שתף באמצעות


CloudAppEvents

חל על:

  • Microsoft Defender XDR

הטבלה CloudAppEventsבסכימת הציד המתקדמות מכילה מידע אודות אירועים הכוללים חשבונות או אובייקטים ב- Office 365 ויישומים ושירותים אחרים בענן. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.

לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.

שם עמודה סוג נתונים תיאור
Timestamp datetime תאריך ושעה שבהם האירוע הוקלט
ActionType string סוג הפעילות שהפעילה את האירוע
Application string יישום שביצע את הפעולה המוקלטת
ApplicationId int מזהה ייחודי עבור היישום
AppInstanceId int מזהה ייחודי עבור המופע של יישום. כדי להמיר זאת ל- Microsoft Defender for Cloud Apps App-connector-ID, השתמש CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId
AccountObjectId string מזהה ייחודי עבור החשבון במזהה Entra של Microsoft
AccountId string מזהה עבור החשבון כפי שנמצא על-ידי Microsoft Defender for Cloud Apps. יכול להיות מזהה Entra של Microsoft, שם ראשי של משתמש או מזהים אחרים.
AccountDisplayName string השם המוצג בערך פנקס הכתובות עבור משתמש החשבון. זהו בדרך כלל שילוב של השם הנתון, ראשי התיבות האמצעיים ו שם המשפחה של המשתמש.
IsAdminOperation bool ציון אם הפעילות בוצעה על-ידי מנהל מערכת
DeviceType string סוג המכשיר בהתבסס על המטרה והפונקציונליות, כגון התקן רשת, תחנת עבודה, שרת, מכשירים ניידים, קונסולת משחקים או מדפסת
OSPlatform string פלטפורמת מערכת ההפעלה הפועלת במכשיר. עמודה זו מציינת מערכות הפעלה ספציפיות, כולל וריאציות בתוך אותה משפחה, כגון Windows 11, Windows 10 ו- Windows 7.
IPAddress string כתובת IP שהוקצתה למכשיר במהלך תקשורת
IsAnonymousProxy boolean ציון אם כתובת ה- IP שייכת ל- Proxy אנונימי ידוע
CountryCode string קוד דו-אותיות המציין את המדינה שבה כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי
City string עיר שבה כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי
Isp string ספק שירותי אינטרנט המשויך לכתובת ה- IP
UserAgent string פרטי סוכן משתמש מדפדפן האינטרנט או מיישום לקוח אחר
ActivityType string סוג הפעילות שהפעילה את האירוע
ActivityObjects dynamic רשימת אובייקטים, כגון קבצים או תיקיות, שהיו מעורבים בפעילות המוקלטת
ObjectName string שם האובייקט הפעולה המוקלטת הוחלה עליו
ObjectType string סוג אובייקט, כגון קובץ או תיקיה, הפעולה המוקלטת הוחלה עליו
ObjectId string מזהה ייחודי של האובייקט הפעולה המוקלטת הוחלה עליו
ReportId string מזהה ייחודי עבור האירוע
AccountType string סוג חשבון משתמש, המציין את התפקיד הכללי ואת רמות הגישה שלו, כגון Regular, System, Admin, Application
IsExternalUser boolean ציון אם משתמש בתוך הרשת אינו שייך לתחום של הארגון
IsImpersonated boolean ציון אם הפעילות בוצעה על-ידי משתמש אחד עבור משתמש אחר (מתחזה)
IPTags dynamic מידע המוגדר על-ידי הלקוח שחל על כתובות IP וטווחי כתובות IP ספציפיים
IPCategory string מידע נוסף אודות כתובת ה- IP
UserAgentTags dynamic מידע נוסף שסופק על-ידי Microsoft Defender for Cloud Apps בתוך תגית בשדה סוכן המשתמש. יכול להיות כל אחד מהערכים הבאים: Native client, Outdated browser, Outdated operating system, Robot
RawEventData dynamic פרטי אירוע גולמיים מיישום המקור או מהשירות המשמשים כמקור בתבנית JSON
AdditionalFields dynamic מידע נוסף אודות הישות או האירוע
LastSeenForUser string מציג כמה ימים אחורה התכונה היתה בשימוש לאחרונה על-ידי המשתמש בימים (כלומר, ISP, ActionType וכולי)
UncommonForUser string פירוט התכונות באירוע שאינה נדירה עבור המשתמש, שימוש בנתונים אלה כדי לסייע בהתבטלות של תוצאות חיוביות מוטעות וגילו חריגות
AuditSource string ביקורת מקור נתונים, כולל אחת מהאפשרויות הבאות:
- בקרת גישה של Defender for Cloud Apps
- בקרת הפעלה של Defender for Cloud Apps
- מחבר אפליקציית Defender for Cloud Apps
SessionData dynamic מזהה ההפעלה של Defender for Cloud Apps לגישה או לבקרת הפעלה. לדוגמה: {InLineSessionId:"232342"}
OAuthAppId string מזהה ייחודי המוקצה ליישום כאשר הוא רשום ב- Entra עם OAuth 2.0

אפליקציות ושירותים מכוסים

הטבלה CloudAppEvents מכילה יומנים מועשרים מכל יישומי SaaS המחוברים ל- Microsoft Defender for Cloud Apps, כגון:

  • יישומי Office 365 ו- Microsoft, כולל:
    • Lync for Mac 2011
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype for Business
    • Viva Engage
    • Power Automate
    • Power BI
    • תיבת דואר נפתחת
    • מערך מכירות
    • GitHub
    • אטלסיאן

חבר אפליקציות ענן נתמכות לקבלת הגנה מיידית וממוקנת, ניראות עמוקה של פעילויות המשתמש והמכשיר של האפליקציה ועוד. לקבלת מידע נוסף, ראה הגנה על אפליקציות מחוברות באמצעות ממשקי API של ספק שירותי ענן.