CloudAppEvents
Область применения:
- Microsoft Defender XDR
Таблица CloudAppEvents в схеме расширенной охоты содержит сведения о событиях, связанных с учетными записями и объектами в Office 365 и других облачных приложениях и службах. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
ActionType |
string |
Тип действия, активировав событие |
Application |
string |
Приложение, выполняющее записанное действие |
ApplicationId |
int |
Уникальный идентификатор приложения |
AppInstanceId |
int |
Уникальный идентификатор экземпляра приложения. Чтобы преобразовать его в Microsoft Defender for Cloud Apps App-connector-ID, используйте CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
AccountId |
string |
Идентификатор учетной записи, найденный Microsoft Defender для облачных приложений. Может быть идентификатором Microsoft Entra, именем участника-пользователя или другими идентификаторами. |
AccountDisplayName |
string |
Имя, отображаемое в записи адресной книги для пользователя учетной записи. Обычно это сочетание заданного имени, среднего начального значения и фамилии пользователя. |
IsAdminOperation |
bool |
Указывает, было ли действие выполнено администратором. |
DeviceType |
string |
Тип устройства в зависимости от назначения и функциональности, например сетевое устройство, рабочая станция, сервер, мобильные устройства, игровая консоль или принтер |
OSPlatform |
string |
Платформа операционной системы, работающей на устройстве. В этом столбце указаны определенные операционные системы, включая варианты в пределах одного семейства, например Windows 11, Windows 10 и Windows 7. |
IPAddress |
string |
IP-адрес, назначенный устройству во время связи |
IsAnonymousProxy |
boolean |
Указывает, принадлежит ли IP-адрес известному анонимному прокси-серверу. |
CountryCode |
string |
Двухбуквенный код, указывающий страну, в которой геолокация IP-адреса клиента |
City |
string |
Город, в котором ip-адрес клиента геолокации |
Isp |
string |
Поставщик услуг Интернета, связанный с IP-адресом |
UserAgent |
string |
Сведения об агенте пользователя из веб-браузера или другого клиентского приложения |
ActivityType |
string |
Тип действия, активировав событие |
ActivityObjects |
dynamic |
Список объектов, таких как файлы или папки, которые участвовали в записанном действии |
ObjectName |
string |
Имя объекта, к которому было применено записанное действие. |
ObjectType |
string |
Тип объекта, например файла или папки, к которому было применено записанное действие. |
ObjectId |
string |
Уникальный идентификатор объекта, к которому применено записанное действие |
ReportId |
string |
Уникальный идентификатор события |
AccountType |
string |
Тип учетной записи пользователя с указанием ее общей роли и уровней доступа, таких как Обычный, Системный, Администратор, Приложение |
IsExternalUser |
boolean |
Указывает, не принадлежит ли пользователь в сети домену организации. |
IsImpersonated |
boolean |
Указывает, было ли действие выполнено одним пользователем для другого (олицетворенного) пользователя. |
IPTags |
dynamic |
Определяемая клиентом информация, применяемая к определенным IP-адресам и диапазонам IP-адресов |
IPCategory |
string |
Дополнительные сведения об IP-адресе |
UserAgentTags |
dynamic |
Дополнительные сведения, предоставляемые Microsoft Defender for Cloud Apps в теге в поле агента пользователя. Может иметь любое из следующих значений: Собственный клиент, Устаревший браузер, Устаревшая операционная система, Робот |
RawEventData |
dynamic |
Необработанные сведения о событиях из исходного приложения или службы в формате JSON |
AdditionalFields |
dynamic |
Дополнительные сведения о сущности или событии |
LastSeenForUser |
string |
Показывает, сколько дней назад атрибут недавно использовался пользователем в днях (например, ПОСТАВЩИК услуг Интернета, ActionType и т. д.) |
UncommonForUser |
string |
Перечисляет атрибуты в случае, если это редкость для пользователя, используя эти данные для исключения ложноположительных результатов и обнаружения аномалий |
AuditSource |
string |
Аудит источника данных, включая один из следующих: — Управление доступом в Defender для облачных приложений — Управление сеансами Defender для облачных приложений — Соединитель приложений Defender для облачных приложений |
SessionData |
dynamic |
Идентификатор сеанса Defender for Cloud Apps для управления доступом или сеансом. Пример: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Уникальный идентификатор, назначенный приложению при его регистрации в Entra с помощью OAuth 2.0. |
Охваченные приложения и службы
Таблица CloudAppEvents содержит расширенные журналы из всех приложений SaaS, подключенных к Microsoft Defender for Cloud Apps, например:
- Приложения Office 365 и Microsoft, в том числе:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype для бизнеса
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Подключение поддерживаемых облачных приложений для мгновенной и встроенной защиты, глубокого наблюдения за действиями пользователей и устройств приложения и многое другое. Дополнительные сведения см. в статье Защита подключенных приложений с помощью API поставщика облачных служб.