CloudAppEvents
Koskee seuraavia:
- Microsoft Defender XDR
CloudAppEvents
Kehittyneen metsästysrakenteen taulukko sisältää tietoja tapahtumista, joihin liittyy tilejä ja objekteja Office 365 ja muissa pilvisovelluksissa ja -palveluissa. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
ActionType |
string |
Tapahtuman käynnistäneen toiminnon tyyppi |
Application |
string |
Sovellus, joka suoritti tallennetun toiminnon |
ApplicationId |
int |
Sovelluksen yksilöllinen tunnus |
AppInstanceId |
int |
Sovelluksen esiintymän yksilöllinen tunnus. Jos haluat muuntaa tämän Microsoft Defender for Cloud Apps App-connector-ID:ksi, käytäCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
AccountId |
string |
tilin tunniste, jonka Microsoft Defender for Cloud Apps löytää. Tämä voi olla Microsoft Entra ID, täydellinen käyttäjätunnus tai muu tunniste. |
AccountDisplayName |
string |
Nimi, joka näkyy tilin käyttäjän osoitteistomerkinnässä. Tämä on yleensä käyttäjän etunimen, keskimmäisen alkukirjaimen ja sukunimen yhdistelmä. |
IsAdminOperation |
bool |
Ilmaisee, suorittiko toiminnon järjestelmänvalvoja |
DeviceType |
string |
Laitteen tyyppi tarkoituksen ja toiminnallisuuden, kuten verkkolaitteen, työaseman, palvelimen, mobiililaitteen, pelikonsolin tai tulostimen, perusteella |
OSPlatform |
string |
Laitteessa käynnissä olevan käyttöjärjestelmän käyttöympäristö. Tämä sarake ilmaisee tiettyjä käyttöjärjestelmiä, mukaan lukien variaatiot samassa perheessä, kuten Windows 11, Windows 10 ja Windows 7. |
IPAddress |
string |
Laitteelle tietoliikenteen aikana määritetty IP-osoite |
IsAnonymousProxy |
boolean |
Ilmaisee, kuuluuko IP-osoite tunnettuun anonyymiin välityspalvelimeen |
CountryCode |
string |
Kaksikirjaiminen koodi, joka ilmaisee maan, jossa asiakkaan IP-osoite on maantieteellisesti |
City |
string |
Paikka, jossa asiakkaan IP-osoite on geolokattu |
Isp |
string |
IP-osoitteeseen liittyvä Internet-palveluntarjoaja |
UserAgent |
string |
Käyttäjäagentin tiedot selaimesta tai muusta asiakassovelluksesta |
ActivityType |
string |
Tapahtuman käynnistäneen toiminnon tyyppi |
ActivityObjects |
dynamic |
Tallennettuun toimintoon osallistuneiden objektien, kuten tiedostojen tai kansioiden, luettelo |
ObjectName |
string |
Sen objektin nimi, johon tallennettu toiminto on kohdistettu |
ObjectType |
string |
Sen objektin tyyppi, kuten tiedosto tai kansio, johon tallennettu toiminto suoritettiin |
ObjectId |
string |
Sen objektin yksilöllinen tunnus, johon tallennettu toiminto on kohdistettu |
ReportId |
string |
Tapahtuman yksilöllinen tunnus |
AccountType |
string |
Käyttäjätilin tyyppi, joka ilmaisee sen yleisen roolin ja käyttöoikeustasot, kuten Säännöllinen, Järjestelmä, Hallinta, Sovellus |
IsExternalUser |
boolean |
Ilmaisee, eikö verkon sisällä oleva käyttäjä kuulu organisaation toimialueeseen |
IsImpersonated |
boolean |
Ilmaisee, suorittiko käyttäjä toiminnon toiselle (tekeytyneeksi) käyttäjälle |
IPTags |
dynamic |
Asiakkaan määrittämät tiedot, joita käytetään tietyissä IP-osoitteissa ja IP-osoitealueissa |
IPCategory |
string |
Lisätietoja IP-osoitteesta |
UserAgentTags |
dynamic |
Lisätietoja, jotka Microsoft Defender for Cloud Apps käyttäjäagentin kentässä. Voi sisältää mitä tahansa seuraavista arvoista: Native client, Outdated browser, Outdated operating system, Robot |
RawEventData |
dynamic |
Raakatapahtumatiedot lähdesovelluksesta tai -palvelusta JSON-muodossa |
AdditionalFields |
dynamic |
Lisätietoja entiteetistä tai tapahtumasta |
LastSeenForUser |
dynamic |
Ilmaisee, kuinka monta päivää on kulunut siitä, kun tietty määrite nähtiin viimeksi käyttäjälle. Arvo 0 tarkoittaa, että määrite nähtiin tänään, negatiivinen arvo ilmaisee, että määrite nähdään ensimmäistä kertaa, ja positiivinen arvo edustaa päivien määrää sen jälkeen, kun määrite nähtiin viimeksi. Esimerkiksi: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Lists tapahtuman määritteitä, joita pidetään harvinaisina käyttäjälle. Näiden tietojen käyttäminen voi auttaa sulkemaan pois false-positiiviset ja löytämään poikkeavuuksia. Esimerkiksi: ["ActivityType","ActionType"] |
AuditSource |
string |
Valvontatietolähde. Mahdolliset arvot ovat jokin seuraavista: - Defender for Cloud Apps käyttöoikeuksien valvonta - Defender for Cloud Apps istunnon hallinta – Defender for Cloud Apps sovellusliitin |
SessionData |
dynamic |
istuntotunnuksen Defender for Cloud Apps käyttöä tai istunnon hallintaa varten. Esimerkiksi: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Yksilöllinen tunnus, joka määritetään sovellukselle, kun se on rekisteröity Microsoft Entra OAuth 2.0 -protokollan kanssa. |
Katetut sovellukset ja palvelut
CloudAppEvents-taulukko sisältää täydennettyjä lokeja kaikista saaS-sovelluksista, jotka on yhdistetty Microsoft Defender for Cloud Apps, kuten:
- Office 365 ja Microsoft-sovellukset, mukaan lukien:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Yhdistä tuetut pilvisovellukset välittömään ja valmiiseen suojaukseen, sovelluksen käyttäjä- ja laitetoimintojen syvänäköisyyteen ja paljon muuta. Lisätietoja on artikkelissa Yhdistettyjen sovellusten suojaaminen pilvipalveluntarjoajan ohjelmointirajapinnoilla.