CloudAppEvents

Gjelder for:

• Microsoft Defender XDR

Tabellen CloudAppEvents i det avanserte jaktskjemaet inneholder informasjon om hendelser som involverer kontoer og objekter i Office 365 og andre skyapper og -tjenester. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.

Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.

Kolonnenavn	Datatype	Beskrivelse
Timestamp	datetime	Dato og klokkeslett hendelsen ble registrert
ActionType	string	Aktivitetstype som utløste hendelsen
Application	string	Program som utførte den registrerte handlingen
ApplicationId	int	Unik identifikator for programmet
AppInstanceId	int	Unik identifikator for forekomsten av et program. Hvis du vil konvertere dette til Microsoft Defender for Cloud Apps App-connector-ID, bruker duCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),Application|order by ApplicationId,AppInstanceId
AccountObjectId	string	Unik identifikator for kontoen i Microsoft Entra ID
AccountId	string	En identifikator for kontoen som ble funnet av Microsoft Defender for Cloud Apps. Kan være Microsoft Entra ID, brukerhovednavn eller andre identifikatorer.
AccountDisplayName	string	Navnet som vises i adressebokoppføringen for kontobrukeren. Dette er vanligvis en kombinasjon av navnet, mellomstarten og etternavnet til brukeren.
IsAdminOperation	bool	Angir om aktiviteten ble utført av en administrator
DeviceType	string	Enhetstype basert på formål og funksjonalitet, for eksempel nettverksenhet, arbeidsstasjon, server, mobil, spillkonsoll eller skriver
OSPlatform	string	Plattformen for operativsystemet som kjører på enheten. Denne kolonnen angir bestemte operativsystemer, inkludert variasjoner i samme familie, for eksempel Windows 11, Windows 10 og Windows 7.
IPAddress	string	IP-adresse tilordnet enheten under kommunikasjon
IsAnonymousProxy	boolean	Angir om IP-adressen tilhører en kjent anonym proxy
CountryCode	string	Kode på to bokstaver som angir landet der klientens IP-adresse er geolokert
City	string	Poststed der klient-IP-adressen er geolokert
Isp	string	Internett-leverandør knyttet til IP-adressen
UserAgent	string	Brukeragentinformasjon fra nettleseren eller et annet klientprogram
ActivityType	string	Aktivitetstype som utløste hendelsen
ActivityObjects	dynamic	Liste over objekter, for eksempel filer eller mapper, som var involvert i den registrerte aktiviteten
ObjectName	string	Navnet på objektet som den registrerte handlingen ble brukt på
ObjectType	string	Objekttype, for eksempel en fil eller en mappe, som den registrerte handlingen ble brukt på
ObjectId	string	Unik identifikator for objektet som den registrerte handlingen ble brukt på
ReportId	string	Unik identifikator for hendelsen
AccountType	string	Type brukerkonto, som angir den generelle rollen og tilgangsnivåer, for eksempel Vanlig, System, Admin, Program
IsExternalUser	boolean	Angir om en bruker i nettverket ikke tilhører organisasjonens domene
IsImpersonated	boolean	Angir om aktiviteten ble utført av én bruker for en annen (representert) bruker
IPTags	dynamic	Kundedefinert informasjon som brukes på bestemte IP-adresser og IP-adresseområder
IPCategory	string	Tilleggsinformasjon om IP-adressen
UserAgentTags	dynamic	Mer informasjon fra Microsoft Defender for Cloud Apps i en kode i brukeragentfeltet. Kan ha hvilken som helst av følgende verdier: Opprinnelig klient, utdatert nettleser, utdatert operativsystem, Robot
RawEventData	dynamic	Informasjon om råhendelser fra kildeprogrammet eller -tjenesten i JSON-format
AdditionalFields	dynamic	Tilleggsinformasjon om enheten eller hendelsen
LastSeenForUser	dynamic	Angir antall dager siden et bestemt attributt sist ble sett for brukeren. En verdi på 0 betyr at attributtet ble sett i dag, en negativ verdi angir at attributtet blir sett for første gang, og en positiv verdi representerer antall dager siden attributtet sist ble sett. For eksempel: {"ActionType":"0","OSPlatform":"4","ISP":"-1"}
UncommonForUser	dynamic	Lister attributtene i tilfelle det er uvanlig for brukeren, bidrar til å utelukke falske positiver og finne avvik. Eksempel: ["ActivityType","ActionType"]. Hvis du vil filtrere ut ikke-ananomalous resultater: hendelser med lav eller ubetydelig sikkerhetsverdi vil ikke gå gjennom berikelsesprosesser og vil ha en verdi av "", mens hendelser med høy verdi vil gå gjennom berikelsesprosesser og, hvis ingen avvik blir funnet, vil ha verdien "[]".
AuditSource	string	Overvåk datakilde. Mulige verdier er én av følgende: – Defender for Cloud Apps tilgangskontroll – Defender for Cloud Apps øktkontroll – Defender for Cloud Apps appkobling
SessionData	dynamic	Den Defender for Cloud Apps økt-ID-en for tilgangs- eller øktkontroll. For eksempel: {InLineSessionId:"232342"}
OAuthAppId	string	En unik identifikator som er tilordnet et program når det er registrert for å Microsoft Entra med OAuth 2.0-protokollen.

Apper og tjenester som dekkes

Tabellen CloudAppEvents inneholder berikede logger fra alle SaaS-programmer som er koblet til Microsoft Defender for Cloud Apps, for eksempel:

• Office 365 og Microsoft Applications, inkludert:
  • Exchange Online
  • SharePoint Online
  • Microsoft Teams
  • Dynamics 365
  • Skype for Business
  • Viva Engage
  • Power Automate
  • Power BI
  • Dropbox
  • Salesforce
  • GitHub
  • Atlassian

Koble til støttede skyapper for øyeblikkelig, ut-av-boksen-beskyttelse, dyp innsyn i appens bruker- og enhetsaktiviteter og mer. Hvis du vil ha mer informasjon, kan du se Beskytt tilkoblede apper ved hjelp av API-er for skytjenesteleverandøren.

Beslektede emner

• Oversikt over avansert jakt
• Lær spørringsspråket
• Bruke delte spørringer
• Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
• Forstå skjemaet
• Bruk anbefalte fremgangsmåter for spørring