Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица CloudAppEvents в схеме расширенной охоты содержит сведения о событиях, связанных с учетными записями и объектами в Office 365 и других облачных приложениях и службах. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Предварительные условия
Эта расширенная таблица охоты заполняется записями из Microsoft Defender for Cloud Apps. Если ваша организация не развернула службу в Microsoft Defender XDR, запросы, использующие таблицу, не будут работать или возвращать результаты. Дополнительные сведения о развертывании Defender for Cloud Apps в Defender XDR см. в статье Развертывание поддерживаемых служб.
Чтобы убедиться, CloudAppEvents что таблица заполнена:
Перейдите на портал Defender и выберите Параметры Облачные > приложения > Соединители приложений.
На странице Выбор компонентов Microsoft 365 установите флажок Действия Microsoft 365 .
Подробные инструкции см. в статье Подключение Microsoft 365 к Microsoft Defender for Cloud Apps
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
ActionType |
string |
Тип действия, активировав событие |
Application |
string |
Приложение, выполняющее записанное действие |
ApplicationId |
int |
Уникальный идентификатор приложения |
AppInstanceId |
int |
Уникальный идентификатор экземпляра приложения. Чтобы преобразовать его в Microsoft Defender for Cloud Apps App-connector-ID, используйтеCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),Application|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
AccountId |
string |
Идентификатор учетной записи, найденный Microsoft Defender for Cloud Apps. Может быть Microsoft Entra ID, имя участника-пользователя или другие идентификаторы. |
AccountDisplayName |
string |
Имя, отображаемое в записи адресной книги для пользователя учетной записи. Обычно это сочетание заданного имени, среднего начального значения и фамилии пользователя. |
IsAdminOperation |
bool |
Указывает, было ли действие выполнено администратором. |
DeviceType |
string |
Тип устройства в зависимости от назначения и функциональности, например сетевое устройство, рабочая станция, сервер, мобильные устройства, игровая консоль или принтер |
OSPlatform |
string |
Платформа операционной системы, работающей на устройстве. В этом столбце указаны определенные операционные системы, включая варианты в пределах одного семейства, такие как Windows 11, Windows 10 и Windows 7. |
IPAddress |
string |
IP-адрес, назначенный устройству во время связи |
IsAnonymousProxy |
boolean |
Указывает, принадлежит ли IP-адрес известному анонимному прокси-серверу. |
CountryCode |
string |
Двухбуквенный код, указывающий страну, в которой геолокация IP-адреса клиента |
City |
string |
Город, в котором ip-адрес клиента геолокации |
Isp |
string |
Поставщик услуг Интернета, связанный с IP-адресом |
UserAgent |
string |
Сведения об агенте пользователя из веб-браузера или другого клиентского приложения |
ActivityType |
string |
Тип действия, активировав событие |
ActivityObjects |
dynamic |
Список объектов, таких как файлы или папки, которые участвовали в записанном действии |
ObjectName |
string |
Имя объекта, к которому было применено записанное действие. |
ObjectType |
string |
Тип объекта, например файла или папки, к которому было применено записанное действие. |
ObjectId |
string |
Уникальный идентификатор объекта, к которому применено записанное действие |
ReportId |
string |
Уникальный идентификатор события |
AccountType |
string |
Тип учетной записи пользователя с указанием ее общей роли и уровней доступа, таких как Обычный, Системный, Администратор, Приложение |
IsExternalUser |
boolean |
Указывает, не принадлежит ли пользователь в сети домену организации. |
IsImpersonated |
boolean |
Указывает, было ли действие выполнено одним пользователем для другого (олицетворенного) пользователя. |
IPTags |
dynamic |
Определяемая клиентом информация, применяемая к определенным IP-адресам и диапазонам IP-адресов |
IPCategory |
string |
Дополнительные сведения об IP-адресе |
UserAgentTags |
dynamic |
Дополнительные сведения, предоставляемые Microsoft Defender for Cloud Apps в теге в поле агента пользователя. Может иметь любое из следующих значений: Собственный клиент, Устаревший браузер, Устаревшая операционная система, Робот |
RawEventData |
dynamic |
Необработанные сведения о событиях из исходного приложения или службы в формате JSON |
AdditionalFields |
dynamic |
Дополнительные сведения о сущности или событии |
LastSeenForUser |
dynamic |
Указывает количество дней с момента последнего просмотра определенного атрибута для пользователя. Значение 0 означает, что атрибут был виден сегодня, отрицательное значение указывает, что атрибут отображается в первый раз, а положительное значение представляет количество дней с момента последнего просмотрения атрибута. Пример: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Списки атрибуты в случае, если это редко для пользователя, помогая исключить ложноположительные срабатывания и найти аномалии. Например, ["ActivityType","ActionType"]. чтобы отфильтровать неаномальные результаты, события с низким или незначительным значением безопасности не будут проходить через процессы обогащения и будут иметь значение "", в то время как события с высоким значением будут проходить через процессы обогащения и, если аномалии не найдены, будут иметь значение "[]". |
AuditSource |
string |
Аудит источника данных. Возможные значения: — управление доступом Defender for Cloud Apps — управление сеансом Defender for Cloud Apps — соединитель приложений Defender for Cloud Apps |
SessionData |
dynamic |
Идентификатор сеанса Defender for Cloud Apps для управления доступом или сеансом. Пример: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Уникальный идентификатор, который назначается приложению при его регистрации в Microsoft Entra с протоколом OAuth 2.0. |
Охваченные приложения и службы
Таблица CloudAppEvents содержит расширенные журналы из всех приложений SaaS, подключенных к Microsoft Defender for Cloud Apps, например:
- Office 365 и приложений Майкрософт, в том числе:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype для бизнеса
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Подключение поддерживаемых облачных приложений для мгновенной и встроенной защиты, глубокого наблюдения за действиями пользователей и устройств приложения и многое другое. Дополнительные сведения см. в статье Защита подключенных приложений с помощью API поставщика облачных служб.