CloudAppEvents
Dotyczy:
- Microsoft Defender XDR
Tabela CloudAppEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o zdarzeniach dotyczących kont i obiektów w usłudze Office 365 i innych aplikacjach i usługach w chmurze. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie |
Application |
string |
Aplikacja, która wykonała zarejestrowaną akcję |
ApplicationId |
int |
Unikatowy identyfikator aplikacji |
AppInstanceId |
int |
Unikatowy identyfikator wystąpienia aplikacji. Aby przekonwertować tę wartość na identyfikator łącznika aplikacji usługi Microsoft Defender for Cloud Apps, użyj polecenia CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Unikatowy identyfikator konta w identyfikatorze Microsoft Entra |
AccountId |
string |
Identyfikator konta znaleziony przez usługę Microsoft Defender for Cloud Apps. Może to być identyfikator Entra firmy Microsoft, główna nazwa użytkownika lub inne identyfikatory. |
AccountDisplayName |
string |
Nazwa wyświetlana we wpisie książki adresowej dla użytkownika konta. Zazwyczaj jest to kombinacja podanej nazwy, środkowego inicjała i nazwiska użytkownika. |
IsAdminOperation |
bool |
Wskazuje, czy działanie zostało wykonane przez administratora |
DeviceType |
string |
Typ urządzenia w oparciu o przeznaczenie i funkcje, takie jak urządzenie sieciowe, stacja robocza, serwer, urządzenia przenośne, konsola do gier lub drukarka |
OSPlatform |
string |
Platforma systemu operacyjnego działającego na urządzeniu. Ta kolumna wskazuje określone systemy operacyjne, w tym odmiany w tej samej rodzinie, takie jak Windows 11, Windows 10 i Windows 7. |
IPAddress |
string |
Adres IP przypisany do urządzenia podczas komunikacji |
IsAnonymousProxy |
boolean |
Wskazuje, czy adres IP należy do znanego anonimowego serwera proxy |
CountryCode |
string |
Dwuliterowy kod wskazujący kraj, w którym adres IP klienta jest geolokalizowany |
City |
string |
Miasto, w którym adres IP klienta jest geolokalizowany |
Isp |
string |
Dostawca usług internetowych skojarzony z adresem IP |
UserAgent |
string |
Informacje o agentze użytkownika z przeglądarki internetowej lub innej aplikacji klienckiej |
ActivityType |
string |
Typ działania, które wyzwoliło zdarzenie |
ActivityObjects |
dynamic |
Lista obiektów, takich jak pliki lub foldery, które brały udział w zapisanym działaniu |
ObjectName |
string |
Nazwa obiektu, do którego została zastosowana zarejestrowana akcja |
ObjectType |
string |
Typ obiektu, taki jak plik lub folder, do których została zastosowana zarejestrowana akcja |
ObjectId |
string |
Unikatowy identyfikator obiektu, do który została zastosowana zarejestrowana akcja |
ReportId |
string |
Unikatowy identyfikator zdarzenia |
AccountType |
string |
Typ konta użytkownika, wskazujący jego ogólną rolę i poziomy dostępu, takie jak Regularne, System, Administrator, Aplikacja |
IsExternalUser |
boolean |
Wskazuje, czy użytkownik w sieci nie należy do domeny organizacji |
IsImpersonated |
boolean |
Wskazuje, czy działanie zostało wykonane przez jednego użytkownika dla innego (personifikowanego) użytkownika |
IPTags |
dynamic |
Informacje zdefiniowane przez klienta stosowane do określonych adresów IP i zakresów adresów IP |
IPCategory |
string |
Dodatkowe informacje o adresie IP |
UserAgentTags |
dynamic |
Więcej informacji dostarczonych przez usługę Microsoft Defender for Cloud Apps w tagu w polu agenta użytkownika. Może mieć dowolną z następujących wartości: Klient natywny, Nieaktualna przeglądarka, Nieaktualny system operacyjny, Robot |
RawEventData |
dynamic |
Nieprzetworzone informacje o zdarzeniu z aplikacji źródłowej lub usługi w formacie JSON |
AdditionalFields |
dynamic |
Dodatkowe informacje o jednostce lub zdarzeniu |
LastSeenForUser |
string |
Pokazuje, ile dni wstecz atrybut był ostatnio używany przez użytkownika w dniach (tj. usługodawca isp, actiontype itp.) |
UncommonForUser |
string |
Wyświetla listę atrybutów w przypadku, które są nietypowe dla użytkownika, używając tych danych, aby wykluczyć wyniki fałszywie dodatnie i znaleźć anomalie |
AuditSource |
string |
Przeprowadź inspekcję źródła danych, w tym jednego z następujących elementów: — Kontrola dostępu usługi Defender for Cloud Apps — Kontrola sesji usługi Defender for Cloud Apps — Łącznik aplikacji usługi Defender for Cloud Apps |
SessionData |
dynamic |
Identyfikator sesji usługi Defender for Cloud Apps na potrzeby kontroli dostępu lub sesji. Przykład: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Unikatowy identyfikator przypisany do aplikacji, gdy jest zarejestrowany w usłudze Entra przy użyciu protokołu OAuth 2.0 |
Aplikacje i usługi objęte
Tabela CloudAppEvents zawiera wzbogacone dzienniki ze wszystkich aplikacji SaaS połączonych z usługą Microsoft Defender for Cloud Apps, takie jak:
- Usługi Office 365 i aplikacje firmy Microsoft, w tym:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype dla firm
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Połącz obsługiwane aplikacje w chmurze w celu natychmiastowej, wbudowanej ochrony, głębokiego wglądu w działania użytkowników i urządzeń aplikacji i nie tylko. Aby uzyskać więcej informacji, zobacz Ochrona połączonych aplikacji przy użyciu interfejsów API dostawcy usług w chmurze.