CloudAppEvents
ينطبق على:
- Microsoft Defender XDR
CloudAppEvents يحتوي الجدول في مخطط التتبع المتقدم على معلومات حول الأحداث التي تتضمن حسابات وعناصر في Office 365 والتطبيقات والخدمات السحابية الأخرى. استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.
للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.
| اسم العمود | نوع البيانات | الوصف |
|---|---|---|
Timestamp |
datetime |
تاريخ ووقت تسجيل الحدث |
ActionType |
string |
نوع النشاط الذي أدى إلى تشغيل الحدث |
Application |
string |
التطبيق الذي نفذ الإجراء المسجل |
ApplicationId |
int |
معرف فريد للتطبيق |
AppInstanceId |
int |
معرف فريد لمثيل التطبيق. لتحويل هذا إلى Microsoft Defender for Cloud Apps App-connector-ID، استخدمCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),Application|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
معرف فريد للحساب في Microsoft Entra ID |
AccountId |
string |
معرف للحساب كما تم العثور عليه بواسطة Microsoft Defender for Cloud Apps. يمكن Microsoft Entra ID أو اسم المستخدم الأساسي أو معرفات أخرى. |
AccountDisplayName |
string |
الاسم المعروض في إدخال دفتر العناوين لمستخدم الحساب. عادة ما يكون هذا مزيجا من الاسم المحدد، والأحرف الأولية الوسطى، واسم العائلة للمستخدم. |
IsAdminOperation |
bool |
يشير إلى ما إذا كان النشاط قد تم تنفيذه من قبل مسؤول |
DeviceType |
string |
نوع الجهاز استنادا إلى الغرض والوظائف، مثل جهاز الشبكة أو محطة العمل أو الخادم أو الهاتف المحمول أو وحدة تحكم الألعاب أو الطابعة |
OSPlatform |
string |
النظام الأساسي لنظام التشغيل الذي يعمل على الجهاز. يشير هذا العمود إلى أنظمة تشغيل محددة، بما في ذلك الاختلافات داخل نفس العائلة، مثل Windows 11 Windows 10 وWindows 7. |
IPAddress |
string |
عنوان IP المعين للجهاز أثناء الاتصال |
IsAnonymousProxy |
boolean |
يشير إلى ما إذا كان عنوان IP ينتمي إلى وكيل مجهول معروف |
CountryCode |
string |
رمز مكون من حرفين يشير إلى البلد الذي تم فيه تحديد موقع عنوان IP للعميل جغرافيا |
City |
string |
المدينة التي يتم فيها تحديد موقع عنوان IP للعميل جغرافيا |
Isp |
string |
موفر خدمة الإنترنت المقترن بعنوان IP |
UserAgent |
string |
معلومات عامل المستخدم من مستعرض الويب أو تطبيق العميل الآخر |
ActivityType |
string |
نوع النشاط الذي أدى إلى تشغيل الحدث |
ActivityObjects |
dynamic |
قائمة الكائنات، مثل الملفات أو المجلدات، التي شاركت في النشاط المسجل |
ObjectName |
string |
اسم الكائن الذي تم تطبيق الإجراء المسجل عليه |
ObjectType |
string |
نوع العنصر، مثل ملف أو مجلد، تم تطبيق الإجراء المسجل عليه |
ObjectId |
string |
المعرف الفريد للكائن الذي تم تطبيق الإجراء المسجل عليه |
ReportId |
string |
معرف فريد للحدث |
AccountType |
string |
نوع حساب المستخدم، الذي يشير إلى دوره العام ومستويات الوصول، مثل عادي، ونظام، مسؤول، وتطبيق |
IsExternalUser |
boolean |
يشير إلى ما إذا كان المستخدم داخل الشبكة لا ينتمي إلى مجال المؤسسة |
IsImpersonated |
boolean |
يشير إلى ما إذا كان النشاط قد تم تنفيذه من قبل مستخدم واحد لمستخدم آخر (منتحل الهوية) |
IPTags |
dynamic |
المعلومات المعرفة من قبل العميل المطبقة على عناوين IP محددة ونطاقات عناوين IP |
IPCategory |
string |
معلومات إضافية حول عنوان IP |
UserAgentTags |
dynamic |
مزيد من المعلومات التي توفرها Microsoft Defender for Cloud Apps في علامة في حقل عامل المستخدم. يمكن أن يكون لها أي من القيم التالية: العميل الأصلي، متصفح قديم، نظام تشغيل قديم، روبوت |
RawEventData |
dynamic |
معلومات الحدث الأولية من التطبيق أو الخدمة المصدر بتنسيق JSON |
AdditionalFields |
dynamic |
معلومات إضافية حول الكيان أو الحدث |
LastSeenForUser |
dynamic |
يشير إلى عدد الأيام منذ آخر مرة شوهدت فيها سمة معينة للمستخدم. تعني القيمة 0 أن السمة قد شوهدت اليوم، وتشير القيمة السالبة إلى أن السمة يتم عرضها للمرة الأولى، وتمثل القيمة الموجبة عدد الأيام منذ آخر ظهور للسمة. على سبيل المثال: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
القوائم السمات في حالة غير شائعة للمستخدم، مما يساعد على استبعاد الإيجابيات الخاطئة والعثور على الحالات الشاذة. على سبيل المثال: ["ActivityType","ActionType"]. لتصفية النتائج غير المتزامنة: لن تمر الأحداث ذات القيمة الأمنية المنخفضة أو غير المهمة بعمليات الإثراء وسيكون لها قيمة ""، بينما تمر الأحداث عالية القيمة بعمليات الإثراء، وإذا لم يتم العثور على حالات شاذة، فسيكون لها قيمة "[]". |
AuditSource |
string |
مصدر بيانات التدقيق. القيم المحتملة هي واحدة مما يلي: - التحكم في الوصول Defender for Cloud Apps - التحكم في جلسة Defender for Cloud Apps - Defender for Cloud Apps موصل التطبيق |
SessionData |
dynamic |
معرف جلسة Defender for Cloud Apps للوصول أو التحكم في الجلسة. على سبيل المثال: {InLineSessionId:"232342"} |
OAuthAppId |
string |
معرف فريد يتم تعيينه إلى تطبيق عند تسجيله في Microsoft Entra باستخدام بروتوكول OAuth 2.0. |
التطبيقات والخدمات التي تمت تغطيتها
يحتوي جدول CloudAppEvents على سجلات ثرية من جميع تطبيقات SaaS المتصلة Microsoft Defender for Cloud Apps، مثل:
- Office 365 وتطبيقات Microsoft، بما في ذلك:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
قم بتوصيل التطبيقات السحابية المدعومة للحماية الفورية الجاهزة، والرؤية العميقة لأنشطة المستخدم والجهاز للتطبيق، والمزيد. لمزيد من المعلومات، راجع حماية التطبيقات المتصلة باستخدام واجهات برمجة تطبيقات موفر خدمة السحابة.