CloudAppEvents

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Tabellen CloudAppEvents i det avancerade sökschemat innehåller information om aktiviteter i olika molnappar och tjänster som täcks av Microsoft Defender för molnappar. Gå till Appar och tjänster som omfattas för en fullständig lista. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Viktigt

Den här tabellen innehåller information som brukade vara tillgänglig i AppFileEvents tabellen. Från och med den 7 mars 2021 bör användare som vill gå igenom filrelaterade aktiviteter i molntjänster på och efter detta datum använda CloudAppEvents tabellen i stället.

Se till att söka efter frågor och anpassade identifieringsregler som fortfarande använder AppFileEvents tabellen och redigera dem för att använda CloudAppEvents tabellen. Mer information om hur du konverterar påverkade frågor finns i Sök efter molnappaktiviteter med avancerad Microsoft 365 Defender .

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen spelades in
ActionType string Typ av aktivitet som utlöste händelsen
Application string Program som utförde den inspelade åtgärden
ApplicationId string Unikt ID för programmet
AccountObjectId string Unikt ID för kontot i Azure Active Directory
AccountId string En identifierare för kontot som hittas av Microsoft Defender för molnappar. Detta kan Azure Active Directory användar-ID, huvudnamn eller andra identifierare.
AccountDisplayName string Namnet på kontoanvändaren som visas i adressboken. Detta är en kombination av ett visst namn eller förnamn, en mellaninititiering och efternamn eller efternamn.
IsAdminOperation string Anger om aktiviteten utfördes av en administratör
DeviceType string Typ av enhet baserat på syfte och funktionalitet, till exempel "Nätverksenhet", "Arbetsstation", "Server", "Mobil", "Spelkonsol" eller "Skrivare"
OSPlatform string Operativsystemets plattform som körs på enheten. Den här kolumnen anger specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 11, Windows 10 och Windows 7.
IPAddress string IP-adress tilldelad till slutpunkten och används under relaterad nätverkskommunikation
IsAnonymousProxy string Anger om IP-adressen tillhör en känd anonym proxy
CountryCode string Kod med två bokstäver som anger landet där klientens IP-adress är geolocerad
City string Ort där klientens IP-adress är geolocerad
Isp string Internetleverantör (ISP) som är kopplad till IP-adressen
UserAgent string Information om användaragenter från webbläsaren eller ett annat klientprogram
ActivityType string Typ av aktivitet som utlöste händelsen
ActivityObjects dynamic Lista över objekt, till exempel filer eller mappar, som var inblandade i den inspelade aktiviteten
ObjectName string Namnet på det objekt som den inspelade åtgärden tillämpats på
ObjectType string Typ av objekt, till exempel en fil eller en mapp, som den inspelade åtgärden tillämpats på
ObjectId string Unik identifierare för det objekt som den inspelade åtgärden tillämpats på
ReportId string Unikt ID för händelsen
RawEventData string Obearbetad händelseinformation från källprogrammet eller källtjänsten i JSON-format
AdditionalFields dynamic Ytterligare information om entiteten eller händelsen
AccountType string Typ av användarkonto, som anger dess allmänna roll och åtkomstnivåer, till exempel Normal, System, Admin, DcAdmin, System, Application
IsExternalUser boolean Anger om en användare i nätverket inte tillhör organisationens domän
IsImpersonated boolean Anger om aktiviteten utfördes av en användare för en annan (imiterad) användare
IPTags dynamic Kunddefinierad information som används för specifika IP-adresser och IP-adressintervall
IPCategory string Ytterligare information om IP-adressen
UserAgentTags dynamic Mer information från Microsoft Defender för molnappar finns i en tagg i fältet med användaragenter. Kan ha något av följande värden: Intern klient, Gammal webbläsare, Inaktuellt operativsystem, Robot

Program och tjänster som omfattas

  • Dropbox
  • Dynamics 365
  • Exchange Online
  • Microsoft Teams
  • OneDrive för företag
  • Power Automate
  • Power BI
  • SharePoint Online
  • Skype för företag
  • Office 365
  • Yammer