CloudAppEvents
Platí pro:
- Microsoft Defender XDR
Tabulka CloudAppEvents
ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o událostech týkajících se účtů a objektů v Office 365 a dalších cloudových aplikacích a službách. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
Název sloupce | Datový typ | Popis |
---|---|---|
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
ActionType |
string |
Typ aktivity, která aktivovala událost |
Application |
string |
Aplikace, která provedla zaznamenanou akci |
ApplicationId |
int |
Jedinečný identifikátor aplikace |
AppInstanceId |
int |
Jedinečný identifikátor instance aplikace. Pokud chcete tento kód převést na Microsoft Defender for Cloud Apps App-connector-ID, použijte CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Jedinečný identifikátor účtu v Microsoft Entra ID |
AccountId |
string |
Identifikátor účtu, který našel Microsoft Defender for Cloud Apps. Může to být ID Microsoft Entra, hlavní název uživatele nebo jiné identifikátory. |
AccountDisplayName |
string |
Jméno zobrazené v položce adresáře pro uživatele účtu. Obvykle se jedná o kombinaci křestního jména, prostřední iniciály a příjmení uživatele. |
IsAdminOperation |
bool |
Určuje, jestli aktivitu provedl správce. |
DeviceType |
string |
Typ zařízení na základě účelu a funkčnosti, jako je síťové zařízení, pracovní stanice, server, mobilní zařízení, herní konzole nebo tiskárna |
OSPlatform |
string |
Platforma operačního systému spuštěného na zařízení Tento sloupec označuje konkrétní operační systémy, včetně variant v rámci stejné rodiny, jako jsou Windows 11, Windows 10 a Windows 7. |
IPAddress |
string |
IP adresa přiřazená zařízení během komunikace |
IsAnonymousProxy |
boolean |
Určuje, jestli IP adresa patří známému anonymnímu proxy serveru. |
CountryCode |
string |
Dvoumísmenný kód označující zemi, ve které je IP adresa klienta geografickylokovaná |
City |
string |
Město, ve kterém je IP adresa klienta geograficky přidělená |
Isp |
string |
Poskytovatel internetových služeb přidružený k IP adrese |
UserAgent |
string |
Informace o uživatelském agentu z webového prohlížeče nebo jiné klientské aplikace |
ActivityType |
string |
Typ aktivity, která aktivovala událost |
ActivityObjects |
dynamic |
Seznam objektů, jako jsou soubory nebo složky, které byly zapojeny do zaznamenané aktivity |
ObjectName |
string |
Název objektu, na který se zaznamenaná akce použila |
ObjectType |
string |
Typ objektu, jako je soubor nebo složka, u kterého byla zaznamenaná akce použita |
ObjectId |
string |
Jedinečný identifikátor objektu, u kterého byla zaznamenaná akce použita |
ReportId |
string |
Jedinečný identifikátor události |
AccountType |
string |
Typ uživatelského účtu, který označuje jeho obecnou roli a úrovně přístupu, například Normální, Systém, Správce, Aplikace |
IsExternalUser |
boolean |
Určuje, jestli uživatel v síti nepatří do domény organizace. |
IsImpersonated |
boolean |
Určuje, jestli aktivitu provedl jeden uživatel pro jiného (zosobněného) uživatele. |
IPTags |
dynamic |
Informace definované zákazníkem použité pro konkrétní IP adresy a rozsahy IP adres |
IPCategory |
string |
Další informace o IP adrese |
UserAgentTags |
dynamic |
Další informace poskytuje Microsoft Defender for Cloud Apps ve značce v poli uživatelského agenta. Může mít některou z následujících hodnot: Nativní klient, Zastaralý prohlížeč, Zastaralý operační systém, Robot |
RawEventData |
dynamic |
Nezpracované informace o událostech ze zdrojové aplikace nebo služby ve formátu JSON |
AdditionalFields |
dynamic |
Další informace o entitě nebo události |
LastSeenForUser |
string |
Zobrazuje, kolik dní před dny uživatel atribut nedávno používal (tj. isp, ActionType atd.). |
UncommonForUser |
string |
Zobrazí seznam atributů v události, které jsou pro uživatele neobvyklé. Pomocí těchto dat můžete vyloučit falešně pozitivní výsledky a zjistit anomálie. |
AuditSource |
string |
Auditovat zdroj dat, včetně jednoho z následujících: – Defender for Cloud Apps – řízení přístupu – Řízení relace Defenderu for Cloud Apps – Konektor aplikace Defender for Cloud Apps |
SessionData |
dynamic |
ID relace Defenderu for Cloud Apps pro řízení přístupu nebo relací. Například: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Jedinečný identifikátor, který je přiřazen k aplikaci, když je zaregistrovaná v Entra pomocí OAuth 2.0 |
Zahrnuté aplikace a služby
Tabulka CloudAppEvents obsahuje rozšířené protokoly ze všech aplikací SaaS připojených k Microsoft Defenderu for Cloud Apps, například:
- Office 365 a aplikace Microsoftu, včetně:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype pro firmy
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Připojení podporovaných cloudových aplikací pro okamžitou a okamžitou ochranu, podrobný přehled o aktivitách uživatelů a zařízení aplikace a další. Další informace najdete v tématu Ochrana připojených aplikací pomocí rozhraní API poskytovatele cloudových služeb.