OfficeActivity
Registros de auditoría de los inquilinos de Office 365 recopilados por Azure Sentinel. Se incluyen registros de Exchange, SharePoint y Teams.
Atributos de tabla
Atributo | Valor |
---|---|
Tipos de recursos | - |
Categorías | Seguridad |
Soluciones | AzureSentinelPrivatePreview, SecurityInsights |
Registro básico | No |
Transformación en tiempo de ingesta | Sí |
Consultas de ejemplo | Sí |
Columnas
Columna | Tipo | Descripción |
---|---|---|
AADGroupId | string | Identificador de grupo de Azure Active Directory |
AADTarget | string | El usuario en el que se realizó la acción (identificada por la propiedad Operation) |
Actividad | string | Actividad que realizó el usuario. |
Actor | string | El usuario o la entidad de servicio que realizó la acción |
ActorContextId | string | GUID de la organización a la que pertenece el actor |
ActorIpAddress | string | Dirección IP del actor en formato de dirección IPV4 o IPV6 |
AddOnGuid | string | Identificador único del complemento generado este evento |
AddonName | string | Nombre del complemento que generó este evento. |
AddOnType | string | Tipo de complemento que generó este evento. |
AffectedItems | string | Información sobre cada elemento del grupo |
AppDistributionMode | string | Modo de distribución de aplicaciones |
AppId | string | Identificador de aplicación |
Application | string | El nombre de la aplicación |
ApplicationId | string | Id. de aplicación de SharePoint |
AzureActiveDirectory_EventType | string | Tipo de evento de Azure AD |
AzureADAppId | string | Identificador de Azure AD de la aplicación teams |
_BilledSize | real | Tamaño del registro en bytes |
ChannelGuid | string | Un identificador único para el canal que se está auditando |
ChannelName | string | Nombre del canal que se está auditando |
ChannelType | string | Tipo de canal que se está auditando (Estándar/Privado) |
ChatName | string | El nombre del chat |
ChatThreadId | string | Identificador del subproceso de chat |
Remoto | string | Detalles sobre el dispositivo cliente, el sistema operativo del dispositivo y el explorador de dispositivos que se usó para el del evento de inicio de sesión de la cuenta |
Client_IPAddress | string | Dirección IP del dispositivo que se usó cuando se registró la operación |
ClientAppId | string | Id. de aplicación cliente |
ClientInfoString | string | Información sobre el cliente de correo electrónico que se usó para realizar la operación |
ClientIP | string | Dirección IP del dispositivo que se usó cuando se registró la actividad. |
ClientMachineName | string | Nombre del equipo que hospeda el cliente de Outlook |
ClientProcessName | string | El cliente de correo electrónico que se usó para acceder al buzón |
ClientVersion | string | La versión del cliente de correo electrónico |
CommunicationType | string | Tipo de comunicaciones realizadas |
CrossMailboxOperations | bool | Indica si la operación implicada en más de un buzón |
CustomEvent | string | Cadena opcional para eventos personalizados |
DataCenterSecurityEventType | int | Tipo de evento dmdlet en el cuadro de bloqueo |
DestFolder | string | La carpeta de destino |
DestinationFileExtension | string | Extensión de archivo de un archivo que se copia o se mueve |
DestinationFileName | string | Nombre del archivo que se copia o se mueve. |
DestinationRelativeUrl | string | Dirección URL de la carpeta de destino donde se copia o mueve un archivo. |
DestMailboxId | string | Establezca solo si el parámetro CrossMailboxOperations es True. |
DestMailboxOwnerMasterAccountSid | string | Establezca solo si el parámetro CrossMailboxOperations es True. |
DestMailboxOwnerSid | string | Establezca solo si el parámetro CrossMailboxOperations es True. |
DestMailboxOwnerUPN | string | Establezca solo si el parámetro CrossMailboxOperations es True. |
EffectiveOrganization | string | Nombre del inquilino al que se ha dirigido la elevación o cmdlet |
ElevationApprovedTime | datetime | Marca de tiempo para cuando se aprobó la elevación |
ElevationApprover | string | Nombre de un administrador de Microsoft |
ElevationDuration | int | Duración durante la cual la elevación estaba activa (en horas) |
ElevationRequestId | string | Un identificador único para la solicitud de elevación |
ElevationRole | string | El rol para el que se solicitó la elevación |
ElevationTime | datetime | Hora de inicio de la elevación |
Event_Data | string | Carga opcional para eventos personalizados |
EventSource | string | Identifica que se ha producido un evento en SharePoint. Los valores posibles son SharePoint o ObjectModel |
ExtendedProperties | string | Propiedades extendidas del evento de Azure AD |
ExternalAccess | string | Especifica si un usuario de la organización ejecutó el cmdlet. |
ExtraProperties | dinámico | Una lista de propiedades adicionales |
Carpeta | string | Carpeta donde se encuentra un grupo de elementos. |
Carpetas | string | Información sobre las carpetas de origen implicadas en una operación |
GenericInfo | string | Se usa para comentarios y otra información genérica |
InternalLogonType | int | Reservado para uso interno |
InterSystemsId | string | GUID que realiza un seguimiento de las acciones entre componentes del servicio Office 365 |
IntraSystemId | string | GUID generado por Azure Active Directory para realizar un seguimiento de la acción. |
_IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
IsManagedDevice | bool | Indica si una operación la creó un dispositivo administrado por la organización. |
Elemento | string | Representa el elemento en el que se realizó la operación |
ItemName | string | Cadena en el campo Asunto del mensaje de correo electrónico |
ItemType | string | El tipo de objeto al que se ha accedido o modificado. Consulte la tabla ItemType para obtener más información sobre los tipos de objetos. |
LoginStatus | int | Esta propiedad viene directamente de OrgIdLogon.LoginStatus. La asignación de varios errores de inicio de sesión interesantes se puede realizar mediante algoritmos de alerta |
Logon_Type | string | Indica el tipo de usuario que accedió al buzón y realizó la operación que se registró. |
LogonUserDisplayName | string | Nombre descriptivo del usuario que realizó la operación. |
LogonUserSid | string | SiD del usuario que realizó la operación |
MachineDomainInfo | string | Información sobre las operaciones de sincronización de dispositivos |
MachineId | string | Información sobre las operaciones de sincronización de dispositivos |
MailboxGuid | string | GUID de Exchange del buzón al que se ha accedido |
MailboxOwnerMasterAccountSid | string | SID de la cuenta maestra de la cuenta del propietario del buzón |
MailboxOwnerSid | string | El SID del propietario del buzón |
MailboxOwnerUPN | string | La dirección de correo electrónico de la persona propietaria del buzón al que se ha accedido |
Miembros | dinámico | Una lista de usuarios dentro de un equipo |
MessageId | string | Identificador de un mensaje de chat o canal |
ModifiedObjectResolvedName | string | Este es el nombre descriptivo del objeto modificado por el cmdlet . |
ModifiedProperties | string | La propiedad se incluye para eventos de administrador, como agregar un usuario como miembro de un sitio o un grupo de administradores de la colección de sitios. |
Nombre | string | Solo está presente para los eventos de configuración. Nombre de la configuración que cambió |
NewValue | string | Solo está presente para los eventos de configuración. Nuevo valor de la configuración |
OfficeId | string | Identificador único de un registro de auditoría |
OfficeObjectId | string | Para SharePoint y actividad de OneDrive para la Empresa |
OfficeTenantId | string | El identificador de inquilino de office |
OfficeWorkload | string | El servicio Office 365 donde se produjo la actividad |
OldValue | string | Solo está presente para los eventos de configuración. Valor anterior de la configuración |
Operación | string | Nombre de la operación que realiza el usuario |
OperationProperties | dinámico | Propiedades de operación adicionales |
OperationScope | string | Ámbito en el que se realizó la operación |
OrganizationId | string | El identificador único GUID del inquilino de Office 365 de su organización. Este valor siempre será el mismo para su organización. |
OrganizationName | string | Nombre del inquilino |
OriginatingServer | string | Nombre del servidor desde el que se ejecutó el cmdlet. |
Parámetros | string | Nombre y valor de todos los parámetros que se usaron con el cmdlet identificado en la propiedad Operations |
RecordType | string | Tipo de operación indicado en el registro. Consulte la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría. |
_ResourceId | string | Identificador único del recurso al que está asociado el registro. |
ResultReasonType | string | Motivo del resultado notificado en ResultType |
ResultStatus | string | Indica si la acción (especificada en la propiedad Operation) se realizó correctamente o no. |
SendAsUserMailboxGuid | string | Guid de Exchange del buzón al que se ha accedido para enviar correo electrónico como |
SendAsUserSmtp | string | Dirección SMTP del usuario que se está suplantando |
SendonBehalfOfUserMailboxGuid | string | GUID de Exchange del buzón al que se accedió para enviar correo en nombre de |
SendOnBehalfOfUserSmtp | string | Dirección SMTP del usuario en cuyo nombre se envía el correo electrónico |
SharingType | string | El tipo de permisos que se asignaron al usuario con el que se ha compartido el recurso. Este usuario se identifica mediante el parámetro UserSharedWith. |
Site_ | string | GUID del sitio donde se encuentra el archivo o la carpeta a los que tiene acceso el usuario. |
Site_Url | string | Dirección URL del sitio donde se encuentra el archivo o la carpeta a la que accede el usuario. |
Source_Name | string | La entidad que desencadenó la operación auditada. Los valores posibles son SharePoint o ObjectModel |
SourceFileExtension | string | Extensión de archivo del archivo al que accedió el usuario. |
SourceFileName | string | Nombre del archivo o carpeta al que accede el usuario. |
SourceRecordId | string | Identificador único de un registro de auditoría |
SourceRelativeUrl | string | Dirección URL de la carpeta que contiene el archivo al que accede el usuario. |
SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
SRPolicyId | string | Id. de directiva |
SRPolicyName | string | Nombre de la directiva |
SRRuleMatchDetails | dinámico | Detalles de la regla |
Start_Time | datetime | Fecha y hora en que se ejecutó el cmdlet |
_SubscriptionId | string | Identificador único de la suscripción a la que está asociado el registro. |
SupportTicketId | string | El identificador de incidencia de soporte técnico del cliente para la acción en situaciones de "actuar en nombre de" |
TabType | string | Tipo de pestaña que generó este evento |
TargetContextId | string | GUID de la organización a la que pertenece el usuario de destino |
TargetUserId | string | Identificador de usuario de destino |
TargetUserOrGroupName | string | Almacena el UPN o el nombre del usuario o grupo de destino con el que se compartió un recurso. |
TargetUserOrGroupType | string | Identifica si el usuario o grupo de destino es miembro, invitado, grupo o asociado. |
TeamGuid | string | Un identificador único para el equipo que se está auditando |
TeamName | string | Nombre del equipo que se está auditando |
TenantId | string | Identificador del área de trabajo de Log Analytics |
TimeGenerated | datetime | Fecha y hora en la hora universal coordinada (UTC) cuando el usuario realizó la actividad |
Tipo | string | Nombre de la tabla. |
UserAgent | string | El agente de usuario |
UserDomain | string | Dominio del usuario |
UserId | string | UPN (nombre principal de usuario) del usuario que realizó la acción (especificada en la propiedad Operation) que dio lugar a que se registrara el registro. |
UserKey | string | Un identificador alternativo para el usuario identificado en la propiedad UserId |
UserSharedWith | string | El usuario con el que se compartió un recurso |
UserType | string | El tipo de usuario que realizó la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios. |
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de