共用方式為


CloudAppEvents

適用於:

  • Microsoft Defender XDR

CloudAppEvents搜捕架構中的數據表包含與 Office 365 和其他雲端應用程式和服務中的帳戶和對象有關的事件相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。

如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。

欄名稱 資料類型 描述
Timestamp datetime 事件記錄的日期和時間
ActionType string 觸發事件的活動類型
Application string 執行已錄製動作的應用程式
ApplicationId int 應用程式的唯一標識碼
AppInstanceId int 應用程式實例的唯一標識碼。 若要將此項目轉換為 Microsoft Defender for Cloud Apps 應用程式連接器識別碼,請使用CloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId
AccountObjectId string Microsoft Entra ID 中帳戶的唯一標識符
AccountId string Microsoft Defender for Cloud Apps 找到的帳戶標識碼。 可以是 Microsoft Entra ID、用戶主體名稱或其他標識碼。
AccountDisplayName string 帳戶使用者的通訊錄項目中顯示的名稱。 這通常是使用者的指定名稱、中間初始和姓氏的組合。
IsAdminOperation bool 指出活動是否由系統管理員執行
DeviceType string 以用途和功能為基礎的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲控制台或印表機
OSPlatform string 在裝置上執行之作業系統的平臺。 此數據行指出特定的作業系統,包括相同系列內的變化,例如 Windows 11、Windows 10 和 Windows 7。
IPAddress string 在通訊期間指派給裝置的IP位址
IsAnonymousProxy boolean 指出IP位址是否屬於已知的匿名 Proxy
CountryCode string 兩個字母的代碼,指出用戶端IP位址地理位置的國家/地區
City string 用戶端IP位址地理位置所在的城市
Isp string 與IP位址相關聯的因特網服務提供者
UserAgent string 來自網頁瀏覽器或其他用戶端應用程式的使用者代理程序資訊
ActivityType string 觸發事件的活動類型
ActivityObjects dynamic 記錄活動所涉及的物件清單,例如檔案或資料夾
ObjectName string 已記錄動作套用至的物件名稱
ObjectType string 套用記錄動作的物件類型,例如檔案或資料夾
ObjectId string 已套用所記錄動作之物件的唯一標識碼
ReportId string 事件的唯一標識碼
AccountType string 用戶帳戶的類型,指出其一般角色和存取層級,例如 Regular、System、管理員、Application
IsExternalUser boolean 指出網路內的使用者是否不屬於組織的網域
IsImpersonated boolean 指出活動是否由某位用戶針對另一個模擬) 使用者 (執行
IPTags dynamic 套用至特定IP位址和IP位址範圍的客戶定義資訊
IPCategory string IP 位址的其他相關信息
UserAgentTags dynamic Microsoft Defender for Cloud Apps 在使用者代理程式欄位中標記中提供的詳細資訊。 可以有下列任何值:原生用戶端、過期的瀏覽器、過時的操作系統、機器人
RawEventData dynamic 來自來源應用程式或服務的原始事件資訊,格式為 JSON
AdditionalFields dynamic 實體或事件的其他相關信息
LastSeenForUser dynamic 指出使用者上次看到特定屬性后的天數。 值為 0 表示今天看到屬性,負值表示第一次看到屬性,而正值代表自上次看到屬性以來的天數。 例如:{"ActionType":"0","OSPlatform":"4","ISP":"-1"}
UncommonForUser dynamic 清單 用戶認為不常見的事件中的屬性。 使用此數據有助於排除誤判,並找出異常狀況。 例如:["ActivityType","ActionType"]
AuditSource string 稽核數據源。 可能的值為下列其中一項:
- Defender for Cloud Apps 訪問控制
- Defender for Cloud Apps 工作階段控制件
- Defender for Cloud Apps 應用程式連接器
SessionData dynamic 存取或會話控制的 Defender for Cloud Apps 會話標識碼。 例如:{InLineSessionId:"232342"}
OAuthAppId string 向 OAuth 2.0 通訊協定註冊 Microsoft Entra 時指派給應用程式的唯一標識碼。

涵蓋的應用程式和服務

CloudAppEvents 資料表包含連線到 Microsoft Defender for Cloud Apps 的所有 SaaS 應用程式的擴充記錄,例如:

  • Office 365 和Microsoft應用程式,包括:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • 商務用 Skype
    • Viva Engage
    • 電源自動化
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

線上支援的雲端應用程式以進行立即、現成的保護、深入瞭解應用程式的使用者和裝置活動等等。 如需詳細資訊,請參閱 使用雲端服務提供者 API 保護連線的應用程式