CloudAppEvents

  • מאמר

חל על:

  • Microsoft Defender XDR

הטבלה CloudAppEventsבסכימת הציד המתקדמות מכילה מידע אודות אירועים הכוללים חשבונות או אובייקטים ב- Office 365 ובאפליקציות ושירותים אחרים בענן. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.

לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.

שם עמודה סוג נתונים תיאור
Timestamp datetime תאריך ושעה שבהם האירוע הוקלט
ActionType string סוג הפעילות שהפעילה את האירוע
Application string יישום שביצע את הפעולה המוקלטת
ApplicationId int מזהה ייחודי עבור היישום
AppInstanceId int מזהה ייחודי עבור המופע של יישום. כדי להמיר זאת יישומי ענן של Microsoft Defender App-connector-IDCloudAppEvents|distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId)|order by ApplicationId,AppInstanceId
AccountObjectId string מזהה ייחודי עבור החשבון Microsoft Entra מזהה
AccountId string מזהה עבור החשבון כפי שנמצא על-ידי יישומי ענן של Microsoft Defender. יכול להיות Microsoft Entra מזהה, שם ראשי של משתמש או מזהים אחרים.
AccountDisplayName string השם המוצג בערך פנקס הכתובות עבור משתמש החשבון. זהו בדרך כלל שילוב של השם הנתון, ראשי התיבות האמצעיים ו שם המשפחה של המשתמש.
IsAdminOperation bool ציון אם הפעילות בוצעה על-ידי מנהל מערכת
DeviceType string סוג המכשיר בהתבסס על המטרה והפונקציונליות, כגון התקן רשת, תחנת עבודה, שרת, מכשירים ניידים, קונסולת משחקים או מדפסת
OSPlatform string פלטפורמת מערכת ההפעלה הפועלת במכשיר. עמודה זו מציינת מערכות הפעלה ספציפיות, כולל וריאציות בתוך אותה משפחה, כגון Windows 11, Windows 10 ו- Windows 7.
IPAddress string כתובת IP שהוקצתה למכשיר במהלך תקשורת
IsAnonymousProxy boolean ציון אם כתובת ה- IP שייכת ל- Proxy אנונימי ידוע
CountryCode string קוד דו-אותיות המציין את המדינה שבה כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי
City string עיר שבה כתובת ה- IP של הלקוח נמצאת במיקום גיאוגרפי
Isp string ספק שירותי אינטרנט המשויך לכתובת ה- IP
UserAgent string פרטי סוכן משתמש מדפדפן האינטרנט או מיישום לקוח אחר
ActivityType string סוג הפעילות שהפעילה את האירוע
ActivityObjects dynamic רשימת אובייקטים, כגון קבצים או תיקיות, שהיו מעורבים בפעילות המוקלטת
ObjectName string שם האובייקט הפעולה המוקלטת הוחלה עליו
ObjectType string סוג אובייקט, כגון קובץ או תיקיה, הפעולה המוקלטת הוחלה עליו
ObjectId string מזהה ייחודי של האובייקט הפעולה המוקלטת הוחלה עליו
ReportId string מזהה ייחודי עבור האירוע
AccountType string סוג חשבון משתמש, המציין את התפקיד הכללי ואת רמות הגישה שלו, כגון Regular, System, מרכז הניהול, Application
IsExternalUser boolean ציון אם משתמש בתוך הרשת אינו שייך לתחום של הארגון
IsImpersonated boolean ציון אם הפעילות בוצעה על-ידי משתמש אחד עבור משתמש אחר (מתחזה)
IPTags dynamic מידע המוגדר על-ידי הלקוח שחל על כתובות IP וטווחי כתובות IP ספציפיים
IPCategory string מידע נוסף אודות כתובת ה- IP
UserAgentTags dynamic מידע נוסף המסופק יישומי ענן של Microsoft Defender-ידי משתמש בתוך תגית בשדה סוכן משתמש. יכול להיות כל אחד מהערכים הבאים: Native client, Outdated browser, Outdated operating system, Robot
RawEventData dynamic פרטי אירוע גולמיים מיישום המקור או מהשירות המשמשים כמקור בתבנית JSON
AdditionalFields dynamic מידע נוסף אודות הישות או האירוע
LastSeenForUser string מציג כמה ימים אחורה התכונה היתה בשימוש לאחרונה על-ידי המשתמש בימים (כלומר, ISP, ActionType וכולי)
UncommonForUser string רשימות את התכונות באירוע שאינה נדירה עבור המשתמש, שימוש בנתונים אלה כדי למנוע תוצאות חיוביות מוטעות ולברר חריגות

אפליקציות ושירותים מכוסים

הטבלה CloudAppEvents מכילה יומנים מועשרים מכל יישומי SaaS המחוברים יישומי ענן של Microsoft Defender, כגון:

  • Office 365 ואפליקציות של Microsoft, כולל:
    • Lync for Mac 2011
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype for Business
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • מערך מכירות
    • GitHub
    • אטלסיאן

חבר אפליקציות ענן נתמכות לקבלת הגנה מיידית וממוקנת, ניראות עמוקה של פעילויות המשתמש והמכשיר של האפליקציה ועוד. לקבלת מידע נוסף, ראה הגנה על אפליקציות מחוברות באמצעות ממשקי API של ספק שירותי ענן.