CloudAppEvents

Huomautus

Haluatko kokea Microsoft Defender XDR:n? Lue lisätietoja siitä, miten voit arvioida Microsoft Defender XDR:n ja osallistua sen pilottikokeiluun.

Koskee seuraavia:

  • Microsoft Defender XDR

CloudAppEventsKehittyneen metsästysrakenteen taulukko sisältää tietoja tapahtumista, joihin liittyy tilejä ja objekteja Office 365 ja muissa pilvisovelluksissa ja -palveluissa. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.

Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.

Sarakkeen nimi Tietotyyppi Kuvaus
Timestamp datetime Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin
ActionType string Tapahtuman käynnistäneen toiminnon tyyppi
Application string Sovellus, joka suoritti tallennetun toiminnon
ApplicationId int Sovelluksen yksilöllinen tunnus
AppInstanceId int Sovelluksen esiintymän yksilöllinen tunnus. Tämän muuntaminen Microsoft Defender for Cloud Apps App-connector-ID:ksiCloudAppEvents|distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId)|order by ApplicationId,AppInstanceId
AccountObjectId string Tilin yksilöllinen tunnus Microsoft Entra ID
AccountId string tilin tunniste, jonka Microsoft Defender for Cloud Apps löytää. Tämä voi olla Microsoft Entra ID, täydellinen käyttäjätunnus tai muu tunniste.
AccountDisplayName string Nimi, joka näkyy tilin käyttäjän osoitteistomerkinnässä. Tämä on yleensä käyttäjän etunimen, keskimmäisen alkukirjaimen ja sukunimen yhdistelmä.
IsAdminOperation bool Ilmaisee, suorittiko toiminnon järjestelmänvalvoja
DeviceType string Laitteen tyyppi tarkoituksen ja toiminnallisuuden, kuten verkkolaitteen, työaseman, palvelimen, mobiililaitteen, pelikonsolin tai tulostimen, perusteella
OSPlatform string Laitteessa käynnissä olevan käyttöjärjestelmän käyttöympäristö. Tämä sarake ilmaisee tiettyjä käyttöjärjestelmiä, mukaan lukien variaatiot samassa perheessä, kuten Windows 11, Windows 10 ja Windows 7.
IPAddress string Laitteelle tietoliikenteen aikana määritetty IP-osoite
IsAnonymousProxy boolean Ilmaisee, kuuluuko IP-osoite tunnettuun anonyymiin välityspalvelimeen
CountryCode string Kaksikirjaiminen koodi, joka ilmaisee maan, jossa asiakkaan IP-osoite on maantieteellisesti
City string Paikka, jossa asiakkaan IP-osoite on geolokattu
Isp string IP-osoitteeseen liittyvä Internet-palveluntarjoaja
UserAgent string Käyttäjäagentin tiedot selaimesta tai muusta asiakassovelluksesta
ActivityType string Tapahtuman käynnistäneen toiminnon tyyppi
ActivityObjects dynamic Tallennettuun toimintoon osallistuneiden objektien, kuten tiedostojen tai kansioiden, luettelo
ObjectName string Sen objektin nimi, johon tallennettu toiminto on kohdistettu
ObjectType string Sen objektin tyyppi, kuten tiedosto tai kansio, johon tallennettu toiminto suoritettiin
ObjectId string Sen objektin yksilöllinen tunnus, johon tallennettu toiminto on kohdistettu
ReportId string Tapahtuman yksilöllinen tunnus
AccountType string Käyttäjätilin tyyppi, joka ilmaisee sen yleisen roolin ja käyttöoikeustasot, kuten Säännöllinen, Järjestelmä, Hallinta, Sovellus
IsExternalUser boolean Ilmaisee, eikö verkon sisällä oleva käyttäjä kuulu organisaation toimialueeseen
IsImpersonated boolean Ilmaisee, suorittiko käyttäjä toiminnon toiselle (tekeytyneeksi) käyttäjälle
IPTags dynamic Asiakkaan määrittämät tiedot, joita käytetään tietyissä IP-osoitteissa ja IP-osoitealueissa
IPCategory string Lisätietoja IP-osoitteesta
UserAgentTags dynamic Lisätietoja, jotka Microsoft Defender for Cloud Apps käyttäjäagentin kentässä. Voi sisältää mitä tahansa seuraavista arvoista: Native client, Outdated browser, Outdated operating system, Robot
RawEventData dynamic Raakatapahtumatiedot lähdesovelluksesta tai -palvelusta JSON-muodossa
AdditionalFields dynamic Lisätietoja entiteetistä tai tapahtumasta
LastSeenForUser string Näyttää, kuinka monta päivää sitten käyttäjä on käyttänyt määritettä äskettäin (kuten ISP tai ActionType)
UncommonForUser string Lists käyttäjälle epätavalliset tapahtuman määritteet käyttämällä näitä tietoja, jotka auttavat sulkemaan pois false-positiiviset ja selvittämään poikkeavuuksia

Katetut sovellukset ja palvelut

CloudAppEvents-taulukko sisältää täydennettyjä lokeja kaikista saaS-sovelluksista, jotka on yhdistetty Microsoft Defender for Cloud Apps, kuten:

  • Office 365 ja Microsoft-sovellukset, mukaan lukien:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype for Business
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • Github
    • Atlassian

Yhdistä tuetut pilvisovellukset välittömään ja valmiiseen suojaukseen, sovelluksen käyttäjä- ja laitetoimintojen syvänäköisyyteen ja paljon muuta. Lisätietoja on artikkelissa Yhdistettyjen sovellusten suojaaminen pilvipalveluntarjoajan ohjelmointirajapinnoilla.