Soluzione Gestione di Office 365 in Azure (Anteprima)
Importante
Aggiornamento della soluzione
Questa soluzione è stata sostituita dalla soluzione di disponibilità generale Office 365 in Microsoft Sentinel e dalla soluzione di creazione di report e monitoraggio di Azure AD. Insieme forniscono una versione aggiornata della precedente soluzione monitoraggio di Azure Office 365 con un'esperienza di configurazione migliorata. È possibile continuare a usare la soluzione esistente fino al 31 ottobre 2020.
Microsoft Sentinel è una soluzione Cloud native Security Information and Event Management che inserisce i log e offre funzionalità SIEM aggiuntive, tra cui rilevamenti, indagini, ricerche e informazioni basate su Machine Learning. L'uso di Microsoft Sentinel offre ora l'inserimento di Office 365 attività di SharePoint e log di gestione di Exchange.
La creazione di report di Azure AD offre una visualizzazione più completa dei log dell'attività di Azure AD nell'ambiente, inclusi gli eventi di accesso, gli eventi di controllo e le modifiche apportate alla directory. Per connettere i log di Azure AD, è possibile usare il connettore Microsoft Sentinel Azure AD o configurare l'integrazione dei log di Azure AD con Monitoraggio di Azure.
La raccolta del log di Azure AD è soggetta ai prezzi di Monitoraggio di Azure. Per altre informazioni, vedere Prezzi di Monitoraggio di Azure .
Per usare la soluzione di Office 365 Microsoft Sentinel:
- L'uso del connettore Office 365 in Microsoft Sentinel influisce sui prezzi per l'area di lavoro. Per altre informazioni, vedere Prezzi di Microsoft Sentinel.
- Se si usa già la soluzione monitoraggio di Azure Office 365, è prima necessario disinstallarla usando lo script nella sezione Disinstalla di seguito.
- Abilitare la soluzione Microsoft Sentinel nell'area di lavoro.
- Passare alla pagina Connettori dati in Microsoft Sentinel e abilitare il connettore Office 365.
Domande frequenti
D: È possibile integrare la soluzione Office 365 Monitoraggio di Azure tra il 31 ottobre e il 31 ottobre?
No, gli script di onboarding delle soluzioni di Monitoraggio di Azure Office 365 non sono più disponibili. La soluzione verrà rimossa il 31 ottobre.
D: Le tabelle e gli schemi verranno modificati?
Il nome e lo schema della tabella OfficeActivity rimarranno uguali alla soluzione corrente. È possibile continuare a usare le stesse query nella nuova soluzione, escluse le query che fanno riferimento ai dati di Azure AD.
I nuovi log delle soluzioni di creazione di report e monitoraggio di Azure AD verranno inseriti nelle tabelle SigninLogs e AuditLogs anziché OfficeActivity. Per altre informazioni, vedere come analizzare i log di Azure AD, che è anche rilevante per gli utenti di Microsoft Sentinel e Monitoraggio di Azure.
Di seguito sono riportati esempi per la conversione di query da OfficeActivity a SigninLogs:
Eseguire query sugli accessi non riusciti, per utente:
OfficeActivity
| where TimeGenerated >= ago(1d)
| where OfficeWorkload == "AzureActiveDirectory"
| where Operation == 'UserLoginFailed'
| summarize count() by UserId
SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName
Visualizzare le operazioni di Azure AD:
OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation
AuditLogs
| summarize count() by OperationName
D: Come è possibile usare Microsoft Sentinel?
Microsoft Sentinel è una soluzione che è possibile abilitare nell'area di lavoro Log Analytics nuova o esistente. Per altre informazioni, vedere Documentazione sull'imbarco di Microsoft Sentinel.
D: È necessario Che Microsoft Sentinel connetti i log di Azure AD?
È possibile configurare l'integrazione dei log di Azure AD con Monitoraggio di Azure, che non è correlata alla soluzione Microsoft Sentinel. Microsoft Sentinel fornisce un connettore nativo e un contenuto out-of-the-box per i log di Azure AD. Per altre informazioni, vedere la domanda seguente sul contenuto orientato alla sicurezza out-of-box.
D: Quali sono le differenze durante la connessione dei log di Azure AD da Microsoft Sentinel e Monitoraggio di Azure?
Microsoft Sentinel e Monitoraggio di Azure si connettono ai log di Azure AD in base alla stessa soluzione di creazione di report e monitoraggio di Azure AD. Microsoft Sentinel fornisce un connettore nativo che connette gli stessi dati e fornisce informazioni di monitoraggio.
D: Cosa è necessario modificare quando si passa alle nuove tabelle di report e monitoraggio di Azure AD?
Tutte le query che usano i dati di Azure AD, incluse le query negli avvisi, nei dashboard e in tutti i contenuti creati usando Office 365 dati di Azure AD, devono essere ricreati usando le nuove tabelle.
Microsoft Sentinel e Azure AD forniscono contenuto predefinito che è possibile usare quando si passa alla soluzione di creazione di report e monitoraggio di Azure AD. Per altre informazioni, vedere la prossima domanda sul contenuto orientato alla sicurezza out-of-box e Su come usare le cartelle di lavoro di Monitoraggio di Azure per i report di Azure Active Directory.
D: Come è possibile usare il contenuto orientato alla sicurezza out-of-box di Microsoft Sentinel?
Microsoft Sentinel offre dashboard orientati alla sicurezza, query di avviso personalizzate, query di avviso personalizzate, query di ricerca, analisi e funzionalità di risposta automatizzate basate sui log di Office 365 e Azure AD. Esplorare la community e le esercitazioni di Microsoft Sentinel GitHub per altre informazioni:
- Rilevare le minacce in modo automatico
- Creare regole di analisi personalizzate per rilevare minacce sospette
- Monitorare i dati
- Analizzare gli eventi imprevisti con Microsoft Azure Sentinel
- Configurare le risposte alle minacce automatizzate in Microsoft Sentinel
- Community gitHub di Microsoft Sentinel
D: Microsoft Sentinel offre connettori aggiuntivi come parte della soluzione?
Sì, vedere Origini dati di Microsoft Sentinel connect.
D: Cosa succederà il 31 ottobre? Devo andare a bordo in anticipo?
- Non sarà possibile ricevere dati dalla soluzione Office365 . La soluzione verrà rimossa dall'area di lavoro e non sarà più disponibile nel Marketplace.
- Per i clienti di Microsoft Sentinel, la soluzione dell'area di lavoro Log Analytics Office365 verrà inclusa nella soluzione Microsoft Sentinel SecurityInsights .
- Se non si esegue l'offboard della soluzione manualmente entro il 31 ottobre, i dati verranno disconnessi automaticamente e la tabella OfficeActivity rimossa. Anche in questo caso, sarà comunque possibile ripristinare la tabella quando si abilita il connettore di Office 365 in Microsoft Sentinel, come illustrato di seguito.
D: I dati verranno trasferiti alla nuova soluzione?
Sì. Quando si rimuove la soluzione Office 365 dall'area di lavoro, i relativi dati diventano temporaneamente non disponibili perché lo schema viene rimosso. Quando si abilita il nuovo connettore Office 365 in Microsoft Sentinel, lo schema viene ripristinato nell'area di lavoro e tutti i dati già raccolti saranno disponibili.
La soluzione di gestione di Office 365 consente di monitorare l'ambiente Office 365 in Monitoraggio di Azure.
- Monitoraggio delle attività degli utenti negli account di Office 365 per analizzare i modelli di utilizzo nonché identificare le tendenze di comportamento. Ad esempio, è possibile estrarre scenari di uso specifici, ad esempio i file condivisi all'esterno dell'organizzazione o i siti di SharePoint più diffusi.
- Monitoraggio delle attività dell'amministratore per tenere traccia delle modifiche alla configurazione o le operazioni con privilegi elevati.
- Rilevamento e analisi del comportamento utente indesiderato, che può essere personalizzato per esigenze organizzative.
- Dimostrazione di conformità e controllo. Ad esempio, è possibile monitorare le operazioni di accesso nei file riservati, favorendo così il processo di conformità e controllo.
- Risoluzione dei problemi operativi usando le query di log oltre ai dati di attività di Office 365 dell'organizzazione.
Disinstallare
È possibile rimuovere la soluzione di Gestione di Office 365 seguendo la procedura descritta in Rimuovere una soluzione di gestione. In questo modo tuttavia la raccolta dei dati da Office 365 a Monitoraggio di Azure non verrà interrotta. Seguire la procedura seguente per annullare la sottoscrizione a Office 365 e interrompere la raccolta dei dati.
Salvare lo script seguente come office365_unsubscribe.ps1.
param ( [Parameter(Mandatory=$True)][string]$WorkspaceName, [Parameter(Mandatory=$True)][string]$ResourceGroupName, [Parameter(Mandatory=$True)][string]$SubscriptionId, [Parameter(Mandatory=$True)][string]$OfficeTennantId, [Parameter(Mandatory=$True)][string]$clientId, [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id ) $line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------' $line IF ($Subscription -eq $null) {Login-AzAccount -ErrorAction Stop} $Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop) $Subscription $option = [System.StringSplitOptions]::RemoveEmptyEntries $Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop) $Workspace $WorkspaceLocation= $Workspace.Location # Client ID for Azure PowerShell # Set redirect URI for Azure PowerShell $redirectUri = "urn:ietf:wg:oauth:2.0:oob" $domain='login.microsoftonline.com' $adTenant = $Subscription[0].Tenant.Id $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";' switch ($WorkspaceLocation) { "USGov Virginia" { $domain='login.microsoftonline.us'; $authority = "https://login.microsoftonline.us/$adTenant"; $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia default { $domain='login.microsoftonline.com'; $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";break} } Function RESTAPI-Auth { $global:SubscriptionID = $Subscription.SubscriptionId # Set Resource URI to Azure Service Management API $resourceAppIdURIARM=$ARMResource; # Authenticate and Acquire Token # Create Authentication Context tied to Azure AD Tenant $authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority # Acquire token $platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto" $global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters) $global:authResultARM.Wait() $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $authHeader } Function Office-UnSubscribe-Call{ #---------------------------------------------------------------------------------------------------------------------------------------------- $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $ResourceName = "https://manage.office.com" $SubscriptionId = $Subscription[0].Subscription.Id $OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_' + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview' $Officeparams = @{ ContentType = 'application/json' Headers = @{ 'Authorization'="$($authHeader)" 'x-ms-client-tenant-id'=$xms_client_tenant_Id 'Content-Type' = 'application/json' } Method = 'Delete' URI = $OfficeAPIUrl } $officeresponse = Invoke-WebRequest @Officeparams $officeresponse } #GetDetails RESTAPI-Auth -ErrorAction Stop Office-UnSubscribe-Call -ErrorAction StopEseguire lo script con il comando seguente:
.\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>Esempio:
.\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'
Verrà richiesto di immettere le credenziali. Specificare le credenziali per l'area di lavoro Log Analytics.
Raccolta dati
L'operazione iniziale di raccolta dei dati può richiedere alcune ore. Dopo l'avvio della raccolta, Office 365 invia a Monitoraggio di Azure una notifica webhook con dati dettagliati ogni volta che viene creato un record. Il record è disponibile in Monitoraggio di Azure entro pochi minuti dalla ricezione.
Uso della soluzione
I dati raccolti da questa soluzione di monitoraggio sono disponibili nella pagina Riepilogo area di lavoro (deprecata) nella portale di Azure. Aprire questa pagina dalle aree di lavoro Log Analytics per l'area di lavoro con la soluzione e quindi selezionare Riepilogo area di lavoro (deprecato) nella sezione Classica del menu. Ogni soluzione è rappresentata da un riquadro. Selezionare un riquadro per i dati più dettagliati raccolti da tale soluzione.
Quando si aggiunge la soluzione Office 365 all'area di lavoro Log Analytics, il riquadro Office 365 verrà aggiunto al dashboard. Il riquadro visualizza un conteggio e la rappresentazione grafica del numero di computer nell'ambiente con la relativa conformità degli aggiornamenti.
Fare clic sul riquadro Office 365 per aprire la dashboard di Office 365.
Il dashboard include le colonne nella tabella seguente. Ogni colonna elenca i primi dieci avvisi per numero corrispondente ai criteri della colonna per l'ambito e l'intervallo di tempo specificati. È possibile eseguire una ricerca di log che fornisce l'intero elenco facendo clic su Visualizza tutto nella parte inferiore della colonna o facendo clic sull'intestazione di colonna.
| Colonna | Descrizione |
|---|---|
| Gestione operativa | Fornisce informazioni sugli utenti attivi da tutte le sottoscrizioni Office 365 monitorate. Sarà inoltre possibile visualizzare il numero di attività che si verificano nel corso del tempo. |
| Exchange | Mostra i dettagli delle attività di Exchange Server, ad esempio Add-Mailbox Permission o Set-Mailbox. |
| SharePoint | Mostra le prime attività che gli utenti eseguono nei documenti di SharePoint. Quando si visualizzano i dettagli da questo riquadro, nella pagina di ricerca vengono visualizzati i dettagli di queste attività, ad esempio il documento di destinazione e il percorso di questa attività. Ad esempio, per un evento a cui è stato eseguito l'accesso ai file, sarà possibile visualizzare il documento a cui si accede, il nome dell'account associato e l'indirizzo IP. |
| Azure Active Directory | Include le attività degli utenti superiori, ad esempio i tentativi di accesso e di reimpostazione password utente. È possibile visualizzare i dettagli di queste attività, ad esempio lo stato dei risultati. Questa funzionalità è particolarmente utile se si desidera monitorare le attività sospette in Azure Active Directory. |
Record di log di Monitoraggio di Azure
Tutti i record creati nell'area di lavoro Log Analytics in Monitoraggio di Azure dalla soluzione Office 365 dispongono di un tipo (Type) di OfficeActivity. La proprietà OfficeWorkload determina a quale servizio di Office 365 fa riferimento il record: Exchange, AzureActiveDirectory, SharePoint o OneDrive. La proprietà RecordType specifica il tipo di operazione. Le proprietà variano per ogni tipo di operazione e vengono visualizzate nelle tabelle seguenti.
Proprietà comuni
Le proprietà seguenti sono comuni a tutti i record di Office 365.
| Proprietà | Descrizione |
|---|---|
| Tipo | OfficeActivity |
| ClientIP | L'indirizzo IP del dispositivo usato quando l'attività è stata registrata. L'indirizzo IP viene visualizzato in formato di indirizzo IPv4 o IPv6. |
| OfficeWorkload | Servizio di Office 365 a cui il record fa riferimento. AzureActiveDirectory Exchange SharePoint |
| Operazione | Il nome dell'attività utente o l'attività dell'amministratore. |
| OrganizationId | GUID per il tenant di Office 365 dell'organizzazione. Questo valore sarà sempre lo stesso per l'organizzazione, indipendentemente dal servizio Office 365 in cui si verifica. |
| RecordType | Tipo di operazione eseguita. |
| ResultStatus | Indica se l'azione (specificata nella proprietà Operation) è andata a buon fine o meno. I possibili valori sono Succeeded, PartiallySucceded o Failed. Per le attività dell'amministratore di Exchange, il valore è True o False. |
| UserId | UPN (Nome entità utente) dell'utente che ha eseguito l'azione che ha generato la registrazione del record; ad esempio, my_name@my_domain_name. Si noti che sono inclusi anche i record per l'attività eseguita dall'account di sistema (ad esempio SHAREPOINT\system o NTAUTHORITY\SYSTEM). |
| UserKey | Un ID alternativo per l'utente identificato con la proprietà UserId. Ad esempio, questa proprietà viene popolata con l'ID univoco passport (PUID) per gli eventi eseguiti dagli utenti in SharePoint, OneDrive for Business ed Exchange. Questa proprietà può inoltre specificare lo stesso valore della proprietà UserID per gli eventi che si verificano in altri servizi ed eventi eseguiti dall'account di sistema |
| UserType | Il tipo di utente che ha eseguito l'operazione. Admin Applicazione DcAdmin Normale Riservato ServicePrincipal Sistema |
Base di Azure Active Directory
Le proprietà seguenti sono comuni a tutti i record di Azure Active Directory.
| Proprietà | Descrizione |
|---|---|
| OfficeWorkload | AzureActiveDirectory |
| RecordType | AzureActiveDirectory |
| AzureActiveDirectory_EventType | Il tipo di evento di Azure AD. |
| ExtendedProperties | Le proprietà estese dell'evento di Azure AD. |
Accesso all'account di Azure Active Directory
Questi record vengono creati quando un utente di Active Directory tenta di accedere.
| Proprietà | Descrizione |
|---|---|
OfficeWorkload |
AzureActiveDirectory |
RecordType |
AzureActiveDirectoryAccountLogon |
Application |
L'applicazione che attiva l'evento di accesso all'account, ad esempio Office 15. |
Client |
Dettagli relativi al dispositivo del client, al sistema operativo del dispositivo e al browser del dispositivo usato per l'evento di accesso all'account. |
LoginStatus |
Questa proprietà deriva direttamente da OrgIdLogon.LoginStatus. Il mapping di diversi errori di accesso interessanti potrebbe essere eseguito da algoritmi di avviso. |
UserDomain |
Le informazioni sull'identità del tenant (TII). |
Azure Active Directory
Questi record vengono creati quando vengono apportate modifiche o aggiunte agli oggetti di Azure Active Directory.
| Proprietà | Descrizione |
|---|---|
| OfficeWorkload | AzureActiveDirectory |
| RecordType | AzureActiveDirectory |
| AADTarget | L'utente su cui è stata eseguita l'azione (identificato dalla proprietà Operation). |
| Attore | Utente o entità servizio che ha eseguito l'azione. |
| ActorContextId | Il GUID dell'organizzazione a cui appartiene l'attore. |
| ActorIpAddress | Indirizzo IP dell'attore in formato di indirizzo IPv4 o IPv6. |
| InterSystemsId | GUID che rileva le azioni nei vari componenti all'interno del servizio di Office 365. |
| IntraSystemId | Il GUID generato da Azure Active Directory per tenere traccia dell'azione. |
| SupportTicketId | L'ID del ticket di supporto cliente per l'azione in situazioni in cui si agisce per conto di qualcuno. |
| TargetContextId | Il GUID dell'organizzazione a cui appartiene l'utente di destinazione. |
Sicurezza del centro dati
Questi record vengono creati dai dati di controllo della sicurezza del centro dati.
| Proprietà | Descrizione |
|---|---|
| EffectiveOrganization | Il nome del tenant a cui l'elevazione/cmdlet sono destinati. |
| ElevationApprovedTime | Il timestamp di quando è stata approvata l'elevazione. |
| ElevationApprover | Il nome di una gestione di Microsoft. |
| ElevationDuration | La durata per cui è stata attiva l'elevazione. |
| ElevationRequestId | Identificatore univoco per la richiesta di elevazione. |
| ElevationRole | Il ruolo per cui è stata richiesta l'elevazione. |
| ElevationTime | L'ora di inizio dell'elevazione. |
| Start_Time | L'ora di inizio dell'esecuzione del cmdlet. |
Amministratore di Exchange
Questi record vengono creati quando vengono apportate modifiche alla configurazione di Exchange.
| Proprietà | Descrizione |
|---|---|
| OfficeWorkload | Exchange |
| RecordType | ExchangeAdmin |
| ExternalAccess | Specifica se il cmdlet è stato eseguito da un utente nell'organizzazione, dal personale del centro dati di Microsoft, da un account di servizio del centro dati o da un amministratore delegato. Il valore False indica che il cmdlet è stato eseguito da un utente nell'organizzazione. Il valore True indica che il cmdlet è stato eseguito dal personale del centro dati, un account del servizio del centro dati o un amministratore delegato. |
| ModifiedObjectResolvedName | Questo è il nome descrittivo dell'oggetto modificato dal cmdlet. Viene registrato solo se il cmdlet modifica l'oggetto. |
| OrganizationName | Nome del tenant. |
| OriginatingServer | Il nome del server da cui è stato eseguito il cmdlet. |
| Parametri | Nome e valore per tutti i parametri usati con il cmdlet identificato nella proprietà Operations. |
Cassetta postale di Exchange
Questi record vengono creati quando vengono apportate modifiche o aggiunte alle cassette postali di Exchange.
| Proprietà | Descrizione |
|---|---|
| OfficeWorkload | Exchange |
| RecordType | ExchangeItem |
| ClientInfoString | Informazioni sul client di posta elettronica usato per eseguire l'operazione, ad esempio una versione del browser, la versione di Outlook e le informazioni sul dispositivo mobile. |
| Client_IPAddress | L'indirizzo IP del dispositivo usato quando l'operazione è stata registrata. L'indirizzo IP viene visualizzato in formato di indirizzo IPv4 o IPv6. |
| ClientMachineName | Nome del computer che ospita il client di Outlook. |
| ClientProcessName | Il client di posta elettronica usato per accedere alla cassetta postale. |
| ClientVersion | Versione del client di posta elettronica. |
| InternalLogonType | Riservato per utilizzo interno. |
| Logon_Type | Indica il tipo di utente che ha eseguito l'accesso alla cassetta postale e ha compiuto l'operazione che è stata registrata. |
| LogonUserDisplayName | Il nome descrittivo dell'utente che ha eseguito l'operazione. |
| LogonUserSid | L'ID di sicurezza dell'utente che ha eseguito l'operazione. |
| MailboxGuid | Il GUID di Exchange della cassetta postale a cui è stato effettuato l'accesso. |
| MailboxOwnerMasterAccountSid | ID di sicurezza dell'account proprietario della cassetta postale. |
| MailboxOwnerSid | L'ID di sicurezza del proprietario della cassetta postale. |
| MailboxOwnerUPN | L'indirizzo e-mail della persona a cui appartiene la cassetta postale che ha effettuato l'accesso. |
Controllo della cassetta postale di Exchange
Questi record vengono creati quando viene creata una voce di controllo delle cassette postali.
| Proprietà | Descrizione |
|---|---|
| OfficeWorkload | Exchange |
| RecordType | ExchangeItem |
| Elemento | Rappresenta l'elemento su cui è stata eseguita l'operazione |
| SendAsUserMailboxGuid | Il GUID di Exchange della cassetta postale a cui è stato effettuato l'accesso per inviare e-mail. |
| SendAsUserSmtp | Indirizzo SMTP dell'utente che viene rappresentato. |
| SendonBehalfOfUserMailboxGuid | Il GUID di Exchange della cassetta postale a cui è stato effettuato l'accesso per inviare e-mail per conto di. |
| SendOnBehalfOfUserSmtp | Indirizzo SMTP dell'utente per conto del quale viene inviata l'e-mail. |
Gruppo di controllo della cassetta postale di Exchange
Questi record vengono creati quando vengono apportate modifiche o aggiunte ai gruppi di Exchange.
| Proprietà | Descrizione |
|---|---|
| OfficeWorkload | Exchange |
| OfficeWorkload | ExchangeItemGroup |
| AffectedItems | Informazioni su ogni elemento nel gruppo. |
| CrossMailboxOperations | Indica se nell'operazione è coinvolta più di una cassetta postale. |
| DestMailboxId | Impostare solo se il parametro CrossMailboxOperations è True. Specifica il GUID cassetta postale di destinazione. |
| DestMailboxOwnerMasterAccountSid | Impostare solo se il parametro CrossMailboxOperations è True. Specifica l'ID di sicurezza per l'account principale del proprietario della cassetta postale di destinazione. |
| DestMailboxOwnerSid | Impostare solo se il parametro CrossMailboxOperations è True. Specifica l'ID di sicurezza della cassetta postale di destinazione. |
| DestMailboxOwnerUPN | Impostare solo se il parametro CrossMailboxOperations è True. Specifica il nome UPN del proprietario della cassetta postale di destinazione. |
| DestFolder | La cartella di destinazione per operazioni quali Sposta. |
| Cartella | La cartella in cui si trova un gruppo di elementi. |
| Cartelle | Informazioni sulle cartelle di origine coinvolte in un'operazione; ad esempio, se le cartelle vengono selezionate e quindi eliminate. |
Base SharePoint
Queste proprietà sono comuni a tutti i record di SharePoint.
| Proprietà | Descrizione |
|---|---|
| OfficeWorkload | SharePoint |
| OfficeWorkload | SharePoint |
| EventSource | Identifica un evento che si è verificato in SharePoint. I valori possibili sono ObjectModel o SharePoint. |
| ItemType | Il tipo dell'oggetto a cui è stato effettuato l'accesso o che è stato modificato. Vedere la tabella ItemType per informazioni dettagliate sui tipi di oggetti. |
| MachineDomainInfo | Informazioni sulle operazioni di sincronizzazione dei dispositivi. Questa informazione viene segnalata solo se è presente nella richiesta. |
| MachineId | Informazioni sulle operazioni di sincronizzazione dei dispositivi. Questa informazione viene segnalata solo se è presente nella richiesta. |
| Site_ | Il GUID del sito in cui si trova il file o la cartella a cui l'utente ha effettuato l'accesso. |
| Source_Name | L'entità che ha attivato le operazioni di controllo. I valori possibili sono ObjectModel o SharePoint. |
| UserAgent | Informazioni sul client o browser dell'utente. Queste informazioni vengono fornite dal client o dal browser. |
Schema di SharePoint
Questi record vengono creati quando vengono apportate modifiche alla configurazione di SharePoint.
| Proprietà | Descrizione |
|---|---|
| OfficeWorkload | SharePoint |
| OfficeWorkload | SharePoint |
| CustomEvent | Stringa facoltativa per gli eventi personalizzati. |
| Event_Data | Payload facoltativo per gli eventi personalizzati. |
| ModifiedProperties | La proprietà è inclusa per gli eventi amministrativi, ad esempio l'aggiunta di un utente come membro di un sito o un gruppo di amministrazione raccolta siti. La proprietà include il nome della proprietà che è stata modificata (ad esempio, il gruppo amministratore del sito), il nuovo valore della proprietà modificata (come l'utente che è stato aggiunto come amministratore del sito) e il valore precedente dell'oggetto modificato. |
Operazioni sui file di SharePoint
Questi record vengono creati in risposta alle operazioni sui file in SharePoint.
| Proprietà | Descrizione |
|---|---|
| OfficeWorkload | SharePoint |
| OfficeWorkload | SharePointFileOperation |
| DestinationFileExtension | Estensione di un file che viene copiato o spostato. Questa proprietà viene visualizzata solo per gli eventi FileCopied e FileMoved. |
| DestinationFileName | Il nome del file che viene copiato o spostato. Questa proprietà viene visualizzata solo per gli eventi FileCopied e FileMoved. |
| DestinationRelativeUrl | L'URL della cartella di destinazione in cui un file viene copiato o spostato. La combinazione dei valori dei parametri SiteURL, DestinationRelativeURL e DestinationFileName è lo stesso del valore della proprietà ObjectID, ovvero il nome percorso completo del file che è stato copiato. Questa proprietà viene visualizzata solo per gli eventi FileCopied e FileMoved. |
| SharingType | Il tipo di autorizzazioni di condivisione che sono state assegnate all'utente con cui è stata condivisa la risorsa. Questo utente viene identificato dal parametro UserSharedWith. |
| Site_Url | L'URL del sito in cui si trova il file o la cartella a cui l'utente ha effettuato l'accesso. |
| SourceFileExtension | L'estensione del file a cui l'utente ha effettuato l'accesso. Questa proprietà è vuota se l'oggetto a cui è stato effettuato l'accesso è una cartella. |
| SourceFileName | Il nome del file o della cartella a cui l'utente ha effettuato l'accesso. |
| SourceRelativeUrl | L'URL della cartella che contiene il file a cui l'utente ha effettuato l'accesso. La combinazione dei valori dei parametri SiteURL, SourceRelativeURL e SourceFileName è lo stesso del valore della proprietà ObjectID, ovvero il nome percorso completo del file a cui l'utente ha effettuato l'accesso. |
| UserSharedWith | L'utente con cui è stata condivisa una risorsa. |
Query di log di esempio
Nella tabella seguente vengono fornite query di log di esempio per i record di aggiornamento raccolti da questa soluzione.
| Query | Descrizione |
|---|---|
| Conteggio di tutte le operazioni per la sottoscrizione di Office 365 | OfficeActivity | riepilogo count() by Operation |
| Uso di siti di SharePoint | OfficeActivity | dove OfficeWorkload =~ "sharepoint" | riepilogo count() by SiteUrl | ordinare in base al conteggio asc |
| Operazioni di accesso ai file per tipo di utente | OfficeActivity | riepilogo count() by UserType |
| Azioni esterne di monitoraggio di Exchange | OfficeActivity | dove OfficeWorkload =~ "exchange" e ExternalAccess == true |
Passaggi successivi
- Usare le query di log in Monitoraggio di Azure per visualizzare dati di aggiornamento dettagliati.
- Creare dashboard personalizzati per visualizzare le query di ricerca di Office 365 preferite.
- Creare avvisi per essere notificati in modo proattivo delle attività importanti di Office 365.