CloudAppEvents
Koskee seuraavia:
- Microsoft Defender XDR
CloudAppEvents
Kehittyneen metsästysrakenteen taulukko sisältää tietoja tapahtumista, joihin liittyy tilejä ja objekteja Office 365:ssä ja muissa pilvisovelluksissa ja -palveluissa. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
ActionType |
string |
Tapahtuman käynnistäneen toiminnon tyyppi |
Application |
string |
Sovellus, joka suoritti tallennetun toiminnon |
ApplicationId |
int |
Sovelluksen yksilöllinen tunnus |
AppInstanceId |
int |
Sovelluksen esiintymän yksilöllinen tunnus. Jos haluat muuntaa tämän Microsoft Defender for Cloud Apps app-connector-ID:ksi, käytä CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra -tunnuksella |
AccountId |
string |
Tilin tunniste, jonka Microsoft Defender on löytänyt pilvisovelluksille. Tämä voi olla Microsoft Entra -tunnus, täydellinen käyttäjätunnus tai muu tunniste. |
AccountDisplayName |
string |
Nimi, joka näkyy tilin käyttäjän osoitteistomerkinnässä. Tämä on yleensä käyttäjän etunimen, keskimmäisen alkukirjaimen ja sukunimen yhdistelmä. |
IsAdminOperation |
bool |
Ilmaisee, suorittiko toiminnon järjestelmänvalvoja |
DeviceType |
string |
Laitteen tyyppi tarkoituksen ja toiminnallisuuden, kuten verkkolaitteen, työaseman, palvelimen, mobiililaitteen, pelikonsolin tai tulostimen, perusteella |
OSPlatform |
string |
Laitteessa käynnissä olevan käyttöjärjestelmän käyttöympäristö. Tämä sarake ilmaisee tiettyjä käyttöjärjestelmiä, mukaan lukien variaatiot samassa perheessä, kuten Windows 11, Windows 10 ja Windows 7. |
IPAddress |
string |
Laitteelle tietoliikenteen aikana määritetty IP-osoite |
IsAnonymousProxy |
boolean |
Ilmaisee, kuuluuko IP-osoite tunnettuun anonyymiin välityspalvelimeen |
CountryCode |
string |
Kaksikirjaiminen koodi, joka ilmaisee maan, jossa asiakkaan IP-osoite on maantieteellisesti |
City |
string |
Paikka, jossa asiakkaan IP-osoite on geolokattu |
Isp |
string |
IP-osoitteeseen liittyvä Internet-palveluntarjoaja |
UserAgent |
string |
Käyttäjäagentin tiedot selaimesta tai muusta asiakassovelluksesta |
ActivityType |
string |
Tapahtuman käynnistäneen toiminnon tyyppi |
ActivityObjects |
dynamic |
Tallennettuun toimintoon osallistuneiden objektien, kuten tiedostojen tai kansioiden, luettelo |
ObjectName |
string |
Sen objektin nimi, johon tallennettu toiminto on kohdistettu |
ObjectType |
string |
Sen objektin tyyppi, kuten tiedosto tai kansio, johon tallennettu toiminto suoritettiin |
ObjectId |
string |
Sen objektin yksilöllinen tunnus, johon tallennettu toiminto on kohdistettu |
ReportId |
string |
Tapahtuman yksilöllinen tunnus |
AccountType |
string |
Käyttäjätilin tyyppi, joka ilmaisee sen yleisen roolin ja käyttöoikeustasot, kuten Säännöllinen, Järjestelmä, Järjestelmänvalvoja, Sovellus |
IsExternalUser |
boolean |
Ilmaisee, eikö verkon sisällä oleva käyttäjä kuulu organisaation toimialueeseen |
IsImpersonated |
boolean |
Ilmaisee, suorittiko käyttäjä toiminnon toiselle (tekeytyneeksi) käyttäjälle |
IPTags |
dynamic |
Asiakkaan määrittämät tiedot, joita käytetään tietyissä IP-osoitteissa ja IP-osoitealueissa |
IPCategory |
string |
Lisätietoja IP-osoitteesta |
UserAgentTags |
dynamic |
Lisätietoja on Microsoft Defender for Cloud Appsin toimittamassa tunnisteessa käyttäjäagentin kentässä. Voi sisältää mitä tahansa seuraavista arvoista: Native client, Outdated browser, Outdated operating system, Robot |
RawEventData |
dynamic |
Raakatapahtumatiedot lähdesovelluksesta tai -palvelusta JSON-muodossa |
AdditionalFields |
dynamic |
Lisätietoja entiteetistä tai tapahtumasta |
LastSeenForUser |
string |
Näyttää, kuinka monta päivää sitten käyttäjä on käyttänyt määritettä äskettäin (kuten ISP tai ActionType) |
UncommonForUser |
string |
Luettelee tapahtuman määritteet, jotka ovat harvinaisia käyttäjälle. Näiden tietojen avulla voidaan sulkea pois false-positiiviset arvot ja selvittää poikkeavuudet |
AuditSource |
string |
Valvontatietolähde, mukaan lukien jokin seuraavista: - Defender for Cloud Appsin käyttöoikeuksien valvonta - Defender for Cloud Apps -istunnon hallinta - Defender for Cloud Apps -sovellusliitin |
SessionData |
dynamic |
Defender for Cloud Apps -istuntotunnus käyttöä tai istunnon hallintaa varten. Esimerkiksi: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Yksilöllinen tunniste, joka määritetään sovellukselle, kun se on rekisteröity Entraan OAuth 2.0:ssa |
Katetut sovellukset ja palvelut
CloudAppEvents-taulukko sisältää täydennettyjä lokeja kaikista SaaS-sovelluksista, jotka on yhdistetty Microsoft Defender for Cloud Appsiin, kuten:
- Office 365 ja Microsoft-sovellukset, mukaan lukien:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Yhdistä tuetut pilvisovellukset välittömään ja valmiiseen suojaukseen, sovelluksen käyttäjä- ja laitetoimintojen syvänäköisyyteen ja paljon muuta. Lisätietoja on artikkelissa Yhdistettyjen sovellusten suojaaminen pilvipalveluntarjoajan ohjelmointirajapinnoilla.