CloudAppEvents

适用于:

  • Microsoft Defender XDR

CloudAppEvents 高级搜寻架构中的表包含有关涉及 Office 365 和其他云应用和服务中的帐户和对象的事件的信息。 使用此参考来构建从此表返回信息的查询。

有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考

列名称 数据类型 说明
Timestamp datetime 记录事件的日期和时间
ActionType string 触发事件的活动类型
Application string 执行录制操作的应用程序
ApplicationId int 应用程序的唯一标识符
AppInstanceId int 应用程序实例的唯一标识符。 若要将此转换为 Microsoft Defender for Cloud Apps App-connector-ID,请使用 CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId
AccountObjectId string Microsoft Entra ID 中帐户的唯一标识符
AccountId string Microsoft Defender for Cloud Apps 找到的帐户标识符。 可以是Microsoft Entra ID、用户主体名称或其他标识符。
AccountDisplayName string 帐户用户的通讯簿条目中显示的名称。 这通常是用户的给定名称、中间首字母和姓氏的组合。
IsAdminOperation bool 指示活动是否由管理员执行
DeviceType string 基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动设备、游戏主机或打印机
OSPlatform string 在设备上运行的操作系统的平台。 此列指示特定操作系统,包括同一系列中的变体,例如 Windows 11、Windows 10 和 Windows 7。
IPAddress string 在通信期间分配给设备的 IP 地址
IsAnonymousProxy boolean 指示 IP 地址是否属于已知的匿名代理
CountryCode string 双字母代码,指示客户端 IP 地址的地理位置所在国家/地区
City string 将客户端 IP 地址置于地理位置的城市
Isp string 与 IP 地址关联的 Internet 服务提供商
UserAgent string Web 浏览器或其他客户端应用程序中的用户代理信息
ActivityType string 触发事件的活动类型
ActivityObjects dynamic 记录的活动涉及的对象(如文件或文件夹)的列表
ObjectName string 记录的操作应用于的对象的名称
ObjectType string 记录的操作应用于的对象类型,如文件或文件夹
ObjectId string 已记录操作应用于的对象的唯一标识符
ReportId string 事件的唯一标识符
AccountType string 用户帐户类型,指示其常规角色和访问级别,例如“常规”、“系统”、“管理员”、“应用程序”
IsExternalUser boolean 指示网络内的用户是否不属于组织的域
IsImpersonated boolean 指示活动是否由一个用户为另一个用户执行, (模拟) 用户
IPTags dynamic 应用于特定 IP 地址和 IP 地址范围的客户定义信息
IPCategory string 有关 IP 地址的其他信息
UserAgentTags dynamic Microsoft Defender for Cloud Apps 在用户代理字段中的标记中提供的详细信息。 可以具有以下任何值:本机客户端、过时浏览器、过时的操作系统、机器人
RawEventData dynamic 源应用程序或服务中的 JSON 格式的原始事件信息
AdditionalFields dynamic 有关实体或事件的其他信息
LastSeenForUser string 显示用户最近使用属性的天数( (即 ISP、ActionType 等))
UncommonForUser string 列出事件中用户不常见的属性,使用此数据来帮助排除误报并找出异常
AuditSource string 审核数据源,包括以下其中一项:
- Defender for Cloud Apps 访问控制
- Defender for Cloud Apps 会话控制
- Defender for Cloud Apps 应用连接器
SessionData dynamic 用于访问或会话控制的 Defender for Cloud Apps 会话 ID。 例如:{InLineSessionId:"232342"}
OAuthAppId string 使用 OAuth 2.0 注册到 Entra 时分配给应用程序的唯一标识符

涵盖的应用和服务

CloudAppEvents 表包含连接到 Microsoft Defender for Cloud Apps 的所有 SaaS 应用程序的扩充日志,例如:

  • Office 365 和 Microsoft 应用程序,包括:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype for Business
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

连接支持的云应用,实现即时、现成的保护、深入了解应用的用户和设备活动等。 有关详细信息,请参阅 使用云服务提供商 API 保护连接的应用