CloudAppEvents
Aplica-se a:
- Microsoft Defender XDR
A CloudAppEvents
tabela no esquema de investigação avançada contém informações sobre eventos que envolvem contas e objetos no Office 365 e outras aplicações e serviços em nuvem. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
ActionType |
string |
Tipo de atividade que acionou o evento |
Application |
string |
Aplicação que executou a ação gravada |
ApplicationId |
int |
Identificador exclusivo da aplicação |
AppInstanceId |
int |
Identificador exclusivo para a instância de uma aplicação. Para converter isto no Microsoft Defender para Cloud Apps App-connector-ID, utilize CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountId |
string |
Um identificador para a conta, conforme encontrado pelo Microsoft Defender para Aplicações na Cloud. Pode ser Microsoft Entra ID, nome principal de utilizador ou outros identificadores. |
AccountDisplayName |
string |
Nome apresentado na entrada do livro de endereços do utilizador da conta. Normalmente, trata-se de uma combinação do nome, da inicial do meio e do sobrenome do utilizador. |
IsAdminOperation |
bool |
Indica se a atividade foi realizada por um administrador |
DeviceType |
string |
Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, dispositivo móvel, consola de jogos ou impressora |
OSPlatform |
string |
Plataforma do sistema operativo em execução no dispositivo. Esta coluna indica sistemas operativos específicos, incluindo variações dentro da mesma família, como o Windows 11, Windows 10 e Windows 7. |
IPAddress |
string |
Endereço IP atribuído ao dispositivo durante a comunicação |
IsAnonymousProxy |
boolean |
Indica se o endereço IP pertence a um proxy anónimo conhecido |
CountryCode |
string |
Código de duas letras que indica o país onde o endereço IP do cliente está geolocalizado |
City |
string |
Cidade onde o endereço IP do cliente é geolocalizado |
Isp |
string |
Fornecedor de serviços Internet associado ao endereço IP |
UserAgent |
string |
Informações do agente do utilizador a partir do browser ou de outra aplicação cliente |
ActivityType |
string |
Tipo de atividade que acionou o evento |
ActivityObjects |
dynamic |
Lista de objetos, como ficheiros ou pastas, que estiveram envolvidos na atividade registada |
ObjectName |
string |
Nome do objeto ao qual a ação gravada foi aplicada |
ObjectType |
string |
Tipo de objeto, como um ficheiro ou uma pasta, ao qual a ação gravada foi aplicada |
ObjectId |
string |
Identificador exclusivo do objeto ao qual a ação gravada foi aplicada |
ReportId |
string |
Identificador exclusivo do evento |
AccountType |
string |
Tipo de conta de utilizador, que indica a função geral e os níveis de acesso, como Regular, Sistema, Administrador, Aplicação |
IsExternalUser |
boolean |
Indica se um utilizador dentro da rede não pertence ao domínio da organização |
IsImpersonated |
boolean |
Indica se a atividade foi realizada por um utilizador para outro utilizador (representado) |
IPTags |
dynamic |
Informações definidas pelo cliente aplicadas a endereços IP específicos e intervalos de endereços IP |
IPCategory |
string |
Informações adicionais sobre o endereço IP |
UserAgentTags |
dynamic |
Mais informações fornecidas pelo Microsoft Defender para Cloud Apps numa etiqueta no campo do agente de utilizador. Pode ter qualquer um dos seguintes valores: Cliente nativo, browser desatualizado, sistema operativo desatualizado, Robot |
RawEventData |
dynamic |
Informações de evento não processadas da aplicação ou serviço de origem no formato JSON |
AdditionalFields |
dynamic |
Informações adicionais sobre a entidade ou evento |
LastSeenForUser |
string |
Mostra quantos dias atrás o atributo foi utilizado recentemente pelo utilizador em dias (ou seja, ISP, ActionType, etc.) |
UncommonForUser |
string |
Lista os atributos no caso de serem invulgares para o utilizador, ao utilizar estes dados para ajudar a excluir falsos positivos e descobrir anomalias |
AuditSource |
string |
Origem de dados de auditoria, incluindo uma das seguintes: - Controlo de acesso do Defender para Cloud Apps - Controlo de sessão do Defender para Cloud Apps - Conector de aplicações do Defender para Cloud Apps |
SessionData |
dynamic |
O ID de sessão do Defender para Cloud Apps para acesso ou controlo de sessão. Por exemplo: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Um identificador exclusivo atribuído a uma aplicação quando está registado no Entra com o OAuth 2.0 |
Aplicações e serviços abrangidos
A tabela CloudAppEvents contém registos melhorados de todas as aplicações SaaS ligadas ao Microsoft Defender para Cloud Apps, tais como:
- Aplicações do Office 365 e microsoft, incluindo:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype para Empresas
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Ligue aplicações na cloud suportadas para proteção instantânea e inicial, visibilidade aprofundada sobre as atividades de utilizador e dispositivo da aplicação e muito mais. Para obter mais informações, veja Proteger aplicações ligadas através de APIs do fornecedor de serviços cloud.