CloudAppEvents
Gilt für:
- Microsoft Defender XDR
Die CloudAppEvents Tabelle im Schema der erweiterten Suche enthält Informationen zu Ereignissen, die Konten und Objekte in Office 365 und anderen Cloud-Apps und -Diensten betreffen. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses |
ActionType |
string |
Typ der Aktivität, die das Ereignis ausgelöst hat |
Application |
string |
Anwendung, die die aufgezeichnete Aktion ausgeführt hat |
ApplicationId |
int |
Eindeutiger Bezeichner für die Anwendung |
AppInstanceId |
int |
Eindeutiger Bezeichner für die Instanz einer Anwendung. Um dies in Microsoft Defender for Cloud Apps App-connector-ID zu konvertieren, verwenden Sie CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Eindeutiger Bezeichner für das Konto in Microsoft Entra ID |
AccountId |
string |
Ein Bezeichner für das Konto, wie er von Microsoft Defender for Cloud Apps gefunden wurde. Dies kann die Microsoft Entra-ID, der Benutzerprinzipalname oder andere Bezeichner sein. |
AccountDisplayName |
string |
Name, der im Adressbucheintrag für den Kontobenutzer angezeigt wird. Dies ist in der Regel eine Kombination aus dem angegebenen Namen, dem mittleren Anfangs- und dem Nachnamen des Benutzers. |
IsAdminOperation |
bool |
Gibt an, ob die Aktivität von einem Administrator ausgeführt wurde. |
DeviceType |
string |
Gerätetyp basierend auf Zweck und Funktionalität, z. B. Netzwerkgerät, Arbeitsstation, Server, Mobilgerät, Spielkonsole oder Drucker |
OSPlatform |
string |
Plattform des Betriebssystems, das auf dem Gerät ausgeführt wird. Diese Spalte gibt bestimmte Betriebssysteme an, einschließlich Variationen innerhalb derselben Familie, z. B. Windows 11, Windows 10 und Windows 7. |
IPAddress |
string |
Dem Gerät während der Kommunikation zugewiesene IP-Adresse |
IsAnonymousProxy |
boolean |
Gibt an, ob die IP-Adresse zu einem bekannten anonymen Proxy gehört. |
CountryCode |
string |
Aus zwei Buchstaben bestehender Code, der das Land angibt, in dem die Ip-Adresse des Clients geolokalisiert ist |
City |
string |
Ort, in dem die Client-IP-Adresse geolokal ist |
Isp |
string |
Internetdienstanbieter, der der IP-Adresse zugeordnet ist |
UserAgent |
string |
Benutzer-Agent-Informationen aus dem Webbrowser oder einer anderen Clientanwendung |
ActivityType |
string |
Typ der Aktivität, die das Ereignis ausgelöst hat |
ActivityObjects |
dynamic |
Liste der Objekte, z. B. Dateien oder Ordner, die an der aufgezeichneten Aktivität beteiligt waren |
ObjectName |
string |
Name des Objekts, auf das die aufgezeichnete Aktion angewendet wurde |
ObjectType |
string |
Typ des Objekts, z. B. eine Datei oder ein Ordner, auf den die aufgezeichnete Aktion angewendet wurde |
ObjectId |
string |
Eindeutiger Bezeichner des Objekts, auf das die aufgezeichnete Aktion angewendet wurde |
ReportId |
string |
Eindeutiger Bezeichner für das Ereignis |
AccountType |
string |
Typ des Benutzerkontos, der seine allgemeine Rolle und Zugriffsebenen angibt, z. B. "Normal", "System", "Administrator", "Anwendung" |
IsExternalUser |
boolean |
Gibt an, ob ein Benutzer innerhalb des Netzwerks nicht zur Domäne der Organisation gehört. |
IsImpersonated |
boolean |
Gibt an, ob die Aktivität von einem Benutzer für einen anderen Benutzer (identitätswechsel) ausgeführt wurde. |
IPTags |
dynamic |
Kundendefinierte Informationen, die auf bestimmte IP-Adressen und IP-Adressbereiche angewendet werden |
IPCategory |
string |
Zusätzliche Informationen zur IP-Adresse |
UserAgentTags |
dynamic |
Weitere Informationen von Microsoft Defender für Cloud-Apps in einem Tag im Benutzer-Agent-Feld. Kann einen der folgenden Werte aufweisen: Nativer Client, Veralteter Browser, Veraltetes Betriebssystem, Roboter |
RawEventData |
dynamic |
Unformatierte Ereignisinformationen aus der Quellanwendung oder dem Quelldienst im JSON-Format |
AdditionalFields |
dynamic |
Zusätzliche Informationen zur Entität oder zum Ereignis |
LastSeenForUser |
string |
Zeigt, wie viele Tage zurück liegt, die das Attribut kürzlich vom Benutzer in Tagen verwendet wurde (d. h. ISP, ActionType usw.) |
UncommonForUser |
string |
Listet die Attribute im Ereignis auf, die für den Benutzer ungewöhnlich sind, und verwendet diese Daten, um falsch positive Ergebnisse auszuschließen und Anomalien zu ermitteln. |
AuditSource |
string |
Überwachungsdatenquelle, einschließlich einer der folgenden: – Zugriffssteuerung für Defender für Cloud-Apps – Defender for Cloud Apps-Sitzungssteuerung – Defender for Cloud Apps-App-Connector |
SessionData |
dynamic |
Die Defender for Cloud Apps-Sitzungs-ID für die Zugriffs- oder Sitzungssteuerung. Beispiel: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Ein eindeutiger Bezeichner, der einer Anwendung zugewiesen wird, wenn sie bei Entra mit OAuth 2.0 registriert wird |
Abgedeckte Apps und Dienste
Die Tabelle CloudAppEvents enthält angereicherte Protokolle von allen SaaS-Anwendungen, die mit Microsoft Defender for Cloud Apps verbunden sind, z. B.:
- Office 365 und Microsoft-Anwendungen, einschließlich:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Verbinden Sie unterstützte Cloud-Apps für sofortigen, sofort einsatzbereiten Schutz, tiefen Einblick in die Benutzer- und Geräteaktivitäten der App und vieles mehr. Weitere Informationen finden Sie unter Schützen verbundener Apps mithilfe von Clouddienstanbieter-APIs.