CloudAppEvents
Gælder for:
- Microsoft Defender XDR
Tabellen CloudAppEvents i det avancerede jagtskema indeholder oplysninger om hændelser, der involverer konti og objekter i Office 365 og andre cloudapps og -tjenester. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for registrering af hændelsen |
ActionType |
string |
Aktivitetstype, der udløste hændelsen |
Application |
string |
Program, der udførte den registrerede handling |
ApplicationId |
int |
Entydigt id for programmet |
AppInstanceId |
int |
Entydigt id for forekomsten af et program. Hvis du vil konvertere dette til Microsoft Defender for Cloud Apps App-connector-ID, skal du bruge CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Entydigt id for kontoen i Microsoft Entra-id |
AccountId |
string |
Et id for kontoen, som blev fundet af Microsoft Defender for Cloud Apps. Det kan være Microsoft Entra-id, brugerens hovednavn eller andre identifikatorer. |
AccountDisplayName |
string |
Det navn, der vises i posten i adressekartoteket for kontobrugeren. Dette er normalt en kombination af brugerens fornavn, mellemnavn og efternavn. |
IsAdminOperation |
bool |
Angiver, om aktiviteten blev udført af en administrator |
DeviceType |
string |
Enhedstype baseret på formål og funktionalitet, f.eks. netværksenhed, arbejdsstation, server, mobil, spillekonsol eller printer |
OSPlatform |
string |
Platform for det operativsystem, der kører på enheden. Denne kolonne angiver specifikke operativsystemer, herunder variationer inden for den samme familie, f.eks. Windows 11, Windows 10 og Windows 7. |
IPAddress |
string |
IP-adresse, der tildeles til enheden under kommunikation |
IsAnonymousProxy |
boolean |
Angiver, om IP-adressen tilhører en kendt anonym proxy |
CountryCode |
string |
Kode på to bogstaver, der angiver det land, hvor klientens IP-adresse er geolokaliseret |
City |
string |
By, hvor klientens IP-adresse er geolokaliseret |
Isp |
string |
Internetudbyder, der er knyttet til IP-adressen |
UserAgent |
string |
Brugeragentoplysninger fra webbrowseren eller et andet klientprogram |
ActivityType |
string |
Aktivitetstype, der udløste hændelsen |
ActivityObjects |
dynamic |
Liste over objekter, f.eks. filer eller mapper, der var involveret i den registrerede aktivitet |
ObjectName |
string |
Navnet på det objekt, som den registrerede handling blev anvendt på |
ObjectType |
string |
Objekttype, f.eks. en fil eller mappe, som den registrerede handling blev anvendt på |
ObjectId |
string |
Entydigt id for det objekt, som den registrerede handling blev anvendt på |
ReportId |
string |
Entydigt id for hændelsen |
AccountType |
string |
Type af brugerkonto, der angiver dens generelle rolle og adgangsniveauer, f.eks. Almindelig, System, Administrator, Program |
IsExternalUser |
boolean |
Angiver, om en bruger på netværket ikke tilhører organisationens domæne |
IsImpersonated |
boolean |
Angiver, om aktiviteten blev udført af én bruger for en anden (repræsenteret) bruger |
IPTags |
dynamic |
Kundedefinerede oplysninger, der anvendes på bestemte IP-adresser og IP-adresseområder |
IPCategory |
string |
Yderligere oplysninger om IP-adressen |
UserAgentTags |
dynamic |
Du kan få flere oplysninger fra Microsoft Defender for Cloud Apps i et mærke i feltet brugeragent. Kan have en af følgende værdier: Oprindelig klient, Forældet browser, Forældet operativsystem, Robot |
RawEventData |
dynamic |
Rådata om hændelser fra kildeprogrammet eller -tjenesten i JSON-format |
AdditionalFields |
dynamic |
Yderligere oplysninger om enheden eller hændelsen |
LastSeenForUser |
string |
Viser, hvor mange dage tilbage attributten for nylig blev brugt af brugeren i dage (dvs. internetudbyder, ActionType osv.) |
UncommonForUser |
string |
Viser de attributter i hændelsen, der ikke er ualmindelige for brugeren, ved hjælp af disse data for at udelukke falske positiver og finde uregelmæssigheder |
AuditSource |
string |
Overvåg datakilde, herunder en af følgende: – Adgangskontrol i Defender for Cloud Apps – Styring af Defender for Cloud Apps-session – Connector til Defender for Cloud Apps-app |
SessionData |
dynamic |
Defender for Cloud Apps-sessions-id'et for adgangs- eller sessionskontrol. For eksempel: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Et entydigt id, der er tildelt et program, når det er registreret i Entra med OAuth 2.0 |
Omfattede apps og tjenester
Tabellen CloudAppEvents indeholder forbedrede logge fra alle SaaS-programmer, der er forbundet til Microsoft Defender for Cloud Apps, f.eks.:
- Office 365 og Microsoft Applications, herunder:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassisk
Opret forbindelse til understøttede cloudapps med øjeblikkelig, klar til brug, dyb indsigt i appens bruger- og enhedsaktiviteter m.m. Du kan få flere oplysninger under Beskyt forbundne apps ved hjælp af API'er til cloududbydere.