CloudAppEvents
적용 대상:
- Microsoft Defender XDR
고급 헌팅 스키마의 테이블에는 CloudAppEvents
Office 365 및 기타 클라우드 앱 및 서비스의 계정 및 개체와 관련된 이벤트에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
열 이름 | 데이터 형식 | 설명 |
---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
ActionType |
string |
이벤트를 트리거한 활동 유형 |
Application |
string |
기록된 작업을 수행한 애플리케이션 |
ApplicationId |
int |
애플리케이션의 고유 식별자 |
AppInstanceId |
int |
애플리케이션의 instance 대한 고유 식별자입니다. 이를 Microsoft Defender for Cloud Apps App-connector-ID로 변환하려면 를 사용합니다.CloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Microsoft Entra ID 계정의 고유 식별자 |
AccountId |
string |
Microsoft Defender for Cloud Apps 있는 계정의 식별자입니다. Microsoft Entra ID, 사용자 계정 이름 또는 기타 식별자일 수 있습니다. |
AccountDisplayName |
string |
계정 사용자의 주소록 항목에 표시되는 이름입니다. 이는 일반적으로 사용자의 지정된 이름, 중간 이니셜 및 성을 조합한 것입니다. |
IsAdminOperation |
bool |
관리자가 활동을 수행했는지 여부를 나타냅니다. |
DeviceType |
string |
네트워크 디바이스, 워크스테이션, 서버, 모바일, 게임 콘솔 또는 프린터와 같은 용도 및 기능에 따라 디바이스 유형 |
OSPlatform |
string |
디바이스에서 실행되는 운영 체제의 플랫폼입니다. 이 열은 Windows 11, Windows 10 및 Windows 7과 같은 동일한 제품군 내의 변형을 포함하여 특정 운영 체제를 나타냅니다. |
IPAddress |
string |
통신 중에 디바이스에 할당된 IP 주소 |
IsAnonymousProxy |
boolean |
IP 주소가 알려진 익명 프록시에 속하는지 여부를 나타냅니다. |
CountryCode |
string |
클라이언트 IP 주소가 지리적으로 할당된 국가를 나타내는 두 글자 코드 |
City |
string |
클라이언트 IP 주소가 지리적으로 할당된 도시 |
Isp |
string |
IP 주소와 연결된 인터넷 서비스 공급자 |
UserAgent |
string |
웹 브라우저 또는 기타 클라이언트 애플리케이션의 사용자 에이전트 정보 |
ActivityType |
string |
이벤트를 트리거한 활동 유형 |
ActivityObjects |
dynamic |
기록된 활동에 관련된 파일 또는 폴더와 같은 개체 목록 |
ObjectName |
string |
기록된 작업이 적용된 개체의 이름 |
ObjectType |
string |
기록된 작업이 적용된 파일 또는 폴더와 같은 개체 형식 |
ObjectId |
string |
기록된 작업이 적용된 개체의 고유 식별자 |
ReportId |
string |
이벤트에 대한 고유 식별자 |
AccountType |
string |
일반, 시스템, 관리, 애플리케이션과 같은 일반 역할 및 액세스 수준을 나타내는 사용자 계정 유형 |
IsExternalUser |
boolean |
네트워크 내의 사용자가 organization 도메인에 속하지 않는지 여부를 나타냅니다. |
IsImpersonated |
boolean |
한 사용자가 다른(가장한) 사용자에 대해 활동을 수행했는지 여부를 나타냅니다. |
IPTags |
dynamic |
특정 IP 주소 및 IP 주소 범위에 적용되는 고객 정의 정보 |
IPCategory |
string |
IP 주소에 대한 추가 정보 |
UserAgentTags |
dynamic |
사용자 에이전트 필드의 태그에 Microsoft Defender for Cloud Apps 제공된 자세한 정보입니다. 네이티브 클라이언트, 오래된 브라우저, 오래된 운영 체제, 로봇 등의 값을 가질 수 있습니다. |
RawEventData |
dynamic |
원본 애플리케이션 또는 서비스의 원시 이벤트 정보(JSON 형식) |
AdditionalFields |
dynamic |
엔터티 또는 이벤트에 대한 추가 정보 |
LastSeenForUser |
dynamic |
특정 특성이 사용자에 대해 마지막으로 표시된 이후의 일 수를 나타냅니다. 값 0은 특성이 오늘 표시되었음을 의미하고, 음수 값은 특성이 처음으로 표시됨을 나타내고, 양수 값은 특성이 마지막으로 표시된 이후의 일 수를 나타냅니다. 예: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
사용자에게 일반적이지 않은 것으로 간주되는 이벤트의 특성을 Lists. 이 데이터를 사용하면 가양성을 배제하고 변칙을 찾는 데 도움이 될 수 있습니다. 예: ["ActivityType","ActionType"] |
AuditSource |
string |
감사 데이터 원본. 가능한 값은 다음 중 하나입니다. - 액세스 제어 Defender for Cloud Apps - 세션 제어 Defender for Cloud Apps - Defender for Cloud Apps 앱 커넥터 |
SessionData |
dynamic |
액세스 또는 세션 제어에 대한 Defender for Cloud Apps 세션 ID입니다. 예: {InLineSessionId:"232342"} |
OAuthAppId |
string |
애플리케이션이 OAuth 2.0 프로토콜을 사용하여 Microsoft Entra 등록될 때 애플리케이션에 할당되는 고유 식별자입니다. |
다루는 앱 및 서비스
CloudAppEvents 테이블에는 다음과 같이 Microsoft Defender for Cloud Apps 연결된 모든 SaaS 애플리케이션의 보강 로그가 포함되어 있습니다.
- Office 365 및 Microsoft 애플리케이션은 다음과 같습니다.
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- 비즈니스용 Skype
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
즉시 보호, 기본 제공 보호, 앱의 사용자 및 디바이스 활동에 대한 심층적인 가시성 등을 위해 지원되는 클라우드 앱을 연결합니다. 자세한 내용은 클라우드 서비스 공급자 API를 사용하여 연결된 앱 보호를 참조하세요.