CloudAppEvents
적용 대상:
- Microsoft Defender XDR
CloudAppEvents
고급 헌팅 스키마의 표에는 Office 365 및 기타 클라우드 앱 및 서비스의 계정 및 개체와 관련된 이벤트에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
ActionType |
string |
이벤트를 트리거한 활동 유형 |
Application |
string |
기록된 작업을 수행한 애플리케이션 |
ApplicationId |
int |
애플리케이션의 고유 식별자 |
AppInstanceId |
int |
애플리케이션 인스턴스의 고유 식별자입니다. 이를 Microsoft Defender for Cloud Apps App-connector-ID로 변환하려면 CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Microsoft Entra ID의 계정에 대한 고유 식별자 |
AccountId |
string |
Microsoft Defender for Cloud Apps에서 찾은 계정의 식별자입니다. Microsoft Entra ID, 사용자 계정 이름 또는 기타 식별자일 수 있습니다. |
AccountDisplayName |
string |
계정 사용자의 주소록 항목에 표시되는 이름입니다. 이는 일반적으로 사용자의 지정된 이름, 중간 이니셜 및 성을 조합한 것입니다. |
IsAdminOperation |
bool |
관리자가 활동을 수행했는지 여부를 나타냅니다. |
DeviceType |
string |
네트워크 디바이스, 워크스테이션, 서버, 모바일, 게임 콘솔 또는 프린터와 같은 용도 및 기능에 따라 디바이스 유형 |
OSPlatform |
string |
디바이스에서 실행되는 운영 체제의 플랫폼입니다. 이 열은 Windows 11, Windows 10 및 Windows 7과 같은 동일한 제품군 내의 변형을 포함하여 특정 운영 체제를 나타냅니다. |
IPAddress |
string |
통신 중에 디바이스에 할당된 IP 주소 |
IsAnonymousProxy |
boolean |
IP 주소가 알려진 익명 프록시에 속하는지 여부를 나타냅니다. |
CountryCode |
string |
클라이언트 IP 주소가 지리적으로 할당된 국가를 나타내는 두 글자 코드 |
City |
string |
클라이언트 IP 주소가 지리적으로 할당된 도시 |
Isp |
string |
IP 주소와 연결된 인터넷 서비스 공급자 |
UserAgent |
string |
웹 브라우저 또는 기타 클라이언트 애플리케이션의 사용자 에이전트 정보 |
ActivityType |
string |
이벤트를 트리거한 활동 유형 |
ActivityObjects |
dynamic |
기록된 활동에 관련된 파일 또는 폴더와 같은 개체 목록 |
ObjectName |
string |
기록된 작업이 적용된 개체의 이름 |
ObjectType |
string |
기록된 작업이 적용된 파일 또는 폴더와 같은 개체 형식 |
ObjectId |
string |
기록된 작업이 적용된 개체의 고유 식별자 |
ReportId |
string |
이벤트에 대한 고유 식별자 |
AccountType |
string |
일반, 시스템, 관리자, 애플리케이션과 같은 일반 역할 및 액세스 수준을 나타내는 사용자 계정 유형 |
IsExternalUser |
boolean |
네트워크 내 사용자가 조직의 도메인에 속하지 않는지 여부를 나타냅니다. |
IsImpersonated |
boolean |
한 사용자가 다른(가장한) 사용자에 대해 활동을 수행했는지 여부를 나타냅니다. |
IPTags |
dynamic |
특정 IP 주소 및 IP 주소 범위에 적용되는 고객 정의 정보 |
IPCategory |
string |
IP 주소에 대한 추가 정보 |
UserAgentTags |
dynamic |
사용자 에이전트 필드의 태그에 있는 Microsoft Defender for Cloud Apps에서 제공하는 자세한 정보입니다. 네이티브 클라이언트, 오래된 브라우저, 오래된 운영 체제, 로봇 등의 값을 가질 수 있습니다. |
RawEventData |
dynamic |
원본 애플리케이션 또는 서비스의 원시 이벤트 정보(JSON 형식) |
AdditionalFields |
dynamic |
엔터티 또는 이벤트에 대한 추가 정보 |
LastSeenForUser |
string |
사용자가 최근에 사용한 날짜(예: ISP, ActionType 등)를 표시합니다. |
UncommonForUser |
string |
이 데이터를 사용하여 가양성을 배제하고 변칙을 찾는 데 도움이 되는 일반적이지 않은 이벤트의 특성을 나열합니다. |
AuditSource |
string |
다음 중 하나를 포함하여 데이터 원본을 감사합니다. - Defender for Cloud Apps 액세스 제어 - Defender for Cloud Apps 세션 제어 - Defender for Cloud Apps 앱 커넥터 |
SessionData |
dynamic |
액세스 또는 세션 제어를 위한 Defender for Cloud Apps 세션 ID입니다. 예: {InLineSessionId:"232342"} |
OAuthAppId |
string |
OAuth 2.0을 사용하여 Entra에 등록될 때 애플리케이션에 할당되는 고유 식별자 |
다루는 앱 및 서비스
CloudAppEvents 테이블에는 다음과 같은 클라우드용 Microsoft Defender 앱에 연결된 모든 SaaS 애플리케이션의 보강 로그가 포함되어 있습니다.
- 다음을 포함한 Office 365 및 Microsoft 애플리케이션
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- 비즈니스용 Skype
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
즉시 보호, 기본 제공 보호, 앱의 사용자 및 디바이스 활동에 대한 심층적인 가시성 등을 위해 지원되는 클라우드 앱을 연결합니다. 자세한 내용은 클라우드 서비스 공급자 API를 사용하여 연결된 앱 보호를 참조하세요.