云应用事件

有关 Microsoft Cloud App Security 涵盖的各种云应用和服务中的活动的信息。

表特性

特征
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志
引入时转换
示例查询

类型​​ 描述
账户显示名称 字符串 帐户用户通讯簿条目中显示的名称。 这通常是用户的名字、中间名和姓氏的组合。
AccountId 字符串 Microsoft Cloud App Security 找到的帐户的标识符。 可以是 Azure Active Directory ID、用户主体名称或其他标识符
账户对象ID 字符串 Azure AD 中帐户的唯一标识符
帐户类型 字符串 用户帐户的类型,指明其一般角色和访问级别,如常规、系统、管理员、应用程序
操作类型 字符串 触发事件的活动的类型
活动对象 动态 记录的活动中所涉及的对象(如文件或文件夹)列表
活动类型 字符串 触发事件的活动的类型
附加字段 动态 有关实体或活动的其他信息
应用实例ID 整数 (int) 应用程序实例的唯一标识符
应用程序 字符串 执行所记录操作的应用程序
ApplicationId 整数 (int) 应用程序的唯一标识符
_BilledSize(账单大小) 真实 记录大小(字节)
市/县 字符串 通过客户端 IP 地址所定位到的城市
国家代码 字符串 表示通过客户端 IP 地址所定位到的国家/地区的双字母代码
设备类型 字符串 基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动、游戏主机或打印机
IP地址 字符串 在通信过程中分配给设备的 IP 地址
IPCategory 字符串 有关 IP 地址的附加信息
IP标签 动态 适用于特定 IP 地址和 IP 地址范围的客户自定义信息
IsAdminOperation 布尔 指明活动是否由管理员执行
IsAnonymousProxy 布尔 指明 IP 地址是否属于已知的匿名代理
_是否计费 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
是否外部用户 布尔 指明网络内的用户是否不属于组织的域
IsImpersonated 布尔 指明活动是否由一个用户为另一个(模拟的)用户执行
互联网服务提供商 字符串 与 IP 地址相关联的 Internet 服务提供商
对象标识符 (ObjectId) 字符串 已记录操作应用于的对象的唯一标识符
对象名称 字符串 应用了所记录操作的对象的名称
对象类型 字符串 已记录的操作应用于的对象类型,如文件或文件夹
OSPlatform 字符串 在设备上运行的操作系统的平台。 这表示特定的操作系统,包括同一系列中的变体,例如 Windows 10 和 Windows 7
RawEventData 动态 源应用程序或服务提供的原始事件信息(JSON 格式)
ReportId 字符串 事件的唯一标识符
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期时间 生成记录时的日期和时间 (UTC)
类型​​ 字符串 表的名称
用户代理 (UserAgent) 字符串 来自 Web 浏览器或其他客户端应用程序的用户代理信息
用户代理标签 动态 Microsoft Defender for Cloud Apps 在用户代理字段的标签中提供的详细信息。 可以具有以下任何值:Native client、Outdated browser、Outdated operating system、Robot