CloudAppEventsCloudAppEvents

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique à :Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Le tableau du schéma de recherche avancée contient des informations sur les activités dans différentes applications et services cloud couverts par CloudAppEvents Microsoft Cloud App Security. The CloudAppEvents table in the advanced hunting schema contains information about activities in various cloud apps and services covered by Microsoft Cloud App Security. Pour obtenir la liste complète, voir Applications et services couverts.For a complete list, jump to Apps and services covered. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.Use this reference to construct queries that return information from this table.

Important

Ce tableau inclut des informations qui étaient disponibles dans le AppFileEvents tableau.This table includes information that used to be available in the AppFileEvents table. À compter du 7 mars 2021, les utilisateurs qui recherchent des activités liées aux fichiers dans les services cloud et au-delà de cette date doivent utiliser le CloudAppEvents tableau à la place.Starting March 7, 2021, users hunting through file-related activities in cloud services on and beyond this date should use the CloudAppEvents table instead.

Veillez à rechercher des requêtes et des règles de détection personnalisées qui utilisent toujours la table et modifiez-les AppFileEvents pour utiliser le CloudAppEvents tableau.Make sure to search for queries and custom detection rules that still use the AppFileEvents table and edit them to use the CloudAppEvents table. Pour plus d'informations sur la conversion des requêtes affectées, voir La recherche dans les activités d'application cloud avec la recherche avancée Microsoft 365 Defender.More guidance about converting affected queries can be found in Hunt across cloud app activities with Microsoft 365 Defender advanced hunting.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

Nom de colonneColumn name Type de donnéesData type DescriptionDescription
Timestamp DateHeuredatetime Date et heure d’enregistrement de l’événementDate and time when the event was recorded
ActionType stringstring Type d'activité qui a déclenché l'événementType of activity that triggered the event
Application stringstring Application qui a effectué l'action enregistréeApplication that performed the recorded action
ApplicationId stringstring Identificateur unique de l'applicationUnique identifier for the application
AccountObjectId stringstring Identificateur unique du compte dans Azure Active DirectoryUnique identifier for the account in Azure Active Directory
AccountDisplayName stringstring Nom de l'utilisateur du compte affiché dans le carnet d'adresses.Name of the account user displayed in the address book. En règle générale, une combinaison d'un prénom ou d'un prénom donné, d'une initiation intermédiaire et d'un nom ou d'un nom de famille.Typically a combination of a given or first name, a middle initiation, and a last name or surname.
IsAdminOperation stringstring Indique si l'activité a été effectuée par un administrateurIndicates whether the activity was performed by an administrator
DeviceType stringstring Type d'appareil en fonction de l'objectif et des fonctionnalités, tels que « Périphérique réseau », « Station de travail », « Serveur », « Mobile », « Console de jeu » ou « Imprimante »Type of device based on purpose and functionality, such as "Network device", "Workstation", "Server", "Mobile", "Gaming console", or "Printer"
OSPlatform stringstring Plateforme du système d'exploitation en cours d'exécution sur l'appareil.Platform of the operating system running on the device. Cette colonne indique des systèmes d'exploitation spécifiques, y compris des variantes au sein de la même famille, telles que Windows 10 et Windows 7.This column indicates specific operating systems, including variations within the same family, such as Windows 10 and Windows 7.
IPAddress stringstring Adresse IP attribuée au point de terminaison et utilisée lors des communications réseau associéesIP address assigned to the endpoint and used during related network communications
IsAnonymousProxy stringstring Indique si l’adresse IP appartient à un proxy anonyme connuIndicates whether the IP address belongs to a known anonymous proxy
CountryCode stringstring Code à deux lettres indiquant le pays où l’adresse IP du client est géolocaliséTwo-letter code indicating the country where the client IP address is geolocated
City stringstring Ville où l’adresse IP du client est géolocaliséCity where the client IP address is geolocated
Isp stringstring Fournisseur de services Internet (ISP) associé à l’adresse IPInternet service provider (ISP) associated with the IP address
UserAgent stringstring Informations sur l’agent utilisateur à partir du navigateur web ou d’une autre application clienteUser agent information from the web browser or other client application
ActivityType stringstring Type d’activité qui a déclenché l’événementType of activity that triggered the event
ActivityObjects stringstring Liste des objets, tels que des fichiers ou des dossiers, qui ont été impliqués dans l’activité enregistréeList of objects, such as files or folders, that were involved in the recorded activity
ObjectName stringstring Nom de l’objet à qui l’action enregistrée a été appliquéeName of the object that the recorded action was applied to
ObjectType stringstring Type d’objet, tel qu’un fichier ou un dossier, à qui l’action enregistrée a été appliquéeType of object, such as a file or a folder, that the recorded action was applied to
ObjectId stringstring Identificateur unique de l’objet à qui l’action enregistrée a été appliquéeUnique identifier of the object that the recorded action was applied to
ReportId stringstring Identificateur unique de l’événementUnique identifier for the event
RawEventData stringstring Informations d’événement brutes de l’application ou du service source au format JSONRaw event information from the source application or service in JSON format
AdditionalFields stringstring Informations supplémentaires sur l’entité ou l’événementAdditional information about the entity or event

Applications et services couvertsApps and services covered

  • DropboxDropbox
  • Dynamics 365Dynamics 365
  • Exchange OnlineExchange Online
  • Microsoft TeamsMicrosoft Teams
  • OneDrive EntrepriseOneDrive for Business
  • Power AutomatePower Automate
  • Power BIPower BI
  • SharePoint OnlineSharePoint Online
  • Skype EntrepriseSkype for Business
  • Office 365Office 365
  • YammerYammer