Freigeben über

CloudAppEvents

  • Artikel

Gilt für:

  • Microsoft Defender XDR

Die CloudAppEvents Tabelle im Schema für die erweiterte Suche enthält Informationen zu Ereignissen, die Konten und Objekte in Office 365 und anderen Cloud-Apps und -Diensten betreffen. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
ActionType string Typ der Aktivität, die das Ereignis ausgelöst hat
Application string Anwendung, die die aufgezeichnete Aktion ausgeführt hat
ApplicationId int Eindeutiger Bezeichner für die Anwendung
AppInstanceId int Eindeutiger Bezeichner für die instance einer Anwendung. Um dies in Microsoft Defender for Cloud Apps App-connector-ID zu konvertieren, verwenden SieCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId
AccountObjectId string Eindeutiger Bezeichner für das Konto in Microsoft Entra ID
AccountId string Ein Bezeichner für das Konto, der von Microsoft Defender for Cloud Apps gefunden wurde. Dies kann Microsoft Entra ID, Benutzerprinzipalname oder andere Bezeichner sein.
AccountDisplayName string Name, der im Adressbucheintrag für den Kontobenutzer angezeigt wird. Dies ist in der Regel eine Kombination aus dem angegebenen Namen, dem mittleren Anfangs- und dem Nachnamen des Benutzers.
IsAdminOperation bool Gibt an, ob die Aktivität von einem Administrator ausgeführt wurde.
DeviceType string Gerätetyp basierend auf Zweck und Funktionalität, z. B. Netzwerkgerät, Arbeitsstation, Server, Mobilgerät, Spielkonsole oder Drucker
OSPlatform string Plattform des Betriebssystems, das auf dem Gerät ausgeführt wird. Diese Spalte gibt bestimmte Betriebssysteme an, einschließlich Variationen innerhalb derselben Familie, z. B. Windows 11, Windows 10 und Windows 7.
IPAddress string Dem Gerät während der Kommunikation zugewiesene IP-Adresse
IsAnonymousProxy boolean Gibt an, ob die IP-Adresse zu einem bekannten anonymen Proxy gehört.
CountryCode string Aus zwei Buchstaben bestehender Code, der das Land angibt, in dem die Ip-Adresse des Clients geolokalisiert ist
City string Ort, in dem die Client-IP-Adresse geolokal ist
Isp string Internetdienstanbieter, der der IP-Adresse zugeordnet ist
UserAgent string Benutzer-Agent-Informationen aus dem Webbrowser oder einer anderen Clientanwendung
ActivityType string Typ der Aktivität, die das Ereignis ausgelöst hat
ActivityObjects dynamic Liste der Objekte, z. B. Dateien oder Ordner, die an der aufgezeichneten Aktivität beteiligt waren
ObjectName string Name des Objekts, auf das die aufgezeichnete Aktion angewendet wurde
ObjectType string Typ des Objekts, z. B. eine Datei oder ein Ordner, auf den die aufgezeichnete Aktion angewendet wurde
ObjectId string Eindeutiger Bezeichner des Objekts, auf das die aufgezeichnete Aktion angewendet wurde
ReportId string Eindeutiger Bezeichner für das Ereignis
AccountType string Typ des Benutzerkontos, der seine allgemeine Rolle und Zugriffsebenen angibt, z. B. "Normal", "System", "Admin", "Anwendung"
IsExternalUser boolean Gibt an, ob ein Benutzer innerhalb des Netzwerks nicht zur Domäne des organization gehört.
IsImpersonated boolean Gibt an, ob die Aktivität von einem Benutzer für einen anderen Benutzer (identitätswechsel) ausgeführt wurde.
IPTags dynamic Kundendefinierte Informationen, die auf bestimmte IP-Adressen und IP-Adressbereiche angewendet werden
IPCategory string Zusätzliche Informationen zur IP-Adresse
UserAgentTags dynamic Weitere Informationen, die von Microsoft Defender for Cloud Apps in einem Tag im Feld "Benutzer-Agent" bereitgestellt werden. Kann einen der folgenden Werte aufweisen: Nativer Client, Veralteter Browser, Veraltetes Betriebssystem, Roboter
RawEventData dynamic Unformatierte Ereignisinformationen aus der Quellanwendung oder dem Quelldienst im JSON-Format
AdditionalFields dynamic Zusätzliche Informationen zur Entität oder zum Ereignis
LastSeenForUser dynamic Gibt die Anzahl der Tage an, seit ein bestimmtes Attribut für den Benutzer zuletzt angezeigt wurde. Der Wert 0 bedeutet, dass das Attribut heute gesehen wurde. Ein negativer Wert gibt an, dass das Attribut zum ersten Mal angezeigt wird, und ein positiver Wert stellt die Anzahl der Tage seit der letzten Anzeige des Attributs dar. Beispiel: {"ActionType":"0","OSPlatform":"4","ISP":"-1"}
UncommonForUser dynamic Listen die Attribute im Ereignis, die für den Benutzer als ungewöhnlich gelten. Die Verwendung dieser Daten kann dazu beitragen, falsch positive Ergebnisse auszuschließen und Anomalien zu finden. Beispiel: ["ActivityType","ActionType"]
AuditSource string Überwachungsdatenquelle. Mögliche Werte sind einer der folgenden:
– zugriffssteuerung Defender for Cloud Apps
– Defender for Cloud Apps Sitzungssteuerung
– Defender for Cloud Apps App-Connector
SessionData dynamic Die Defender for Cloud Apps Sitzungs-ID für die Zugriffs- oder Sitzungssteuerung. Beispiel: {InLineSessionId:"232342"}
OAuthAppId string Ein eindeutiger Bezeichner, der einer Anwendung zugewiesen wird, wenn sie für Microsoft Entra mit dem OAuth 2.0-Protokoll registriert wird.

Abgedeckte Apps und Dienste

Die Tabelle CloudAppEvents enthält angereicherte Protokolle von allen SaaS-Anwendungen, die mit Microsoft Defender for Cloud Apps verbunden sind, z. B.:

  • Office 365 und Microsoft-Anwendungen, einschließlich:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype for Business
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

Verbinden Sie unterstützte Cloud-Apps für sofortigen, sofort einsatzbereiten Schutz, tiefen Einblick in die Benutzer- und Geräteaktivitäten der App und vieles mehr. Weitere Informationen finden Sie unter Schützen verbundener Apps mithilfe von Clouddienstanbieter-APIs.