Partilhar via


CloudAppEvents

Aplica-se a:

  • Microsoft Defender XDR

A CloudAppEvents tabela no esquema de investigação avançada contém informações sobre eventos que envolvem contas e objetos em Office 365 e outras aplicações e serviços na cloud. Utilize esta referência para construir consultas que devolvem informações desta tabela.

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o evento foi gravado
ActionType string Tipo de atividade que acionou o evento
Application string Aplicação que executou a ação gravada
ApplicationId int Identificador exclusivo da aplicação
AppInstanceId int Identificador exclusivo para a instância de uma aplicação. Para converter isto em Microsoft Defender for Cloud Apps App-connector-ID, utilizeCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountId string Um identificador para a conta, conforme encontrado por Microsoft Defender for Cloud Apps. Pode ser Microsoft Entra ID, nome principal de utilizador ou outros identificadores.
AccountDisplayName string Nome apresentado na entrada do livro de endereços do utilizador da conta. Normalmente, trata-se de uma combinação do nome, da inicial do meio e do sobrenome do utilizador.
IsAdminOperation bool Indica se a atividade foi realizada por um administrador
DeviceType string Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, dispositivo móvel, consola de jogos ou impressora
OSPlatform string Plataforma do sistema operativo em execução no dispositivo. Esta coluna indica sistemas operativos específicos, incluindo variações dentro da mesma família, como Windows 11, Windows 10 e Windows 7.
IPAddress string Endereço IP atribuído ao dispositivo durante a comunicação
IsAnonymousProxy boolean Indica se o endereço IP pertence a um proxy anónimo conhecido
CountryCode string Código de duas letras que indica o país onde o endereço IP do cliente está geolocalizado
City string Cidade onde o endereço IP do cliente é geolocalizado
Isp string Fornecedor de serviços Internet associado ao endereço IP
UserAgent string Informações do agente do utilizador a partir do browser ou de outra aplicação cliente
ActivityType string Tipo de atividade que acionou o evento
ActivityObjects dynamic Lista de objetos, como ficheiros ou pastas, que estiveram envolvidos na atividade registada
ObjectName string Nome do objeto ao qual a ação gravada foi aplicada
ObjectType string Tipo de objeto, como um ficheiro ou uma pasta, ao qual a ação gravada foi aplicada
ObjectId string Identificador exclusivo do objeto ao qual a ação gravada foi aplicada
ReportId string Identificador exclusivo do evento
AccountType string Tipo de conta de utilizador, que indica a função geral e os níveis de acesso, como Regular, Sistema, Administração, Aplicação
IsExternalUser boolean Indica se um utilizador dentro da rede não pertence ao domínio da organização
IsImpersonated boolean Indica se a atividade foi realizada por um utilizador para outro utilizador (representado)
IPTags dynamic Informações definidas pelo cliente aplicadas a endereços IP específicos e intervalos de endereços IP
IPCategory string Informações adicionais sobre o endereço IP
UserAgentTags dynamic Mais informações fornecidas por Microsoft Defender for Cloud Apps numa etiqueta no campo do agente de utilizador. Pode ter qualquer um dos seguintes valores: Cliente nativo, browser desatualizado, sistema operativo desatualizado, Robot
RawEventData dynamic Informações de evento não processadas da aplicação ou serviço de origem no formato JSON
AdditionalFields dynamic Informações adicionais sobre a entidade ou evento
LastSeenForUser dynamic Indica o número de dias desde que um atributo específico foi visto pela última vez para o utilizador. Um valor de 0 significa que o atributo foi visto hoje, um valor negativo indica que o atributo está a ser visto pela primeira vez e um valor positivo representa o número de dias desde que o atributo foi visto pela última vez. Por exemplo: {"ActionType":"0","OSPlatform":"4","ISP":"-1"}
UncommonForUser dynamic Listas os atributos no evento considerados invulgares para o utilizador. A utilização destes dados pode ajudar a excluir falsos positivos e a encontrar anomalias. Por exemplo: ["ActivityType","ActionType"]
AuditSource string Auditar origem de dados. Os valores possíveis são um dos seguintes:
- Defender for Cloud Apps controlo de acesso
- Defender for Cloud Apps controlo de sessão
- Defender for Cloud Apps conector de aplicações
SessionData dynamic O Defender for Cloud Apps ID de sessão para acesso ou controlo de sessão. Por exemplo: {InLineSessionId:"232342"}
OAuthAppId string Um identificador exclusivo atribuído a uma aplicação quando está registado para Microsoft Entra com o protocolo OAuth 2.0.

Aplicações e serviços abrangidos

A tabela CloudAppEvents contém registos melhorados de todas as aplicações SaaS ligadas a Microsoft Defender for Cloud Apps, tais como:

  • Office 365 e Aplicações Microsoft, incluindo:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype para Empresas
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

Ligue aplicações na cloud suportadas para proteção instantânea e inicial, visibilidade aprofundada sobre as atividades de utilizador e dispositivo da aplicação e muito mais. Para obter mais informações, veja Proteger aplicações ligadas através de APIs do fornecedor de serviços cloud.