Поделиться через

OAuthAppInfo (предварительная версия)

  • Применяется к: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Таблица OAuthAppInfo в схеме расширенной охоты содержит сведения о приложениях OAuth, подключенных к Microsoft 365, в организации, которые зарегистрированы в Microsoft Entra ID и доступны в возможности управления приложениями Microsoft Defender for Cloud Apps.

Таблица OAuthAppInfo может содержать не все свойства, связанные с приложением или субъектом-службой, доступные в идентификаторе Entra. Он также не включает данные, связанные с приложениями майкрософт или приложениями без согласия OAuth. Охват таблицы основан на существующих область приложений, подключенных к Microsoft 365, которые охватываются системой управления приложениями.

Предварительные условия

Эта расширенная таблица охоты заполняется записями управления приложениями из Microsoft Defender for Cloud Apps.

Чтобы просмотреть таблицу в расширенной OAuthAppInfo охоте, необходимо включить управление приложениями. Чтобы включить управление приложениями, выполните действия, описанные в разделе Включение управления приложениями.

Схема

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
ReportId string Уникальный идентификатор записи
Timestamp datetime Дата и время создания записи
OAuthAppId string Уникальный идентификатор приложения, назначенный Microsoft Entra ID
ServicePrincipalId string Уникальный идентификатор экземпляра субъекта-службы приложения в клиенте
AppName string Отображаемое имя приложения, предоставляемое связанным субъектом-службой
AddedOnTime datetime Дата и время регистрации приложения
LastModifiedTime datetime Метка времени последнего изменения приложения
AppStatus string Состояние приложения; может быть: Enabled, DisabledByMicrosoft, DisabledByAppGovernancePolicy, DisabledByUser, Deleted (сведения о приложениях с состоянием Удаления доступны только в течение 30 дней с момента удаления приложения)
VerifiedPublisher dynamic Указывает сведения о провереном издателе приложения, которое представляет этот субъект-служба. Он содержит такие сведения, как DisplayName, VerifiedPublisherId, AddedDateTime.
PrivilegeLevel string Уровень привилегий приложения, основанный на самом высоком классифицированном разрешении, предоставленном приложению.
Permissions dynamic Содержит массив объектов разрешений; каждый объект разрешения включает PermissionName, TargetAppId, TargetAppDisplayName, PermissionType, PrivilegeLevel, UsageStatus
ConsentedUsersCount integer Число пользователей, согласившихся на использование приложения; эта информация доступна только в том случае, если приложение не предоставило согласие администратора.
IsAdminConsented boolean Значение равно True, если пользователь предоставил приложению согласие администратора от имени всех пользователей в организации, в противном случае значение равно False.
AppOrigin string Указывает, является ли приложение внутренним для организации или зарегистрировано во внешнем клиенте.
LastUsedTime datetime Дата и время последнего входа приложения. Отслеживание этих данных начинается с июня 2022 г.
AppOwnerTenantId string Указывает идентификатор клиента, в котором было зарегистрировано приложение.

Таблица OAuthAppInfo обновляет сведения на ежечасной основе, чтобы записывать любые изменения в метаданных или аналитических сведениях для приложений OAuth на основе данных из Defender for Cloud Apps управления приложениями.

Кроме того, чтобы в таблице сохранялись OAuthAppInfo данные для охваченных приложений, два раза в месяц отправляется полное snapshot всех приложений OAuth.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.

  • Last updated on