CloudAppEvents
Nota
Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.
Si applica a:
- Microsoft 365 Defender
La CloudAppEvents tabella nello schema di ricerca avanzata contiene informazioni sulle attività in varie app cloud e servizi coperti da Microsoft Defender for Cloud Apps. Per un elenco completo, passare ad App e servizi trattati. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Importante
Questa tabella include informazioni che erano disponibili nella AppFileEvents tabella. A partire dal 7 marzo 2021, gli utenti che eseguono la ricerca di attività correlate ai file nei servizi cloud a partire da questa data devono usare invece la CloudAppEvents tabella .
Assicurarsi di cercare query e regole di rilevamento personalizzate che usano ancora la AppFileEvents tabella e modificarle per usare la CloudAppEvents tabella. Altre indicazioni sulla conversione delle query interessate sono disponibili in Ricerca tra le attività delle app cloud con Microsoft 365 Defender ricerca avanzata.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
ActionType |
string |
Tipo di attività che ha attivato l'evento |
Application |
string |
Applicazione che ha eseguito l'azione registrata |
ApplicationId |
string |
Identificatore univoco per l'applicazione |
AccountObjectId |
string |
Identificatore univoco per l'account in Azure Active Directory |
AccountId |
string |
Identificatore dell'account trovato da Microsoft Defender for Cloud Apps. Può essere Azure Active Directory ID, nome dell'entità utente o altri identificatori. |
AccountDisplayName |
string |
Nome dell'utente dell'account visualizzato nella rubrica. In genere una combinazione di un nome specificato o di un nome, un'iniziazione centrale e un cognome o un cognome. |
IsAdminOperation |
string |
Indica se l'attività è stata eseguita da un amministratore |
DeviceType |
string |
Tipo di dispositivo in base allo scopo e alla funzionalità, ad esempio "Dispositivo di rete", "Workstation", "Server", "Mobile", "Console di gioco" o "Stampante" |
OSPlatform |
string |
Piattaforma del sistema operativo in esecuzione nel dispositivo. Questa colonna indica sistemi operativi specifici, incluse le varianti all'interno della stessa famiglia, ad esempio Windows 11, Windows 10 e Windows 7. |
IPAddress |
string |
Indirizzo IP assegnato all'endpoint e usato durante le comunicazioni di rete correlate |
IsAnonymousProxy |
string |
Indica se l'indirizzo IP appartiene a un proxy anonimo noto |
CountryCode |
string |
Codice di due lettere che indica il paese in cui l'indirizzo IP del client è geolocalato |
City |
string |
Città in cui l'indirizzo IP del client è geolocalato |
Isp |
string |
Provider di servizi Internet (ISP) associato all'indirizzo IP |
UserAgent |
string |
Informazioni sull'agente utente dal Web browser o da un'altra applicazione client |
ActivityType |
string |
Tipo di attività che ha attivato l'evento |
ActivityObjects |
dynamic |
Elenco di oggetti, ad esempio file o cartelle, coinvolti nell'attività registrata |
ObjectName |
string |
Nome dell'oggetto a cui è stata applicata l'azione registrata |
ObjectType |
string |
Tipo di oggetto, ad esempio un file o una cartella, a cui è stata applicata l'azione registrata |
ObjectId |
string |
Identificatore univoco dell'oggetto a cui è stata applicata l'azione registrata |
ReportId |
string |
Identificatore univoco per l'evento |
RawEventData |
string |
Informazioni sugli eventi non elaborate dall'applicazione o dal servizio di origine in formato JSON |
AdditionalFields |
dynamic |
Informazioni aggiuntive sull'entità o sull'evento |
AccountType |
string |
Tipo di account utente, che indica il ruolo generale e i livelli di accesso, ad esempio Regular, System, Admin, DcAdmin, System, Application |
IsExternalUser |
boolean |
Indica se un utente all'interno della rete non appartiene al dominio dell'organizzazione |
IsImpersonated |
boolean |
Indica se l'attività è stata eseguita da un utente per un altro utente (rappresentato) |
IPTags |
dynamic |
Informazioni definite dal cliente applicate a indirizzi IP e intervalli di indirizzi IP specifici |
IPCategory |
string |
Informazioni aggiuntive sull'indirizzo IP |
UserAgentTags |
dynamic |
Altre informazioni fornite da Microsoft Defender for Cloud Apps in un tag nel campo dell'agente utente. Può avere uno dei valori seguenti: Client nativo, Browser obsoleto, Sistema operativo obsoleto, Robot |
App e servizi trattati
- Dropbox
- Dynamics 365
- Exchange Online
- Microsoft Teams
- OneDrive for Business
- Power Automate
- Power BI
- SharePoint Online
- Skype for Business
- Office 365
- Yammer