CloudAppEvents
Van toepassing op:
- Microsoft Defender XDR
De CloudAppEvents tabel in het geavanceerde opsporingsschema bevat informatie over gebeurtenissen met betrekking tot accounts en objecten in Office 365 en andere cloud-apps en -services. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
ActionType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd |
Application |
string |
Toepassing die de vastgelegde actie heeft uitgevoerd |
ApplicationId |
int |
Unieke id voor de toepassing |
AppInstanceId |
int |
Unieke id voor het exemplaar van een toepassing. Als u dit wilt converteren naar Microsoft Defender for Cloud Apps App-connector-ID, gebruikt uCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Unieke id voor het account in Microsoft Entra ID |
AccountId |
string |
Een id voor het account zoals gevonden door Microsoft Defender for Cloud Apps. Dit kan Microsoft Entra ID, user principal name of andere id's zijn. |
AccountDisplayName |
string |
De naam die wordt weergegeven in het adresboek voor de accountgebruiker. Dit is meestal een combinatie van de opgegeven naam, het middelste begin en de achternaam van de gebruiker. |
IsAdminOperation |
bool |
Geeft aan of de activiteit is uitgevoerd door een beheerder |
DeviceType |
string |
Type apparaat op basis van doel en functionaliteit, zoals netwerkapparaat, werkstation, server, mobiel, gameconsole of printer |
OSPlatform |
string |
Platform van het besturingssysteem dat op het apparaat wordt uitgevoerd. In deze kolom worden specifieke besturingssystemen aangegeven, waaronder variaties binnen dezelfde familie, zoals Windows 11, Windows 10 en Windows 7. |
IPAddress |
string |
IP-adres dat tijdens de communicatie aan het apparaat is toegewezen |
IsAnonymousProxy |
boolean |
Geeft aan of het IP-adres deel uitmaakt van een bekende anonieme proxy |
CountryCode |
string |
Tweeletterige code die het land aangeeft waar het IP-adres van de client is geolocated |
City |
string |
Plaats waar het IP-adres van de client is geolocated |
Isp |
string |
Internetprovider die is gekoppeld aan het IP-adres |
UserAgent |
string |
Gebruikersagentgegevens uit de webbrowser of een andere clienttoepassing |
ActivityType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd |
ActivityObjects |
dynamic |
Lijst met objecten, zoals bestanden of mappen, die betrokken waren bij de opgenomen activiteit |
ObjectName |
string |
Naam van het object waarop de vastgelegde actie is toegepast |
ObjectType |
string |
Type object, zoals een bestand of een map, waarop de vastgelegde actie is toegepast |
ObjectId |
string |
Unieke id van het object waarop de vastgelegde actie is toegepast |
ReportId |
string |
Unieke id voor de gebeurtenis |
AccountType |
string |
Type gebruikersaccount, waarmee de algemene rol- en toegangsniveaus worden aangegeven, zoals Normaal, Systeem, Beheer, Toepassing |
IsExternalUser |
boolean |
Geeft aan of een gebruiker in het netwerk niet tot het domein van de organisatie behoort |
IsImpersonated |
boolean |
Geeft aan of de activiteit is uitgevoerd door een gebruiker voor een andere (geïmiteerde) gebruiker |
IPTags |
dynamic |
Door de klant gedefinieerde informatie toegepast op specifieke IP-adressen en IP-adresbereiken |
IPCategory |
string |
Aanvullende informatie over het IP-adres |
UserAgentTags |
dynamic |
Meer informatie van Microsoft Defender for Cloud Apps in een tag in het veld gebruikersagent. Kan een van de volgende waarden hebben: Systeemeigen client, Verouderde browser, Verouderd besturingssysteem, Robot |
RawEventData |
dynamic |
Onbewerkte gebeurtenisgegevens van de brontoepassing of -service in JSON-indeling |
AdditionalFields |
dynamic |
Aanvullende informatie over de entiteit of gebeurtenis |
LastSeenForUser |
dynamic |
Geeft het aantal dagen aan dat een specifiek kenmerk voor het laatst is gezien voor de gebruiker. Een waarde van 0 betekent dat het kenmerk vandaag is gezien, een negatieve waarde geeft aan dat het kenmerk voor het eerst wordt gezien en dat een positieve waarde het aantal dagen aangeeft sinds het kenmerk voor het laatst is gezien. Bijvoorbeeld:{"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Lijsten de kenmerken in het geval dat deze als ongebruikelijk worden beschouwd voor de gebruiker. Het gebruik van deze gegevens kan helpen fout-positieven uit te sluiten en afwijkingen te vinden. Bijvoorbeeld:["ActivityType","ActionType"] |
AuditSource |
string |
Gegevensbron controleren. Mogelijke waarden zijn een van de volgende: - Defender for Cloud Apps toegangsbeheer - sessiebeheer Defender for Cloud Apps - Defender for Cloud Apps app-connector |
SessionData |
dynamic |
De Defender for Cloud Apps sessie-id voor toegang of sessiebeheer. Bijvoorbeeld:{InLineSessionId:"232342"} |
OAuthAppId |
string |
Een unieke id die wordt toegewezen aan een toepassing wanneer deze is geregistreerd bij Microsoft Entra met het OAuth 2.0-protocol. |
Apps en services die worden behandeld
De tabel CloudAppEvents bevat verrijkte logboeken van alle SaaS-toepassingen die zijn verbonden met Microsoft Defender for Cloud Apps, zoals:
- Office 365 en Microsoft-toepassingen, waaronder:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype voor Bedrijven
- Microsoft Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Verbinding maken met ondersteunde cloud-apps voor directe, out-of-the-box beveiliging, diep inzicht in de gebruikers- en apparaatactiviteiten van de app en meer. Zie Verbonden apps beveiligen met cloudserviceprovider-API's voor meer informatie.