CloudAppEvents
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Tabellen CloudAppEvents i det avancerade sökschemat innehåller information om aktiviteter i olika molnappar och tjänster som täcks av Microsoft Defender för molnappar. Gå till Appar och tjänster som omfattas för en fullständig lista. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Viktigt
Den här tabellen innehåller information som brukade vara tillgänglig i AppFileEvents tabellen. Från och med den 7 mars 2021 bör användare som vill gå igenom filrelaterade aktiviteter i molntjänster på och efter detta datum använda CloudAppEvents tabellen i stället.
Se till att söka efter frågor och anpassade identifieringsregler som fortfarande använder AppFileEvents tabellen och redigera dem för att använda CloudAppEvents tabellen. Mer information om hur du konverterar påverkade frågor finns i Sök efter molnappaktiviteter med avancerad Microsoft 365 Defender .
Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen spelades in |
ActionType |
string |
Typ av aktivitet som utlöste händelsen |
Application |
string |
Program som utförde den inspelade åtgärden |
ApplicationId |
string |
Unikt ID för programmet |
AccountObjectId |
string |
Unikt ID för kontot i Azure Active Directory |
AccountId |
string |
En identifierare för kontot som hittas av Microsoft Defender för molnappar. Detta kan Azure Active Directory användar-ID, huvudnamn eller andra identifierare. |
AccountDisplayName |
string |
Namnet på kontoanvändaren som visas i adressboken. Detta är en kombination av ett visst namn eller förnamn, en mellaninititiering och efternamn eller efternamn. |
IsAdminOperation |
string |
Anger om aktiviteten utfördes av en administratör |
DeviceType |
string |
Typ av enhet baserat på syfte och funktionalitet, till exempel "Nätverksenhet", "Arbetsstation", "Server", "Mobil", "Spelkonsol" eller "Skrivare" |
OSPlatform |
string |
Operativsystemets plattform som körs på enheten. Den här kolumnen anger specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 11, Windows 10 och Windows 7. |
IPAddress |
string |
IP-adress tilldelad till slutpunkten och används under relaterad nätverkskommunikation |
IsAnonymousProxy |
string |
Anger om IP-adressen tillhör en känd anonym proxy |
CountryCode |
string |
Kod med två bokstäver som anger landet där klientens IP-adress är geolocerad |
City |
string |
Ort där klientens IP-adress är geolocerad |
Isp |
string |
Internetleverantör (ISP) som är kopplad till IP-adressen |
UserAgent |
string |
Information om användaragenter från webbläsaren eller ett annat klientprogram |
ActivityType |
string |
Typ av aktivitet som utlöste händelsen |
ActivityObjects |
dynamic |
Lista över objekt, till exempel filer eller mappar, som var inblandade i den inspelade aktiviteten |
ObjectName |
string |
Namnet på det objekt som den inspelade åtgärden tillämpats på |
ObjectType |
string |
Typ av objekt, till exempel en fil eller en mapp, som den inspelade åtgärden tillämpats på |
ObjectId |
string |
Unik identifierare för det objekt som den inspelade åtgärden tillämpats på |
ReportId |
string |
Unikt ID för händelsen |
RawEventData |
string |
Obearbetad händelseinformation från källprogrammet eller källtjänsten i JSON-format |
AdditionalFields |
dynamic |
Ytterligare information om entiteten eller händelsen |
AccountType |
string |
Typ av användarkonto, som anger dess allmänna roll och åtkomstnivåer, till exempel Normal, System, Admin, DcAdmin, System, Application |
IsExternalUser |
boolean |
Anger om en användare i nätverket inte tillhör organisationens domän |
IsImpersonated |
boolean |
Anger om aktiviteten utfördes av en användare för en annan (imiterad) användare |
IPTags |
dynamic |
Kunddefinierad information som används för specifika IP-adresser och IP-adressintervall |
IPCategory |
string |
Ytterligare information om IP-adressen |
UserAgentTags |
dynamic |
Mer information från Microsoft Defender för molnappar finns i en tagg i fältet med användaragenter. Kan ha något av följande värden: Intern klient, Gammal webbläsare, Inaktuellt operativsystem, Robot |
Program och tjänster som omfattas
- Dropbox
- Dynamics 365
- Exchange Online
- Microsoft Teams
- OneDrive för företag
- Power Automate
- Power BI
- SharePoint Online
- Skype för företag
- Office 365
- Yammer