CloudAppEvents
Koskee seuraavia:
- Microsoft Defender XDR
CloudAppEvents
Kehittyneen metsästysrakenteen taulukko sisältää tietoja tapahtumista, joihin liittyy tilejä ja objekteja Office 365 ja muissa pilvisovelluksissa ja -palveluissa. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
Sarakkeen nimi | Tietotyyppi | Kuvaus |
---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
ActionType |
string |
Tapahtuman käynnistäneen toiminnon tyyppi |
Application |
string |
Sovellus, joka suoritti tallennetun toiminnon |
ApplicationId |
int |
Sovelluksen yksilöllinen tunnus |
AppInstanceId |
int |
Sovelluksen esiintymän yksilöllinen tunnus. Jos haluat muuntaa tämän Microsoft Defender for Cloud Apps App-connector-ID:ksi, käytäCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),Application|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
AccountId |
string |
tilin tunniste, jonka Microsoft Defender for Cloud Apps löytää. Tämä voi olla Microsoft Entra ID, täydellinen käyttäjätunnus tai muu tunniste. |
AccountDisplayName |
string |
Nimi, joka näkyy tilin käyttäjän osoitteistomerkinnässä. Tämä on yleensä käyttäjän etunimen, keskimmäisen alkukirjaimen ja sukunimen yhdistelmä. |
IsAdminOperation |
bool |
Ilmaisee, suorittiko toiminnon järjestelmänvalvoja |
DeviceType |
string |
Laitteen tyyppi tarkoituksen ja toiminnallisuuden, kuten verkkolaitteen, työaseman, palvelimen, mobiililaitteen, pelikonsolin tai tulostimen, perusteella |
OSPlatform |
string |
Laitteessa käynnissä olevan käyttöjärjestelmän käyttöympäristö. Tämä sarake ilmaisee tiettyjä käyttöjärjestelmiä, mukaan lukien variaatiot samassa perheessä, kuten Windows 11, Windows 10 ja Windows 7. |
IPAddress |
string |
Laitteelle tietoliikenteen aikana määritetty IP-osoite |
IsAnonymousProxy |
boolean |
Ilmaisee, kuuluuko IP-osoite tunnettuun anonyymiin välityspalvelimeen |
CountryCode |
string |
Kaksikirjaiminen koodi, joka ilmaisee maan, jossa asiakkaan IP-osoite on maantieteellisesti |
City |
string |
Paikka, jossa asiakkaan IP-osoite on geolokattu |
Isp |
string |
IP-osoitteeseen liittyvä Internet-palveluntarjoaja |
UserAgent |
string |
Käyttäjäagentin tiedot selaimesta tai muusta asiakassovelluksesta |
ActivityType |
string |
Tapahtuman käynnistäneen toiminnon tyyppi |
ActivityObjects |
dynamic |
Tallennettuun toimintoon osallistuneiden objektien, kuten tiedostojen tai kansioiden, luettelo |
ObjectName |
string |
Sen objektin nimi, johon tallennettu toiminto on kohdistettu |
ObjectType |
string |
Sen objektin tyyppi, kuten tiedosto tai kansio, johon tallennettu toiminto suoritettiin |
ObjectId |
string |
Sen objektin yksilöllinen tunnus, johon tallennettu toiminto on kohdistettu |
ReportId |
string |
Tapahtuman yksilöllinen tunnus |
AccountType |
string |
Käyttäjätilin tyyppi, joka ilmaisee sen yleisen roolin ja käyttöoikeustasot, kuten Säännöllinen, Järjestelmä, Hallinta, Sovellus |
IsExternalUser |
boolean |
Ilmaisee, eikö verkon sisällä oleva käyttäjä kuulu organisaation toimialueeseen |
IsImpersonated |
boolean |
Ilmaisee, suorittiko käyttäjä toiminnon toiselle (tekeytyneeksi) käyttäjälle |
IPTags |
dynamic |
Asiakkaan määrittämät tiedot, joita käytetään tietyissä IP-osoitteissa ja IP-osoitealueissa |
IPCategory |
string |
Lisätietoja IP-osoitteesta |
UserAgentTags |
dynamic |
Lisätietoja, jotka Microsoft Defender for Cloud Apps käyttäjäagentin kentässä. Voi sisältää mitä tahansa seuraavista arvoista: Native client, Outdated browser, Outdated operating system, Robot |
RawEventData |
dynamic |
Raakatapahtumatiedot lähdesovelluksesta tai -palvelusta JSON-muodossa |
AdditionalFields |
dynamic |
Lisätietoja entiteetistä tai tapahtumasta |
LastSeenForUser |
dynamic |
Ilmaisee, kuinka monta päivää on kulunut siitä, kun tietty määrite nähtiin viimeksi käyttäjälle. Arvo 0 tarkoittaa, että määrite nähtiin tänään, negatiivinen arvo ilmaisee, että määrite nähdään ensimmäistä kertaa, ja positiivinen arvo edustaa päivien määrää sen jälkeen, kun määrite nähtiin viimeksi. Esimerkiksi: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Lists tapahtuman määritteet, jotka ovat harvinaisia käyttäjälle, mikä auttaa sulkemaan pois false-positiiviset ja löytämään poikkeavuuksia. Esimerkki: ["ActivityType","ActionType"]. Jos haluat suodattaa pois muut kuinanomaaliset tulokset, tapahtumat, joilla on pieni tai merkityksetön suojausarvo, eivät käy läpi rikastusprosesseja, ja niiden arvo on "", kun taas suuret tapahtumat käyvät läpi rikastusprosessit, ja jos poikkeamia ei löydy, niiden arvo on "[]". |
AuditSource |
string |
Valvontatietolähde. Mahdolliset arvot ovat jokin seuraavista: - Defender for Cloud Apps käyttöoikeuksien valvonta - Defender for Cloud Apps istunnon hallinta – Defender for Cloud Apps sovellusliitin |
SessionData |
dynamic |
istuntotunnuksen Defender for Cloud Apps käyttöä tai istunnon hallintaa varten. Esimerkiksi: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Yksilöllinen tunnus, joka määritetään sovellukselle, kun se on rekisteröity Microsoft Entra OAuth 2.0 -protokollan kanssa. |
Katetut sovellukset ja palvelut
CloudAppEvents-taulukko sisältää täydennettyjä lokeja kaikista saaS-sovelluksista, jotka on yhdistetty Microsoft Defender for Cloud Apps, kuten:
- Office 365 ja Microsoft-sovellukset, mukaan lukien:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Yhdistä tuetut pilvisovellukset välittömään ja valmiiseen suojaukseen, sovelluksen käyttäjä- ja laitetoimintojen syvänäköisyyteen ja paljon muuta. Lisätietoja on artikkelissa Yhdistettyjen sovellusten suojaaminen pilvipalveluntarjoajan ohjelmointirajapinnoilla.