CloudAppEvents
Aplica-se a:
- Microsoft Defender XDR
A CloudAppEvents
tabela no esquema de investigação avançada contém informações sobre eventos que envolvem contas e objetos em Office 365 e outras aplicações e serviços na cloud. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
ActionType |
string |
Tipo de atividade que acionou o evento |
Application |
string |
Aplicação que executou a ação gravada |
ApplicationId |
int |
Identificador exclusivo da aplicação |
AppInstanceId |
int |
Identificador exclusivo para a instância de uma aplicação. Para converter isto em Microsoft Defender for Cloud Apps App-connector-ID, utilizeCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountId |
string |
Um identificador para a conta, conforme encontrado por Microsoft Defender for Cloud Apps. Pode ser Microsoft Entra ID, nome principal de utilizador ou outros identificadores. |
AccountDisplayName |
string |
Nome apresentado na entrada do livro de endereços do utilizador da conta. Normalmente, trata-se de uma combinação do nome, da inicial do meio e do sobrenome do utilizador. |
IsAdminOperation |
bool |
Indica se a atividade foi realizada por um administrador |
DeviceType |
string |
Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, dispositivo móvel, consola de jogos ou impressora |
OSPlatform |
string |
Plataforma do sistema operativo em execução no dispositivo. Esta coluna indica sistemas operativos específicos, incluindo variações dentro da mesma família, como Windows 11, Windows 10 e Windows 7. |
IPAddress |
string |
Endereço IP atribuído ao dispositivo durante a comunicação |
IsAnonymousProxy |
boolean |
Indica se o endereço IP pertence a um proxy anónimo conhecido |
CountryCode |
string |
Código de duas letras que indica o país onde o endereço IP do cliente está geolocalizado |
City |
string |
Cidade onde o endereço IP do cliente é geolocalizado |
Isp |
string |
Fornecedor de serviços Internet associado ao endereço IP |
UserAgent |
string |
Informações do agente do utilizador a partir do browser ou de outra aplicação cliente |
ActivityType |
string |
Tipo de atividade que acionou o evento |
ActivityObjects |
dynamic |
Lista de objetos, como ficheiros ou pastas, que estiveram envolvidos na atividade registada |
ObjectName |
string |
Nome do objeto ao qual a ação gravada foi aplicada |
ObjectType |
string |
Tipo de objeto, como um ficheiro ou uma pasta, ao qual a ação gravada foi aplicada |
ObjectId |
string |
Identificador exclusivo do objeto ao qual a ação gravada foi aplicada |
ReportId |
string |
Identificador exclusivo do evento |
AccountType |
string |
Tipo de conta de utilizador, que indica a função geral e os níveis de acesso, como Regular, Sistema, Administração, Aplicação |
IsExternalUser |
boolean |
Indica se um utilizador dentro da rede não pertence ao domínio da organização |
IsImpersonated |
boolean |
Indica se a atividade foi realizada por um utilizador para outro utilizador (representado) |
IPTags |
dynamic |
Informações definidas pelo cliente aplicadas a endereços IP específicos e intervalos de endereços IP |
IPCategory |
string |
Informações adicionais sobre o endereço IP |
UserAgentTags |
dynamic |
Mais informações fornecidas por Microsoft Defender for Cloud Apps numa etiqueta no campo do agente de utilizador. Pode ter qualquer um dos seguintes valores: Cliente nativo, browser desatualizado, sistema operativo desatualizado, Robot |
RawEventData |
dynamic |
Informações de evento não processadas da aplicação ou serviço de origem no formato JSON |
AdditionalFields |
dynamic |
Informações adicionais sobre a entidade ou evento |
LastSeenForUser |
dynamic |
Indica o número de dias desde que um atributo específico foi visto pela última vez para o utilizador. Um valor de 0 significa que o atributo foi visto hoje, um valor negativo indica que o atributo está a ser visto pela primeira vez e um valor positivo representa o número de dias desde que o atributo foi visto pela última vez. Por exemplo: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Listas os atributos no evento considerados invulgares para o utilizador. A utilização destes dados pode ajudar a excluir falsos positivos e a encontrar anomalias. Por exemplo: ["ActivityType","ActionType"] |
AuditSource |
string |
Auditar origem de dados. Os valores possíveis são um dos seguintes: - Defender for Cloud Apps controlo de acesso - Defender for Cloud Apps controlo de sessão - Defender for Cloud Apps conector de aplicações |
SessionData |
dynamic |
O Defender for Cloud Apps ID de sessão para acesso ou controlo de sessão. Por exemplo: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Um identificador exclusivo atribuído a uma aplicação quando está registado para Microsoft Entra com o protocolo OAuth 2.0. |
Aplicações e serviços abrangidos
A tabela CloudAppEvents contém registos melhorados de todas as aplicações SaaS ligadas a Microsoft Defender for Cloud Apps, tais como:
- Office 365 e Aplicações Microsoft, incluindo:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype para Empresas
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Ligue aplicações na cloud suportadas para proteção instantânea e inicial, visibilidade aprofundada sobre as atividades de utilizador e dispositivo da aplicação e muito mais. Para obter mais informações, veja Proteger aplicações ligadas através de APIs do fornecedor de serviços cloud.