CloudAppEvents
Aplica-se a:
- Microsoft Defender XDR
A CloudAppEvents tabela no esquema avançado de caça contém informações sobre eventos envolvendo contas e objetos em Office 365 e outros aplicativos e serviços de nuvem. Use essa referência para criar consultas que retornam informações dessa tabela.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
ActionType |
string |
Tipo de atividade que desencadeou o evento |
Application |
string |
Aplicativo que executou a ação gravada |
ApplicationId |
int |
Identificador exclusivo para o aplicativo |
AppInstanceId |
int |
Identificador exclusivo para a instância de um aplicativo. Para converter isso em Microsoft Defender para Aplicativos de Nuvem uso do App-connector-IDCloudAppEvents|distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId)|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountId |
string |
Um identificador para a conta, conforme encontrado por Microsoft Defender para Aplicativos de Nuvem. Pode ser Microsoft Entra ID, nome da entidade de usuário ou outros identificadores. |
AccountDisplayName |
string |
Nome exibido na entrada do catálogo de endereços para o usuário da conta. Geralmente, essa é uma combinação do nome, da inicialização intermediária e do sobrenome do usuário. |
IsAdminOperation |
bool |
Indica se a atividade foi executada por um administrador |
DeviceType |
string |
Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, celular, console de jogos ou impressora |
OSPlatform |
string |
Plataforma do sistema operacional em execução no dispositivo. Esta coluna indica sistemas operacionais específicos, incluindo variações na mesma família, como Windows 11, Windows 10 e Windows 7. |
IPAddress |
string |
Endereço IP atribuído ao dispositivo durante a comunicação |
IsAnonymousProxy |
boolean |
Indica se o endereço IP pertence a um proxy anônimo conhecido |
CountryCode |
string |
Código de duas letras indicando o país em que o endereço IP do cliente é geolocalizado |
City |
string |
Cidade em que o endereço IP do cliente é geolocalizado |
Isp |
string |
Provedor de serviços de Internet associado ao endereço IP |
UserAgent |
string |
Informações do agente de usuário do navegador da Web ou de outro aplicativo cliente |
ActivityType |
string |
Tipo de atividade que desencadeou o evento |
ActivityObjects |
dynamic |
Lista de objetos, como arquivos ou pastas, que estavam envolvidos na atividade registrada |
ObjectName |
string |
Nome do objeto ao qual a ação gravada foi aplicada |
ObjectType |
string |
Tipo de objeto, como um arquivo ou uma pasta, ao qual a ação gravada foi aplicada |
ObjectId |
string |
Identificador exclusivo do objeto ao qual a ação gravada foi aplicada |
ReportId |
string |
Identificador exclusivo para o evento |
AccountType |
string |
Tipo de conta de usuário, indicando sua função geral e níveis de acesso, como Regular, Sistema, Administração, Aplicativo |
IsExternalUser |
boolean |
Indica se um usuário dentro da rede não pertence ao domínio da organização |
IsImpersonated |
boolean |
Indica se a atividade foi executada por um usuário para outro usuário (representado) |
IPTags |
dynamic |
Informações definidas pelo cliente aplicadas a endereços IP específicos e intervalos de endereços IP |
IPCategory |
string |
Informações adicionais sobre o endereço IP |
UserAgentTags |
dynamic |
Mais informações fornecidas por Microsoft Defender para Aplicativos de Nuvem em uma marca no campo agente de usuário. Pode ter qualquer um dos seguintes valores: cliente nativo, navegador desatualizado, sistema operacional desatualizado, Robô |
RawEventData |
dynamic |
Informações de eventos brutos do aplicativo ou serviço de origem no formato JSON |
AdditionalFields |
dynamic |
Informações adicionais sobre a entidade ou evento |
LastSeenForUser |
string |
Mostra quantos dias atrás o atributo foi usado recentemente pelo usuário em dias (ou seja, ISP, ActionType etc.) |
UncommonForUser |
string |
Listas os atributos no evento que são incomuns para o usuário, usando esses dados para ajudar a excluir falsos positivos e descobrir anomalias |
Aplicativos e serviços cobertos
A tabela CloudAppEvents contém logs enriquecidos de todos os aplicativos SaaS conectados a Microsoft Defender para Aplicativos de Nuvem, como:
- Office 365 e Aplicativos Microsoft, incluindo:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Conecte aplicativos de nuvem com suporte para proteção instantânea, fora da caixa, visibilidade profunda nas atividades de usuário e dispositivo do aplicativo e muito mais. Para obter mais informações, consulte Proteger aplicativos conectados usando APIs do provedor de serviços de nuvem.
Tópicos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de