Jaa


CloudAppEvents

Koskee seuraavia:

  • Microsoft Defender XDR

CloudAppEvents Kehittyneen metsästysrakenteen taulukko sisältää tietoja tapahtumista, joihin liittyy tilejä ja objekteja Office 365 ja muissa pilvisovelluksissa ja -palveluissa. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.

Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.

Sarakkeen nimi Tietotyyppi Kuvaus
Timestamp datetime Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin
ActionType string Tapahtuman käynnistäneen toiminnon tyyppi
Application string Sovellus, joka suoritti tallennetun toiminnon
ApplicationId int Sovelluksen yksilöllinen tunnus
AppInstanceId int Sovelluksen esiintymän yksilöllinen tunnus. Jos haluat muuntaa tämän Microsoft Defender for Cloud Apps App-connector-ID:ksi, käytäCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId
AccountObjectId string Tilin yksilöllinen tunnus Microsoft Entra ID
AccountId string tilin tunniste, jonka Microsoft Defender for Cloud Apps löytää. Tämä voi olla Microsoft Entra ID, täydellinen käyttäjätunnus tai muu tunniste.
AccountDisplayName string Nimi, joka näkyy tilin käyttäjän osoitteistomerkinnässä. Tämä on yleensä käyttäjän etunimen, keskimmäisen alkukirjaimen ja sukunimen yhdistelmä.
IsAdminOperation bool Ilmaisee, suorittiko toiminnon järjestelmänvalvoja
DeviceType string Laitteen tyyppi tarkoituksen ja toiminnallisuuden, kuten verkkolaitteen, työaseman, palvelimen, mobiililaitteen, pelikonsolin tai tulostimen, perusteella
OSPlatform string Laitteessa käynnissä olevan käyttöjärjestelmän käyttöympäristö. Tämä sarake ilmaisee tiettyjä käyttöjärjestelmiä, mukaan lukien variaatiot samassa perheessä, kuten Windows 11, Windows 10 ja Windows 7.
IPAddress string Laitteelle tietoliikenteen aikana määritetty IP-osoite
IsAnonymousProxy boolean Ilmaisee, kuuluuko IP-osoite tunnettuun anonyymiin välityspalvelimeen
CountryCode string Kaksikirjaiminen koodi, joka ilmaisee maan, jossa asiakkaan IP-osoite on maantieteellisesti
City string Paikka, jossa asiakkaan IP-osoite on geolokattu
Isp string IP-osoitteeseen liittyvä Internet-palveluntarjoaja
UserAgent string Käyttäjäagentin tiedot selaimesta tai muusta asiakassovelluksesta
ActivityType string Tapahtuman käynnistäneen toiminnon tyyppi
ActivityObjects dynamic Tallennettuun toimintoon osallistuneiden objektien, kuten tiedostojen tai kansioiden, luettelo
ObjectName string Sen objektin nimi, johon tallennettu toiminto on kohdistettu
ObjectType string Sen objektin tyyppi, kuten tiedosto tai kansio, johon tallennettu toiminto suoritettiin
ObjectId string Sen objektin yksilöllinen tunnus, johon tallennettu toiminto on kohdistettu
ReportId string Tapahtuman yksilöllinen tunnus
AccountType string Käyttäjätilin tyyppi, joka ilmaisee sen yleisen roolin ja käyttöoikeustasot, kuten Säännöllinen, Järjestelmä, Hallinta, Sovellus
IsExternalUser boolean Ilmaisee, eikö verkon sisällä oleva käyttäjä kuulu organisaation toimialueeseen
IsImpersonated boolean Ilmaisee, suorittiko käyttäjä toiminnon toiselle (tekeytyneeksi) käyttäjälle
IPTags dynamic Asiakkaan määrittämät tiedot, joita käytetään tietyissä IP-osoitteissa ja IP-osoitealueissa
IPCategory string Lisätietoja IP-osoitteesta
UserAgentTags dynamic Lisätietoja, jotka Microsoft Defender for Cloud Apps käyttäjäagentin kentässä. Voi sisältää mitä tahansa seuraavista arvoista: Native client, Outdated browser, Outdated operating system, Robot
RawEventData dynamic Raakatapahtumatiedot lähdesovelluksesta tai -palvelusta JSON-muodossa
AdditionalFields dynamic Lisätietoja entiteetistä tai tapahtumasta
LastSeenForUser dynamic Ilmaisee, kuinka monta päivää on kulunut siitä, kun tietty määrite nähtiin viimeksi käyttäjälle. Arvo 0 tarkoittaa, että määrite nähtiin tänään, negatiivinen arvo ilmaisee, että määrite nähdään ensimmäistä kertaa, ja positiivinen arvo edustaa päivien määrää sen jälkeen, kun määrite nähtiin viimeksi. Esimerkiksi: {"ActionType":"0","OSPlatform":"4","ISP":"-1"}
UncommonForUser dynamic Lists tapahtuman määritteitä, joita pidetään harvinaisina käyttäjälle. Näiden tietojen käyttäminen voi auttaa sulkemaan pois false-positiiviset ja löytämään poikkeavuuksia. Esimerkiksi: ["ActivityType","ActionType"]
AuditSource string Valvontatietolähde. Mahdolliset arvot ovat jokin seuraavista:
- Defender for Cloud Apps käyttöoikeuksien valvonta
- Defender for Cloud Apps istunnon hallinta
– Defender for Cloud Apps sovellusliitin
SessionData dynamic istuntotunnuksen Defender for Cloud Apps käyttöä tai istunnon hallintaa varten. Esimerkiksi: {InLineSessionId:"232342"}
OAuthAppId string Yksilöllinen tunnus, joka määritetään sovellukselle, kun se on rekisteröity Microsoft Entra OAuth 2.0 -protokollan kanssa.

Katetut sovellukset ja palvelut

CloudAppEvents-taulukko sisältää täydennettyjä lokeja kaikista saaS-sovelluksista, jotka on yhdistetty Microsoft Defender for Cloud Apps, kuten:

  • Office 365 ja Microsoft-sovellukset, mukaan lukien:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype for Business
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

Yhdistä tuetut pilvisovellukset välittömään ja valmiiseen suojaukseen, sovelluksen käyttäjä- ja laitetoimintojen syvänäköisyyteen ja paljon muuta. Lisätietoja on artikkelissa Yhdistettyjen sovellusten suojaaminen pilvipalveluntarjoajan ohjelmointirajapinnoilla.