OfficeActivity
Registros de auditoría de los inquilinos de Office 365 recopilados por Azure Sentinel. Se incluyen registros de Exchange, SharePoint y Teams.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | AzureSentinelPrivatePreview, SecurityInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | Sí |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| AADGroupId | string | Identificador de grupo de Azure Active Directory |
| AADTarget | string | El usuario en el que se realizó la acción (identificada por la propiedad Operation) |
| Actividad | string | Actividad que realizó el usuario. |
| Actor | string | El usuario o la entidad de servicio que realizó la acción |
| ActorContextId | string | GUID de la organización a la que pertenece el actor |
| ActorIpAddress | string | Dirección IP del actor en formato de dirección IPV4 o IPV6 |
| AddOnGuid | string | Identificador único del complemento generado este evento |
| AddonName | string | Nombre del complemento que generó este evento. |
| AddOnType | string | Tipo de complemento que generó este evento. |
| AffectedItems | string | Información sobre cada elemento del grupo |
| AppDistributionMode | string | Modo de distribución de aplicaciones |
| AppId | string | Identificador de aplicación |
| Application | string | El nombre de la aplicación |
| ApplicationId | string | Id. de aplicación de SharePoint |
| AzureActiveDirectory_EventType | string | Tipo de evento de Azure AD |
| AzureADAppId | string | Identificador de Azure AD de la aplicación teams |
| _BilledSize | real | Tamaño del registro en bytes |
| ChannelGuid | string | Un identificador único para el canal que se está auditando |
| ChannelName | string | Nombre del canal que se está auditando |
| ChannelType | string | Tipo de canal que se está auditando (Estándar/Privado) |
| ChatName | string | El nombre del chat |
| ChatThreadId | string | Identificador del subproceso de chat |
| Remoto | string | Detalles sobre el dispositivo cliente, el sistema operativo del dispositivo y el explorador de dispositivos que se usó para el del evento de inicio de sesión de la cuenta |
| Client_IPAddress | string | Dirección IP del dispositivo que se usó cuando se registró la operación |
| ClientAppId | string | Id. de aplicación cliente |
| ClientInfoString | string | Información sobre el cliente de correo electrónico que se usó para realizar la operación |
| ClientIP | string | Dirección IP del dispositivo que se usó cuando se registró la actividad. |
| ClientMachineName | string | Nombre del equipo que hospeda el cliente de Outlook |
| ClientProcessName | string | El cliente de correo electrónico que se usó para acceder al buzón |
| ClientVersion | string | La versión del cliente de correo electrónico |
| CommunicationType | string | Tipo de comunicaciones realizadas |
| CrossMailboxOperations | bool | Indica si la operación implicada en más de un buzón |
| CustomEvent | string | Cadena opcional para eventos personalizados |
| DataCenterSecurityEventType | int | Tipo de evento dmdlet en el cuadro de bloqueo |
| DestFolder | string | La carpeta de destino |
| DestinationFileExtension | string | Extensión de archivo de un archivo que se copia o se mueve |
| DestinationFileName | string | Nombre del archivo que se copia o se mueve. |
| DestinationRelativeUrl | string | Dirección URL de la carpeta de destino donde se copia o mueve un archivo. |
| DestMailboxId | string | Establezca solo si el parámetro CrossMailboxOperations es True. |
| DestMailboxOwnerMasterAccountSid | string | Establezca solo si el parámetro CrossMailboxOperations es True. |
| DestMailboxOwnerSid | string | Establezca solo si el parámetro CrossMailboxOperations es True. |
| DestMailboxOwnerUPN | string | Establezca solo si el parámetro CrossMailboxOperations es True. |
| EffectiveOrganization | string | Nombre del inquilino al que se ha dirigido la elevación o cmdlet |
| ElevationApprovedTime | datetime | Marca de tiempo para cuando se aprobó la elevación |
| ElevationApprover | string | Nombre de un administrador de Microsoft |
| ElevationDuration | int | Duración durante la cual la elevación estaba activa (en horas) |
| ElevationRequestId | string | Un identificador único para la solicitud de elevación |
| ElevationRole | string | El rol para el que se solicitó la elevación |
| ElevationTime | datetime | Hora de inicio de la elevación |
| Event_Data | string | Carga opcional para eventos personalizados |
| EventSource | string | Identifica que se ha producido un evento en SharePoint. Los valores posibles son SharePoint o ObjectModel |
| ExtendedProperties | string | Propiedades extendidas del evento de Azure AD |
| ExternalAccess | string | Especifica si un usuario de la organización ejecutó el cmdlet. |
| ExtraProperties | dinámico | Una lista de propiedades adicionales |
| Carpeta | string | Carpeta donde se encuentra un grupo de elementos. |
| Carpetas | string | Información sobre las carpetas de origen implicadas en una operación |
| GenericInfo | string | Se usa para comentarios y otra información genérica |
| InternalLogonType | int | Reservado para uso interno |
| InterSystemsId | string | GUID que realiza un seguimiento de las acciones entre componentes del servicio Office 365 |
| IntraSystemId | string | GUID generado por Azure Active Directory para realizar un seguimiento de la acción. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
| IsManagedDevice | bool | Indica si una operación la creó un dispositivo administrado por la organización. |
| Elemento | string | Representa el elemento en el que se realizó la operación |
| ItemName | string | Cadena en el campo Asunto del mensaje de correo electrónico |
| ItemType | string | El tipo de objeto al que se ha accedido o modificado. Consulte la tabla ItemType para obtener más información sobre los tipos de objetos. |
| LoginStatus | int | Esta propiedad viene directamente de OrgIdLogon.LoginStatus. La asignación de varios errores de inicio de sesión interesantes se puede realizar mediante algoritmos de alerta |
| Logon_Type | string | Indica el tipo de usuario que accedió al buzón y realizó la operación que se registró. |
| LogonUserDisplayName | string | Nombre descriptivo del usuario que realizó la operación. |
| LogonUserSid | string | SiD del usuario que realizó la operación |
| MachineDomainInfo | string | Información sobre las operaciones de sincronización de dispositivos |
| MachineId | string | Información sobre las operaciones de sincronización de dispositivos |
| MailboxGuid | string | GUID de Exchange del buzón al que se ha accedido |
| MailboxOwnerMasterAccountSid | string | SID de la cuenta maestra de la cuenta del propietario del buzón |
| MailboxOwnerSid | string | El SID del propietario del buzón |
| MailboxOwnerUPN | string | La dirección de correo electrónico de la persona propietaria del buzón al que se ha accedido |
| Miembros | dinámico | Una lista de usuarios dentro de un equipo |
| MessageId | string | Identificador de un mensaje de chat o canal |
| ModifiedObjectResolvedName | string | Este es el nombre descriptivo del objeto modificado por el cmdlet . |
| ModifiedProperties | string | La propiedad se incluye para eventos de administrador, como agregar un usuario como miembro de un sitio o un grupo de administradores de la colección de sitios. |
| Nombre | string | Solo está presente para los eventos de configuración. Nombre de la configuración que cambió |
| NewValue | string | Solo está presente para los eventos de configuración. Nuevo valor de la configuración |
| OfficeId | string | Identificador único de un registro de auditoría |
| OfficeObjectId | string | Para SharePoint y actividad de OneDrive para la Empresa |
| OfficeTenantId | string | El identificador de inquilino de office |
| OfficeWorkload | string | El servicio Office 365 donde se produjo la actividad |
| OldValue | string | Solo está presente para los eventos de configuración. Valor anterior de la configuración |
| Operación | string | Nombre de la operación que realiza el usuario |
| OperationProperties | dinámico | Propiedades de operación adicionales |
| OperationScope | string | Ámbito en el que se realizó la operación |
| OrganizationId | string | El identificador único GUID del inquilino de Office 365 de su organización. Este valor siempre será el mismo para su organización. |
| OrganizationName | string | Nombre del inquilino |
| OriginatingServer | string | Nombre del servidor desde el que se ejecutó el cmdlet. |
| Parámetros | string | Nombre y valor de todos los parámetros que se usaron con el cmdlet identificado en la propiedad Operations |
| RecordType | string | Tipo de operación indicado en el registro. Consulte la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría. |
| _ResourceId | string | Identificador único del recurso al que está asociado el registro. |
| ResultReasonType | string | Motivo del resultado notificado en ResultType |
| ResultStatus | string | Indica si la acción (especificada en la propiedad Operation) se realizó correctamente o no. |
| SendAsUserMailboxGuid | string | Guid de Exchange del buzón al que se ha accedido para enviar correo electrónico como |
| SendAsUserSmtp | string | Dirección SMTP del usuario que se está suplantando |
| SendonBehalfOfUserMailboxGuid | string | GUID de Exchange del buzón al que se accedió para enviar correo en nombre de |
| SendOnBehalfOfUserSmtp | string | Dirección SMTP del usuario en cuyo nombre se envía el correo electrónico |
| SharingType | string | El tipo de permisos que se asignaron al usuario con el que se ha compartido el recurso. Este usuario se identifica mediante el parámetro UserSharedWith. |
| Site_ | string | GUID del sitio donde se encuentra el archivo o la carpeta a los que tiene acceso el usuario. |
| Site_Url | string | Dirección URL del sitio donde se encuentra el archivo o la carpeta a la que accede el usuario. |
| Source_Name | string | La entidad que desencadenó la operación auditada. Los valores posibles son SharePoint o ObjectModel |
| SourceFileExtension | string | Extensión de archivo del archivo al que accedió el usuario. |
| SourceFileName | string | Nombre del archivo o carpeta al que accede el usuario. |
| SourceRecordId | string | Identificador único de un registro de auditoría |
| SourceRelativeUrl | string | Dirección URL de la carpeta que contiene el archivo al que accede el usuario. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| SRPolicyId | string | Id. de directiva |
| SRPolicyName | string | Nombre de la directiva |
| SRRuleMatchDetails | dinámico | Detalles de la regla |
| Start_Time | datetime | Fecha y hora en que se ejecutó el cmdlet |
| _SubscriptionId | string | Identificador único de la suscripción a la que está asociado el registro. |
| SupportTicketId | string | El identificador de incidencia de soporte técnico del cliente para la acción en situaciones de "actuar en nombre de" |
| TabType | string | Tipo de pestaña que generó este evento |
| TargetContextId | string | GUID de la organización a la que pertenece el usuario de destino |
| TargetUserId | string | Identificador de usuario de destino |
| TargetUserOrGroupName | string | Almacena el UPN o el nombre del usuario o grupo de destino con el que se compartió un recurso. |
| TargetUserOrGroupType | string | Identifica si el usuario o grupo de destino es miembro, invitado, grupo o asociado. |
| TeamGuid | string | Un identificador único para el equipo que se está auditando |
| TeamName | string | Nombre del equipo que se está auditando |
| TenantId | string | Identificador del área de trabajo de Log Analytics |
| TimeGenerated | datetime | Fecha y hora en la hora universal coordinada (UTC) cuando el usuario realizó la actividad |
| Tipo | string | Nombre de la tabla. |
| UserAgent | string | El agente de usuario |
| UserDomain | string | Dominio del usuario |
| UserId | string | UPN (nombre principal de usuario) del usuario que realizó la acción (especificada en la propiedad Operation) que dio lugar a que se registrara el registro. |
| UserKey | string | Un identificador alternativo para el usuario identificado en la propiedad UserId |
| UserSharedWith | string | El usuario con el que se compartió un recurso |
| UserType | string | El tipo de usuario que realizó la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de