CloudAppEvents
Si applica a:
- Microsoft Defender XDR
La CloudAppEvents tabella nello schema di ricerca avanzata contiene informazioni sugli eventi che coinvolgono account e oggetti in Office 365 e in altre app e servizi cloud. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
ActionType |
string |
Tipo di attività che ha attivato l'evento |
Application |
string |
Applicazione che ha eseguito l'azione registrata |
ApplicationId |
int |
Identificatore univoco per l'applicazione |
AppInstanceId |
int |
Identificatore univoco per l'istanza di un'applicazione. Per convertire questo valore in Microsoft Defender for Cloud Apps App-connector-ID, usare CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Identificatore univoco per l'account in Microsoft Entra ID |
AccountId |
string |
Identificatore dell'account trovato da Microsoft Defender per le app cloud. Potrebbe essere l'ID Microsoft Entra, il nome dell'entità utente o altri identificatori. |
AccountDisplayName |
string |
Nome visualizzato nella voce della rubrica per l'utente dell'account. Si tratta in genere di una combinazione del nome specificato, dell'iniziale centrale e del cognome dell'utente. |
IsAdminOperation |
bool |
Indica se l'attività è stata eseguita da un amministratore |
DeviceType |
string |
Tipo di dispositivo in base allo scopo e alla funzionalità, ad esempio dispositivo di rete, workstation, server, dispositivi mobili, console di gioco o stampante |
OSPlatform |
string |
Piattaforma del sistema operativo in esecuzione nel dispositivo. Questa colonna indica sistemi operativi specifici, incluse le varianti all'interno della stessa famiglia, ad esempio Windows 11, Windows 10 e Windows 7. |
IPAddress |
string |
Indirizzo IP assegnato al dispositivo durante la comunicazione |
IsAnonymousProxy |
boolean |
Indica se l'indirizzo IP appartiene a un proxy anonimo noto |
CountryCode |
string |
Codice di due lettere che indica il paese in cui l'indirizzo IP del client è geolocalato |
City |
string |
Città in cui l'indirizzo IP del client è geolocalato |
Isp |
string |
Provider di servizi Internet associato all'indirizzo IP |
UserAgent |
string |
Informazioni sull'agente utente dal Web browser o da un'altra applicazione client |
ActivityType |
string |
Tipo di attività che ha attivato l'evento |
ActivityObjects |
dynamic |
Elenco di oggetti, ad esempio file o cartelle, coinvolti nell'attività registrata |
ObjectName |
string |
Nome dell'oggetto a cui è stata applicata l'azione registrata |
ObjectType |
string |
Tipo di oggetto, ad esempio un file o una cartella, a cui è stata applicata l'azione registrata |
ObjectId |
string |
Identificatore univoco dell'oggetto a cui è stata applicata l'azione registrata |
ReportId |
string |
Identificatore univoco per l'evento |
AccountType |
string |
Tipo di account utente, che indica il ruolo generale e i livelli di accesso, ad esempio Regular, System, Admin, Application |
IsExternalUser |
boolean |
Indica se un utente all'interno della rete non appartiene al dominio dell'organizzazione |
IsImpersonated |
boolean |
Indica se l'attività è stata eseguita da un utente per un altro utente (rappresentato) |
IPTags |
dynamic |
Informazioni definite dal cliente applicate a indirizzi IP e intervalli di indirizzi IP specifici |
IPCategory |
string |
Informazioni aggiuntive sull'indirizzo IP |
UserAgentTags |
dynamic |
Altre informazioni fornite da Microsoft Defender per le app cloud in un tag nel campo dell'agente utente. Può avere uno dei valori seguenti: Client nativo, Browser obsoleto, Sistema operativo obsoleto, Robot |
RawEventData |
dynamic |
Informazioni sugli eventi non elaborate dall'applicazione o dal servizio di origine in formato JSON |
AdditionalFields |
dynamic |
Informazioni aggiuntive sull'entità o sull'evento |
LastSeenForUser |
string |
Mostra quanti giorni indietro l'attributo è stato usato di recente dall'utente in giorni (ad esempio ISP, ActionType e così via) |
UncommonForUser |
string |
Elenca gli attributi nell'evento non comuni per l'utente, usando questi dati per escludere i falsi positivi e individuare le anomalie |
AuditSource |
string |
Controllare l'origine dati, inclusa una delle seguenti: - Controllo di accesso di Defender for Cloud Apps - Controllo sessione di Defender for Cloud Apps - Connettore di app Defender per App cloud |
SessionData |
dynamic |
ID sessione di Defender for Cloud Apps per l'accesso o il controllo sessione. Ad esempio: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Identificatore univoco assegnato a un'applicazione quando è registrato in Entra con OAuth 2.0 |
App e servizi trattati
La tabella CloudAppEvents contiene log arricchiti di tutte le applicazioni SaaS connesse a Microsoft Defender per le app cloud, ad esempio:
- Office 365 e Applicazioni Microsoft, tra cui:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Connettere le app cloud supportate per una protezione immediata e predefinita, una visibilità approfondita delle attività utente e del dispositivo dell'app e altro ancora. Per altre informazioni, vedere Proteggere le app connesse usando le API del provider di servizi cloud.