CloudAppEvents
Microsoft 雲端 App 安全性涵蓋的各種雲端應用程式和服務中活動的相關信息。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
安全性 |
| 方案 |
SecurityInsights |
| 基本記錄 |
No |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
是 |
資料行
| 資料行 |
類型 |
描述 |
| AccountDisplayName |
字串 |
帳戶使用者的通訊錄項目中顯示的名稱。 這通常是使用者指定名稱、中間縮寫和姓氏的組合。 |
| AccountId |
字串 |
Microsoft 雲端 App 安全性找到的帳戶標識碼。 可能是 Azure Active Directory 識別碼、用戶主體名稱或其他標識碼 |
| AccountObjectId |
字串 |
Azure AD 中帳戶的唯一標識碼 |
| AccountType |
字串 |
用戶帳戶類型,指出其一般角色和存取層級,例如一般、系統、系統管理員、應用程式 |
| ActionType |
字串 |
觸發事件的活動類型 |
| ActivityObjects |
dynamic |
與記錄活動相關的物件清單,例如檔案或資料夾 |
| 活動類型 |
字串 |
觸發事件的活動類型 |
| AdditionalFields |
dynamic |
實體或事件的其他資訊 |
| AppInstanceId |
int |
應用程式實例的唯一標識碼 |
| 申請 |
字串 |
執行錄製動作的應用程式 |
| ApplicationId |
int |
應用程式的唯一標識碼 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| 城市 |
字串 |
用戶端IP位址地理位置所在的城市 |
| CountryCode |
字串 |
兩個字母代碼,指出用戶端IP位址地理位置的國家/地區 |
| DeviceType |
字串 |
以用途和功能為基礎的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲控制台或印表機 |
| IPAddress |
字串 |
在通訊期間指派給裝置的IP位址 |
| IPCategory |
字串 |
IP 位址的其他資訊 |
| IPTags |
dynamic |
套用至特定IP位址和IP位址範圍的客戶定義資訊 |
| IsAdminOperation |
bool |
指出活動是否由系統管理員執行 |
| IsAnonymousProxy |
bool |
指出IP位址是否屬於已知的匿名 Proxy |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 false_IsBillable擷取時,不會向 Azure 帳戶收費 |
| IsExternalUser |
bool |
指出網路內的使用者是否不屬於組織的網域 |
| IsImpersonated |
bool |
指出活動是否由一個用戶針對另一個使用者執行(模擬) 使用者 |
| ISP |
字串 |
與IP位址相關聯的因特網服務提供者 |
| ObjectId |
字串 |
套用已記錄動作之物件的唯一標識碼 |
| ObjectName |
字串 |
套用已記錄動作的物件名稱 |
| ObjectType |
字串 |
物件類型,例如檔案或資料夾,已套用錄製的動作 |
| OSPlatform |
字串 |
在裝置上執行的作業系統平臺。 這表示特定的操作系統,包括相同系列中的變化,例如 Windows 10 和 Windows 7 |
| RawEventData |
dynamic |
來自來源應用程式或服務的原始事件資訊,格式為 JSON |
| ReportId |
字串 |
事件唯一識別碼 |
| SourceSystem |
字串 |
收集事件的代理程序類型。 例如,OpsManager針對 Windows 代理程式,無論是直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| TenantId |
字串 |
Log Analytics 工作區標識符 |
| TimeGenerated |
Datetime |
產生記錄的日期與時間 (UTC) |
| 型別 |
string |
資料表的名稱 |
| UserAgent |
字串 |
網頁瀏覽器或其他用戶端應用程式的使用者代理程序資訊 |
| UserAgentTags |
dynamic |
適用於雲端的 Microsoft Defender 應用程式在使用者代理程式欄位中標記中提供的詳細資訊。 可以有下列任何值:Native client、過時的瀏覽器、過時的操作系統、機器人 |