CloudAppEvents
適用対象:
- Microsoft Defender XDR
高度なハンティング スキーマのCloudAppEvents テーブルには、Office 365およびその他のクラウド アプリやサービスのアカウントとオブジェクトに関連するイベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類 |
Application |
string |
記録されたアクションを実行したアプリケーション |
ApplicationId |
int |
アプリケーションの一意識別子 |
AppInstanceId |
int |
アプリケーションのインスタンスの一意識別子。 これを App-connector-ID Microsoft Defender for Cloud Appsに変換するには、CloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
AccountId |
string |
Microsoft Defender for Cloud Appsで見つかったアカウントの識別子。 Microsoft Entra ID、ユーザー プリンシパル名、またはその他の識別子を指定できます。 |
AccountDisplayName |
string |
アカウント ユーザーのアドレス帳エントリに表示される名前。 これは通常、ユーザーの指定された名前、中間の頭文字、姓の組み合わせです。 |
IsAdminOperation |
bool |
アクティビティが管理者によって実行されたかどうかを示します |
DeviceType |
string |
ネットワーク デバイス、ワークステーション、サーバー、モバイル、ゲーム コンソール、プリンターなどの目的と機能に基づくデバイスの種類 |
OSPlatform |
string |
デバイスで実行されているオペレーティング システムのプラットフォーム。 この列は、Windows 11、Windows 10、Windows 7 など、同じファミリ内のバリエーションを含む特定のオペレーティング システムを示します。 |
IPAddress |
string |
通信中にデバイスに割り当てられた IP アドレス |
IsAnonymousProxy |
boolean |
IP アドレスが既知の匿名プロキシに属しているかどうかを示します |
CountryCode |
string |
クライアント IP アドレスが地理的に割り当てられた国を示す 2 文字のコード |
City |
string |
クライアント IP アドレスが地理的に割り当てられた市区町村 |
Isp |
string |
IP アドレスに関連付けられているインターネット サービス プロバイダー |
UserAgent |
string |
Web ブラウザーまたはその他のクライアント アプリケーションからのユーザー エージェント情報 |
ActivityType |
string |
イベントをトリガーしたアクティビティの種類 |
ActivityObjects |
dynamic |
記録されたアクティビティに関連したオブジェクト (ファイルやフォルダーなど) の一覧 |
ObjectName |
string |
記録されたアクションが適用されたオブジェクトの名前 |
ObjectType |
string |
記録されたアクションが適用されたオブジェクトの種類 (ファイルやフォルダーなど) |
ObjectId |
string |
記録されたアクションが適用されたオブジェクトの一意識別子 |
ReportId |
string |
イベントの一意識別子 |
AccountType |
string |
通常、システム、管理、アプリケーションなどの一般的なロールとアクセス レベルを示すユーザー アカウントの種類 |
IsExternalUser |
boolean |
ネットワーク内のユーザーがorganizationのドメインに属していないかどうかを示します |
IsImpersonated |
boolean |
アクティビティが別のユーザー (偽装) ユーザーに対して実行されたかどうかを示します |
IPTags |
dynamic |
特定の IP アドレスと IP アドレス範囲に適用される顧客定義の情報 |
IPCategory |
string |
IP アドレスに関する追加情報 |
UserAgentTags |
dynamic |
ユーザー エージェント フィールドのタグにMicrosoft Defender for Cloud Appsによって提供される詳細情報。 ネイティブ クライアント、古いブラウザー、古いオペレーティング システム、ロボットのいずれかの値を指定できます。 |
RawEventData |
dynamic |
ソース アプリケーションまたはサービスからの生のイベント情報 (JSON 形式) |
AdditionalFields |
dynamic |
エンティティまたはイベントに関する追加情報 |
LastSeenForUser |
dynamic |
特定の属性がユーザーに対して最後に表示されてからの日数を示します。 値 0 は、属性が現在表示されたことを意味し、負の値は属性が初めて表示されていることを示し、正の値は属性が最後に表示されてからの日数を表します。 例: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
ユーザーにとって一般的でないと見なされる場合に属性をListsします。 このデータを使用すると、誤検知を除外し、異常を見つけるのに役立ちます。 例: ["ActivityType","ActionType"] |
AuditSource |
string |
データ ソースを監査します。 使用可能な値は、次のいずれかです。 - Defender for Cloud Appsアクセス制御 - セッション制御Defender for Cloud Apps - アプリ コネクタDefender for Cloud Apps |
SessionData |
dynamic |
アクセスまたはセッション制御のDefender for Cloud Appsセッション ID。 例: {InLineSessionId:"232342"} |
OAuthAppId |
string |
OAuth 2.0 プロトコルを使用してMicrosoft Entraに登録されるときにアプリケーションに割り当てられる一意の識別子。 |
対象となるアプリとサービス
CloudAppEvents テーブルには、次のようなMicrosoft Defender for Cloud Appsに接続されているすべての SaaS アプリケーションからのエンリッチされたログが含まれています。
- Office 365と Microsoft アプリケーション(以下を含む):
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
サポートされているクラウド アプリを接続して、すぐに使用できる保護、アプリのユーザーとデバイスのアクティビティの詳細な可視性などを実現します。 詳細については、「 クラウド サービス プロバイダー API を使用して接続済みアプリを保護する」を参照してください。