CloudAppEvents
适用于:
- Microsoft Defender XDR
CloudAppEvents
高级搜寻架构中的表包含有关涉及 Office 365 和其他云应用和服务中的帐户和对象的事件的信息。 使用此参考来构建从此表返回信息的查询。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
ActionType |
string |
触发事件的活动类型 |
Application |
string |
执行录制操作的应用程序 |
ApplicationId |
int |
应用程序的唯一标识符 |
AppInstanceId |
int |
应用程序实例的唯一标识符。 若要将此转换为 Microsoft Defender for Cloud Apps App-connector-ID,请使用 CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountId |
string |
Microsoft Defender for Cloud Apps 找到的帐户标识符。 可以是Microsoft Entra ID、用户主体名称或其他标识符。 |
AccountDisplayName |
string |
帐户用户的通讯簿条目中显示的名称。 这通常是用户的给定名称、中间首字母和姓氏的组合。 |
IsAdminOperation |
bool |
指示活动是否由管理员执行 |
DeviceType |
string |
基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动设备、游戏主机或打印机 |
OSPlatform |
string |
在设备上运行的操作系统的平台。 此列指示特定操作系统,包括同一系列中的变体,例如 Windows 11、Windows 10 和 Windows 7。 |
IPAddress |
string |
在通信期间分配给设备的 IP 地址 |
IsAnonymousProxy |
boolean |
指示 IP 地址是否属于已知的匿名代理 |
CountryCode |
string |
双字母代码,指示客户端 IP 地址的地理位置所在国家/地区 |
City |
string |
将客户端 IP 地址置于地理位置的城市 |
Isp |
string |
与 IP 地址关联的 Internet 服务提供商 |
UserAgent |
string |
Web 浏览器或其他客户端应用程序中的用户代理信息 |
ActivityType |
string |
触发事件的活动类型 |
ActivityObjects |
dynamic |
记录的活动涉及的对象(如文件或文件夹)的列表 |
ObjectName |
string |
记录的操作应用于的对象的名称 |
ObjectType |
string |
记录的操作应用于的对象类型,如文件或文件夹 |
ObjectId |
string |
已记录操作应用于的对象的唯一标识符 |
ReportId |
string |
事件的唯一标识符 |
AccountType |
string |
用户帐户类型,指示其常规角色和访问级别,例如“常规”、“系统”、“管理员”、“应用程序” |
IsExternalUser |
boolean |
指示网络内的用户是否不属于组织的域 |
IsImpersonated |
boolean |
指示活动是否由一个用户为另一个用户执行, (模拟) 用户 |
IPTags |
dynamic |
应用于特定 IP 地址和 IP 地址范围的客户定义信息 |
IPCategory |
string |
有关 IP 地址的其他信息 |
UserAgentTags |
dynamic |
Microsoft Defender for Cloud Apps 在用户代理字段中的标记中提供的详细信息。 可以具有以下任何值:本机客户端、过时浏览器、过时的操作系统、机器人 |
RawEventData |
dynamic |
源应用程序或服务中的 JSON 格式的原始事件信息 |
AdditionalFields |
dynamic |
有关实体或事件的其他信息 |
LastSeenForUser |
string |
显示用户最近使用属性的天数( (即 ISP、ActionType 等)) |
UncommonForUser |
string |
列出事件中用户不常见的属性,使用此数据来帮助排除误报并找出异常 |
AuditSource |
string |
审核数据源,包括以下其中一项: - Defender for Cloud Apps 访问控制 - Defender for Cloud Apps 会话控制 - Defender for Cloud Apps 应用连接器 |
SessionData |
dynamic |
用于访问或会话控制的 Defender for Cloud Apps 会话 ID。 例如:{InLineSessionId:"232342"} |
OAuthAppId |
string |
使用 OAuth 2.0 注册到 Entra 时分配给应用程序的唯一标识符 |
涵盖的应用和服务
CloudAppEvents 表包含连接到 Microsoft Defender for Cloud Apps 的所有 SaaS 应用程序的扩充日志,例如:
- Office 365 和 Microsoft 应用程序,包括:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
连接支持的云应用,实现即时、现成的保护、深入了解应用的用户和设备活动等。 有关详细信息,请参阅 使用云服务提供商 API 保护连接的应用。