Partager via

CloudAppEvents

  • Article

S’applique à :

  • Microsoft Defender XDR

Le CloudAppEvents tableau du schéma de repérage avancé contient des informations sur les événements impliquant des comptes et des objets dans Office 365 et d’autres applications et services cloud. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
ActionType string Type d’activité qui a déclenché l’événement
Application string Application qui a effectué l’action enregistrée
ApplicationId int Identificateur unique de l’application
AppInstanceId int Identificateur unique pour la instance d’une application. Pour la convertir en Microsoft Defender for Cloud Apps App-connector-ID, utilisezCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId
AccountObjectId string Identificateur unique du compte dans Microsoft Entra ID
AccountId string Identificateur du compte trouvé par Microsoft Defender for Cloud Apps. Il peut s’agir d’Microsoft Entra ID, de nom d’utilisateur principal ou d’autres identificateurs.
AccountDisplayName string Nom affiché dans l’entrée du carnet d’adresses de l’utilisateur du compte. Il s’agit généralement d’une combinaison du prénom, de l’initiale du deuxième prénom et du nom de famille de l’utilisateur.
IsAdminOperation bool Indique si l’activité a été effectuée par un administrateur
DeviceType string Type d’appareil en fonction de l’objectif et des fonctionnalités, tels que l’appareil réseau, la station de travail, le serveur, le mobile, la console de jeu ou l’imprimante
OSPlatform string Plateforme du système d’exploitation en cours d’exécution sur l’appareil. Cette colonne indique des systèmes d’exploitation spécifiques, y compris les variantes au sein de la même famille, telles que Windows 11, Windows 10 et Windows 7.
IPAddress string Adresse IP affectée à l’appareil pendant la communication
IsAnonymousProxy boolean Indique si l’adresse IP appartient à un proxy anonyme connu
CountryCode string Code à deux lettres indiquant le pays où l’adresse IP du client est géolocalisée
City string Ville où l’adresse IP du client est géolocalisée
Isp string Fournisseur de services Internet associé à l’adresse IP
UserAgent string Informations de l’agent utilisateur à partir du navigateur web ou d’une autre application cliente
ActivityType string Type d’activité qui a déclenché l’événement
ActivityObjects dynamic Liste des objets, tels que des fichiers ou des dossiers, qui ont été impliqués dans l’activité enregistrée
ObjectName string Nom de l’objet auquel l’action enregistrée a été appliquée
ObjectType string Type d’objet, tel qu’un fichier ou un dossier, auquel l’action enregistrée a été appliquée
ObjectId string Identificateur unique de l’objet auquel l’action enregistrée a été appliquée
ReportId string Identificateur unique de l’événement
AccountType string Type de compte d’utilisateur, indiquant son rôle général et ses niveaux d’accès, tels que Normal, Système, Administration, Application
IsExternalUser boolean Indique si un utilisateur à l’intérieur du réseau n’appartient pas au domaine de l’organization
IsImpersonated boolean Indique si l’activité a été effectuée par un utilisateur pour un autre utilisateur (emprunt d’identité)
IPTags dynamic Informations définies par le client appliquées à des adresses IP et des plages d’adresses IP spécifiques
IPCategory string Informations supplémentaires sur l’adresse IP
UserAgentTags dynamic Plus d’informations fournies par Microsoft Defender for Cloud Apps dans une balise dans le champ de l’agent utilisateur. Peut avoir l’une des valeurs suivantes : Client natif, Navigateur obsolète, Système d’exploitation obsolète, Robot
RawEventData dynamic Informations brutes sur les événements de l’application ou du service source au format JSON
AdditionalFields dynamic Informations supplémentaires sur l’entité ou l’événement
LastSeenForUser dynamic Indique le nombre de jours écoulés depuis la dernière consultation d’un attribut spécifique pour l’utilisateur. La valeur 0 signifie que l’attribut a été vu aujourd’hui, une valeur négative indique que l’attribut est vu pour la première fois et qu’une valeur positive représente le nombre de jours depuis la dernière consultation de l’attribut. Par exemple : {"ActionType":"0","OSPlatform":"4","ISP":"-1"}
UncommonForUser dynamic Listes les attributs dans le cas qui sont considérés comme inhabituels pour l’utilisateur. L’utilisation de ces données peut aider à exclure les faux positifs et à rechercher des anomalies. Par exemple : ["ActivityType","ActionType"]
AuditSource string Source de données d’audit. Les valeurs possibles sont l’une des suivantes :
- contrôle d’accès Defender for Cloud Apps
- contrôle de session Defender for Cloud Apps
- connecteur d’application Defender for Cloud Apps
SessionData dynamic ID de session Defender for Cloud Apps pour l’accès ou le contrôle de session. Par exemple : {InLineSessionId:"232342"}
OAuthAppId string Identificateur unique affecté à une application lorsqu’elle est inscrite à Microsoft Entra avec le protocole OAuth 2.0.

Applications et services couverts

La table CloudAppEvents contient des journaux enrichis de toutes les applications SaaS connectées à Microsoft Defender for Cloud Apps, par exemple :

  • Office 365 et applications Microsoft, notamment :
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype Entreprise
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

Connectez les applications cloud prises en charge pour une protection instantanée et prête à l’emploi, une visibilité approfondie des activités des utilisateurs et des appareils de l’application, et bien plus encore. Pour plus d’informations, consultez Protéger les applications connectées à l’aide des API de fournisseur de services cloud.