OfficeActivity
Az Azure Sentinel által gyűjtött Office 365 bérlők naplói. Beleértve az Exchange-, SharePoint- és Teams-naplókat.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | AzureSentinelPrivatePreview, SecurityInsights |
| Alapszintű napló | No |
| Betöltési idő átalakítás | Yes |
| Mintalekérdezések | Igen |
Oszlopok
| Oszlop | Típus | Description |
|---|---|---|
| AADGroupId | sztring | Azure Active Directory-csoport azonosítója |
| AADTarget | sztring | Az a felhasználó, aki a műveletet (amelyet a Művelet tulajdonság azonosított) a következőn hajtotta végre: |
| Tevékenység | sztring | A felhasználó által végrehajtott tevékenység. |
| Színész | sztring | A műveletet végrehajtó felhasználó vagy szolgáltatásnév |
| ActorContextId | sztring | Annak a szervezetnek a GUID azonosítója, amelyhez a szereplő tartozik |
| ActorIpAddress | sztring | A színész IP-címe IPV4- vagy IPV6-címformátumban |
| AddOnGuid | sztring | Az eseményt generáló bővítmény egyedi azonosítója |
| AddonName | sztring | Az eseményt létrehozó bővítmény neve |
| AddOnType | sztring | Az eseményt létrehozó bővítmény típusa |
| AffectedItems | sztring | Információ a csoport egyes elemeiről |
| AppDistributionMode | sztring | Alkalmazásterjesztési mód |
| AppId | sztring | Alkalmazásazonosító |
| Alkalmazás | sztring | Az alkalmazás neve |
| ApplicationId | sztring | SharePoint-alkalmazásazonosító |
| AzureActiveDirectory_EventType | sztring | Az Azure AD esemény típusa |
| AzureADAppId | sztring | Teams-alkalmazás Azure AD azonosítója |
| _BilledSize | valós szám | A rekord mérete bájtban |
| ChannelGuid | sztring | A naplózott csatorna egyedi azonosítója |
| ChannelName | sztring | A naplózott csatorna neve |
| ChannelType | sztring | A naplózott csatorna típusa (Standard/Private) |
| ChatName | sztring | A csevegés neve |
| ChatThreadId | sztring | A csevegési szál azonosítója |
| Ügyfél | sztring | A fiók bejelentkezési eseményéhez használt ügyféleszköz, eszköz operációs rendszer és eszközböngésző adatai |
| Client_IPAddress | sztring | A művelet naplózásakor használt eszköz IP-címe |
| ClientAppId | sztring | Ügyfélalkalmazás azonosítója |
| ClientInfoString | sztring | A művelet végrehajtásához használt e-mail-ügyfél adatai |
| ClientIP | sztring | A tevékenység naplózásakor használt eszköz IP-címe |
| ClientMachineName | sztring | Az Outlook-ügyfelet üzemeltető gép neve |
| ClientProcessName | sztring | A postaláda eléréséhez használt e-mail-ügyfél |
| ClientVersion | sztring | Az e-mail-ügyfél verziója |
| CommunicationType | sztring | Az elvégzett kommunikáció típusa |
| CrossMailboxOperations | logikai | Azt jelzi, hogy a művelet egynél több postaládát érintett-e |
| CustomEvent | sztring | Választható sztring egyéni eseményekhez |
| DataCenterSecurityEventType | int | A dmdlet esemény típusa a zárolási mezőben |
| DestFolder | sztring | A célmappa |
| DestinationFileExtension | sztring | A másolt vagy áthelyezett fájl kiterjesztése |
| DestinationFileName | sztring | A másolt vagy áthelyezett fájl neve |
| DestinationRelativeUrl | sztring | Annak a célmappának az URL-címe, amelyben a fájl másolása vagy áthelyezése történik |
| DestMailboxId | sztring | Csak akkor legyen beállítva, ha a CrossMailboxOperations paraméter Igaz |
| DestMailboxOwnerMasterAccountSid | sztring | Csak akkor legyen beállítva, ha a CrossMailboxOperations paraméter Igaz |
| DestMailboxOwnerSid | sztring | Csak akkor legyen beállítva, ha a CrossMailboxOperations paraméter Igaz |
| DestMailboxOwnerUPN | sztring | Csak akkor legyen beállítva, ha a CrossMailboxOperations paraméter Igaz |
| EffectiveOrganization | sztring | Annak a bérlőnek a neve, amelyre a jogosultságszint-emelés/parancsmag irányult |
| ElevationApprovedTime | dátum/idő | A jogosultságszint-emelés jóváhagyásának időbélyege |
| ElevationApprover | sztring | A Microsoft-kezelő neve |
| ElevationDuration | int | Az időtartam, amelynél a jogosultságszint-emelés aktív volt (órákban) |
| ElevationRequestId | sztring | A jogosultságszint-emelési kérelem egyedi azonosítója |
| ElevationRole | sztring | A jogosultságszint-emelési szerepkör |
| Jogosultságszint-emelési idő | dátum/idő | A jogosultságszint-emelés kezdő időpontja |
| Event_Data | sztring | Nem kötelező hasznos adat egyéni eseményekhez |
| EventSource | sztring | Azonosítja, hogy egy esemény történt a SharePointban. Lehetséges értékek: SharePoint vagy ObjectModel |
| ExtendedProperties | sztring | A Azure AD esemény kiterjesztett tulajdonságai |
| ExternalAccess | sztring | Meghatározza, hogy a parancsmagot egy felhasználó futtatta-e a szervezetben |
| ExtraTulajdonságok | dinamikus | További tulajdonságok listája |
| Mappa | sztring | Az a mappa, amelyben egy elemcsoport található |
| Mappák | sztring | Információk a műveletben érintett forrásmappákról |
| GenericInfo | sztring | Megjegyzésekhez és egyéb általános információkhoz használatos |
| InternalLogonType | int | Belső használatra fenntartva |
| InterSystemsId | sztring | A Office 365 szolgáltatáson belüli összetevők műveleteit nyomon követő GUID |
| IntraSystemId | sztring | Az Azure Active Directory által a művelet nyomon követésére létrehozott GUID |
| _IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
| IsManagedDevice | logikai | Azt jelzi, hogy a műveletet a szervezet által felügyelt eszköz hozta-e létre |
| Elem | sztring | Azt az elemet jelöli, amelyen a műveletet végrehajtották |
| Termék neve | sztring | Az e-mail Tárgy mezőjében lévő sztring |
| ItemType | sztring | A megnyitott vagy módosított objektum típusa. Az objektumtípusok részleteiért tekintse meg az ItemType táblát |
| LoginStatus | int | Ez a tulajdonság közvetlenül az OrgIdLogon.LoginStatus webhelyről származik. A különböző érdekes bejelentkezési hibák leképezése az algoritmusok riasztásával végezhető el |
| Logon_Type | sztring | Azt jelzi, hogy milyen típusú felhasználó fért hozzá a postaládához, és hajtotta végre a naplózott műveletet |
| LogonUserDisplayName | sztring | A műveletet végrehajtó felhasználó felhasználóbarát neve |
| LogonUserSid | sztring | A műveletet végrehajtó felhasználó SID-azonosítója |
| MachineDomainInfo | sztring | Információ az eszközszinkronizálási műveletekről |
| MachineId | sztring | Információ az eszközszinkronizálási műveletekről |
| PostaládaGuid | sztring | A megnyitott postaláda Exchange GUID azonosítója |
| MailboxOwnerMasterAccountSid | sztring | Postaláda-tulajdonosi fiók főfiókjának SID-címe |
| MailboxOwnerSid | sztring | A postaláda tulajdonosának SID-azonosítója |
| MailboxOwnerUPN | sztring | A hozzáféréssel rendelkező postaláda tulajdonosának e-mail-címe |
| Tagok | dinamikus | A csoporton belüli felhasználók listája |
| Üzenetazonosító | sztring | Csevegőüzenet vagy csatornaüzenet azonosítója |
| ModifiedObjectResolvedName | sztring | Ez a parancsmag által módosított objektum felhasználóbarát neve |
| Módosítotttulajdonságok | sztring | A tulajdonság rendszergazdai eseményekhez tartozik, például egy felhasználó hozzáadása egy webhelyhez vagy egy webhelycsoport felügyeleti csoportjához |
| Name | sztring | Csak beállítási események esetén jelenik meg. A módosított beállítás neve |
| NewValue | sztring | Csak beállítási események esetén jelenik meg. A beállítás új értéke |
| OfficeId | sztring | Auditrekord egyedi azonosítója |
| OfficeObjectId | sztring | SharePoint- és OneDrive Vállalati verzió-tevékenység esetén |
| OfficeTenantId | sztring | Az office-bérlő azonosítója |
| OfficeWorkload | sztring | A tevékenység Office 365 szolgáltatás |
| OldValue | sztring | Csak beállítási események esetén jelenik meg. A beállítás régi értéke |
| Művelet | sztring | A felhasználó által végrehajtott művelet neve |
| OperationProperties | dinamikus | További művelettulajdonságok |
| OperationScope | sztring | A művelet hatóköre a következőn: |
| OrganizationId (Szervezeti azonosító) | sztring | A szervezet Office 365 bérlőjének GUID azonosítója. Ez az érték mindig ugyanaz lesz a szervezetnél |
| OrganizationName | sztring | A bérlő neve |
| Eredeti kiszolgáló | sztring | Annak a kiszolgálónak a neve, amelyről a parancsmagot végrehajtották |
| Paraméterek | sztring | Az Operations tulajdonságban azonosított parancsmaggal használt összes paraméter neve és értéke |
| RecordType (Rekordtípus) | sztring | A rekord által jelzett művelet típusa. Az auditnapló-rekordok típusaival kapcsolatos részletekért tekintse meg az AuditLogRecordType táblát |
| _ResourceId | sztring | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
| ResultReasonType | sztring | A ResultType-ban jelentett eredmény oka |
| ResultStatus (Eredmény állapota) | sztring | Azt jelzi, hogy a művelet (az Operation tulajdonságban megadott) sikeres volt-e vagy sem |
| SendAsUserMailboxGuid | sztring | Annak a postaládának az Exchange GUID azonosítója, amely az e-mailek küldésére |
| SendAsUserSmtp | sztring | A megszemélyesített felhasználó SMTP-címe |
| SendonBehalfOfUserMailboxGuid | sztring | Annak a postaládának az Exchange GUID azonosítója, amely a következő nevében volt elérhető: |
| SendOnBehalfOfUserSmtp | sztring | Annak a felhasználónak az SMTP-címe, akinek nevében az e-mailt elküldték |
| SharingType | sztring | Annak a felhasználónak a megosztási engedélytípusa, akivel az erőforrást megosztották. Ezt a felhasználót a UserSharedWith paraméter azonosítja |
| Oldalon_ | sztring | Annak a helynek a GUID azonosítója, ahol a felhasználó által elért fájl vagy mappa található |
| Site_Url | sztring | Annak a webhelynek az URL-címe, ahol a felhasználó által elért fájl vagy mappa található |
| Source_Name | sztring | A naplózott műveletet kiváltó entitás. Lehetséges értékek: SharePoint vagy ObjectModel |
| SourceFileExtension | sztring | A felhasználó által elért fájl kiterjesztése |
| SourceFileName | sztring | A felhasználó által elért fájl vagy mappa neve |
| SourceRecordId | sztring | Auditrekord egyedi azonosítója |
| SourceRelativeUrl | sztring | A felhasználó által elért fájlt tartalmazó mappa URL-címe |
| SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics |
| SRPolicyId | sztring | Szabályzat azonosítója |
| SRPolicyName | sztring | Házirend neve |
| SRRuleMatchDetails | dinamikus | Szabály részletei |
| Start_Time | dátum/idő | A parancsmag végrehajtásának dátuma és időpontja |
| _SubscriptionId | sztring | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
| SupportTicketId | sztring | A művelet ügyféltámogatási jegyazonosítója "megbízott nevében" helyzetekben |
| TabType | sztring | Az eseményt létrehozó lap típusa |
| TargetContextId | sztring | Annak a szervezetnek a GUID azonosítója, amelyhez a megcélzott felhasználó tartozik |
| TargetUserId | sztring | Célfelhasználó azonosítója |
| TargetUserOrGroupName | sztring | Tárolja annak a célfelhasználónak vagy csoportnak az UPN-ét vagy nevét, akivel az erőforrást megosztották |
| TargetUserOrGroupType | sztring | Azonosítja, hogy a célfelhasználó vagy csoport tag, vendég, csoport vagy partner-e |
| TeamGuid | sztring | A naplózott csapat egyedi azonosítója |
| TeamName | sztring | A naplózott csapat neve |
| TenantId | sztring | A Log Analytics-munkaterület azonosítója |
| TimeGenerated | dátum/idő | Az a dátum és idő az egyezményes világidő (UTC) szerint, amikor a felhasználó elvégezte a tevékenységet |
| Típus | sztring | A tábla neve |
| Useragent | sztring | A felhasználói ügynök |
| UserDomain | sztring | A felhasználó tartománya |
| UserId (Felhasználóazonosító) | sztring | A (Művelet tulajdonságban megadott) műveletet végrehajtó felhasználó egyszerű felhasználóneve (felhasználónév), amely a rekord naplózását eredményezte |
| UserKey (Felhasználói kulcs) | sztring | A UserId tulajdonságban azonosított felhasználó alternatív azonosítója |
| UserSharedWith | sztring | Az a felhasználó, akivel egy erőforrást megosztottak |
| UserType (Felhasználótípus) | sztring | A műveletet végrehajtó felhasználó típusa. A felhasználói típusokkal kapcsolatos részletekért tekintse meg a UserType táblát |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: