Compartir a través de


CloudAppEvents

Se aplica a:

  • Microsoft Defender XDR

La CloudAppEvents tabla del esquema de búsqueda avanzada contiene información sobre eventos que implican cuentas y objetos en Office 365 y otros servicios y aplicaciones en la nube. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Nombre de columna Tipo de datos Description
Timestamp datetime Fecha y hora en que se registró el evento.
ActionType string Tipo de actividad que desencadenó el evento
Application string Aplicación que realizó la acción registrada
ApplicationId int Identificador único de la aplicación
AppInstanceId int Identificador único de la instancia de una aplicación. Para convertir esto en App-connector-ID de Microsoft Defender for Cloud Apps, use CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId
AccountObjectId string Identificador único de la cuenta en Microsoft Entra ID
AccountId string Identificador de la cuenta tal como lo encuentra Microsoft Defender for Cloud Apps. Puede ser El identificador de Microsoft Entra, el nombre principal de usuario u otros identificadores.
AccountDisplayName string Nombre que se muestra en la entrada de la libreta de direcciones del usuario de la cuenta. Por lo general, se trata de una combinación del nombre, la inicial intermedia y el apellido del usuario.
IsAdminOperation bool Indica si la actividad la realizó un administrador
DeviceType string Tipo de dispositivo basado en el propósito y la funcionalidad, como dispositivo de red, estación de trabajo, servidor, móvil, consola de juegos o impresora
OSPlatform string Plataforma del sistema operativo que se ejecuta en el dispositivo. Esta columna indica sistemas operativos específicos, incluidas las variaciones dentro de la misma familia, como Windows 11, Windows 10 y Windows 7.
IPAddress string Dirección IP asignada al dispositivo durante la comunicación
IsAnonymousProxy boolean Indica si la dirección IP pertenece a un proxy anónimo conocido
CountryCode string Código de dos letras que indica el país donde la dirección IP del cliente está geolocalizada
City string Ciudad donde la dirección IP del cliente está geolocalizada
Isp string Proveedor de servicios de Internet asociado a la dirección IP
UserAgent string Información del agente de usuario desde el explorador web u otra aplicación cliente
ActivityType string Tipo de actividad que desencadenó el evento
ActivityObjects dynamic Lista de objetos, como archivos o carpetas, que participaron en la actividad registrada
ObjectName string Nombre del objeto al que se aplicó la acción registrada
ObjectType string Tipo de objeto, como un archivo o una carpeta, al que se aplicó la acción registrada
ObjectId string Identificador único del objeto al que se aplicó la acción registrada
ReportId string Identificador único del evento
AccountType string Tipo de cuenta de usuario, que indica su rol general y sus niveles de acceso, como Regular, Sistema, Administrador, Aplicación
IsExternalUser boolean Indica si un usuario dentro de la red no pertenece al dominio de la organización
IsImpersonated boolean Indica si un usuario realizó la actividad para otro usuario (suplantado)
IPTags dynamic Información definida por el cliente aplicada a direcciones IP específicas e intervalos de direcciones IP
IPCategory string Información adicional sobre la dirección IP
UserAgentTags dynamic Más información proporcionada por Microsoft Defender for Cloud Apps en una etiqueta en el campo agente de usuario. Puede tener cualquiera de los siguientes valores: cliente nativo, explorador obsoleto, sistema operativo obsoleto, robot
RawEventData dynamic Información de eventos sin procesar de la aplicación o servicio de origen en formato JSON
AdditionalFields dynamic Información adicional sobre la entidad o el evento
LastSeenForUser string Muestra cuántos días atrás el usuario usó recientemente el atributo en días (es decir, ISP, ActionType etcetera).
UncommonForUser string Enumera los atributos del evento que son poco comunes para el usuario, usando estos datos para ayudar a descartar falsos positivos y averiguar anomalías.
AuditSource string Audite el origen de datos, incluido uno de los siguientes:
- Control de acceso de Defender for Cloud Apps
- Control de sesión de Defender for Cloud Apps
- Conector de aplicaciones de Defender for Cloud Apps
SessionData dynamic Identificador de sesión de Defender for Cloud Apps para el control de acceso o sesión. Por ejemplo: {InLineSessionId:"232342"}
OAuthAppId string Identificador único asignado a una aplicación cuando se registra en Entra con OAuth 2.0

Aplicaciones y servicios cubiertos

La tabla CloudAppEvents contiene registros enriquecidos de todas las aplicaciones SaaS conectadas a Microsoft Defender for Cloud Apps, como:

  • Aplicaciones de Office 365 y Microsoft, entre las que se incluyen:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype Empresarial
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

Conecte aplicaciones en la nube compatibles para una protección instantánea y inmediata, una visibilidad profunda de las actividades de usuario y dispositivo de la aplicación, etc. Para obtener más información, consulte Protección de aplicaciones conectadas mediante las API del proveedor de servicios en la nube.