Megosztás a következőn keresztül:


CloudAppEvents

Érintett szolgáltatás:

  • Microsoft Defender XDR

A CloudAppEventsspeciális veszélyforrás-keresési séma táblázata információkat tartalmaz az Office 365-ös fiókokat és objektumokat, valamint más felhőalkalmazásokat és -szolgáltatásokat érintő eseményekről. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
ActionType string Az eseményt kiváltó tevékenység típusa
Application string A rögzített műveletet végrehajtó alkalmazás
ApplicationId int Az alkalmazás egyedi azonosítója
AppInstanceId int Az alkalmazáspéldány egyedi azonosítója. A cloud apps-hez készült Microsoft Defender alkalmazás-összekötő-azonosítóvá alakításához használja a következőt: CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId
AccountObjectId string A fiók egyedi azonosítója a Microsoft Entra-azonosítóban
AccountId string A Fiók azonosítója a Microsoft Defender for Cloud Appsben. Lehet Microsoft Entra-azonosító, egyszerű felhasználónév vagy más azonosító.
AccountDisplayName string A fiókfelhasználó címjegyzék-bejegyzésében megjelenített név. Ez általában a felhasználó utóneve, középső monogramja és vezetékneve.
IsAdminOperation bool Azt jelzi, hogy a tevékenységet rendszergazda hajtotta-e végre
DeviceType string Az eszköz típusa a rendeltetés és a funkciók, például a hálózati eszköz, a munkaállomás, a kiszolgáló, a mobil, a játékkonzol vagy a nyomtató alapján
OSPlatform string Az eszközön futó operációs rendszer platformja. Ez az oszlop adott operációs rendszereket jelöl, beleértve az ugyanazon családon belüli változatokat, például a Windows 11, a Windows 10 és a Windows 7 rendszert.
IPAddress string Az eszközhöz a kommunikáció során hozzárendelt IP-cím
IsAnonymousProxy boolean Azt jelzi, hogy az IP-cím egy ismert névtelen proxyhoz tartozik-e
CountryCode string Kétbetűs kód, amely azt az országot jelzi, ahol az ügyfél IP-címe földrajzilag van elhelyezve
City string Az ügyfél IP-címének földrajzi helyének helye
Isp string Az IP-címhez társított internetszolgáltató
UserAgent string A böngészőből vagy más ügyfélalkalmazásból származó felhasználói ügynök adatai
ActivityType string Az eseményt kiváltó tevékenység típusa
ActivityObjects dynamic A rögzített tevékenységben érintett objektumok, például fájlok vagy mappák listája
ObjectName string Annak az objektumnak a neve, amelyre a rögzített műveletet alkalmazták
ObjectType string Az objektum típusa, például egy fájl vagy mappa, amelyekre a rögzített műveletet alkalmazták
ObjectId string Annak az objektumnak az egyedi azonosítója, amelyre a rögzített műveletet alkalmazták
ReportId string Az esemény egyedi azonosítója
AccountType string A felhasználói fiók típusa, amely az általános szerepkörét és hozzáférési szintjeit jelzi, például Normál, Rendszer, Rendszergazda, Alkalmazás
IsExternalUser boolean Azt jelzi, hogy a hálózaton belüli felhasználó nem tartozik-e a szervezet tartományához
IsImpersonated boolean Azt jelzi, hogy a tevékenységet egy felhasználó hajtotta-e végre egy másik (megszemélyesített) felhasználó számára
IPTags dynamic Adott IP-címekre és IP-címtartományokra alkalmazott ügyfélalapú információk
IPCategory string További információ az IP-címről
UserAgentTags dynamic A Microsoft Defender for Cloud Apps által a felhasználói ügynök mezőjében található címkével kapcsolatos további információk. A következő értékek bármelyikével rendelkezhet: Natív ügyfél, Elavult böngésző, Elavult operációs rendszer, Robot
RawEventData dynamic Nyers eseményinformációk a forrásalkalmazásból vagy szolgáltatásból JSON formátumban
AdditionalFields dynamic További információ az entitásról vagy eseményről
LastSeenForUser string Megmutatja, hogy hány nappal korábban használta a felhasználó az attribútumot napokban (például isp, ActionType stb.).
UncommonForUser string Felsorolja azokat az attribútumokat az eseményben, amelyek nem gyakoriak a felhasználó számára. Ezek az adatok segítenek kizárni a téves riasztásokat, és kiszűrni az anomáliákat
AuditSource string Az adatforrás naplózása, beleértve az alábbiak egyikét:
– A Defender for Cloud Apps hozzáférés-vezérlése
– A Defender for Cloud Apps munkamenet-vezérlése
– A Defender for Cloud Apps alkalmazás-összekötője
SessionData dynamic A Defender for Cloud Apps munkamenet-azonosítója a hozzáféréshez vagy a munkamenet-vezérléshez. Például: {InLineSessionId:"232342"}
OAuthAppId string Egyedi azonosító, amely akkor van hozzárendelve egy alkalmazáshoz, ha az OAuth 2.0-val regisztrálva van az Entra-hoz

Érintett alkalmazások és szolgáltatások

A CloudAppEvents tábla a Microsoft Defender for Cloud Appshez csatlakoztatott összes SaaS-alkalmazás bővített naplóit tartalmazza, például:

  • Office 365 és Microsoft-alkalmazások, beleértve a következőket:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype Vállalati verzió
    • Microsoft Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

A támogatott felhőalkalmazások csatlakoztatása azonnali, azonnal használható védelemhez, az alkalmazás felhasználói és eszköztevékenységeinek részletes áttekintéséhez és egyebekhez. További információ: Csatlakoztatott alkalmazások védelme felhőszolgáltatói API-k használatával.