CloudAppEvents
S’applique à :
- Microsoft Defender XDR
Le CloudAppEvents tableau du schéma de repérage avancé contient des informations sur les événements impliquant des comptes et des objets dans Office 365 et d’autres applications et services cloud. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
ActionType |
string |
Type d’activité qui a déclenché l’événement |
Application |
string |
Application qui a effectué l’action enregistrée |
ApplicationId |
int |
Identificateur unique de l’application |
AppInstanceId |
int |
Identificateur unique pour l’instance d’une application. Pour le convertir en Id-connecteur d’application Microsoft Defender for Cloud Apps, utilisez CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Identificateur unique du compte dans l’ID Microsoft Entra |
AccountId |
string |
Identificateur du compte tel que trouvé par Microsoft Defender for Cloud Apps. Il peut s’agir de l’ID Microsoft Entra, du nom d’utilisateur principal ou d’autres identificateurs. |
AccountDisplayName |
string |
Nom affiché dans l’entrée du carnet d’adresses de l’utilisateur du compte. Il s’agit généralement d’une combinaison du prénom, de l’initiale du deuxième prénom et du nom de famille de l’utilisateur. |
IsAdminOperation |
bool |
Indique si l’activité a été effectuée par un administrateur |
DeviceType |
string |
Type d’appareil en fonction de l’objectif et des fonctionnalités, tels que l’appareil réseau, la station de travail, le serveur, le mobile, la console de jeu ou l’imprimante |
OSPlatform |
string |
Plateforme du système d’exploitation en cours d’exécution sur l’appareil. Cette colonne indique des systèmes d’exploitation spécifiques, y compris les variantes au sein de la même famille, telles que Windows 11, Windows 10 et Windows 7. |
IPAddress |
string |
Adresse IP affectée à l’appareil pendant la communication |
IsAnonymousProxy |
boolean |
Indique si l’adresse IP appartient à un proxy anonyme connu |
CountryCode |
string |
Code à deux lettres indiquant le pays où l’adresse IP du client est géolocalisée |
City |
string |
Ville où l’adresse IP du client est géolocalisée |
Isp |
string |
Fournisseur de services Internet associé à l’adresse IP |
UserAgent |
string |
Informations de l’agent utilisateur à partir du navigateur web ou d’une autre application cliente |
ActivityType |
string |
Type d’activité qui a déclenché l’événement |
ActivityObjects |
dynamic |
Liste des objets, tels que des fichiers ou des dossiers, qui ont été impliqués dans l’activité enregistrée |
ObjectName |
string |
Nom de l’objet auquel l’action enregistrée a été appliquée |
ObjectType |
string |
Type d’objet, tel qu’un fichier ou un dossier, auquel l’action enregistrée a été appliquée |
ObjectId |
string |
Identificateur unique de l’objet auquel l’action enregistrée a été appliquée |
ReportId |
string |
Identificateur unique de l’événement |
AccountType |
string |
Type de compte d’utilisateur, indiquant son rôle général et ses niveaux d’accès, tels que Standard, Système, Administrateur, Application |
IsExternalUser |
boolean |
Indique si un utilisateur à l’intérieur du réseau n’appartient pas au domaine de l’organisation |
IsImpersonated |
boolean |
Indique si l’activité a été effectuée par un utilisateur pour un autre utilisateur (emprunt d’identité) |
IPTags |
dynamic |
Informations définies par le client appliquées à des adresses IP et des plages d’adresses IP spécifiques |
IPCategory |
string |
Informations supplémentaires sur l’adresse IP |
UserAgentTags |
dynamic |
Plus d’informations fournies par Microsoft Defender for Cloud Apps dans une balise dans le champ de l’agent utilisateur. Peut avoir l’une des valeurs suivantes : Client natif, Navigateur obsolète, Système d’exploitation obsolète, Robot |
RawEventData |
dynamic |
Informations brutes sur les événements de l’application ou du service source au format JSON |
AdditionalFields |
dynamic |
Informations supplémentaires sur l’entité ou l’événement |
LastSeenForUser |
string |
Indique le nombre de jours précédents pendant lesquels l’attribut a été récemment utilisé par l’utilisateur en jours (par exemple, ISP, ActionType, etc.) |
UncommonForUser |
string |
Répertorie les attributs dans le cas qui sont rares pour l’utilisateur, en utilisant ces données pour aider à exclure les faux positifs et à détecter les anomalies |
AuditSource |
string |
Source de données d’audit, notamment l’une des suivantes : - Contrôle d’accès Defender for Cloud Apps - Contrôle de session Defender for Cloud Apps - Connecteur d’application Defender for Cloud Apps |
SessionData |
dynamic |
ID de session Defender for Cloud Apps pour l’accès ou le contrôle de session. Par exemple : {InLineSessionId:"232342"} |
OAuthAppId |
string |
Identificateur unique affecté à une application lorsqu’elle est inscrite auprès d’Entra avec OAuth 2.0 |
Applications et services couverts
La table CloudAppEvents contient des journaux enrichis de toutes les applications SaaS connectées à Microsoft Defender for Cloud Apps, par exemple :
- Applications Office 365 et Microsoft, notamment :
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype Entreprise
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Connectez les applications cloud prises en charge pour une protection instantanée et prête à l’emploi, une visibilité approfondie des activités des utilisateurs et des appareils de l’application, et bien plus encore. Pour plus d’informations, consultez Protéger les applications connectées à l’aide des API de fournisseur de services cloud.