Sdílet prostřednictvím


CloudAppEvents

Platí pro:

  • Microsoft Defender XDR

Tabulka CloudAppEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o událostech zahrnujících účty a objekty v Office 365 a dalších cloudových aplikacích a službách. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.

Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.

Název sloupce Datový typ Popis
Timestamp datetime Datum a čas, kdy byla událost zaznamenána
ActionType string Typ aktivity, která aktivovala událost
Application string Aplikace, která provedla zaznamenanou akci
ApplicationId int Jedinečný identifikátor aplikace
AppInstanceId int Jedinečný identifikátor instance aplikace. Pokud ho chcete převést na Microsoft Defender for Cloud Apps App-connector-ID použijte.CloudAppEvents|distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId)|order by ApplicationId,AppInstanceId
AccountObjectId string Jedinečný identifikátor účtu v Microsoft Entra ID
AccountId string Identifikátor účtu, který našel Microsoft Defender for Cloud Apps. Může to být Microsoft Entra ID, hlavní název uživatele nebo jiné identifikátory.
AccountDisplayName string Jméno zobrazené v položce adresáře pro uživatele účtu. Obvykle se jedná o kombinaci křestního jména, prostřední iniciály a příjmení uživatele.
IsAdminOperation bool Určuje, jestli aktivitu provedl správce.
DeviceType string Typ zařízení na základě účelu a funkčnosti, jako je síťové zařízení, pracovní stanice, server, mobilní zařízení, herní konzole nebo tiskárna
OSPlatform string Platforma operačního systému spuštěného na zařízení Tento sloupec označuje konkrétní operační systémy, včetně variant v rámci stejné rodiny, jako jsou Windows 11, Windows 10 a Windows 7.
IPAddress string IP adresa přiřazená zařízení během komunikace
IsAnonymousProxy boolean Určuje, jestli IP adresa patří známému anonymnímu proxy serveru.
CountryCode string Dvoumísmenný kód označující zemi, ve které je IP adresa klienta geografickylokovaná
City string Město, ve kterém je IP adresa klienta geograficky přidělená
Isp string Poskytovatel internetových služeb přidružený k IP adrese
UserAgent string Informace o uživatelském agentu z webového prohlížeče nebo jiné klientské aplikace
ActivityType string Typ aktivity, která aktivovala událost
ActivityObjects dynamic Seznam objektů, jako jsou soubory nebo složky, které byly zapojeny do zaznamenané aktivity
ObjectName string Název objektu, na který se zaznamenaná akce použila
ObjectType string Typ objektu, jako je soubor nebo složka, u kterého byla zaznamenaná akce použita
ObjectId string Jedinečný identifikátor objektu, u kterého byla zaznamenaná akce použita
ReportId string Jedinečný identifikátor události
AccountType string Typ uživatelského účtu, který označuje jeho obecnou roli a úrovně přístupu, například Normální, Systém, Správa, Aplikace
IsExternalUser boolean Určuje, jestli uživatel v síti nepatří do domény organizace.
IsImpersonated boolean Určuje, jestli aktivitu provedl jeden uživatel pro jiného (zosobněného) uživatele.
IPTags dynamic Informace definované zákazníkem použité pro konkrétní IP adresy a rozsahy IP adres
IPCategory string Další informace o IP adrese
UserAgentTags dynamic Další informace poskytnuté Microsoft Defender for Cloud Apps ve značce v poli uživatelský agent. Může mít některou z následujících hodnot: Nativní klient, Zastaralý prohlížeč, Zastaralý operační systém, Robot
RawEventData dynamic Nezpracované informace o událostech ze zdrojové aplikace nebo služby ve formátu JSON
AdditionalFields dynamic Další informace o entitě nebo události
LastSeenForUser string Zobrazuje, kolik dní před dny uživatel atribut nedávno používal (tj. isp, ActionType atd.).
UncommonForUser string Seznamy atributy v události, které jsou pro uživatele neobvyklé, pomocí těchto dat vyloučíte falešně pozitivní výsledky a zjistíte anomálie.

Zahrnuté aplikace a služby

Tabulka CloudAppEvents obsahuje rozšířené protokoly ze všech aplikací SaaS připojených k Microsoft Defender for Cloud Apps, například:

  • Office 365 a aplikace Microsoftu, včetně:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype pro firmy
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • Github
    • Atlassian

Připojení podporovaných cloudových aplikací pro okamžitou a okamžitou ochranu, podrobný přehled o aktivitách uživatelů a zařízení aplikace a další. Další informace najdete v tématu Ochrana připojených aplikací pomocí rozhraní API poskytovatele cloudových služeb.