CloudAppEvents
Dotyczy:
- Microsoft Defender XDR
Tabela CloudAppEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o zdarzeniach dotyczących kont i obiektów w Office 365 oraz innych aplikacjach i usługach w chmurze. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie |
Application |
string |
Aplikacja, która wykonała zarejestrowaną akcję |
ApplicationId |
int |
Unikatowy identyfikator aplikacji |
AppInstanceId |
int |
Unikatowy identyfikator wystąpienia aplikacji. Aby przekonwertować to na Microsoft Defender for Cloud Apps identyfikator-łącznika aplikacji, użyj poleceniaCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Unikatowy identyfikator konta w Tożsamość Microsoft Entra |
AccountId |
string |
Identyfikator konta znaleziony przez Microsoft Defender for Cloud Apps. Może to być Tożsamość Microsoft Entra, główna nazwa użytkownika lub inne identyfikatory. |
AccountDisplayName |
string |
Nazwa wyświetlana we wpisie książki adresowej dla użytkownika konta. Zazwyczaj jest to kombinacja podanej nazwy, środkowego inicjała i nazwiska użytkownika. |
IsAdminOperation |
bool |
Wskazuje, czy działanie zostało wykonane przez administratora |
DeviceType |
string |
Typ urządzenia w oparciu o przeznaczenie i funkcje, takie jak urządzenie sieciowe, stacja robocza, serwer, urządzenia przenośne, konsola do gier lub drukarka |
OSPlatform |
string |
Platforma systemu operacyjnego działającego na urządzeniu. Ta kolumna wskazuje określone systemy operacyjne, w tym odmiany w tej samej rodzinie, takie jak Windows 11, Windows 10 i Windows 7. |
IPAddress |
string |
Adres IP przypisany do urządzenia podczas komunikacji |
IsAnonymousProxy |
boolean |
Wskazuje, czy adres IP należy do znanego anonimowego serwera proxy |
CountryCode |
string |
Dwuliterowy kod wskazujący kraj, w którym adres IP klienta jest geolokalizowany |
City |
string |
Miasto, w którym adres IP klienta jest geolokalizowany |
Isp |
string |
Dostawca usług internetowych skojarzony z adresem IP |
UserAgent |
string |
Informacje o agentze użytkownika z przeglądarki internetowej lub innej aplikacji klienckiej |
ActivityType |
string |
Typ działania, które wyzwoliło zdarzenie |
ActivityObjects |
dynamic |
Lista obiektów, takich jak pliki lub foldery, które brały udział w zapisanym działaniu |
ObjectName |
string |
Nazwa obiektu, do którego została zastosowana zarejestrowana akcja |
ObjectType |
string |
Typ obiektu, taki jak plik lub folder, do których została zastosowana zarejestrowana akcja |
ObjectId |
string |
Unikatowy identyfikator obiektu, do który została zastosowana zarejestrowana akcja |
ReportId |
string |
Unikatowy identyfikator zdarzenia |
AccountType |
string |
Typ konta użytkownika, wskazujący jego ogólną rolę i poziomy dostępu, takie jak Regular, System, Administracja, Application |
IsExternalUser |
boolean |
Wskazuje, czy użytkownik w sieci nie należy do domeny organizacji |
IsImpersonated |
boolean |
Wskazuje, czy działanie zostało wykonane przez jednego użytkownika dla innego (personifikowanego) użytkownika |
IPTags |
dynamic |
Informacje zdefiniowane przez klienta stosowane do określonych adresów IP i zakresów adresów IP |
IPCategory |
string |
Dodatkowe informacje o adresie IP |
UserAgentTags |
dynamic |
Więcej informacji dostarczonych przez Microsoft Defender for Cloud Apps w tagu w polu agenta użytkownika. Może mieć dowolną z następujących wartości: Klient natywny, Nieaktualna przeglądarka, Nieaktualny system operacyjny, Robot |
RawEventData |
dynamic |
Nieprzetworzone informacje o zdarzeniu z aplikacji źródłowej lub usługi w formacie JSON |
AdditionalFields |
dynamic |
Dodatkowe informacje o jednostce lub zdarzeniu |
LastSeenForUser |
dynamic |
Wskazuje liczbę dni od ostatniego wyświetlenie określonego atrybutu dla użytkownika. Wartość 0 oznacza, że atrybut był widoczny dzisiaj, wartość ujemna wskazuje, że atrybut jest wyświetlany po raz pierwszy, a wartość dodatnia reprezentuje liczbę dni od ostatniego wyświetlenie atrybutu. Przykład: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Listy atrybuty w przypadku, gdy są uważane za nietypowe dla użytkownika. Użycie tych danych może pomóc wykluczyć wyniki fałszywie dodatnie i znaleźć anomalie. Przykład: ["ActivityType","ActionType"] |
AuditSource |
string |
Przeprowadź inspekcję źródła danych. Możliwe wartości to jedna z następujących wartości: — kontrola dostępu Defender for Cloud Apps — kontrolka sesji Defender for Cloud Apps — łącznik aplikacji Defender for Cloud Apps |
SessionData |
dynamic |
Identyfikator sesji Defender for Cloud Apps na potrzeby kontroli dostępu lub sesji. Przykład: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Unikatowy identyfikator przypisany do aplikacji, gdy jest zarejestrowany w celu Microsoft Entra przy użyciu protokołu OAuth 2.0. |
Aplikacje i usługi objęte
Tabela CloudAppEvents zawiera wzbogacone dzienniki ze wszystkich aplikacji SaaS połączonych z Microsoft Defender for Cloud Apps, takie jak:
- Office 365 i aplikacje firmy Microsoft, w tym:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype dla firm
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Połącz obsługiwane aplikacje w chmurze w celu natychmiastowej, wbudowanej ochrony, głębokiego wglądu w działania użytkowników i urządzeń aplikacji i nie tylko. Aby uzyskać więcej informacji, zobacz Ochrona połączonych aplikacji przy użyciu interfejsów API dostawcy usług w chmurze.