CloudAppEvents

有关 Microsoft Cloud App Security 涵盖的各种云应用和服务中活动的信息。

表属性

Attribute	值
资源类型	-
类别	安全性
解决方案	SecurityInsights
基本日志	否
引入时间转换	是
示例查询	是

列

列	类型	说明
AccountDisplayName	字符串	帐户用户的通讯簿条目中显示的名称。 这通常是用户给定名称、中间首字母和姓氏的组合。
AccountId	string	Microsoft Cloud App Security 找到的帐户的标识符。 可以是 Azure Active Directory ID、用户主体名称或其他标识符
AccountObjectId	字符串	Azure AD 中帐户的唯一标识符
AccountType	字符串	用户帐户的类型，指示其常规角色和访问级别，例如常规、系统、管理员、应用程序
ActionType	字符串	触发事件的活动的类型
ActivityObjects	dynamic	记录的活动涉及的对象列表，如文件或文件夹
活动类型	字符串	触发事件的活动的类型
AdditionalFields	dynamic	有关实体或事件的其他信息
AppInstanceId	int	应用程序实例的唯一标识符
应用程序	string	执行记录操作的应用程序
ApplicationId	int	应用程序的唯一标识符
_BilledSize	real	记录大小（以字节为单位）
City	字符串	将客户端 IP 地址进行异地分配的城市
CountryCode	字符串	双字母代码，指示客户端 IP 地址被异地分配的国家/地区
DeviceType	字符串	基于用途和功能的设备类型，例如网络设备、工作站、服务器、移动设备、游戏主机或打印机
IPAddress	string	在通信期间分配给设备的 IP 地址
IPCategory	字符串	有关 IP 地址的其他信息
IPTags	dynamic	应用于特定 IP 地址和 IP 地址范围的客户定义信息
IsAdminOperation	bool	指示活动是否由管理员执行
IsAnonymousProxy	bool	指示 IP 地址是否属于已知的匿名代理
_IsBillable	字符串	指定引入数据是否可计费。 当_IsBillable false 引入时，不会向 Azure 帐户计费
IsExternalUser	bool	指示网络中的用户是否不属于组织的域
IsImpersonated	bool	指示活动是否由一个用户对另一个用户执行， (模拟) 用户
ISP	字符串	与 IP 地址关联的 Internet 服务提供商
ObjectId	字符串	记录的操作应用于的对象的唯一标识符
ObjectName	字符串	记录的操作应用于的对象的名称
ObjectType	字符串	记录的操作应用于的对象类型，如文件或文件夹
OSPlatform	字符串	在设备上运行的操作系统的平台。 这表示特定操作系统，包括同一系列中的变体，例如 Windows 10 和 Windows 7
RawEventData	dynamic	来自源应用程序或服务的原始事件信息（采用 JSON 格式）
ReportId	字符串	事件的唯一标识符
SourceSystem	字符串	事件收集依据的代理类型。 例如，OpsManager对于 Windows 代理，对于直接连接或 Operations Manager，Linux对于所有 Linux 代理，或者Azure对于 Azure 诊断
TenantId	字符串	Log Analytics 工作区 ID
TimeGenerated	datetime	生成记录时 (UTC) 日期和时间
类型	字符串	表的名称
UserAgent	字符串	Web 浏览器或其他客户端应用程序中的用户代理信息
UserAgentTags	dynamic	Microsoft Defender for Cloud Apps用户代理字段中的标记中提供的详细信息。 可以具有以下任何值：Native client、过时的浏览器、过时的操作系统、Robot