CloudAppEvents
Gäller för:
- Microsoft Defender XDR
Tabellen CloudAppEvents i det avancerade jaktschemat innehåller information om händelser som involverar konton och objekt i Office 365 och andra molnappar och tjänster. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
ActionType |
string |
Typ av aktivitet som utlöste händelsen |
Application |
string |
Program som utförde den inspelade åtgärden |
ApplicationId |
int |
Unik identifierare för programmet |
AppInstanceId |
int |
Unik identifierare för instansen av ett program. Om du vill konvertera detta till Microsoft Defender for Cloud Apps App-connector-ID använder duCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Unik identifierare för kontot i Microsoft Entra ID |
AccountId |
string |
En identifierare för kontot som hittas av Microsoft Defender for Cloud Apps. Kan vara Microsoft Entra ID, användarens huvudnamn eller andra identifierare. |
AccountDisplayName |
string |
Namn som visas i kontoanvändarens adressbokspost. Detta är vanligtvis en kombination av användarens förnamn, mellan initial och efternamn. |
IsAdminOperation |
bool |
Anger om aktiviteten utfördes av en administratör |
DeviceType |
string |
Typ av enhet baserat på syfte och funktionalitet, till exempel nätverksenhet, arbetsstation, server, mobil, spelkonsol eller skrivare |
OSPlatform |
string |
Plattform för operativsystemet som körs på enheten. Den här kolumnen anger specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 11, Windows 10 och Windows 7. |
IPAddress |
string |
IP-adress tilldelad till enheten under kommunikationen |
IsAnonymousProxy |
boolean |
Anger om IP-adressen tillhör en känd anonym proxy |
CountryCode |
string |
Kod med två bokstäver som anger det land där klientens IP-adress är geolokaliserad |
City |
string |
Ort där klientens IP-adress är geolokaliserad |
Isp |
string |
Internetleverantör som är associerad med IP-adressen |
UserAgent |
string |
Information om användaragenten från webbläsaren eller något annat klientprogram |
ActivityType |
string |
Typ av aktivitet som utlöste händelsen |
ActivityObjects |
dynamic |
Lista över objekt, till exempel filer eller mappar, som var inblandade i den registrerade aktiviteten |
ObjectName |
string |
Namnet på det objekt som den inspelade åtgärden tillämpades på |
ObjectType |
string |
Typ av objekt, till exempel en fil eller en mapp, som den inspelade åtgärden tillämpades på |
ObjectId |
string |
Unik identifierare för objektet som den registrerade åtgärden tillämpades på |
ReportId |
string |
Unik identifierare för händelsen |
AccountType |
string |
Typ av användarkonto som anger dess allmänna roll och åtkomstnivåer, till exempel Regular, System, Admin, Application |
IsExternalUser |
boolean |
Anger om en användare i nätverket inte tillhör organisationens domän |
IsImpersonated |
boolean |
Anger om aktiviteten utfördes av en användare för en annan (personifierad) användare |
IPTags |
dynamic |
Kunddefinierad information som tillämpas på specifika IP-adresser och IP-adressintervall |
IPCategory |
string |
Ytterligare information om IP-adressen |
UserAgentTags |
dynamic |
Mer information tillhandahålls av Microsoft Defender for Cloud Apps i en tagg i fältet användaragent. Kan ha något av följande värden: Intern klient, Inaktuell webbläsare, Inaktuellt operativsystem, Robot |
RawEventData |
dynamic |
Rå händelseinformation från källprogrammet eller -tjänsten i JSON-format |
AdditionalFields |
dynamic |
Ytterligare information om entiteten eller händelsen |
LastSeenForUser |
dynamic |
Anger antalet dagar sedan ett specifikt attribut senast sågs för användaren. Värdet 0 innebär att attributet visades idag, ett negativt värde anger att attributet visas för första gången och ett positivt värde representerar antalet dagar sedan attributet senast sågs. Till exempel: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Listor attributen i händelsen som anses vara ovanliga för användaren. Med hjälp av dessa data kan du utesluta falska positiva identifieringar och hitta avvikelser. Till exempel: ["ActivityType","ActionType"] |
AuditSource |
string |
Granska datakälla. Möjliga värden är något av följande: – Defender for Cloud Apps åtkomstkontroll – Defender for Cloud Apps sessionskontroll – Defender for Cloud Apps appanslutning |
SessionData |
dynamic |
Defender for Cloud Apps sessions-ID för åtkomst- eller sessionskontroll. Till exempel: {InLineSessionId:"232342"} |
OAuthAppId |
string |
En unik identifierare som tilldelas till ett program när det registreras för Microsoft Entra med OAuth 2.0-protokollet. |
Appar och tjänster som omfattas
Tabellen CloudAppEvents innehåller berikade loggar från alla SaaS-program som är anslutna till Microsoft Defender for Cloud Apps, till exempel:
- Office 365 och Microsoft-program, inklusive:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype för företag
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Anslut molnappar som stöds för omedelbart, inbyggt skydd, djup insyn i appens användar- och enhetsaktiviteter med mera. Mer information finns i Skydda anslutna appar med hjälp av API:er för molntjänstleverantörer.