CloudAppEvents
Şunlar için geçerlidir:
- Microsoft Defender XDR
CloudAppEvents
Gelişmiş tehdit avcılığı şemasındaki tablo, Office 365'teki hesaplar ve nesneler ile diğer bulut uygulamaları ve hizmetleriyle ilgili olaylar hakkında bilgi içerir. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Olayın kaydedilildiği tarih ve saat |
ActionType |
string |
Olayı tetikleyen etkinlik türü |
Application |
string |
Kaydedilen eylemi gerçekleştiren uygulama |
ApplicationId |
int |
Uygulama için benzersiz tanımlayıcı |
AppInstanceId |
int |
Bir uygulamanın örneği için benzersiz tanımlayıcı. Bunu Cloud Apps için Microsoft Defender App-connector-ID'ye dönüştürmek için CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Microsoft Entra Id'de hesabın benzersiz tanımlayıcısı |
AccountId |
string |
Cloud Apps için Microsoft Defender tarafından bulunan hesabın tanımlayıcısı. Microsoft Entra Kimliği, kullanıcı asıl adı veya diğer tanımlayıcılar olabilir. |
AccountDisplayName |
string |
Hesap kullanıcısı için adres defteri girişinde görüntülenen ad. Bu genellikle kullanıcının verilen adı, ikinci adı ve soyadının birleşimidir. |
IsAdminOperation |
bool |
Etkinliğin bir yönetici tarafından gerçekleştirilip gerçekleştirilmediğini gösterir |
DeviceType |
string |
Ağ cihazı, iş istasyonu, sunucu, mobil, oyun konsolu veya yazıcı gibi amaca ve işlevselliğe dayalı cihaz türü |
OSPlatform |
string |
Cihazda çalışan işletim sisteminin platformu. Bu sütun, Windows 11, Windows 10 ve Windows 7 gibi aynı ailedeki varyasyonlar da dahil olmak üzere belirli işletim sistemlerini gösterir. |
IPAddress |
string |
İletişim sırasında cihaza atanan IP adresi |
IsAnonymousProxy |
boolean |
IP adresinin bilinen bir anonim ara sunucuya ait olup olmadığını gösterir |
CountryCode |
string |
İstemci IP adresinin coğrafi olarak konumlandırıldığı ülkeyi gösteren iki harfli kod |
City |
string |
İstemci IP adresinin coğrafi olarak konumlandırıldığı şehir |
Isp |
string |
IP adresiyle ilişkilendirilmiş İnternet servis sağlayıcısı |
UserAgent |
string |
Web tarayıcısından veya diğer istemci uygulamasından kullanıcı aracısı bilgileri |
ActivityType |
string |
Olayı tetikleyen etkinlik türü |
ActivityObjects |
dynamic |
Kaydedilen etkinlikte yer alan dosyalar veya klasörler gibi nesnelerin listesi |
ObjectName |
string |
Kaydedilen eylemin uygulandığı nesnenin adı |
ObjectType |
string |
Kaydedilen eylemin uygulandığı dosya veya klasör gibi nesne türü |
ObjectId |
string |
Kaydedilen eylemin uygulandığı nesnenin benzersiz tanımlayıcısı |
ReportId |
string |
Olayın benzersiz tanımlayıcısı |
AccountType |
string |
Normal, Sistem, Yönetici, Uygulama gibi genel rolünü ve erişim düzeylerini gösteren kullanıcı hesabı türü |
IsExternalUser |
boolean |
Ağ içindeki bir kullanıcının kuruluşun etki alanına ait olup olmadığını gösterir |
IsImpersonated |
boolean |
Etkinliğin başka bir kullanıcı (kimliğine bürünülen) kullanıcı için gerçekleştirilip gerçekleştirilmediğini gösterir |
IPTags |
dynamic |
Belirli IP adreslerine ve IP adresi aralıklarına uygulanan müşteri tanımlı bilgiler |
IPCategory |
string |
IP adresi hakkında ek bilgi |
UserAgentTags |
dynamic |
Cloud Apps için Microsoft Defender tarafından kullanıcı aracısı alanındaki bir etikette sağlanan daha fazla bilgi. Aşağıdaki değerlerden herhangi birine sahip olabilir: Yerel istemci, Güncel olmayan tarayıcı, Eski işletim sistemi, Robot |
RawEventData |
dynamic |
JSON biçiminde kaynak uygulama veya hizmetten ham olay bilgileri |
AdditionalFields |
dynamic |
Varlık veya olay hakkında ek bilgi |
LastSeenForUser |
string |
Özniteliğin son zamanlarda kullanıcı tarafından kaç gün içinde kullanıldığını gösterir (örn. ISS, ActionType vb.) |
UncommonForUser |
string |
Kullanıcı için nadir olan olaydaki öznitelikleri listeler, bu verileri kullanarak hatalı pozitif sonuçları eleyin ve anomalileri bulun |
AuditSource |
string |
Aşağıdakilerden biri de dahil olmak üzere veri kaynağını denetleyin: - Cloud Apps için Defender erişim denetimi - Cloud Apps için Defender oturum denetimi - Cloud Apps için Defender uygulama bağlayıcısı |
SessionData |
dynamic |
Erişim veya oturum denetimi için Cloud Apps için Defender oturum kimliği. Örneğin: {InLineSessionId:"232342"} |
OAuthAppId |
string |
OAuth 2.0 ile Entra'ya kaydedildiğinde uygulamaya atanan benzersiz tanımlayıcı |
Kapsanan uygulamalar ve hizmetler
CloudAppEvents tablosu, Cloud Apps için Microsoft Defender'a bağlı tüm SaaS uygulamalarından zenginleştirilmiş günlükler içerir, örneğin:
- Office 365 ve Microsoft Uygulamaları, örneğin:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype Kurumsal
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian dili
Anında, kullanıma hazır koruma, uygulamanın kullanıcı ve cihaz etkinliklerine ilişkin derin görünürlük ve daha fazlası için desteklenen bulut uygulamalarını bağlayın. Daha fazla bilgi için bkz. Bulut hizmeti sağlayıcısı API'lerini kullanarak bağlı uygulamaları koruma.