CloudAppEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
A CloudAppEventsspeciális veszélyforrás-keresési séma táblázata információkat tartalmaz az Office 365 és más felhőalkalmazásokban és -szolgáltatásokban lévő fiókokat és objektumokat érintő eseményekről. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
| Oszlopnév | Adattípus | Leírás |
|---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa |
Application |
string |
A rögzített műveletet végrehajtó alkalmazás |
ApplicationId |
int |
Az alkalmazás egyedi azonosítója |
AppInstanceId |
int |
Az alkalmazáspéldány egyedi azonosítója. Ennek átalakítása Microsoft Defender for Cloud Apps App-connector-ID használatáraCloudAppEvents|distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId)|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
A fiók egyedi azonosítója a Microsoft Entra ID |
AccountId |
string |
A fiók azonosítója a Microsoft Defender for Cloud Apps által talált módon. Lehet Microsoft Entra ID, egyszerű felhasználónév vagy más azonosító. |
AccountDisplayName |
string |
A fiókfelhasználó címjegyzék-bejegyzésében megjelenített név. Ez általában a felhasználó utóneve, középső monogramja és vezetékneve. |
IsAdminOperation |
bool |
Azt jelzi, hogy a tevékenységet rendszergazda hajtotta-e végre |
DeviceType |
string |
Az eszköz típusa a rendeltetés és a funkciók, például a hálózati eszköz, a munkaállomás, a kiszolgáló, a mobil, a játékkonzol vagy a nyomtató alapján |
OSPlatform |
string |
Az eszközön futó operációs rendszer platformja. Ez az oszlop adott operációs rendszereket jelöl, beleértve az ugyanazon családon belüli változatokat, például a Windows 11, a Windows 10 és a Windows 7-et. |
IPAddress |
string |
Az eszközhöz a kommunikáció során hozzárendelt IP-cím |
IsAnonymousProxy |
boolean |
Azt jelzi, hogy az IP-cím egy ismert névtelen proxyhoz tartozik-e |
CountryCode |
string |
Kétbetűs kód, amely azt az országot jelzi, ahol az ügyfél IP-címe földrajzilag van elhelyezve |
City |
string |
Az ügyfél IP-címének földrajzi helyének helye |
Isp |
string |
Az IP-címhez társított internetszolgáltató |
UserAgent |
string |
A böngészőből vagy más ügyfélalkalmazásból származó felhasználói ügynök adatai |
ActivityType |
string |
Az eseményt kiváltó tevékenység típusa |
ActivityObjects |
dynamic |
A rögzített tevékenységben érintett objektumok, például fájlok vagy mappák listája |
ObjectName |
string |
Annak az objektumnak a neve, amelyre a rögzített műveletet alkalmazták |
ObjectType |
string |
Az objektum típusa, például egy fájl vagy mappa, amelyekre a rögzített műveletet alkalmazták |
ObjectId |
string |
Annak az objektumnak az egyedi azonosítója, amelyre a rögzített műveletet alkalmazták |
ReportId |
string |
Az esemény egyedi azonosítója |
AccountType |
string |
A felhasználói fiók típusa, amely az általános szerepkörét és hozzáférési szintjeit jelzi, például Rendszeres, Rendszer, Rendszergazda, Alkalmazás |
IsExternalUser |
boolean |
Azt jelzi, hogy a hálózaton belüli felhasználó nem tartozik-e a szervezet tartományához |
IsImpersonated |
boolean |
Azt jelzi, hogy a tevékenységet egy felhasználó hajtotta-e végre egy másik (megszemélyesített) felhasználó számára |
IPTags |
dynamic |
Adott IP-címekre és IP-címtartományokra alkalmazott ügyfélalapú információk |
IPCategory |
string |
További információ az IP-címről |
UserAgentTags |
dynamic |
További információt Microsoft Defender for Cloud Apps a felhasználói ügynök mezőjében található címkében talál. A következő értékek bármelyikével rendelkezhet: Natív ügyfél, Elavult böngésző, Elavult operációs rendszer, Robot |
RawEventData |
dynamic |
Nyers eseményinformációk a forrásalkalmazásból vagy szolgáltatásból JSON formátumban |
AdditionalFields |
dynamic |
További információ az entitásról vagy eseményről |
LastSeenForUser |
string |
Megmutatja, hogy hány nappal korábban használta a felhasználó az attribútumot napokban (például isp, ActionType stb.). |
UncommonForUser |
string |
Listák a felhasználó számára ritkán előforduló esemény attribútumait, és ezeket az adatokat felhasználva kizárhatja a téves riasztásokat, és megállapíthatja az anomáliákat |
Érintett alkalmazások és szolgáltatások
A CloudAppEvents tábla az Microsoft Defender for Cloud Apps csatlakoztatott összes SaaS-alkalmazás bővített naplóit tartalmazza, például:
- Office 365 és Microsoft-alkalmazások, beleértve a következőket:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype Vállalati verzió
- Microsoft Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- Github
- Atlassian
A támogatott felhőalkalmazások csatlakoztatása azonnali, azonnal használható védelemhez, az alkalmazás felhasználói és eszköztevékenységeinek részletes áttekintéséhez és egyebekhez. További információ: Csatlakoztatott alkalmazások védelme felhőszolgáltatói API-k használatával.
Kapcsolódó témakörök
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: