CloudAppEvents
適用於:
- Microsoft Defender XDR
進階搜捕架構中的表格CloudAppEvents包含 Office 365 和其他雲端應用程式和服務中涉及帳戶和物件的事件相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
| 欄名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
事件記錄的日期和時間 |
ActionType |
string |
觸發事件的活動類型 |
Application |
string |
執行已錄製動作的應用程式 |
ApplicationId |
int |
應用程式的唯一標識碼 |
AppInstanceId |
int |
應用程式實例的唯一標識碼。 若要將此項目轉換為 Microsoft Defender for Cloud Apps App-connector-ID,請使用 CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一標識符 |
AccountId |
string |
Microsoft適用於雲端應用程式的 Defender 所找到的帳戶標識碼。 可以是Microsoft標識碼、用戶主體名稱或其他標識符。 |
AccountDisplayName |
string |
帳戶使用者的通訊錄項目中顯示的名稱。 這通常是使用者的指定名稱、中間初始和姓氏的組合。 |
IsAdminOperation |
bool |
指出活動是否由系統管理員執行 |
DeviceType |
string |
以用途和功能為基礎的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲控制台或印表機 |
OSPlatform |
string |
在裝置上執行之作業系統的平臺。 此數據行指出特定的操作系統,包括相同系列內的變化,例如 Windows 11、Windows 10 和 Windows 7。 |
IPAddress |
string |
在通訊期間指派給裝置的IP位址 |
IsAnonymousProxy |
boolean |
指出IP位址是否屬於已知的匿名 Proxy |
CountryCode |
string |
兩個字母的代碼,指出用戶端IP位址地理位置的國家/地區 |
City |
string |
用戶端IP位址地理位置所在的城市 |
Isp |
string |
與IP位址相關聯的因特網服務提供者 |
UserAgent |
string |
來自網頁瀏覽器或其他用戶端應用程式的使用者代理程序資訊 |
ActivityType |
string |
觸發事件的活動類型 |
ActivityObjects |
dynamic |
記錄活動所涉及的物件清單,例如檔案或資料夾 |
ObjectName |
string |
已記錄動作套用至的物件名稱 |
ObjectType |
string |
套用記錄動作的物件類型,例如檔案或資料夾 |
ObjectId |
string |
已套用所記錄動作之物件的唯一標識碼 |
ReportId |
string |
事件的唯一標識碼 |
AccountType |
string |
用戶帳戶的類型,指出其一般角色和存取層級,例如 Regular、System、Admin、Application |
IsExternalUser |
boolean |
指出網路內的使用者是否不屬於組織的網域 |
IsImpersonated |
boolean |
指出活動是否由某位用戶針對另一個模擬) 使用者 (執行 |
IPTags |
dynamic |
套用至特定IP位址和IP位址範圍的客戶定義資訊 |
IPCategory |
string |
IP 位址的其他相關信息 |
UserAgentTags |
dynamic |
Microsoft適用於雲端應用程式的 Defender 在 [使用者代理程式] 欄位的標籤中提供的詳細資訊。 可以有下列任何值:原生用戶端、過期的瀏覽器、過時的操作系統、機器人 |
RawEventData |
dynamic |
來自來源應用程式或服務的原始事件資訊,格式為 JSON |
AdditionalFields |
dynamic |
實體或事件的其他相關信息 |
LastSeenForUser |
string |
顯示使用者最近使用屬性的天數 (例如 ISP、ActionType 等 ) |
UncommonForUser |
string |
列出使用者不常使用的事件中的屬性,使用此數據協助排除誤判並找出異常 |
AuditSource |
string |
稽核數據源,包括下列其中一項: - 適用於 Cloud Apps 的 Defender 存取控制 - 適用於 Cloud Apps 的 Defender 工作階段控制 - 適用於 Cloud Apps 的 Defender 應用程式連接器 |
SessionData |
dynamic |
適用於雲端應用程式的Defender會話標識碼,用於存取或會話控制。 例如:{InLineSessionId:"232342"} |
OAuthAppId |
string |
向 OAuth 2.0 註冊至 Entra 時指派給應用程式的唯一標識碼 |
涵蓋的應用程式和服務
CloudAppEvents 資料表包含連線到適用於雲端應用程式的 Microsoft Defender 的所有 SaaS 應用程式的擴充記錄,例如:
- Office 365 和 Microsoft 應用程式,包括:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- 商務用 Skype
- Viva Engage
- 電源自動化
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
線上支援的雲端應用程式以進行立即、現成的保護、深入瞭解應用程式的使用者和裝置活動等等。 如需詳細資訊,請參閱 使用雲端服務提供者 API 保護連線的應用程式。