OfficeActivity
Von Azure Sentinel erfasste Überwachungsprotokolle für Office 365-Mandanten. Schließt Protokolle für Exchange, SharePoint und Teams ein.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | AzureSentinelPrivatePreview, SecurityInsights |
Standardprotokoll | No |
Transformation der Erfassungszeit | Yes |
Beispielabfragen | Ja |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AADGroupId | Zeichenfolge | Azure Active Directory-Gruppen-ID |
AADTarget | Zeichenfolge | Der Benutzer, für den die Aktion (identifiziert durch die Operation-Eigenschaft) ausgeführt wurde |
Aktivität | Zeichenfolge | Die Aktivität, die der Benutzer ausgeführt hat. |
Akteur | Zeichenfolge | Der Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat |
ActorContextId | Zeichenfolge | Die GUID des organization, zu dem der Akteur gehört |
ActorIpAddress | Zeichenfolge | Die IP-Adresse des Akteurs im IPV4- oder IPV6-Adressformat |
AddOnGuid | Zeichenfolge | Der eindeutige Bezeichner des Add-Ons, das dieses Ereignis generiert hat |
AddonName | Zeichenfolge | Der Name des Add-Ons, das dieses Ereignis generiert hat |
AddOnType | Zeichenfolge | Der Typ des Add-Ons, das dieses Ereignis generiert hat |
AffectedItems | Zeichenfolge | Informationen zu jedem Element in der Gruppe |
AppDistributionMode | Zeichenfolge | Anwendungsverteilungsmodus |
AppId | Zeichenfolge | Anwendungs-ID |
Application | Zeichenfolge | Der Anwendungsname |
ApplicationId | Zeichenfolge | SharePoint-Anwendungs-ID |
AzureActiveDirectory_EventType | Zeichenfolge | Der Typ des Azure AD-Ereignisses |
AzureADAppId | Zeichenfolge | Azure AD-ID der Teams-Anwendung |
_BilledSize | real | Die Datensatzgröße in Bytes |
ChannelGuid | Zeichenfolge | Ein eindeutiger Bezeichner für den zu überwachenden Kanal |
ChannelName | Zeichenfolge | Der Name des zu überwachenden Kanals |
Channeltype | Zeichenfolge | Der Typ des überwachten Kanals (Standard/Privat) |
ChatName | Zeichenfolge | Der Name des Chats |
ChatThreadId | Zeichenfolge | Die ID des Chatthreads |
Client | Zeichenfolge | Details zum Clientgerät, zum Gerätebetriebssystem und zum Gerätebrowser, das für das Kontoanmeldungsereignis verwendet wurde |
Client_IPAddress | Zeichenfolge | Die IP-Adresse des Geräts, das beim Protokollieren des Vorgangs verwendet wurde |
ClientAppId | Zeichenfolge | Clientanwendungs-ID |
ClientInfoString | Zeichenfolge | Informationen zum E-Mail-Client, der zum Ausführen des Vorgangs verwendet wurde |
ClientIP | Zeichenfolge | Die IP-Adresse des Geräts, das beim Protokollieren der Aktivität verwendet wurde. |
ClientMachineName | Zeichenfolge | Der Computername, der den Outlook-Client hostet |
ClientProcessName | Zeichenfolge | Der E-Mail-Client, der für den Zugriff auf das Postfach verwendet wurde |
ClientVersion | Zeichenfolge | Die Version des E-Mail-Clients |
CommunicationType | Zeichenfolge | Die Art der Kommunikation, die durchgeführt wurde |
CrossMailboxOperations | bool | Gibt an, ob der Vorgang mehrere Postfächer umfasste. |
CustomEvent | Zeichenfolge | Optionale Zeichenfolge für benutzerdefinierte Ereignisse |
DataCenterSecurityEventType | INT | Typ des dmdlet-Ereignisses im Sperrfeld |
DestFolder | Zeichenfolge | Der Zielordner |
DestinationFileExtension | Zeichenfolge | Die Dateierweiterung einer Datei, die kopiert oder verschoben wird |
DestinationFileName | Zeichenfolge | Der Name der Datei, die kopiert oder verschoben wird |
DestinationRelativeUrl | Zeichenfolge | Die URL des Zielordners, in den eine Datei kopiert oder verschoben wird |
DestMailboxId | Zeichenfolge | Nur festgelegt, wenn der Parameter CrossMailboxOperations den Wert True aufweist. |
DestMailboxOwnerMasterAccountSid | Zeichenfolge | Nur festgelegt, wenn der Parameter CrossMailboxOperations den Wert True aufweist. |
DestMailboxOwnerSid | Zeichenfolge | Nur festgelegt, wenn der Parameter CrossMailboxOperations den Wert True aufweist. |
DestMailboxOwnerUPN | Zeichenfolge | Nur festgelegt, wenn der Parameter CrossMailboxOperations den Wert True aufweist. |
EffectiveOrganization | Zeichenfolge | Der Name des Mandanten, auf den die Rechteerweiterung/das Cmdlet ausgerichtet war |
ElevationApprovedTime | datetime | Der Zeitstempel für den Zeitpunkt, zu dem die Rechteerweiterung genehmigt wurde |
ElevationApprover | Zeichenfolge | Der Name eines Microsoft-Managers |
ElevationDuration | INT | Die Dauer, für die die Erhöhung aktiv war (in Stunden) |
ElevationRequestId | Zeichenfolge | Ein eindeutiger Bezeichner für die Rechteerweiterungsanforderung |
ElevationRole | Zeichenfolge | Die Rolle, für die die Rechteerweiterung angefordert wurde |
ElevationTime | datetime | Die Startzeit der Erhöhung |
Event_Data | Zeichenfolge | Optionale Nutzlast für benutzerdefinierte Ereignisse |
EventSource | Zeichenfolge | Gibt an, dass in SharePoint ein Ereignis aufgetreten ist. Mögliche Werte sind SharePoint oder ObjectModel. |
ExtendedProperties | Zeichenfolge | Die erweiterten Eigenschaften des Azure AD-Ereignisses |
ExternalAccess | Zeichenfolge | Gibt an, ob das Cmdlet von einem Benutzer in Ihrem organization |
ExtraProperties | dynamisch | Eine Liste mit zusätzlichen Eigenschaften |
Ordner | Zeichenfolge | Der Ordner, in dem sich eine Gruppe von Elementen befindet. |
Ordner | Zeichenfolge | Informationen zu den Quellordnern, die an einem Vorgang beteiligt sind |
GenericInfo | Zeichenfolge | Wird für Kommentare und andere allgemeine Informationen verwendet |
InternalLogonType | INT | Reserviert für interne Verwendung |
InterSystemsId | Zeichenfolge | Die GUID, die die Aktionen komponentenübergreifend innerhalb des Office 365-Diensts nachverfolgt |
IntraSystemId | Zeichenfolge | Die GUID, die von Azure Active Directory zum Nachverfolgen der Aktion generiert wird |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
IsManagedDevice | bool | Gibt an, ob der Vorgang von einem Gerät erstellt wurde, das vom organization |
Element | Zeichenfolge | Stellt das Element dar, für das der Vorgang ausgeführt wurde. |
Artikelname | Zeichenfolge | Die Zeichenfolge im Feld Betreff der E-Mail-Nachricht |
ItemType | Zeichenfolge | Der Typ des Objekts, auf das zugegriffen wurde oder das geändert wurde. Details zu den Objekttypen finden Sie in der Tabelle ItemType. |
LoginStatus | INT | Diese Eigenschaft stammt direkt von „OrgIdLogon.LoginStatus“. Die Zuordnung verschiedener interessanter Anmeldefehler könnte durch Warnungsalgorithmen erfolgen. |
Logon_Type | Zeichenfolge | Gibt den Typ des Benutzers an, der auf das Postfach zugegriffen und den protokollierten Vorgang ausgeführt hat. |
LogonUserDisplayName | Zeichenfolge | Der benutzerfreundliche Name des Benutzers, der den Vorgang ausgeführt hat |
LogonUserSid | Zeichenfolge | Die SID des Benutzers, der den Vorgang ausgeführt hat |
MachineDomainInfo | Zeichenfolge | Informationen zu Gerätesynchronisierungsvorgängen |
MachineId | Zeichenfolge | Informationen zu Gerätesynchronisierungsvorgängen |
MailboxGuid | Zeichenfolge | Die Exchange-GUID des Postfachs, auf das zugegriffen wurde |
MailboxOwnerMasterAccountSid | Zeichenfolge | Master Konto-SID des Postfachbesitzerkontos |
MailboxOwnerSid | Zeichenfolge | Die SID des Postfachbesitzers |
MailboxOwnerUPN | Zeichenfolge | Die E-Mail-Adresse der Person, die das Postfach besitzt, auf das zugegriffen wurde |
Member | dynamisch | Eine Liste der Benutzer innerhalb eines Teams |
MessageId | Zeichenfolge | Ein Bezeichner für eine Chat- oder Kanalnachricht |
ModifiedObjectResolvedName | Zeichenfolge | Dies ist der benutzerfreundliche Name des Objekts, das vom Cmdlet geändert wurde. |
ModifiedProperties | Zeichenfolge | Die Eigenschaft ist für Administratorereignisse enthalten, z. B. das Hinzufügen eines Benutzers als Mitglied einer Website oder einer Websitesammlungsadministratorgruppe. |
Name | Zeichenfolge | Nur für Einstellungsereignisse vorhanden. Name der Geänderten Einstellung |
NewValue | Zeichenfolge | Nur für Einstellungsereignisse vorhanden. Neuer Wert der Einstellung |
Officeid | Zeichenfolge | Eindeutiger Bezeichner eines Überwachungsdatensatzes |
OfficeObjectId | Zeichenfolge | Für SharePoint- und OneDrive for Business-Aktivitäten |
OfficeTenantId | Zeichenfolge | Die Office-Mandanten-ID |
OfficeWorkload | Zeichenfolge | Der Office 365 Dienst, in dem die Aktivität aufgetreten ist |
OldValue | Zeichenfolge | Nur für Einstellungsereignisse vorhanden. Alter Wert der Einstellung |
Vorgang | Zeichenfolge | Der Name des Vorgangs, den der Benutzer ausführt |
OperationEigenschaften | dynamisch | Zusätzliche Vorgangseigenschaften |
OperationScope | Zeichenfolge | Der Bereich, für den der Vorgang ausgeführt wurde |
OrganizationId | Zeichenfolge | Die GUID des Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre organization |
OrganizationName | Zeichenfolge | Der Name des Mandanten |
OriginatingServer | Zeichenfolge | Der Name des Servers, von dem das Cmdlet ausgeführt wurde |
Parameter | Zeichenfolge | Name und Wert für alle Parameter, die mit dem Cmdlet verwendet wurden, das in der Operations-Eigenschaft identifiziert ist |
RecordType | Zeichenfolge | Der im Eintrag festgehaltene Typ des Vorgangs. Ausführliche Informationen zu den Typen von Überwachungsprotokolldatensätzen finden Sie in der Tabelle AuditLogRecordType. |
_ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
ResultReasonType | Zeichenfolge | Grund für das in ResultType gemeldete Ergebnis |
ResultStatus | Zeichenfolge | Gibt an, ob die Aktion (in der Operation-Eigenschaft angegeben) erfolgreich war oder nicht. |
SendAsUserMailboxGuid | Zeichenfolge | Die Exchange-GUID des Postfachs, auf das zum Senden von E-Mails als zugegriffen wurde |
SendAsUserSmtp | Zeichenfolge | SMTP-Adresse des Benutzers, der identitätswechselt wird |
SendonBehalfOfUserMailboxGuid | Zeichenfolge | Die Exchange-GUID des Postfachs, auf das zugegriffen wurde, um E-Mails im Namen von zu senden. |
SendOnBehalfOfUserSmtp | Zeichenfolge | SMTP-Adresse des Benutzers, in dessen Auftrag die E-Mail gesendet wird |
SharingType | Zeichenfolge | Der Typ der Freigabeberechtigungen, die dem Benutzer zugewiesen wurden, für den die Ressource freigegeben wurde. Dieser Benutzer wird durch den Parameter UserSharedWith identifiziert. |
Site_ | Zeichenfolge | Die GUID der Website, auf der sich die Datei oder der Ordner befindet, auf die der Benutzer zugreift |
Site_Url | Zeichenfolge | Die URL der Website, auf der sich die Datei oder der Ordner befindet, auf die der Benutzer zugreift |
Source_Name | Zeichenfolge | Die Entität, die den überwachten Vorgang ausgelöst hat. Mögliche Werte sind SharePoint oder ObjectModel. |
SourceFileExtension | Zeichenfolge | Die Dateierweiterung der Datei, auf die der Benutzer zugegriffen hat |
SourceFileName | Zeichenfolge | Der Name der Datei oder des Ordners, auf die der Benutzer zugreift |
SourceRecordId | Zeichenfolge | Eindeutiger Bezeichner eines Überwachungsdatensatzes |
SourceRelativeUrl | Zeichenfolge | Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugreift |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
SRPolicyId | Zeichenfolge | Richtlinien-ID |
SRPolicyName | Zeichenfolge | Richtlinienname |
SRRuleMatchDetails | dynamisch | Regeldetails |
Start_Time | datetime | Datum und Uhrzeit der Ausführung des Cmdlets |
_SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
SupportTicketId | Zeichenfolge | Die Ticket-ID des Kundensupports für die Aktion in "Act-on-behalf-of"-Situationen |
TabType | Zeichenfolge | Der Registerkartentyp, der dieses Ereignis generiert hat |
TargetContextId | Zeichenfolge | Die GUID des organization, zu dem der Zielbenutzer gehört |
TargetUserId | Zeichenfolge | Zielbenutzer-ID |
TargetUserOrGroupName | Zeichenfolge | Speichert den UPN oder den Namen des Zielbenutzers oder der Zielgruppe, für die eine Ressource freigegeben wurde |
TargetUserOrGroupType | Zeichenfolge | Gibt an, ob es sich bei dem Zielbenutzer oder der Zielgruppe um ein Mitglied, einen Gast, eine Gruppe oder einen Partner handelt. |
TeamGuid | Zeichenfolge | Ein eindeutiger Bezeichner für das zu überwachende Team |
TeamName | Zeichenfolge | Der Name des zu überwachenden Teams |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
TimeGenerated | datetime | Datum und Uhrzeit in koordinierter Weltzeit (UTC), zu dem der Benutzer die Aktivität ausgeführt hat |
type | Zeichenfolge | Der Name der Tabelle. |
UserAgent | Zeichenfolge | Der Benutzer-Agent |
UserDomain | Zeichenfolge | Die Domäne des Benutzers |
UserId | Zeichenfolge | Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (in der Operation-Eigenschaft angegeben), die dazu führte, dass der Datensatz protokolliert wurde. |
UserKey | Zeichenfolge | Eine alternative ID für den In der UserId-Eigenschaft identifizierten Benutzer |
UserSharedWith | Zeichenfolge | Der Benutzer, für den eine Ressource freigegeben wurde |
UserType | Zeichenfolge | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Weitere Informationen zu den Benutzertypen finden Sie in der Tabelle UserType. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für