CloudAppEvents
適用於:
- Microsoft Defender XDR
進CloudAppEvents
階搜捕架構中的數據表包含與 Office 365 和其他雲端應用程式和服務中的帳戶和對象有關的事件相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
欄名稱 | 資料類型 | 描述 |
---|---|---|
Timestamp |
datetime |
事件記錄的日期和時間 |
ActionType |
string |
觸發事件的活動類型 |
Application |
string |
執行已錄製動作的應用程式 |
ApplicationId |
int |
應用程式的唯一標識碼 |
AppInstanceId |
int |
應用程式實例的唯一標識碼。 若要將此項目轉換為 Microsoft Defender for Cloud Apps 應用程式連接器識別碼,請使用CloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一標識符 |
AccountId |
string |
Microsoft Defender for Cloud Apps 找到的帳戶標識碼。 可以是 Microsoft Entra ID、用戶主體名稱或其他標識碼。 |
AccountDisplayName |
string |
帳戶使用者的通訊錄項目中顯示的名稱。 這通常是使用者的指定名稱、中間初始和姓氏的組合。 |
IsAdminOperation |
bool |
指出活動是否由系統管理員執行 |
DeviceType |
string |
以用途和功能為基礎的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲控制台或印表機 |
OSPlatform |
string |
在裝置上執行之作業系統的平臺。 此數據行指出特定的作業系統,包括相同系列內的變化,例如 Windows 11、Windows 10 和 Windows 7。 |
IPAddress |
string |
在通訊期間指派給裝置的IP位址 |
IsAnonymousProxy |
boolean |
指出IP位址是否屬於已知的匿名 Proxy |
CountryCode |
string |
兩個字母的代碼,指出用戶端IP位址地理位置的國家/地區 |
City |
string |
用戶端IP位址地理位置所在的城市 |
Isp |
string |
與IP位址相關聯的因特網服務提供者 |
UserAgent |
string |
來自網頁瀏覽器或其他用戶端應用程式的使用者代理程序資訊 |
ActivityType |
string |
觸發事件的活動類型 |
ActivityObjects |
dynamic |
記錄活動所涉及的物件清單,例如檔案或資料夾 |
ObjectName |
string |
已記錄動作套用至的物件名稱 |
ObjectType |
string |
套用記錄動作的物件類型,例如檔案或資料夾 |
ObjectId |
string |
已套用所記錄動作之物件的唯一標識碼 |
ReportId |
string |
事件的唯一標識碼 |
AccountType |
string |
用戶帳戶的類型,指出其一般角色和存取層級,例如 Regular、System、管理員、Application |
IsExternalUser |
boolean |
指出網路內的使用者是否不屬於組織的網域 |
IsImpersonated |
boolean |
指出活動是否由某位用戶針對另一個模擬) 使用者 (執行 |
IPTags |
dynamic |
套用至特定IP位址和IP位址範圍的客戶定義資訊 |
IPCategory |
string |
IP 位址的其他相關信息 |
UserAgentTags |
dynamic |
Microsoft Defender for Cloud Apps 在使用者代理程式欄位中標記中提供的詳細資訊。 可以有下列任何值:原生用戶端、過期的瀏覽器、過時的操作系統、機器人 |
RawEventData |
dynamic |
來自來源應用程式或服務的原始事件資訊,格式為 JSON |
AdditionalFields |
dynamic |
實體或事件的其他相關信息 |
LastSeenForUser |
dynamic |
指出使用者上次看到特定屬性后的天數。 值為 0 表示今天看到屬性,負值表示第一次看到屬性,而正值代表自上次看到屬性以來的天數。 例如:{"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
清單 用戶認為不常見的事件中的屬性。 使用此數據有助於排除誤判,並找出異常狀況。 例如:["ActivityType","ActionType"] |
AuditSource |
string |
稽核數據源。 可能的值為下列其中一項: - Defender for Cloud Apps 訪問控制 - Defender for Cloud Apps 工作階段控制件 - Defender for Cloud Apps 應用程式連接器 |
SessionData |
dynamic |
存取或會話控制的 Defender for Cloud Apps 會話標識碼。 例如:{InLineSessionId:"232342"} |
OAuthAppId |
string |
向 OAuth 2.0 通訊協定註冊 Microsoft Entra 時指派給應用程式的唯一標識碼。 |
涵蓋的應用程式和服務
CloudAppEvents 資料表包含連線到 Microsoft Defender for Cloud Apps 的所有 SaaS 應用程式的擴充記錄,例如:
- Office 365 和Microsoft應用程式,包括:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- 商務用 Skype
- Viva Engage
- 電源自動化
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
線上支援的雲端應用程式以進行立即、現成的保護、深入瞭解應用程式的使用者和裝置活動等等。 如需詳細資訊,請參閱 使用雲端服務提供者 API 保護連線的應用程式。