CloudAppEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
A CloudAppEventsspeciális veszélyforrás-keresési séma táblázata információkat tartalmaz az Office 365-ös fiókokat és objektumokat, valamint más felhőalkalmazásokat és -szolgáltatásokat érintő eseményekről. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
| Oszlopnév | Adattípus | Leírás |
|---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa |
Application |
string |
A rögzített műveletet végrehajtó alkalmazás |
ApplicationId |
int |
Az alkalmazás egyedi azonosítója |
AppInstanceId |
int |
Az alkalmazáspéldány egyedi azonosítója. A cloud apps-hez készült Microsoft Defender alkalmazás-összekötő-azonosítóvá alakításához használja a következőt: CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
A fiók egyedi azonosítója a Microsoft Entra-azonosítóban |
AccountId |
string |
A Fiók azonosítója a Microsoft Defender for Cloud Appsben. Lehet Microsoft Entra-azonosító, egyszerű felhasználónév vagy más azonosító. |
AccountDisplayName |
string |
A fiókfelhasználó címjegyzék-bejegyzésében megjelenített név. Ez általában a felhasználó utóneve, középső monogramja és vezetékneve. |
IsAdminOperation |
bool |
Azt jelzi, hogy a tevékenységet rendszergazda hajtotta-e végre |
DeviceType |
string |
Az eszköz típusa a rendeltetés és a funkciók, például a hálózati eszköz, a munkaállomás, a kiszolgáló, a mobil, a játékkonzol vagy a nyomtató alapján |
OSPlatform |
string |
Az eszközön futó operációs rendszer platformja. Ez az oszlop adott operációs rendszereket jelöl, beleértve az ugyanazon családon belüli változatokat, például a Windows 11, a Windows 10 és a Windows 7 rendszert. |
IPAddress |
string |
Az eszközhöz a kommunikáció során hozzárendelt IP-cím |
IsAnonymousProxy |
boolean |
Azt jelzi, hogy az IP-cím egy ismert névtelen proxyhoz tartozik-e |
CountryCode |
string |
Kétbetűs kód, amely azt az országot jelzi, ahol az ügyfél IP-címe földrajzilag van elhelyezve |
City |
string |
Az ügyfél IP-címének földrajzi helyének helye |
Isp |
string |
Az IP-címhez társított internetszolgáltató |
UserAgent |
string |
A böngészőből vagy más ügyfélalkalmazásból származó felhasználói ügynök adatai |
ActivityType |
string |
Az eseményt kiváltó tevékenység típusa |
ActivityObjects |
dynamic |
A rögzített tevékenységben érintett objektumok, például fájlok vagy mappák listája |
ObjectName |
string |
Annak az objektumnak a neve, amelyre a rögzített műveletet alkalmazták |
ObjectType |
string |
Az objektum típusa, például egy fájl vagy mappa, amelyekre a rögzített műveletet alkalmazták |
ObjectId |
string |
Annak az objektumnak az egyedi azonosítója, amelyre a rögzített műveletet alkalmazták |
ReportId |
string |
Az esemény egyedi azonosítója |
AccountType |
string |
A felhasználói fiók típusa, amely az általános szerepkörét és hozzáférési szintjeit jelzi, például Normál, Rendszer, Rendszergazda, Alkalmazás |
IsExternalUser |
boolean |
Azt jelzi, hogy a hálózaton belüli felhasználó nem tartozik-e a szervezet tartományához |
IsImpersonated |
boolean |
Azt jelzi, hogy a tevékenységet egy felhasználó hajtotta-e végre egy másik (megszemélyesített) felhasználó számára |
IPTags |
dynamic |
Adott IP-címekre és IP-címtartományokra alkalmazott ügyfélalapú információk |
IPCategory |
string |
További információ az IP-címről |
UserAgentTags |
dynamic |
A Microsoft Defender for Cloud Apps által a felhasználói ügynök mezőjében található címkével kapcsolatos további információk. A következő értékek bármelyikével rendelkezhet: Natív ügyfél, Elavult böngésző, Elavult operációs rendszer, Robot |
RawEventData |
dynamic |
Nyers eseményinformációk a forrásalkalmazásból vagy szolgáltatásból JSON formátumban |
AdditionalFields |
dynamic |
További információ az entitásról vagy eseményről |
LastSeenForUser |
string |
Megmutatja, hogy hány nappal korábban használta a felhasználó az attribútumot napokban (például isp, ActionType stb.). |
UncommonForUser |
string |
Felsorolja azokat az attribútumokat az eseményben, amelyek nem gyakoriak a felhasználó számára. Ezek az adatok segítenek kizárni a téves riasztásokat, és kiszűrni az anomáliákat |
AuditSource |
string |
Az adatforrás naplózása, beleértve az alábbiak egyikét: – A Defender for Cloud Apps hozzáférés-vezérlése – A Defender for Cloud Apps munkamenet-vezérlése – A Defender for Cloud Apps alkalmazás-összekötője |
SessionData |
dynamic |
A Defender for Cloud Apps munkamenet-azonosítója a hozzáféréshez vagy a munkamenet-vezérléshez. Például: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Egyedi azonosító, amely akkor van hozzárendelve egy alkalmazáshoz, ha az OAuth 2.0-val regisztrálva van az Entra-hoz |
Érintett alkalmazások és szolgáltatások
A CloudAppEvents tábla a Microsoft Defender for Cloud Appshez csatlakoztatott összes SaaS-alkalmazás bővített naplóit tartalmazza, például:
- Office 365 és Microsoft-alkalmazások, beleértve a következőket:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype Vállalati verzió
- Microsoft Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
A támogatott felhőalkalmazások csatlakoztatása azonnali, azonnal használható védelemhez, az alkalmazás felhasználói és eszköztevékenységeinek részletes áttekintéséhez és egyebekhez. További információ: Csatlakoztatott alkalmazások védelme felhőszolgáltatói API-k használatával.