CloudAppEvents
Gäller för:
- Microsoft Defender XDR
Tabellen CloudAppEvents i det avancerade jaktschemat innehåller information om händelser som involverar konton och objekt i Office 365 och andra molnappar och tjänster. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
ActionType |
string |
Typ av aktivitet som utlöste händelsen |
Application |
string |
Program som utförde den inspelade åtgärden |
ApplicationId |
int |
Unik identifierare för programmet |
AppInstanceId |
int |
Unik identifierare för instansen av ett program. Konvertera detta till Microsoft Defender for Cloud Apps App-connector-ID-användningCloudAppEvents|distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId)|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Unik identifierare för kontot i Microsoft Entra ID |
AccountId |
string |
En identifierare för kontot som hittas av Microsoft Defender for Cloud Apps. Kan vara Microsoft Entra ID, användarens huvudnamn eller andra identifierare. |
AccountDisplayName |
string |
Namn som visas i kontoanvändarens adressbokspost. Detta är vanligtvis en kombination av användarens förnamn, mellan initial och efternamn. |
IsAdminOperation |
bool |
Anger om aktiviteten utfördes av en administratör |
DeviceType |
string |
Typ av enhet baserat på syfte och funktionalitet, till exempel nätverksenhet, arbetsstation, server, mobil, spelkonsol eller skrivare |
OSPlatform |
string |
Plattform för operativsystemet som körs på enheten. Den här kolumnen anger specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 11, Windows 10 och Windows 7. |
IPAddress |
string |
IP-adress tilldelad till enheten under kommunikationen |
IsAnonymousProxy |
boolean |
Anger om IP-adressen tillhör en känd anonym proxy |
CountryCode |
string |
Kod med två bokstäver som anger det land där klientens IP-adress är geolokaliserad |
City |
string |
Ort där klientens IP-adress är geolokaliserad |
Isp |
string |
Internetleverantör som är associerad med IP-adressen |
UserAgent |
string |
Information om användaragenten från webbläsaren eller något annat klientprogram |
ActivityType |
string |
Typ av aktivitet som utlöste händelsen |
ActivityObjects |
dynamic |
Lista över objekt, till exempel filer eller mappar, som var inblandade i den registrerade aktiviteten |
ObjectName |
string |
Namnet på det objekt som den inspelade åtgärden tillämpades på |
ObjectType |
string |
Typ av objekt, till exempel en fil eller en mapp, som den inspelade åtgärden tillämpades på |
ObjectId |
string |
Unik identifierare för objektet som den registrerade åtgärden tillämpades på |
ReportId |
string |
Unik identifierare för händelsen |
AccountType |
string |
Typ av användarkonto som anger dess allmänna roll och åtkomstnivåer, till exempel Regular, System, Admin, Application |
IsExternalUser |
boolean |
Anger om en användare i nätverket inte tillhör organisationens domän |
IsImpersonated |
boolean |
Anger om aktiviteten utfördes av en användare för en annan (personifierad) användare |
IPTags |
dynamic |
Kunddefinierad information som tillämpas på specifika IP-adresser och IP-adressintervall |
IPCategory |
string |
Ytterligare information om IP-adressen |
UserAgentTags |
dynamic |
Mer information tillhandahålls av Microsoft Defender for Cloud Apps i en tagg i fältet användaragent. Kan ha något av följande värden: Intern klient, Inaktuell webbläsare, Inaktuellt operativsystem, Robot |
RawEventData |
dynamic |
Rå händelseinformation från källprogrammet eller -tjänsten i JSON-format |
AdditionalFields |
dynamic |
Ytterligare information om entiteten eller händelsen |
LastSeenForUser |
string |
Visar hur många dagar tillbaka attributet nyligen användes av användaren i dagar (dvs. ISP, ActionType osv.) |
UncommonForUser |
string |
Listor attributen i händelse som är ovanliga för användaren använder du dessa data för att utesluta falska positiva identifieringar och ta reda på avvikelser |
Appar och tjänster som omfattas
Tabellen CloudAppEvents innehåller berikade loggar från alla SaaS-program som är anslutna till Microsoft Defender for Cloud Apps, till exempel:
- Office 365 och Microsoft-program, inklusive:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- Github
- Atlassian
Anslut molnappar som stöds för omedelbart, inbyggt skydd, djup insyn i appens användar- och enhetsaktiviteter med mera. Mer information finns i Skydda anslutna appar med hjälp av API:er för molntjänstleverantörer.
Relaterade ämnen
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för