CloudAppEvents
Gjelder for:
- Microsoft Defender XDR
Tabellen CloudAppEvents i det avanserte jaktskjemaet inneholder informasjon om hendelser som involverer kontoer og objekter i Office 365 og andre skyapper og -tjenester. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
ActionType |
string |
Aktivitetstype som utløste hendelsen |
Application |
string |
Program som utførte den registrerte handlingen |
ApplicationId |
int |
Unik identifikator for programmet |
AppInstanceId |
int |
Unik identifikator for forekomsten av et program. Slik konverterer du dette til Microsoft Defender for Cloud Apps App-connector-ID-brukCloudAppEvents|distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId)|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Unik identifikator for kontoen i Microsoft Entra ID |
AccountId |
string |
En identifikator for kontoen som ble funnet av Microsoft Defender for Cloud Apps. Kan være Microsoft Entra ID, brukerhovednavn eller andre identifikatorer. |
AccountDisplayName |
string |
Navnet som vises i adressebokoppføringen for kontobrukeren. Dette er vanligvis en kombinasjon av navnet, mellomstarten og etternavnet til brukeren. |
IsAdminOperation |
bool |
Angir om aktiviteten ble utført av en administrator |
DeviceType |
string |
Enhetstype basert på formål og funksjonalitet, for eksempel nettverksenhet, arbeidsstasjon, server, mobil, spillkonsoll eller skriver |
OSPlatform |
string |
Plattformen for operativsystemet som kjører på enheten. Denne kolonnen angir bestemte operativsystemer, inkludert variasjoner i samme familie, for eksempel Windows 11, Windows 10 og Windows 7. |
IPAddress |
string |
IP-adresse tilordnet enheten under kommunikasjon |
IsAnonymousProxy |
boolean |
Angir om IP-adressen tilhører en kjent anonym proxy |
CountryCode |
string |
Kode på to bokstaver som angir landet der klientens IP-adresse er geolokert |
City |
string |
Poststed der klient-IP-adressen er geolokert |
Isp |
string |
Internett-leverandør knyttet til IP-adressen |
UserAgent |
string |
Brukeragentinformasjon fra nettleseren eller et annet klientprogram |
ActivityType |
string |
Aktivitetstype som utløste hendelsen |
ActivityObjects |
dynamic |
Liste over objekter, for eksempel filer eller mapper, som var involvert i den registrerte aktiviteten |
ObjectName |
string |
Navnet på objektet som den registrerte handlingen ble brukt på |
ObjectType |
string |
Objekttype, for eksempel en fil eller en mappe, som den registrerte handlingen ble brukt på |
ObjectId |
string |
Unik identifikator for objektet som den registrerte handlingen ble brukt på |
ReportId |
string |
Unik identifikator for hendelsen |
AccountType |
string |
Type brukerkonto, som angir den generelle rollen og tilgangsnivåer, for eksempel Vanlig, System, Admin, Program |
IsExternalUser |
boolean |
Angir om en bruker i nettverket ikke tilhører organisasjonens domene |
IsImpersonated |
boolean |
Angir om aktiviteten ble utført av én bruker for en annen (representert) bruker |
IPTags |
dynamic |
Kundedefinert informasjon som brukes på bestemte IP-adresser og IP-adresseområder |
IPCategory |
string |
Tilleggsinformasjon om IP-adressen |
UserAgentTags |
dynamic |
Mer informasjon fra Microsoft Defender for Cloud Apps i en kode i brukeragentfeltet. Kan ha hvilken som helst av følgende verdier: Opprinnelig klient, utdatert nettleser, utdatert operativsystem, Robot |
RawEventData |
dynamic |
Informasjon om råhendelser fra kildeprogrammet eller -tjenesten i JSON-format |
AdditionalFields |
dynamic |
Tilleggsinformasjon om enheten eller hendelsen |
LastSeenForUser |
string |
Viser hvor mange dager tilbake attributtet nylig ble brukt av brukeren i dager (dvs. ISP, ActionType osv.) |
UncommonForUser |
string |
Lister attributtene i hendelsen som er uvanlige for brukeren, bruker disse dataene til å utelukke falske positiver og finne ut avvik |
Apper og tjenester som dekkes
Tabellen CloudAppEvents inneholder berikede logger fra alle SaaS-programmer som er koblet til Microsoft Defender for Cloud Apps, for eksempel:
- Office 365 og Microsoft Applications, inkludert:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- Github
- Atlassian
Koble til støttede skyapper for øyeblikkelig, ut-av-boksen-beskyttelse, dyp innsyn i appens bruker- og enhetsaktiviteter og mer. Hvis du vil ha mer informasjon, kan du se Beskytt tilkoblede apper ved hjelp av API-er for skytjenesteleverandøren.
Beslektede emner
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for