CloudAppEvents
חל על:
- Microsoft Defender XDR
הטבלה CloudAppEvents
בסכימת הציד המתקדמות מכילה מידע אודות אירועים הכוללים חשבונות או אובייקטים ב- Office 365 ויישומים ושירותים אחרים בענן. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
שם עמודה | סוג נתונים | תיאור |
---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
ActionType |
string |
סוג הפעילות שהפעילה את האירוע |
Application |
string |
יישום שביצע את הפעולה המוקלטת |
ApplicationId |
int |
מזהה ייחודי עבור היישום |
AppInstanceId |
int |
מזהה ייחודי עבור המופע של יישום. כדי להמיר זאת ל- Microsoft Defender for Cloud Apps App-connector-ID, השתמש CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
מזהה ייחודי עבור החשבון במזהה Entra של Microsoft |
AccountId |
string |
מזהה עבור החשבון כפי שנמצא על-ידי Microsoft Defender for Cloud Apps. יכול להיות מזהה Entra של Microsoft, שם ראשי של משתמש או מזהים אחרים. |
AccountDisplayName |
string |
השם המוצג בערך פנקס הכתובות עבור משתמש החשבון. זהו בדרך כלל שילוב של השם הנתון, ראשי התיבות האמצעיים ו שם המשפחה של המשתמש. |
IsAdminOperation |
bool |
ציון אם הפעילות בוצעה על-ידי מנהל מערכת |
DeviceType |
string |
סוג המכשיר בהתבסס על המטרה והפונקציונליות, כגון התקן רשת, תחנת עבודה, שרת, מכשירים ניידים, קונסולת משחקים או מדפסת |
OSPlatform |
string |
פלטפורמת מערכת ההפעלה הפועלת במכשיר. עמודה זו מציינת מערכות הפעלה ספציפיות, כולל וריאציות בתוך אותה משפחה, כגון Windows 11, Windows 10 ו- Windows 7. |
IPAddress |
string |
כתובת IP שהוקצתה למכשיר במהלך תקשורת |
IsAnonymousProxy |
boolean |
ציון אם כתובת ה- IP שייכת ל- Proxy אנונימי ידוע |
CountryCode |
string |
קוד דו-אותיות המציין את המדינה שבה כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי |
City |
string |
עיר שבה כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי |
Isp |
string |
ספק שירותי אינטרנט המשויך לכתובת ה- IP |
UserAgent |
string |
פרטי סוכן משתמש מדפדפן האינטרנט או מיישום לקוח אחר |
ActivityType |
string |
סוג הפעילות שהפעילה את האירוע |
ActivityObjects |
dynamic |
רשימת אובייקטים, כגון קבצים או תיקיות, שהיו מעורבים בפעילות המוקלטת |
ObjectName |
string |
שם האובייקט הפעולה המוקלטת הוחלה עליו |
ObjectType |
string |
סוג אובייקט, כגון קובץ או תיקיה, הפעולה המוקלטת הוחלה עליו |
ObjectId |
string |
מזהה ייחודי של האובייקט הפעולה המוקלטת הוחלה עליו |
ReportId |
string |
מזהה ייחודי עבור האירוע |
AccountType |
string |
סוג חשבון משתמש, המציין את התפקיד הכללי ואת רמות הגישה שלו, כגון Regular, System, Admin, Application |
IsExternalUser |
boolean |
ציון אם משתמש בתוך הרשת אינו שייך לתחום של הארגון |
IsImpersonated |
boolean |
ציון אם הפעילות בוצעה על-ידי משתמש אחד עבור משתמש אחר (מתחזה) |
IPTags |
dynamic |
מידע המוגדר על-ידי הלקוח שחל על כתובות IP וטווחי כתובות IP ספציפיים |
IPCategory |
string |
מידע נוסף אודות כתובת ה- IP |
UserAgentTags |
dynamic |
מידע נוסף שסופק על-ידי Microsoft Defender for Cloud Apps בתוך תגית בשדה סוכן המשתמש. יכול להיות כל אחד מהערכים הבאים: Native client, Outdated browser, Outdated operating system, Robot |
RawEventData |
dynamic |
פרטי אירוע גולמיים מיישום המקור או מהשירות המשמשים כמקור בתבנית JSON |
AdditionalFields |
dynamic |
מידע נוסף אודות הישות או האירוע |
LastSeenForUser |
string |
מציג כמה ימים אחורה התכונה היתה בשימוש לאחרונה על-ידי המשתמש בימים (כלומר, ISP, ActionType וכולי) |
UncommonForUser |
string |
פירוט התכונות באירוע שאינה נדירה עבור המשתמש, שימוש בנתונים אלה כדי לסייע בהתבטלות של תוצאות חיוביות מוטעות וגילו חריגות |
AuditSource |
string |
ביקורת מקור נתונים, כולל אחת מהאפשרויות הבאות: - בקרת גישה של Defender for Cloud Apps - בקרת הפעלה של Defender for Cloud Apps - מחבר אפליקציית Defender for Cloud Apps |
SessionData |
dynamic |
מזהה ההפעלה של Defender for Cloud Apps לגישה או לבקרת הפעלה. לדוגמה: {InLineSessionId:"232342"} |
OAuthAppId |
string |
מזהה ייחודי המוקצה ליישום כאשר הוא רשום ב- Entra עם OAuth 2.0 |
אפליקציות ושירותים מכוסים
הטבלה CloudAppEvents מכילה יומנים מועשרים מכל יישומי SaaS המחוברים ל- Microsoft Defender for Cloud Apps, כגון:
- יישומי Office 365 ו- Microsoft, כולל:
- Lync for Mac 2011
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- תיבת דואר נפתחת
- מערך מכירות
- GitHub
- אטלסיאן
חבר אפליקציות ענן נתמכות לקבלת הגנה מיידית וממוקנת, ניראות עמוקה של פעילויות המשתמש והמכשיר של האפליקציה ועוד. לקבלת מידע נוסף, ראה הגנה על אפליקציות מחוברות באמצעות ממשקי API של ספק שירותי ענן.