分享方式:


CloudAppEvents

適用於:

  • Microsoft Defender XDR

階搜捕架構中的表格CloudAppEvents包含 Office 365 和其他雲端應用程式和服務中涉及帳戶和物件的事件相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。

如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。

欄名稱 資料類型 描述
Timestamp datetime 事件記錄的日期和時間
ActionType string 觸發事件的活動類型
Application string 執行已錄製動作的應用程式
ApplicationId int 應用程式的唯一標識碼
AppInstanceId int 應用程式實例的唯一標識碼。 若要將此項目轉換為 Microsoft Defender for Cloud Apps App-connector-ID,請使用 CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId
AccountObjectId string Microsoft Entra ID 中帳戶的唯一標識符
AccountId string Microsoft適用於雲端應用程式的 Defender 所找到的帳戶標識碼。 可以是Microsoft標識碼、用戶主體名稱或其他標識符。
AccountDisplayName string 帳戶使用者的通訊錄項目中顯示的名稱。 這通常是使用者的指定名稱、中間初始和姓氏的組合。
IsAdminOperation bool 指出活動是否由系統管理員執行
DeviceType string 以用途和功能為基礎的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲控制台或印表機
OSPlatform string 在裝置上執行之作業系統的平臺。 此數據行指出特定的操作系統,包括相同系列內的變化,例如 Windows 11、Windows 10 和 Windows 7。
IPAddress string 在通訊期間指派給裝置的IP位址
IsAnonymousProxy boolean 指出IP位址是否屬於已知的匿名 Proxy
CountryCode string 兩個字母的代碼,指出用戶端IP位址地理位置的國家/地區
City string 用戶端IP位址地理位置所在的城市
Isp string 與IP位址相關聯的因特網服務提供者
UserAgent string 來自網頁瀏覽器或其他用戶端應用程式的使用者代理程序資訊
ActivityType string 觸發事件的活動類型
ActivityObjects dynamic 記錄活動所涉及的物件清單,例如檔案或資料夾
ObjectName string 已記錄動作套用至的物件名稱
ObjectType string 套用記錄動作的物件類型,例如檔案或資料夾
ObjectId string 已套用所記錄動作之物件的唯一標識碼
ReportId string 事件的唯一標識碼
AccountType string 用戶帳戶的類型,指出其一般角色和存取層級,例如 Regular、System、Admin、Application
IsExternalUser boolean 指出網路內的使用者是否不屬於組織的網域
IsImpersonated boolean 指出活動是否由某位用戶針對另一個模擬) 使用者 (執行
IPTags dynamic 套用至特定IP位址和IP位址範圍的客戶定義資訊
IPCategory string IP 位址的其他相關信息
UserAgentTags dynamic Microsoft適用於雲端應用程式的 Defender 在 [使用者代理程式] 欄位的標籤中提供的詳細資訊。 可以有下列任何值:原生用戶端、過期的瀏覽器、過時的操作系統、機器人
RawEventData dynamic 來自來源應用程式或服務的原始事件資訊,格式為 JSON
AdditionalFields dynamic 實體或事件的其他相關信息
LastSeenForUser string 顯示使用者最近使用屬性的天數 (例如 ISP、ActionType 等 )
UncommonForUser string 列出使用者不常使用的事件中的屬性,使用此數據協助排除誤判並找出異常
AuditSource string 稽核數據源,包括下列其中一項:
- 適用於 Cloud Apps 的 Defender 存取控制
- 適用於 Cloud Apps 的 Defender 工作階段控制
- 適用於 Cloud Apps 的 Defender 應用程式連接器
SessionData dynamic 適用於雲端應用程式的Defender會話標識碼,用於存取或會話控制。 例如:{InLineSessionId:"232342"}
OAuthAppId string 向 OAuth 2.0 註冊至 Entra 時指派給應用程式的唯一標識碼

涵蓋的應用程式和服務

CloudAppEvents 資料表包含連線到適用於雲端應用程式的 Microsoft Defender 的所有 SaaS 應用程式的擴充記錄,例如:

  • Office 365 和 Microsoft 應用程式,包括:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • 商務用 Skype
    • Viva Engage
    • 電源自動化
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

線上支援的雲端應用程式以進行立即、現成的保護、深入瞭解應用程式的使用者和裝置活動等等。 如需詳細資訊,請參閱 使用雲端服務提供者 API 保護連線的應用程式