CloudAppEvents
Van toepassing op:
- Microsoft Defender XDR
De CloudAppEvents tabel in het geavanceerde opsporingsschema bevat informatie over gebeurtenissen met betrekking tot accounts en objecten in Office 365 en andere cloud-apps en -services. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
ActionType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd |
Application |
string |
Toepassing die de vastgelegde actie heeft uitgevoerd |
ApplicationId |
int |
Unieke id voor de toepassing |
AppInstanceId |
int |
Unieke id voor het exemplaar van een toepassing. Als u dit wilt converteren naar Microsoft Defender for Cloud Apps App-connector-ID, gebruikt u CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Unieke id voor het account in Microsoft Entra ID |
AccountId |
string |
Een id voor het account zoals gevonden door Microsoft Defender for Cloud Apps. Dit kan Microsoft Entra ID, user principal name of andere id's zijn. |
AccountDisplayName |
string |
De naam die wordt weergegeven in het adresboek voor de accountgebruiker. Dit is meestal een combinatie van de opgegeven naam, het middelste begin en de achternaam van de gebruiker. |
IsAdminOperation |
bool |
Geeft aan of de activiteit is uitgevoerd door een beheerder |
DeviceType |
string |
Type apparaat op basis van doel en functionaliteit, zoals netwerkapparaat, werkstation, server, mobiel, gameconsole of printer |
OSPlatform |
string |
Platform van het besturingssysteem dat op het apparaat wordt uitgevoerd. In deze kolom worden specifieke besturingssystemen aangegeven, inclusief variaties binnen dezelfde familie, zoals Windows 11, Windows 10 en Windows 7. |
IPAddress |
string |
IP-adres dat tijdens de communicatie aan het apparaat is toegewezen |
IsAnonymousProxy |
boolean |
Geeft aan of het IP-adres deel uitmaakt van een bekende anonieme proxy |
CountryCode |
string |
Tweeletterige code die het land aangeeft waar het IP-adres van de client is geolocated |
City |
string |
Plaats waar het IP-adres van de client is geolocated |
Isp |
string |
Internetprovider die is gekoppeld aan het IP-adres |
UserAgent |
string |
Gebruikersagentgegevens uit de webbrowser of een andere clienttoepassing |
ActivityType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd |
ActivityObjects |
dynamic |
Lijst met objecten, zoals bestanden of mappen, die betrokken waren bij de opgenomen activiteit |
ObjectName |
string |
Naam van het object waarop de vastgelegde actie is toegepast |
ObjectType |
string |
Type object, zoals een bestand of een map, waarop de vastgelegde actie is toegepast |
ObjectId |
string |
Unieke id van het object waarop de vastgelegde actie is toegepast |
ReportId |
string |
Unieke id voor de gebeurtenis |
AccountType |
string |
Type gebruikersaccount, waarmee de algemene rol- en toegangsniveaus worden aangegeven, zoals Normaal, Systeem, Beheerder, Toepassing |
IsExternalUser |
boolean |
Geeft aan of een gebruiker in het netwerk niet tot het domein van de organisatie behoort |
IsImpersonated |
boolean |
Geeft aan of de activiteit is uitgevoerd door een gebruiker voor een andere (geïmiteerde) gebruiker |
IPTags |
dynamic |
Door de klant gedefinieerde informatie toegepast op specifieke IP-adressen en IP-adresbereiken |
IPCategory |
string |
Aanvullende informatie over het IP-adres |
UserAgentTags |
dynamic |
Meer informatie van Microsoft Defender for Cloud Apps in een tag in het veld gebruikersagent. Kan een van de volgende waarden hebben: Systeemeigen client, Verouderde browser, Verouderd besturingssysteem, Robot |
RawEventData |
dynamic |
Onbewerkte gebeurtenisgegevens van de brontoepassing of -service in JSON-indeling |
AdditionalFields |
dynamic |
Aanvullende informatie over de entiteit of gebeurtenis |
LastSeenForUser |
string |
Toont hoeveel dagen geleden het kenmerk onlangs door de gebruiker in dagen werd gebruikt (bijvoorbeeld ISP, ActionType, enzovoort) |
UncommonForUser |
string |
Geeft een overzicht van de kenmerken in het geval dat dit ongebruikelijk is voor de gebruiker, waarbij deze gegevens worden gebruikt om fout-positieven uit te sluiten en afwijkingen op te sporen |
AuditSource |
string |
Gegevensbron controleren, waaronder een van de volgende: - Toegangsbeheer voor Defender for Cloud Apps - Sessiebeheer voor Defender for Cloud Apps - Defender for Cloud Apps-app-connector |
SessionData |
dynamic |
De sessie-id van Defender for Cloud Apps voor toegang of sessiebeheer. Bijvoorbeeld:{InLineSessionId:"232342"} |
OAuthAppId |
string |
Een unieke id die wordt toegewezen aan een toepassing wanneer deze is geregistreerd bij Entra met OAuth 2.0 |
Apps en services die worden behandeld
De tabel CloudAppEvents bevat verrijkte logboeken van alle SaaS-toepassingen die zijn verbonden met Microsoft Defender for Cloud Apps, zoals:
- Office 365- en Microsoft-toepassingen, waaronder:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype voor Bedrijven
- Microsoft Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Verbinding maken met ondersteunde cloud-apps voor directe, out-of-the-box beveiliging, diep inzicht in de gebruikers- en apparaatactiviteiten van de app en meer. Zie Verbonden apps beveiligen met cloudserviceprovider-API's voor meer informatie.