CloudAppEvents
適用対象:
- Microsoft Defender XDR
高度なハンティング スキーマのCloudAppEvents テーブルには、Office 365 やその他のクラウド アプリやサービスのアカウントとオブジェクトに関連するイベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類 |
Application |
string |
記録されたアクションを実行したアプリケーション |
ApplicationId |
int |
アプリケーションの一意識別子 |
AppInstanceId |
int |
アプリケーションのインスタンスの一意識別子。 これを Microsoft Defender for Cloud Apps App-connector-ID に変換するには、 CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Microsoft Entra ID のアカウントの一意識別子 |
AccountId |
string |
Microsoft Defender for Cloud Apps で見つかったアカウントの識別子。 Microsoft Entra ID、ユーザー プリンシパル名、またはその他の識別子を指定できます。 |
AccountDisplayName |
string |
アカウント ユーザーのアドレス帳エントリに表示される名前。 これは通常、ユーザーの指定された名前、中間の頭文字、姓の組み合わせです。 |
IsAdminOperation |
bool |
アクティビティが管理者によって実行されたかどうかを示します |
DeviceType |
string |
ネットワーク デバイス、ワークステーション、サーバー、モバイル、ゲーム コンソール、プリンターなどの目的と機能に基づくデバイスの種類 |
OSPlatform |
string |
デバイスで実行されているオペレーティング システムのプラットフォーム。 この列は、Windows 11、Windows 10、Windows 7 など、同じファミリ内のバリエーションを含む特定のオペレーティング システムを示します。 |
IPAddress |
string |
通信中にデバイスに割り当てられた IP アドレス |
IsAnonymousProxy |
boolean |
IP アドレスが既知の匿名プロキシに属しているかどうかを示します |
CountryCode |
string |
クライアント IP アドレスが地理的に割り当てられた国を示す 2 文字のコード |
City |
string |
クライアント IP アドレスが地理的に割り当てられた市区町村 |
Isp |
string |
IP アドレスに関連付けられているインターネット サービス プロバイダー |
UserAgent |
string |
Web ブラウザーまたはその他のクライアント アプリケーションからのユーザー エージェント情報 |
ActivityType |
string |
イベントをトリガーしたアクティビティの種類 |
ActivityObjects |
dynamic |
記録されたアクティビティに関連したオブジェクト (ファイルやフォルダーなど) の一覧 |
ObjectName |
string |
記録されたアクションが適用されたオブジェクトの名前 |
ObjectType |
string |
記録されたアクションが適用されたオブジェクトの種類 (ファイルやフォルダーなど) |
ObjectId |
string |
記録されたアクションが適用されたオブジェクトの一意識別子 |
ReportId |
string |
イベントの一意識別子 |
AccountType |
string |
通常、システム、管理者、アプリケーションなどの一般的なロールとアクセス レベルを示すユーザー アカウントの種類 |
IsExternalUser |
boolean |
ネットワーク内のユーザーが組織のドメインに属していないかどうかを示します |
IsImpersonated |
boolean |
アクティビティが別のユーザー (偽装) ユーザーに対して実行されたかどうかを示します |
IPTags |
dynamic |
特定の IP アドレスと IP アドレス範囲に適用される顧客定義の情報 |
IPCategory |
string |
IP アドレスに関する追加情報 |
UserAgentTags |
dynamic |
ユーザー エージェント フィールドのタグで Microsoft Defender for Cloud Apps によって提供される詳細情報。 ネイティブ クライアント、古いブラウザー、古いオペレーティング システム、ロボットのいずれかの値を指定できます。 |
RawEventData |
dynamic |
ソース アプリケーションまたはサービスからの生のイベント情報 (JSON 形式) |
AdditionalFields |
dynamic |
エンティティまたはイベントに関する追加情報 |
LastSeenForUser |
string |
属性が最近ユーザーによって使用された日数 (ISP、ActionType など) を表示します。 |
UncommonForUser |
string |
このデータを使用して誤検知を除外し、異常を見つけるのに役立つ、ユーザーにとって珍しいイベントの属性を一覧表示します |
AuditSource |
string |
次のいずれかを含むデータ ソースを監査します。 - Defender for Cloud Apps のアクセス制御 - Defender for Cloud Apps セッション制御 - Defender for Cloud Apps アプリ コネクタ |
SessionData |
dynamic |
アクセスまたはセッション制御用の Defender for Cloud Apps セッション ID。 例: {InLineSessionId:"232342"} |
OAuthAppId |
string |
OAuth 2.0 で Entra に登録されるときにアプリケーションに割り当てられる一意の識別子 |
対象となるアプリとサービス
CloudAppEvents テーブルには、次のような Microsoft Defender for Cloud Apps に接続されているすべての SaaS アプリケーションからのエンリッチされたログが含まれています。
- Office 365 および Microsoft アプリケーション(次を含む):
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
サポートされているクラウド アプリを接続して、すぐに使用できる保護、アプリのユーザーとデバイスのアクティビティの詳細な可視性などを実現します。 詳細については、「 クラウド サービス プロバイダー API を使用して接続済みアプリを保護する」を参照してください。