다음을 통해 공유


CloudAppEvents

적용 대상:

  • Microsoft Defender XDR

고급 헌팅 스키마의 테이블에는 CloudAppEvents Office 365 및 기타 클라우드 앱 및 서비스의 계정 및 개체와 관련된 이벤트에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.

고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.

열 이름 데이터 형식 설명
Timestamp datetime 이벤트가 기록된 날짜와 시간
ActionType string 이벤트를 트리거한 활동 유형
Application string 기록된 작업을 수행한 애플리케이션
ApplicationId int 애플리케이션의 고유 식별자
AppInstanceId int 애플리케이션의 instance 대한 고유 식별자입니다. 이를 Microsoft Defender for Cloud Apps App-connector-ID로 변환하려면 를 사용합니다.CloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId
AccountObjectId string Microsoft Entra ID 계정의 고유 식별자
AccountId string Microsoft Defender for Cloud Apps 있는 계정의 식별자입니다. Microsoft Entra ID, 사용자 계정 이름 또는 기타 식별자일 수 있습니다.
AccountDisplayName string 계정 사용자의 주소록 항목에 표시되는 이름입니다. 이는 일반적으로 사용자의 지정된 이름, 중간 이니셜 및 성을 조합한 것입니다.
IsAdminOperation bool 관리자가 활동을 수행했는지 여부를 나타냅니다.
DeviceType string 네트워크 디바이스, 워크스테이션, 서버, 모바일, 게임 콘솔 또는 프린터와 같은 용도 및 기능에 따라 디바이스 유형
OSPlatform string 디바이스에서 실행되는 운영 체제의 플랫폼입니다. 이 열은 Windows 11, Windows 10 및 Windows 7과 같은 동일한 제품군 내의 변형을 포함하여 특정 운영 체제를 나타냅니다.
IPAddress string 통신 중에 디바이스에 할당된 IP 주소
IsAnonymousProxy boolean IP 주소가 알려진 익명 프록시에 속하는지 여부를 나타냅니다.
CountryCode string 클라이언트 IP 주소가 지리적으로 할당된 국가를 나타내는 두 글자 코드
City string 클라이언트 IP 주소가 지리적으로 할당된 도시
Isp string IP 주소와 연결된 인터넷 서비스 공급자
UserAgent string 웹 브라우저 또는 기타 클라이언트 애플리케이션의 사용자 에이전트 정보
ActivityType string 이벤트를 트리거한 활동 유형
ActivityObjects dynamic 기록된 활동에 관련된 파일 또는 폴더와 같은 개체 목록
ObjectName string 기록된 작업이 적용된 개체의 이름
ObjectType string 기록된 작업이 적용된 파일 또는 폴더와 같은 개체 형식
ObjectId string 기록된 작업이 적용된 개체의 고유 식별자
ReportId string 이벤트에 대한 고유 식별자
AccountType string 일반, 시스템, 관리, 애플리케이션과 같은 일반 역할 및 액세스 수준을 나타내는 사용자 계정 유형
IsExternalUser boolean 네트워크 내의 사용자가 organization 도메인에 속하지 않는지 여부를 나타냅니다.
IsImpersonated boolean 한 사용자가 다른(가장한) 사용자에 대해 활동을 수행했는지 여부를 나타냅니다.
IPTags dynamic 특정 IP 주소 및 IP 주소 범위에 적용되는 고객 정의 정보
IPCategory string IP 주소에 대한 추가 정보
UserAgentTags dynamic 사용자 에이전트 필드의 태그에 Microsoft Defender for Cloud Apps 제공된 자세한 정보입니다. 네이티브 클라이언트, 오래된 브라우저, 오래된 운영 체제, 로봇 등의 값을 가질 수 있습니다.
RawEventData dynamic 원본 애플리케이션 또는 서비스의 원시 이벤트 정보(JSON 형식)
AdditionalFields dynamic 엔터티 또는 이벤트에 대한 추가 정보
LastSeenForUser dynamic 특정 특성이 사용자에 대해 마지막으로 표시된 이후의 일 수를 나타냅니다. 값 0은 특성이 오늘 표시되었음을 의미하고, 음수 값은 특성이 처음으로 표시됨을 나타내고, 양수 값은 특성이 마지막으로 표시된 이후의 일 수를 나타냅니다. 예: {"ActionType":"0","OSPlatform":"4","ISP":"-1"}
UncommonForUser dynamic 사용자에게 일반적이지 않은 것으로 간주되는 이벤트의 특성을 Lists. 이 데이터를 사용하면 가양성을 배제하고 변칙을 찾는 데 도움이 될 수 있습니다. 예: ["ActivityType","ActionType"]
AuditSource string 감사 데이터 원본. 가능한 값은 다음 중 하나입니다.
- 액세스 제어 Defender for Cloud Apps
- 세션 제어 Defender for Cloud Apps
- Defender for Cloud Apps 앱 커넥터
SessionData dynamic 액세스 또는 세션 제어에 대한 Defender for Cloud Apps 세션 ID입니다. 예: {InLineSessionId:"232342"}
OAuthAppId string 애플리케이션이 OAuth 2.0 프로토콜을 사용하여 Microsoft Entra 등록될 때 애플리케이션에 할당되는 고유 식별자입니다.

다루는 앱 및 서비스

CloudAppEvents 테이블에는 다음과 같이 Microsoft Defender for Cloud Apps 연결된 모든 SaaS 애플리케이션의 보강 로그가 포함되어 있습니다.

  • Office 365 및 Microsoft 애플리케이션은 다음과 같습니다.
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • 비즈니스용 Skype
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

즉시 보호, 기본 제공 보호, 앱의 사용자 및 디바이스 활동에 대한 심층적인 가시성 등을 위해 지원되는 클라우드 앱을 연결합니다. 자세한 내용은 클라우드 서비스 공급자 API를 사용하여 연결된 앱 보호를 참조하세요.