CloudAppEvents
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상:
- Microsoft 365 Defender
CloudAppEvents 고급 헌팅 스키마의 표에는 Microsoft Defender for Cloud Apps 다루는 다양한 클라우드 앱 및 서비스의 활동에 대한 정보가 포함되어 있습니다. 전체 목록을 보려면 다루는 앱 및 서비스로 이동합니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
중요
이 테이블에는 테이블에서 사용할 수 있는 정보가 포함되어 있습니다 AppFileEvents . 2021년 3월 7일부터 이 날짜 이후의 클라우드 서비스에서 파일 관련 활동을 헌팅하는 사용자는 대신 테이블을 사용해야 CloudAppEvents 합니다.
테이블을 계속 사용하는 AppFileEvents 쿼리 및 사용자 지정 검색 규칙을 검색하고 테이블을 사용하도록 CloudAppEvents 편집해야 합니다. 영향을 받는 쿼리를 변환하는 방법에 대한 자세한 지침은 Microsoft 365 Defender 고급 헌팅을 사용하여 클라우드 앱 활동 전반의 Hunt에서 찾을 수 있습니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
ActionType |
string |
이벤트를 트리거한 활동 유형 |
Application |
string |
기록된 작업을 수행한 애플리케이션 |
ApplicationId |
string |
애플리케이션의 고유 식별자 |
AccountObjectId |
string |
Azure Active Directory 계정의 고유 식별자 |
AccountId |
string |
Microsoft Defender for Cloud Apps 있는 계정의 식별자입니다. ID, 사용자 계정 이름 또는 기타 식별자를 Azure Active Directory 수 있습니다. |
AccountDisplayName |
string |
주소록에 표시되는 계정 사용자의 이름입니다. 일반적으로 지정된 이름 또는 이름, 중간 시작 및 성 또는 성의 조합입니다. |
IsAdminOperation |
string |
관리자가 활동을 수행했는지 여부를 나타냅니다. |
DeviceType |
string |
"네트워크 디바이스", "워크스테이션", "서버", "모바일", "게임 콘솔" 또는 "프린터"와 같은 용도 및 기능을 기반으로 하는 디바이스 유형 |
OSPlatform |
string |
디바이스에서 실행되는 운영 체제의 플랫폼입니다. 이 열은 Windows 11, Windows 10 및 Windows 7과 같은 동일한 제품군 내의 변형을 포함하여 특정 운영 체제를 나타냅니다. |
IPAddress |
string |
엔드포인트에 할당되고 관련 네트워크 통신 중에 사용되는 IP 주소 |
IsAnonymousProxy |
string |
IP 주소가 알려진 익명 프록시에 속하는지 여부를 나타냅니다. |
CountryCode |
string |
클라이언트 IP 주소의 지리적 위치가 지정된 국가를 나타내는 두 글자 코드 |
City |
string |
클라이언트 IP 주소가 지리적으로 할당된 도시 |
Isp |
string |
IP 주소와 연결된 ISP(인터넷 서비스 공급자) |
UserAgent |
string |
웹 브라우저 또는 다른 클라이언트 애플리케이션의 사용자 에이전트 정보 |
ActivityType |
string |
이벤트를 트리거한 활동 유형 |
ActivityObjects |
dynamic |
기록된 활동에 관련된 파일 또는 폴더와 같은 개체 목록 |
ObjectName |
string |
기록된 작업이 적용된 개체의 이름 |
ObjectType |
string |
기록된 작업이 적용된 파일 또는 폴더와 같은 개체의 형식 |
ObjectId |
string |
기록된 작업이 적용된 개체의 고유 식별자 |
ReportId |
string |
이벤트에 대한 고유 식별자 |
RawEventData |
string |
JSON 형식의 원본 애플리케이션 또는 서비스의 원시 이벤트 정보 |
AdditionalFields |
dynamic |
엔터티 또는 이벤트에 대한 추가 정보 |
AccountType |
string |
일반, 시스템, 관리자, DcAdmin, 시스템, 애플리케이션과 같은 일반 역할 및 액세스 수준을 나타내는 사용자 계정 유형 |
IsExternalUser |
boolean |
네트워크 내 사용자가 조직의 도메인에 속하지 않는지 여부를 나타냅니다. |
IsImpersonated |
boolean |
한 사용자가 다른(가장) 사용자에 대해 활동을 수행했는지 여부를 나타냅니다. |
IPTags |
dynamic |
특정 IP 주소 및 IP 주소 범위에 적용되는 고객 정의 정보 |
IPCategory |
string |
IP 주소에 대한 추가 정보 |
UserAgentTags |
dynamic |
사용자 에이전트 필드의 태그에 Microsoft Defender for Cloud Apps 제공된 자세한 정보입니다. 네이티브 클라이언트, 오래된 브라우저, 오래된 운영 체제, 로봇 등의 값을 가질 수 있습니다. |
적용되는 앱 및 서비스
- Dropbox
- Dynamics 365
- Exchange Online
- Microsoft Teams
- 비즈니스용 OneDrive
- Power Automate
- Power BI
- SharePoint Online
- 비즈니스용 Skype
- Office 365
- Yammer