Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A CloudAppEvents tabela no esquema de investigação avançada contém informações sobre eventos que envolvem contas e objetos em Office 365 e outras aplicações e serviços na cloud. Use essa referência para criar consultas que retornam informações dessa tabela.
Pré-requisitos
Esta tabela de investigação avançada é preenchida por registos de Microsoft Defender para Aplicativos de Nuvem. Se a sua organização não tiver implementado o serviço no Microsoft Defender XDR, as consultas que utilizam a tabela não irão funcionar nem devolver resultados. Para obter mais informações sobre como implementar Defender para Aplicativos de Nuvem no Defender XDR, leia Implementar serviços suportados.
Para se certificar de que a CloudAppEvents tabela está preenchida:
Aceda ao portal do Defender e selecione Definições Conectores > de aplicações na cloud>.
Na página Selecionar componentes do Microsoft 365 , selecione a caixa de verificação Atividades do Microsoft 365 .
Para obter instruções detalhadas, consulte: Ligar o Microsoft 365 ao Microsoft Defender para Aplicativos de Nuvem
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
ActionType |
string |
Tipo de atividade que acionou o evento |
Application |
string |
Aplicação que executou a ação gravada |
ApplicationId |
int |
Identificador exclusivo da aplicação |
AppInstanceId |
int |
Identificador exclusivo para a instância de uma aplicação. Para converter isto em Microsoft Defender para Aplicativos de Nuvem App-connector-ID, utilizeCloudAppEvents| distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),Application|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountId |
string |
Um identificador para a conta, conforme encontrado por Microsoft Defender para Aplicativos de Nuvem. Pode ser Microsoft Entra ID, nome principal de utilizador ou outros identificadores. |
AccountDisplayName |
string |
Nome apresentado na entrada do livro de endereços do utilizador da conta. Normalmente, trata-se de uma combinação do nome, da inicial do meio e do sobrenome do utilizador. |
IsAdminOperation |
bool |
Indica se a atividade foi realizada por um administrador |
DeviceType |
string |
Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, dispositivo móvel, consola de jogos ou impressora |
OSPlatform |
string |
Plataforma do sistema operativo em execução no dispositivo. Esta coluna indica sistemas operativos específicos, incluindo variações dentro da mesma família, como Windows 11, Windows 10 e Windows 7. |
IPAddress |
string |
Endereço IP atribuído ao dispositivo durante a comunicação |
IsAnonymousProxy |
boolean |
Indica se o endereço IP pertence a um proxy anónimo conhecido |
CountryCode |
string |
Código de duas letras que indica o país onde o endereço IP do cliente está geolocalizado |
City |
string |
Cidade onde o endereço IP do cliente é geolocalizado |
Isp |
string |
Fornecedor de serviços Internet associado ao endereço IP |
UserAgent |
string |
Informações do agente do utilizador a partir do browser ou de outra aplicação cliente |
ActivityType |
string |
Tipo de atividade que acionou o evento |
ActivityObjects |
dynamic |
Lista de objetos, como ficheiros ou pastas, que estiveram envolvidos na atividade registada |
ObjectName |
string |
Nome do objeto ao qual a ação gravada foi aplicada |
ObjectType |
string |
Tipo de objeto, como um ficheiro ou uma pasta, ao qual a ação gravada foi aplicada |
ObjectId |
string |
Identificador exclusivo do objeto ao qual a ação gravada foi aplicada |
ReportId |
string |
Identificador exclusivo do evento |
AccountType |
string |
Tipo de conta de utilizador, que indica a função geral e os níveis de acesso, como Regular, Sistema, Administração, Aplicação |
IsExternalUser |
boolean |
Indica se um utilizador dentro da rede não pertence ao domínio da organização |
IsImpersonated |
boolean |
Indica se a atividade foi realizada por um utilizador para outro utilizador (representado) |
IPTags |
dynamic |
Informações definidas pelo cliente aplicadas a endereços IP específicos e intervalos de endereços IP |
IPCategory |
string |
Informações adicionais sobre o endereço IP |
UserAgentTags |
dynamic |
Mais informações fornecidas por Microsoft Defender para Aplicativos de Nuvem numa etiqueta no campo do agente de utilizador. Pode ter qualquer um dos seguintes valores: Cliente nativo, browser desatualizado, sistema operativo desatualizado, Robot |
RawEventData |
dynamic |
Informações de evento não processadas da aplicação ou serviço de origem no formato JSON |
AdditionalFields |
dynamic |
Informações adicionais sobre a entidade ou evento |
LastSeenForUser |
dynamic |
Indica o número de dias desde que um atributo específico foi visto pela última vez para o utilizador. Um valor de 0 significa que o atributo foi visto hoje, um valor negativo indica que o atributo está a ser visto pela primeira vez e um valor positivo representa o número de dias desde que o atributo foi visto pela última vez. Por exemplo: {"ActionType":"0","OSPlatform":"4","ISP":"-1"} |
UncommonForUser |
dynamic |
Listas os atributos no caso de serem invulgares para o utilizador, ajudando a excluir falsos positivos e a encontrar anomalias. Por exemplo: ["ActivityType","ActionType"]. para filtrar resultados nãoanomais: os eventos com um valor de segurança baixo ou insignificante não passarão por processos de melhoramento e terão um valor de "", enquanto os eventos de valor elevado passarão por processos de melhoramento e, se não forem encontradas anomalias, terão um valor de "[]". |
AuditSource |
string |
Auditar origem de dados. Os valores possíveis são um dos seguintes: - Defender para Aplicativos de Nuvem controlo de acesso - Defender para Aplicativos de Nuvem controlo de sessão - Defender para Aplicativos de Nuvem conector de aplicações |
SessionData |
dynamic |
O Defender para Aplicativos de Nuvem ID de sessão para acesso ou controlo de sessão. Por exemplo: {InLineSessionId:"232342"} |
OAuthAppId |
string |
Um identificador exclusivo atribuído a uma aplicação quando está registado no Microsoft Entra com o protocolo OAuth 2.0. |
Aplicações e serviços abrangidos
A tabela CloudAppEvents contém registos melhorados de todas as aplicações SaaS ligadas a Microsoft Defender para Aplicativos de Nuvem, tais como:
- Office 365 e Aplicações Microsoft, incluindo:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- Skype for Business
- Viva Engage
- Power Automate
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
Ligue aplicações na cloud suportadas para proteção instantânea e inicial, visibilidade aprofundada sobre as atividades de utilizador e dispositivo da aplicação e muito mais. Para obter mais informações, veja Proteger aplicações ligadas através de APIs do fornecedor de serviços cloud.