluidos:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype Empresarial
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Conecte aplicaciones en la nube compatibles para una protección instantánea y inmediata, una visibilidad profunda de las actividades de usuario y dispositivo de la aplicación, etc. Para obtener más información, consulte Protección de aplicaciones conectadas mediante las API del proveedor de servicios en la nube.