CloudAppEvents
Si applica a:
- Microsoft Defender XDR
La CloudAppEvents tabella nello schema di ricerca avanzata contiene informazioni sugli eventi che coinvolgono account e oggetti in Office 365 e in altre app e servizi cloud. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
ActionType |
string |
Tipo di attività che ha attivato l'evento |
Application |
string |
Applicazione che ha eseguito l'azione registrata |
ApplicationId |
int |
Identificatore univoco per l'applicazione |
AppInstanceId |
int |
Identificatore univoco per l'istanza di un'applicazione. Per convertire questo valore in Microsoft Defender for Cloud Apps App-connector-ID, usareCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Identificatore univoco per l'account in Microsoft Entra ID |
AccountId |
string |
Identificatore dell'account trovato da Microsoft Defender for Cloud Apps. Può essere Microsoft Entra ID, nome dell'entità utente o altri identificatori. |
AccountDisplayName |
string |
Nome visualizzato nella voce della rubrica per l'utente dell'account. Si tratta in genere di una combinazione del nome specificato, dell'iniziale centrale e del cognome dell'utente. |
IsAdminOperation |
bool |
Indica se l'attività è stata eseguita da un amministratore |
DeviceType |
string |
Tipo di dispositivo in base allo scopo e alla funzionalità, ad esempio dispositivo di rete, workstation, server, dispositivi mobili, console di gioco o stampante |
OSPlatform |
string |
Piattaforma del sistema operativo in esecuzione nel dispositivo. Questa colonna indica sistemi operativi specifici, incluse le varianti all'interno della stessa famiglia, ad esempio Windows 11, Windows 10 e Windows 7. |
IPAddress |
string |
Indirizzo IP assegnato al dispositivo durante la comunicazione |
IsAnonymousProxy |
boolean |
Indica se l'indirizzo IP appartiene a un proxy anonimo noto |
CountryCode |
string |
Codice di due lettere che indica il paese in cui l'indirizzo IP del client è geolocalato |
City |
string |
Città in cui l'indirizzo IP del client è geolocalato |
Isp |
string |
Provider di servizi Internet associato all'indirizzo IP |
UserAgent |
string |
Informazioni sull'agente utente dal Web browser o da un'altra applicazione client |
ActivityType |
string |
Tipo di attività che ha attivato l'evento |
ActivityObjects |
dynamic |
Elenco di oggetti, ad esempio file o cartelle, coinvolti nell'attività registrata |
ObjectName |
string |
Nome dell'oggetto a cui è stata applicata l'azione registrata |
ObjectType |
string |
Tipo di oggetto, ad esempio un file o una cartella, a cui è stata applicata l'azione registrata |
ObjectId |
string |
Identificatore univoco dell'oggetto a cui è stata applicata l'azione registrata |
ReportId |
string |
Identificatore univoco per l'evento |
AccountType |
string |
Tipo di account utente, che indica il ruolo generale e i livelli di accesso, ad esempio Regular, System, Amministrazione, Application |
IsExternalUser |
boolean |
Indica se un utente all'interno della rete non appartiene al dominio dell'organizzazione |
IsImpersonated |
boolean |
Indica se l'attività è stata eseguita da un utente per un altro utente (rappresentato) |
IPTags |
dynamic |
Informazioni definite dal cliente applicate a indirizzi IP e intervalli di indirizzi IP specifici |
IPCategory |
string |
Informazioni aggiuntive sull'indirizzo IP |
UserAgentTags |
dynamic |
Altre informazioni fornite da Microsoft Defender for Cloud Apps in un tag nel campo dell'agente utente. Può avere uno dei valori seguenti: Client nativo, Browser obsoleto, Sistema operativo obsoleto, Robot |
RawEventData |
dynamic |
Informazioni sugli eventi non elaborate dall'applicazione o dal servizio di origine in formato JSON |
AdditionalFields |
dynamic |
Informazioni aggiuntive sull'entità o sull'evento |
LastSeenForUser |
dynamic |
Indica il numero di giorni dall'ultima visualizzazione di un attributo specifico per l'utente. Il valore 0 indica che l'attributo è stato visualizzato oggi, un valore negativo indica che l'attributo viene visualizzato per la prima volta e un valore positivo rappresenta il numero di giorni dall'ultima visualizzazione dell'attributo. Ad esempio: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Elenchi gli attributi nell'evento considerati non comuni per l'utente. L'uso di questi dati consente di escludere i falsi positivi e trovare anomalie. Ad esempio: ["ActivityType","ActionType"] |
AuditSource |
string |
Controllare l'origine dati. I valori possibili sono uno dei seguenti: - controllo di accesso Defender for Cloud Apps - Defender for Cloud Apps controllo sessione - connettore di app Defender for Cloud Apps |
SessionData |
dynamic |
L'ID sessione Defender for Cloud Apps per l'accesso o il controllo sessione. Ad esempio: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Identificatore univoco assegnato a un'applicazione quando viene registrato per Microsoft Entra con il protocollo OAuth 2.0. |
App e servizi trattati
La tabella CloudAppEvents contiene log arricchiti di tutte le applicazioni SaaS connesse a Microsoft Defender for Cloud Apps, ad esempio:
- Office 365 e applicazioni Microsoft, tra cui:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Connettere le app cloud supportate per una protezione immediata e predefinita, una visibilità approfondita delle attività utente e del dispositivo dell'app e altro ancora. Per altre informazioni, vedere Proteggere le app connesse usando le API del provider di servizi cloud.