CloudAppEvents
適用対象:
- Microsoft Defender XDR
CloudAppEvents高度なハンティング スキーマのテーブルには、Office 365およびその他のクラウド アプリやサービスのアカウントとオブジェクトに関連するイベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類 |
Application |
string |
記録されたアクションを実行したアプリケーション |
ApplicationId |
int |
アプリケーションの一意識別子 |
AppInstanceId |
int |
アプリケーションのインスタンスの一意識別子。 これを App-connector-ID Microsoft Defender for Cloud Appsに変換するには、CloudAppEvents|distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId)|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
AccountId |
string |
Microsoft Defender for Cloud Appsで見つかったアカウントの識別子。 Microsoft Entra ID、ユーザー プリンシパル名、またはその他の識別子を指定できます。 |
AccountDisplayName |
string |
アカウント ユーザーのアドレス帳エントリに表示される名前。 これは通常、ユーザーの指定された名前、中間の頭文字、姓の組み合わせです。 |
IsAdminOperation |
bool |
アクティビティが管理者によって実行されたかどうかを示します |
DeviceType |
string |
ネットワーク デバイス、ワークステーション、サーバー、モバイル、ゲーム コンソール、プリンターなどの目的と機能に基づくデバイスの種類 |
OSPlatform |
string |
デバイスで実行されているオペレーティング システムのプラットフォーム。 この列は、Windows 11、Windows 10、Windows 7 など、同じファミリ内のバリエーションを含む特定のオペレーティング システムを示します。 |
IPAddress |
string |
通信中にデバイスに割り当てられた IP アドレス |
IsAnonymousProxy |
boolean |
IP アドレスが既知の匿名プロキシに属しているかどうかを示します |
CountryCode |
string |
クライアント IP アドレスが地理的に割り当てられた国を示す 2 文字のコード |
City |
string |
クライアント IP アドレスが地理的に割り当てられた市区町村 |
Isp |
string |
IP アドレスに関連付けられているインターネット サービス プロバイダー |
UserAgent |
string |
Web ブラウザーまたはその他のクライアント アプリケーションからのユーザー エージェント情報 |
ActivityType |
string |
イベントをトリガーしたアクティビティの種類 |
ActivityObjects |
dynamic |
記録されたアクティビティに関連したオブジェクト (ファイルやフォルダーなど) の一覧 |
ObjectName |
string |
記録されたアクションが適用されたオブジェクトの名前 |
ObjectType |
string |
記録されたアクションが適用されたオブジェクトの種類 (ファイルやフォルダーなど) |
ObjectId |
string |
記録されたアクションが適用されたオブジェクトの一意識別子 |
ReportId |
string |
イベントの一意識別子 |
AccountType |
string |
通常、システム、管理、アプリケーションなどの一般的なロールとアクセス レベルを示すユーザー アカウントの種類 |
IsExternalUser |
boolean |
ネットワーク内のユーザーがorganizationのドメインに属していないかどうかを示します |
IsImpersonated |
boolean |
アクティビティが別のユーザー (偽装) ユーザーに対して実行されたかどうかを示します |
IPTags |
dynamic |
特定の IP アドレスと IP アドレス範囲に適用される顧客定義の情報 |
IPCategory |
string |
IP アドレスに関する追加情報 |
UserAgentTags |
dynamic |
ユーザー エージェント フィールドのタグにMicrosoft Defender for Cloud Appsによって提供される詳細情報。 ネイティブ クライアント、古いブラウザー、古いオペレーティング システム、ロボットのいずれかの値を指定できます。 |
RawEventData |
dynamic |
ソース アプリケーションまたはサービスからの生のイベント情報 (JSON 形式) |
AdditionalFields |
dynamic |
エンティティまたはイベントに関する追加情報 |
LastSeenForUser |
string |
属性が最近ユーザーによって使用された日数 (ISP、ActionType など) を表示します。 |
UncommonForUser |
string |
ユーザーにとって珍しい場合に属性をListsします。このデータを使用して、誤検知を除外し、異常を見つけるのに役立ちます |
対象となるアプリとサービス
CloudAppEvents テーブルには、次のようなMicrosoft Defender for Cloud Appsに接続されているすべての SaaS アプリケーションからのエンリッチされたログが含まれています。
- Office 365と Microsoft アプリケーション(以下を含む):
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
サポートされているクラウド アプリを接続して、すぐに使用できる保護、アプリのユーザーとデバイスのアクティビティの詳細な可視性などを実現します。 詳細については、「 クラウド サービス プロバイダー API を使用して接続済みアプリを保護する」を参照してください。
関連項目
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示