CloudAppEvents
Se aplica a:
- Microsoft Defender XDR
La CloudAppEvents tabla del esquema de búsqueda avanzada contiene información sobre eventos que implican cuentas y objetos en Office 365 y otros servicios y aplicaciones en la nube. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Description |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
ActionType |
string |
Tipo de actividad que desencadenó el evento |
Application |
string |
Aplicación que realizó la acción registrada |
ApplicationId |
int |
Identificador único de la aplicación |
AppInstanceId |
int |
Identificador único de la instancia de una aplicación. Para convertir esto en App-connector-ID de Microsoft Defender for Cloud Apps, use CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Identificador único de la cuenta en Microsoft Entra ID |
AccountId |
string |
Identificador de la cuenta tal como lo encuentra Microsoft Defender for Cloud Apps. Puede ser El identificador de Microsoft Entra, el nombre principal de usuario u otros identificadores. |
AccountDisplayName |
string |
Nombre que se muestra en la entrada de la libreta de direcciones del usuario de la cuenta. Por lo general, se trata de una combinación del nombre, la inicial intermedia y el apellido del usuario. |
IsAdminOperation |
bool |
Indica si la actividad la realizó un administrador |
DeviceType |
string |
Tipo de dispositivo basado en el propósito y la funcionalidad, como dispositivo de red, estación de trabajo, servidor, móvil, consola de juegos o impresora |
OSPlatform |
string |
Plataforma del sistema operativo que se ejecuta en el dispositivo. Esta columna indica sistemas operativos específicos, incluidas las variaciones dentro de la misma familia, como Windows 11, Windows 10 y Windows 7. |
IPAddress |
string |
Dirección IP asignada al dispositivo durante la comunicación |
IsAnonymousProxy |
boolean |
Indica si la dirección IP pertenece a un proxy anónimo conocido |
CountryCode |
string |
Código de dos letras que indica el país donde la dirección IP del cliente está geolocalizada |
City |
string |
Ciudad donde la dirección IP del cliente está geolocalizada |
Isp |
string |
Proveedor de servicios de Internet asociado a la dirección IP |
UserAgent |
string |
Información del agente de usuario desde el explorador web u otra aplicación cliente |
ActivityType |
string |
Tipo de actividad que desencadenó el evento |
ActivityObjects |
dynamic |
Lista de objetos, como archivos o carpetas, que participaron en la actividad registrada |
ObjectName |
string |
Nombre del objeto al que se aplicó la acción registrada |
ObjectType |
string |
Tipo de objeto, como un archivo o una carpeta, al que se aplicó la acción registrada |
ObjectId |
string |
Identificador único del objeto al que se aplicó la acción registrada |
ReportId |
string |
Identificador único del evento |
AccountType |
string |
Tipo de cuenta de usuario, que indica su rol general y sus niveles de acceso, como Regular, Sistema, Administrador, Aplicación |
IsExternalUser |
boolean |
Indica si un usuario dentro de la red no pertenece al dominio de la organización |
IsImpersonated |
boolean |
Indica si un usuario realizó la actividad para otro usuario (suplantado) |
IPTags |
dynamic |
Información definida por el cliente aplicada a direcciones IP específicas e intervalos de direcciones IP |
IPCategory |
string |
Información adicional sobre la dirección IP |
UserAgentTags |
dynamic |
Más información proporcionada por Microsoft Defender for Cloud Apps en una etiqueta en el campo agente de usuario. Puede tener cualquiera de los siguientes valores: cliente nativo, explorador obsoleto, sistema operativo obsoleto, robot |
RawEventData |
dynamic |
Información de eventos sin procesar de la aplicación o servicio de origen en formato JSON |
AdditionalFields |
dynamic |
Información adicional sobre la entidad o el evento |
LastSeenForUser |
string |
Muestra cuántos días atrás el usuario usó recientemente el atributo en días (es decir, ISP, ActionType etcetera). |
UncommonForUser |
string |
Enumera los atributos del evento que son poco comunes para el usuario, usando estos datos para ayudar a descartar falsos positivos y averiguar anomalías. |
AuditSource |
string |
Audite el origen de datos, incluido uno de los siguientes: - Control de acceso de Defender for Cloud Apps - Control de sesión de Defender for Cloud Apps - Conector de aplicaciones de Defender for Cloud Apps |
SessionData |
dynamic |
Identificador de sesión de Defender for Cloud Apps para el control de acceso o sesión. Por ejemplo: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Identificador único asignado a una aplicación cuando se registra en Entra con OAuth 2.0 |
Aplicaciones y servicios cubiertos
La tabla CloudAppEvents contiene registros enriquecidos de todas las aplicaciones SaaS conectadas a Microsoft Defender for Cloud Apps, como:
- Aplicaciones de Office 365 y Microsoft, entre las que se incluyen:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype Empresarial
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Conecte aplicaciones en la nube compatibles para una protección instantánea y inmediata, una visibilidad profunda de las actividades de usuario y dispositivo de la aplicación, etc. Para obtener más información, consulte Protección de aplicaciones conectadas mediante las API del proveedor de servicios en la nube.