Megosztás a következőn keresztül:

CloudAppEvents

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

A CloudAppEventsspeciális veszélyforrás-keresési séma táblázata információkat tartalmaz az Office 365 és más felhőalkalmazásokban és -szolgáltatásokban lévő fiókokat és objektumokat érintő eseményekről. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
ActionType string Az eseményt kiváltó tevékenység típusa
Application string A rögzített műveletet végrehajtó alkalmazás
ApplicationId int Az alkalmazás egyedi azonosítója
AppInstanceId int Az alkalmazáspéldány egyedi azonosítója. Ha ezt Microsoft Defender for Cloud Apps App-connector-ID azonosítóra szeretné konvertálni, használja aCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),Application|order by ApplicationId,AppInstanceId
AccountObjectId string A fiók egyedi azonosítója a Microsoft Entra ID
AccountId string A fiók azonosítója a Microsoft Defender for Cloud Apps által talált módon. Lehet Microsoft Entra ID, egyszerű felhasználónév vagy más azonosító.
AccountDisplayName string A fiókfelhasználó címjegyzék-bejegyzésében megjelenített név. Ez általában a felhasználó utóneve, középső monogramja és vezetékneve.
IsAdminOperation bool Azt jelzi, hogy a tevékenységet rendszergazda hajtotta-e végre
DeviceType string Az eszköz típusa a rendeltetés és a funkciók, például a hálózati eszköz, a munkaállomás, a kiszolgáló, a mobil, a játékkonzol vagy a nyomtató alapján
OSPlatform string Az eszközön futó operációs rendszer platformja. Ez az oszlop adott operációs rendszereket jelöl, beleértve az ugyanazon családon belüli változatokat, például a Windows 11, a Windows 10 és a Windows 7-et.
IPAddress string Az eszközhöz a kommunikáció során hozzárendelt IP-cím
IsAnonymousProxy boolean Azt jelzi, hogy az IP-cím egy ismert névtelen proxyhoz tartozik-e
CountryCode string Kétbetűs kód, amely azt az országot jelzi, ahol az ügyfél IP-címe földrajzilag van elhelyezve
City string Az ügyfél IP-címének földrajzi helyének helye
Isp string Az IP-címhez társított internetszolgáltató
UserAgent string A böngészőből vagy más ügyfélalkalmazásból származó felhasználói ügynök adatai
ActivityType string Az eseményt kiváltó tevékenység típusa
ActivityObjects dynamic A rögzített tevékenységben érintett objektumok, például fájlok vagy mappák listája
ObjectName string Annak az objektumnak a neve, amelyre a rögzített műveletet alkalmazták
ObjectType string Az objektum típusa, például egy fájl vagy mappa, amelyekre a rögzített műveletet alkalmazták
ObjectId string Annak az objektumnak az egyedi azonosítója, amelyre a rögzített műveletet alkalmazták
ReportId string Az esemény egyedi azonosítója
AccountType string A felhasználói fiók típusa, amely az általános szerepkörét és hozzáférési szintjeit jelzi, például Rendszeres, Rendszer, Rendszergazda, Alkalmazás
IsExternalUser boolean Azt jelzi, hogy a hálózaton belüli felhasználó nem tartozik-e a szervezet tartományához
IsImpersonated boolean Azt jelzi, hogy a tevékenységet egy felhasználó hajtotta-e végre egy másik (megszemélyesített) felhasználó számára
IPTags dynamic Adott IP-címekre és IP-címtartományokra alkalmazott ügyfélalapú információk
IPCategory string További információ az IP-címről
UserAgentTags dynamic További információt Microsoft Defender for Cloud Apps a felhasználói ügynök mezőjében található címkében talál. A következő értékek bármelyikével rendelkezhet: Natív ügyfél, Elavult böngésző, Elavult operációs rendszer, Robot
RawEventData dynamic Nyers eseményinformációk a forrásalkalmazásból vagy szolgáltatásból JSON formátumban
AdditionalFields dynamic További információ az entitásról vagy eseményről
LastSeenForUser dynamic Azt jelzi, hogy hány nap telt el azóta, hogy egy adott attribútum utoljára látható volt a felhasználó számára. A 0 érték azt jelenti, hogy az attribútum ma volt látható, a negatív érték azt jelzi, hogy az attribútum első alkalommal látható, a pozitív érték pedig az attribútum utolsó megtekintése óta eltelt napok számát jelöli. Például: {"ActionType":"0","OSPlatform":"4","ISP":"-1"}
UncommonForUser dynamic Listák a felhasználó számára ritkán előforduló esemény attribútumait, segít kizárni a téves riasztásokat, és megkeresni az anomáliákat. Például: ["ActivityType","ActionType"]. A nem rendellenes eredmények kiszűréséhez: az alacsony vagy jelentéktelen biztonsági értékkel rendelkező események nem haladnak át bővítési folyamatokon, és "" értékűek lesznek, míg a nagy értékű események bővítési folyamatokon mennek keresztül, és ha nem találhatók anomáliák, "[]" értékűek lesznek.
AuditSource string Adatforrás naplózása. A lehetséges értékek a következők:
- hozzáférés-vezérlés Defender for Cloud Apps
- Defender for Cloud Apps munkamenet-vezérlés
– Defender for Cloud Apps alkalmazás-összekötő
SessionData dynamic A hozzáférés vagy a munkamenet-vezérlés Defender for Cloud Apps munkamenet-azonosítója. Például: {InLineSessionId:"232342"}
OAuthAppId string Egy egyedi azonosító, amely akkor van hozzárendelve egy alkalmazáshoz, ha az OAuth 2.0 protokollal van regisztrálva Microsoft Entra.

Érintett alkalmazások és szolgáltatások

A CloudAppEvents tábla az Microsoft Defender for Cloud Apps csatlakoztatott összes SaaS-alkalmazás bővített naplóit tartalmazza, például:

  • Office 365 és Microsoft-alkalmazások, beleértve a következőket:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype Vállalati verzió
    • Microsoft Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

A támogatott felhőalkalmazások csatlakoztatása azonnali, azonnal használható védelemhez, az alkalmazás felhasználói és eszköztevékenységeinek részletes áttekintéséhez és egyebekhez. További információ: Csatlakoztatott alkalmazások védelme felhőszolgáltatói API-k használatával.