Partage via

CloudAppEvents

  • Article

S’applique à :

  • Microsoft Defender XDR

Le CloudAppEvents tableau du schéma de repérage avancé contient des informations sur les événements impliquant des comptes et des objets dans Office 365 et d’autres applications et services cloud. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
ActionType string Type d’activité qui a déclenché l’événement
Application string Application qui a effectué l’action enregistrée
ApplicationId int Identificateur unique de l’application
AppInstanceId int Identificateur unique pour l’instance d’une application. Pour la convertir en Id-connecteur d’application Microsoft Defender for Cloud Apps, utilisez CloudAppEvents|distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId)|order by ApplicationId,AppInstanceId
AccountObjectId string Identificateur unique du compte dans l’ID Microsoft Entra
AccountId string Identificateur du compte tel que trouvé par Microsoft Defender for Cloud Apps. Il peut s’agir de l’ID Microsoft Entra, du nom d’utilisateur principal ou d’autres identificateurs.
AccountDisplayName string Nom affiché dans l’entrée du carnet d’adresses de l’utilisateur du compte. Il s’agit généralement d’une combinaison du prénom, de l’initiale du deuxième prénom et du nom de famille de l’utilisateur.
IsAdminOperation bool Indique si l’activité a été effectuée par un administrateur
DeviceType string Type d’appareil en fonction de l’objectif et des fonctionnalités, tels que l’appareil réseau, la station de travail, le serveur, le mobile, la console de jeu ou l’imprimante
OSPlatform string Plateforme du système d’exploitation en cours d’exécution sur l’appareil. Cette colonne indique des systèmes d’exploitation spécifiques, y compris les variantes au sein de la même famille, telles que Windows 11, Windows 10 et Windows 7.
IPAddress string Adresse IP affectée à l’appareil pendant la communication
IsAnonymousProxy boolean Indique si l’adresse IP appartient à un proxy anonyme connu
CountryCode string Code à deux lettres indiquant le pays où l’adresse IP du client est géolocalisée
City string Ville où l’adresse IP du client est géolocalisée
Isp string Fournisseur de services Internet associé à l’adresse IP
UserAgent string Informations de l’agent utilisateur à partir du navigateur web ou d’une autre application cliente
ActivityType string Type d’activité qui a déclenché l’événement
ActivityObjects dynamic Liste des objets, tels que des fichiers ou des dossiers, qui ont été impliqués dans l’activité enregistrée
ObjectName string Nom de l’objet auquel l’action enregistrée a été appliquée
ObjectType string Type d’objet, tel qu’un fichier ou un dossier, auquel l’action enregistrée a été appliquée
ObjectId string Identificateur unique de l’objet auquel l’action enregistrée a été appliquée
ReportId string Identificateur unique de l’événement
AccountType string Type de compte d’utilisateur, indiquant son rôle général et ses niveaux d’accès, tels que Standard, Système, Administrateur, Application
IsExternalUser boolean Indique si un utilisateur à l’intérieur du réseau n’appartient pas au domaine de l’organisation
IsImpersonated boolean Indique si l’activité a été effectuée par un utilisateur pour un autre utilisateur (emprunt d’identité)
IPTags dynamic Informations définies par le client appliquées à des adresses IP et des plages d’adresses IP spécifiques
IPCategory string Informations supplémentaires sur l’adresse IP
UserAgentTags dynamic Plus d’informations fournies par Microsoft Defender for Cloud Apps dans une balise dans le champ de l’agent utilisateur. Peut avoir l’une des valeurs suivantes : Client natif, Navigateur obsolète, Système d’exploitation obsolète, Robot
RawEventData dynamic Informations brutes sur les événements de l’application ou du service source au format JSON
AdditionalFields dynamic Informations supplémentaires sur l’entité ou l’événement
LastSeenForUser string Indique le nombre de jours précédents pendant lesquels l’attribut a été récemment utilisé par l’utilisateur en jours (par exemple, ISP, ActionType, etc.)
UncommonForUser string Répertorie les attributs dans le cas qui sont rares pour l’utilisateur, en utilisant ces données pour aider à exclure les faux positifs et à détecter les anomalies
AuditSource string Source de données d’audit, notamment l’une des suivantes :
- Contrôle d’accès Defender for Cloud Apps
- Contrôle de session Defender for Cloud Apps
- Connecteur d’application Defender for Cloud Apps
SessionData dynamic ID de session Defender for Cloud Apps pour l’accès ou le contrôle de session. Par exemple : {InLineSessionId:"232342"}

Applications et services couverts

La table CloudAppEvents contient des journaux enrichis de toutes les applications SaaS connectées à Microsoft Defender for Cloud Apps, par exemple :

  • Applications Office 365 et Microsoft, notamment :
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype Entreprise
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

Connectez les applications cloud prises en charge pour une protection instantanée et prête à l’emploi, une visibilité approfondie des activités des utilisateurs et des appareils de l’application, et bien plus encore. Pour plus d’informations, consultez Protéger les applications connectées à l’aide des API de fournisseur de services cloud.