CloudAppEvents

Aplica-se a:

  • Microsoft Defender XDR

A CloudAppEvents tabela no esquema de investigação avançada contém informações sobre eventos que envolvem contas e objetos no Office 365 e outras aplicações e serviços em nuvem. Use essa referência para criar consultas que retornam informações dessa tabela.

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime A data e a hora em que o evento foi gravado
ActionType string Tipo de atividade que acionou o evento
Application string Aplicação que executou a ação gravada
ApplicationId int Identificador exclusivo da aplicação
AppInstanceId int Identificador exclusivo para a instância de uma aplicação. Para converter isto no Microsoft Defender para Cloud Apps App-connector-ID, utilize CloudAppEvents | distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId |order by ApplicationId,AppInstanceId
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountId string Um identificador para a conta, conforme encontrado pelo Microsoft Defender para Aplicações na Cloud. Pode ser Microsoft Entra ID, nome principal de utilizador ou outros identificadores.
AccountDisplayName string Nome apresentado na entrada do livro de endereços do utilizador da conta. Normalmente, trata-se de uma combinação do nome, da inicial do meio e do sobrenome do utilizador.
IsAdminOperation bool Indica se a atividade foi realizada por um administrador
DeviceType string Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, dispositivo móvel, consola de jogos ou impressora
OSPlatform string Plataforma do sistema operativo em execução no dispositivo. Esta coluna indica sistemas operativos específicos, incluindo variações dentro da mesma família, como o Windows 11, Windows 10 e Windows 7.
IPAddress string Endereço IP atribuído ao dispositivo durante a comunicação
IsAnonymousProxy boolean Indica se o endereço IP pertence a um proxy anónimo conhecido
CountryCode string Código de duas letras que indica o país onde o endereço IP do cliente está geolocalizado
City string Cidade onde o endereço IP do cliente é geolocalizado
Isp string Fornecedor de serviços Internet associado ao endereço IP
UserAgent string Informações do agente do utilizador a partir do browser ou de outra aplicação cliente
ActivityType string Tipo de atividade que acionou o evento
ActivityObjects dynamic Lista de objetos, como ficheiros ou pastas, que estiveram envolvidos na atividade registada
ObjectName string Nome do objeto ao qual a ação gravada foi aplicada
ObjectType string Tipo de objeto, como um ficheiro ou uma pasta, ao qual a ação gravada foi aplicada
ObjectId string Identificador exclusivo do objeto ao qual a ação gravada foi aplicada
ReportId string Identificador exclusivo do evento
AccountType string Tipo de conta de utilizador, que indica a função geral e os níveis de acesso, como Regular, Sistema, Administrador, Aplicação
IsExternalUser boolean Indica se um utilizador dentro da rede não pertence ao domínio da organização
IsImpersonated boolean Indica se a atividade foi realizada por um utilizador para outro utilizador (representado)
IPTags dynamic Informações definidas pelo cliente aplicadas a endereços IP específicos e intervalos de endereços IP
IPCategory string Informações adicionais sobre o endereço IP
UserAgentTags dynamic Mais informações fornecidas pelo Microsoft Defender para Cloud Apps numa etiqueta no campo do agente de utilizador. Pode ter qualquer um dos seguintes valores: Cliente nativo, browser desatualizado, sistema operativo desatualizado, Robot
RawEventData dynamic Informações de evento não processadas da aplicação ou serviço de origem no formato JSON
AdditionalFields dynamic Informações adicionais sobre a entidade ou evento
LastSeenForUser string Mostra quantos dias atrás o atributo foi utilizado recentemente pelo utilizador em dias (ou seja, ISP, ActionType, etc.)
UncommonForUser string Lista os atributos no caso de serem invulgares para o utilizador, ao utilizar estes dados para ajudar a excluir falsos positivos e descobrir anomalias
AuditSource string Origem de dados de auditoria, incluindo uma das seguintes:
- Controlo de acesso do Defender para Cloud Apps
- Controlo de sessão do Defender para Cloud Apps
- Conector de aplicações do Defender para Cloud Apps
SessionData dynamic O ID de sessão do Defender para Cloud Apps para acesso ou controlo de sessão. Por exemplo: {InLineSessionId:"232342"}
OAuthAppId string Um identificador exclusivo atribuído a uma aplicação quando está registado no Entra com o OAuth 2.0

Aplicações e serviços abrangidos

A tabela CloudAppEvents contém registos melhorados de todas as aplicações SaaS ligadas ao Microsoft Defender para Cloud Apps, tais como:

  • Aplicações do Office 365 e microsoft, incluindo:
    • Exchange Online
    • SharePoint Online
    • Microsoft Teams
    • Dynamics 365
    • Skype for Business
    • Viva Engage
    • Power Automate
    • Power BI
    • Dropbox
    • Salesforce
    • GitHub
    • Atlassian

Ligue aplicações na cloud suportadas para proteção instantânea e inicial, visibilidade aprofundada sobre as atividades de utilizador e dispositivo da aplicação e muito mais. Para obter mais informações, veja Proteger aplicações ligadas através de APIs do fornecedor de serviços cloud.