有关 Microsoft Cloud App Security 涵盖的各种云应用和服务中的活动的信息。
| 特征 |
值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是 |
|
引入时转换 |
是 |
|
示例查询 |
是 |
| 列 |
类型 |
描述 |
| 账户显示名称 |
字符串 |
帐户用户通讯簿条目中显示的名称。 这通常是用户的名字、中间名和姓氏的组合。 |
| AccountId |
字符串 |
Microsoft Cloud App Security 找到的帐户的标识符。 可以是 Azure Active Directory ID、用户主体名称或其他标识符 |
| 账户对象ID |
字符串 |
Azure AD 中帐户的唯一标识符 |
| 帐户类型 |
字符串 |
用户帐户的类型,指明其一般角色和访问级别,如常规、系统、管理员、应用程序 |
| 操作类型 |
字符串 |
触发事件的活动的类型 |
| 活动对象 |
动态 |
记录的活动中所涉及的对象(如文件或文件夹)列表 |
| 活动类型 |
字符串 |
触发事件的活动的类型 |
| 附加字段 |
动态 |
有关实体或活动的其他信息 |
| 应用实例ID |
整数 (int) |
应用程序实例的唯一标识符 |
| 应用程序 |
字符串 |
执行所记录操作的应用程序 |
| ApplicationId |
整数 (int) |
应用程序的唯一标识符 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| 市/县 |
字符串 |
通过客户端 IP 地址所定位到的城市 |
| 国家代码 |
字符串 |
表示通过客户端 IP 地址所定位到的国家/地区的双字母代码 |
| 设备类型 |
字符串 |
基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动、游戏主机或打印机 |
| IP地址 |
字符串 |
在通信过程中分配给设备的 IP 地址 |
| IPCategory |
字符串 |
有关 IP 地址的附加信息 |
| IP标签 |
动态 |
适用于特定 IP 地址和 IP 地址范围的客户自定义信息 |
| IsAdminOperation |
布尔 |
指明活动是否由管理员执行 |
| IsAnonymousProxy |
布尔 |
指明 IP 地址是否属于已知的匿名代理 |
| _是否计费 |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 是否外部用户 |
布尔 |
指明网络内的用户是否不属于组织的域 |
| IsImpersonated |
布尔 |
指明活动是否由一个用户为另一个(模拟的)用户执行 |
| 互联网服务提供商 |
字符串 |
与 IP 地址相关联的 Internet 服务提供商 |
| 对象标识符 (ObjectId) |
字符串 |
已记录操作应用于的对象的唯一标识符 |
| 对象名称 |
字符串 |
应用了所记录操作的对象的名称 |
| 对象类型 |
字符串 |
已记录的操作应用于的对象类型,如文件或文件夹 |
| OSPlatform |
字符串 |
在设备上运行的操作系统的平台。 这表示特定的操作系统,包括同一系列中的变体,例如 Windows 10 和 Windows 7 |
| RawEventData |
动态 |
源应用程序或服务提供的原始事件信息(JSON 格式) |
| ReportId |
字符串 |
事件的唯一标识符 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期时间 |
生成记录时的日期和时间 (UTC) |
| 类型 |
字符串 |
表的名称 |
| 用户代理 (UserAgent) |
字符串 |
来自 Web 浏览器或其他客户端应用程序的用户代理信息 |
| 用户代理标签 |
动态 |
Microsoft Defender for Cloud Apps 在用户代理字段的标签中提供的详细信息。 可以具有以下任何值:Native client、Outdated browser、Outdated operating system、Robot |