Office 365-beheeroplossing in Azure (preview)
Belangrijk
Oplossingsupdate
Deze oplossing is vervangen door de oplossing Office 365 algemene beschikbaarheid in Microsoft Sentinel en de oplossing Azure AD rapportage en bewaking. Samen bieden ze een bijgewerkte versie van de vorige Azure Monitor Office 365-oplossing met een verbeterde configuratie-ervaring. U kunt de bestaande oplossing blijven gebruiken tot 31 oktober 2020.
Microsoft Sentinel is een cloudeigen oplossing voor beveiligingsinformatie en gebeurtenisbeheer die logboeken opneemt en aanvullende SIEM-functionaliteit biedt, waaronder detecties, onderzoeken, opsporing en op machine learning gebaseerde inzichten. Als u Microsoft Sentinel gebruikt, kunt u nu Office 365 SharePoint-activiteiten- en Exchange-beheerlogboeken opnemen.
Azure AD rapportage biedt een uitgebreidere weergave van logboeken van Azure AD activiteit in uw omgeving, inclusief aanmeldingsgebeurtenissen, controlegebeurtenissen en wijzigingen in uw directory. Als u Azure AD logboeken wilt verbinden, kunt u de Microsoft Sentinel Azure AD-connector gebruiken of de integratie van Azure AD logboeken configureren met Azure Monitor.
De verzameling van Azure AD logboek is onderworpen aan azure Monitor-prijzen. Zie Prijzen van Azure Monitor voor meer informatie.
De Microsoft Sentinel Office 365-oplossing gebruiken:
- Het gebruik van Office 365-connector in Microsoft Sentinel heeft invloed op de prijzen voor uw werkruimte. Zie Prijzen van Microsoft Sentinel voor meer informatie.
- Als u de Azure Monitor Office 365-oplossing al gebruikt, moet u deze eerst verwijderen met behulp van het script in de sectie Verwijderen hieronder.
- Schakel de Microsoft Sentinel-oplossing in op uw werkruimte.
- Ga naar de pagina Gegevensconnectors in Microsoft Sentinel en schakel de connector Office 365 in.
Veelgestelde vragen
V: Is het mogelijk om de Office 365 Azure Monitor-oplossing te gebruiken tussen nu en 31 oktober?
Nee, de onboardingscripts van de Azure Monitor-Office 365-oplossing zijn niet meer beschikbaar. De oplossing wordt op 31 oktober verwijderd.
V: Worden de tabellen en schema's gewijzigd?
De naam en het schema van de tabel OfficeActivity blijven hetzelfde als in de huidige oplossing. U kunt dezelfde query's blijven gebruiken in de nieuwe oplossing, met uitzondering van query's die verwijzen naar Azure AD gegevens.
De nieuwe Azure AD rapportage- en bewakingsoplossingslogboeken worden opgenomen in de tabellen SigninLogs en AuditLogs in plaats van OfficeActivity. Zie logboeken van Azure AD analyseren voor meer informatie. Dit is ook relevant voor gebruikers van Microsoft Sentinel en Azure Monitor.
Hieronder volgen voorbeelden voor het converteren van query's van OfficeActivity naar SigninLogs:
Query mislukte aanmeldingen per gebruiker:
OfficeActivity
| where TimeGenerated >= ago(1d)
| where OfficeWorkload == "AzureActiveDirectory"
| where Operation == 'UserLoginFailed'
| summarize count() by UserId
SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName
Azure AD bewerkingen weergeven:
OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation
AuditLogs
| summarize count() by OperationName
V: Hoe kan ik Microsoft Sentinel aan boord?
Microsoft Sentinel is een oplossing die u kunt inschakelen voor een nieuwe of bestaande Log Analytics-werkruimte. Zie de documentatie over onboarding van Microsoft Sentinel voor meer informatie.
V: Heb ik Microsoft Sentinel nodig om de Azure AD logboeken te verbinden?
U kunt de integratie van Azure AD logboeken configureren met Azure Monitor, die niet is gerelateerd aan de Microsoft Sentinel-oplossing. Microsoft Sentinel biedt een systeemeigen connector en out-of-the-box inhoud voor Azure AD logboeken. Zie de onderstaande vraag over kant-en-klare beveiligingsgerichte inhoud voor meer informatie.
V: Wat zijn de verschillen bij het verbinden Azure AD logboeken van Microsoft Sentinel en Azure Monitor?
Microsoft Sentinel en Azure Monitor maken verbinding met Azure AD logboeken op basis van dezelfde Azure AD rapportage- en bewakingsoplossing. Microsoft Sentinel biedt een systeemeigen connector met één klik die dezelfde gegevens verbindt en bewakingsinformatie biedt.
V: Wat moet ik wijzigen bij het overstappen naar de nieuwe Azure AD rapportage- en bewakingstabellen?
Alle query's die gebruikmaken van Azure AD gegevens, inclusief query's in waarschuwingen, dashboards en inhoud die u hebt gemaakt met Office 365 Azure AD gegevens, moeten opnieuw worden gemaakt met behulp van de nieuwe tabellen.
Microsoft Sentinel en Azure AD bieden ingebouwde inhoud die u kunt gebruiken wanneer u naar de Azure AD oplossing voor rapportage en bewaking gaat. Zie de volgende vraag over kant-en-klare beveiligingsgeoriënteerde inhoud en Azure Monitor-werkmappen gebruiken voor Azure Active Directory-rapporten voor meer informatie.
V: Hoe kan ik de op beveiliging gerichte inhoud van Microsoft Sentinel gebruiken?
Microsoft Sentinel biedt kant-en-klare beveiligingsgerichte dashboards, aangepaste waarschuwingsquery's, opsporingsquery's, onderzoek en geautomatiseerde reactiemogelijkheden op basis van de Office 365 en Azure AD logboeken. Verken de GitHub-community en zelfstudies van Microsoft Sentinel voor meer informatie:
- Bedreigingen out-of-the-box detecteren
- Aangepaste analyseregels maken om verdachte bedreigingen te detecteren
- Uw gegevens bewaken
- Incidenten onderzoeken met Microsoft Sentinel
- Geautomatiseerde bedreigingsreacties instellen in Microsoft Sentinel
- Microsoft Sentinel GitHub-community
V: Biedt Microsoft Sentinel extra connectors als onderdeel van de oplossing?
Ja, zie Gegevensbronnen verbinden met Microsoft Sentinel.
V: Wat gebeurt er op 31 oktober? Moet ik van tevoren offboarden?
- U kunt geen gegevens ontvangen van de Office365-oplossing . De oplossing wordt verwijderd uit uw werkruimte en is niet meer beschikbaar in Marketplace.
- Voor Microsoft Sentinel-klanten wordt de Log Analytics-werkruimteoplossing Office365 opgenomen in de Microsoft Sentinel SecurityInsights-oplossing .
- Als u uw oplossing op 31 oktober niet handmatig offboardt, worden uw gegevens automatisch losgekoppeld en wordt de tabel OfficeActivity verwijderd. Toch kunt u de tabel nog steeds herstellen wanneer u de connector Office 365 inschakelt in Microsoft Sentinel, zoals hieronder wordt uitgelegd.
V: Worden mijn gegevens overgebracht naar de nieuwe oplossing?
Ja. Wanneer u de Office 365-oplossing uit uw werkruimte verwijdert, zijn de gegevens tijdelijk niet meer beschikbaar omdat het schema wordt verwijderd. Wanneer u de nieuwe Office 365-connector inschakelt in Microsoft Sentinel, wordt het schema hersteld naar de werkruimte en worden alle verzamelde gegevens beschikbaar.
Met de Office 365-beheeroplossing kunt u uw Office 365 omgeving bewaken in Azure Monitor.
- Bewaak gebruikersactiviteiten op uw Office 365-accounts om gebruikspatronen te analyseren en gedragstrends te identificeren. U kunt bijvoorbeeld specifieke gebruiksscenario's extraheren, zoals bestanden die buiten uw organisatie worden gedeeld of de populairste SharePoint-sites.
- Bewaak beheerdersactiviteiten om configuratiewijzigingen of bewerkingen met hoge bevoegdheden bij te houden.
- Detecteer en onderzoek ongewenst gebruikersgedrag, dat kan worden aangepast aan de behoeften van uw organisatie.
- Controle en naleving demonstreren. U kunt bijvoorbeeld bewerkingen voor bestandstoegang voor vertrouwelijke bestanden bewaken, wat u kan helpen bij het controle- en nalevingsproces.
- Voer operationele probleemoplossing uit met behulp van logboekquery's boven op Office 365 activiteitsgegevens van uw organisatie.
Verwijderen
U kunt de Office 365-beheeroplossing verwijderen met behulp van het proces in Een beheeroplossing verwijderen. Dit voorkomt echter niet dat gegevens van Office 365 in Azure Monitor worden verzameld. Volg de onderstaande procedure om u af te melden voor Office 365 en het verzamelen van gegevens te stoppen.
Sla het volgende script op als office365_unsubscribe.ps1.
param ( [Parameter(Mandatory=$True)][string]$WorkspaceName, [Parameter(Mandatory=$True)][string]$ResourceGroupName, [Parameter(Mandatory=$True)][string]$SubscriptionId, [Parameter(Mandatory=$True)][string]$OfficeTennantId, [Parameter(Mandatory=$True)][string]$clientId, [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id ) $line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------' $line IF ($Subscription -eq $null) {Login-AzAccount -ErrorAction Stop} $Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop) $Subscription $option = [System.StringSplitOptions]::RemoveEmptyEntries $Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop) $Workspace $WorkspaceLocation= $Workspace.Location # Client ID for Azure PowerShell # Set redirect URI for Azure PowerShell $redirectUri = "urn:ietf:wg:oauth:2.0:oob" $domain='login.microsoftonline.com' $adTenant = $Subscription[0].Tenant.Id $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";' switch ($WorkspaceLocation) { "USGov Virginia" { $domain='login.microsoftonline.us'; $authority = "https://login.microsoftonline.us/$adTenant"; $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia default { $domain='login.microsoftonline.com'; $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";break} } Function RESTAPI-Auth { $global:SubscriptionID = $Subscription.SubscriptionId # Set Resource URI to Azure Service Management API $resourceAppIdURIARM=$ARMResource; # Authenticate and Acquire Token # Create Authentication Context tied to Azure AD Tenant $authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority # Acquire token $platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto" $global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters) $global:authResultARM.Wait() $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $authHeader } Function Office-UnSubscribe-Call{ #---------------------------------------------------------------------------------------------------------------------------------------------- $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $ResourceName = "https://manage.office.com" $SubscriptionId = $Subscription[0].Subscription.Id $OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_' + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview' $Officeparams = @{ ContentType = 'application/json' Headers = @{ 'Authorization'="$($authHeader)" 'x-ms-client-tenant-id'=$xms_client_tenant_Id 'Content-Type' = 'application/json' } Method = 'Delete' URI = $OfficeAPIUrl } $officeresponse = Invoke-WebRequest @Officeparams $officeresponse } #GetDetails RESTAPI-Auth -ErrorAction Stop Office-UnSubscribe-Call -ErrorAction StopVoer het script uit met de volgende opdracht:
.\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>Voorbeeld:
.\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'
U wordt om het referenties gevraagd. Geef de referenties op voor uw Log Analytics-werkruimte.
Gegevens verzamelen
Het kan een paar uur duren voordat de gegevens in eerste instantie zijn verzameld. Zodra het verzamelen is gestart, verzendt Office 365 telkens wanneer er een record wordt gemaakt een webhookmelding met gedetailleerde gegevens naar Azure Monitor. Deze record is binnen enkele minuten na ontvangst beschikbaar in Azure Monitor.
De oplossing gebruiken
Gegevens die door deze bewakingsoplossing worden verzameld, zijn beschikbaar op de pagina Werkruimteoverzicht (afgeschaft) in de Azure Portal. Open deze pagina vanuit de Log Analytics-werkruimten voor de werkruimte met uw oplossing en selecteer vervolgens Werkruimteoverzicht (afgeschaft) in de sectie Klassiek van het menu. Elke oplossing wordt vertegenwoordigd door een tegel. Selecteer een tegel voor meer gedetailleerde gegevens die door die oplossing worden verzameld.
Wanneer u de Office 365-oplossing toevoegt aan uw Log Analytics-werkruimte, wordt de tegel Office 365 toegevoegd aan uw dashboard. Deze tegel toont het aantal computers in uw omgeving, evenals een grafische voorstelling hiervan, en de bijbehorende updatenaleving.
Klik op de tegel Office 365 om het dashboard Office 365 te openen.
Het dashboard bevat de kolommen in de volgende tabel. Elke kolom bevat de tien belangrijkste waarschuwingen op basis van het aantal dat overeenkomt met de criteria van die kolom voor het opgegeven bereik en tijdsbereik. U kunt een zoekopdracht in logboeken uitvoeren die de hele lijst biedt door te klikken op Alles weergeven onderaan de kolom of door op de kolomkop te klikken.
| Kolom | Beschrijving |
|---|---|
| Operations | Biedt informatie over de actieve gebruikers van al uw bewaakte Office 365-abonnementen. U kunt ook het aantal activiteiten zien dat in de loop van de tijd plaatsvindt. |
| Exchange | Toont de uitsplitsing van Exchange Server activiteiten, zoals Add-Mailbox Machtiging of Postvak instellen. |
| SharePoint | Toont de belangrijkste activiteiten die gebruikers uitvoeren op SharePoint-documenten. Wanneer u op deze tegel inzoomt, worden op de zoekpagina de details van deze activiteiten weergegeven, zoals het doeldocument en de locatie van deze activiteit. Voor een gebeurtenis die door bestand wordt geopend, kunt u bijvoorbeeld het document zien dat wordt geopend, de bijbehorende accountnaam en het IP-adres. |
| Azure Active Directory | Bevat de belangrijkste gebruikersactiviteiten, zoals Gebruikerswachtwoord opnieuw instellen en Aanmeldingspogingen. Wanneer u inzoomt, kunt u de details van deze activiteiten zien, zoals de resultaatstatus. Dit is vooral handig als u verdachte activiteiten in uw Azure Active Directory wilt controleren. |
Azure Monitor-logboekrecords
Alle records die zijn gemaakt in de Log Analytics-werkruimte in Azure Monitor door de oplossing Office 365 hebben een TypeOffice-activiteit. De eigenschap OfficeWorkload bepaalt naar welke Office 365 service de record verwijst: Exchange, AzureActiveDirectory, SharePoint of OneDrive. De eigenschap RecordType geeft het type bewerking op. De eigenschappen variëren per bewerkingstype en worden weergegeven in de onderstaande tabellen.
Algemene eigenschappen
De volgende eigenschappen zijn gemeenschappelijk voor alle Office 365 records.
| Eigenschap | Beschrijving |
|---|---|
| Type | OfficeActivity |
| ClientIP | Het IP-adres van het apparaat waarmee de activiteit is uitgevoerd. Het IP-adres wordt weergegeven in de IPv4- of IPv6-adresindeling. |
| OfficeWorkload | Office 365 service waarnaar de record verwijst. AzureActiveDirectory Exchange SharePoint |
| Bewerking | De naam van de activiteit door de gebruiker of beheerder. |
| OrganizationId | De GUID voor de Office 365-tenant van uw organisatie. Deze waarde is altijd hetzelfde voor uw organisatie, ongeacht de Office 365 service waarin deze plaatsvindt. |
| RecordType | Type bewerking uitgevoerd. |
| ResultStatus | Geeft aan of de actie (opgegeven in de eigenschap Operation) al dan niet is gelukt. Mogelijke waarden zijn Geslaagd, Gedeeltelijk Geslaagd of Mislukt. Voor exchange-beheerdersactiviteit is de waarde Waar of Onwaar. |
| UserId | De UPN (User Principal Name) van de gebruiker die de actie heeft uitgevoerd waardoor de record is geregistreerd; bijvoorbeeld my_name@my_domain_name. Records voor activiteiten die worden uitgevoerd door systeemaccounts (zoals SHAREPOINT\system of NTAUTHORITY\SYSTEM) zijn ook opgenomen. |
| UserKey | Een alternatieve id voor de gebruiker die is geïdentificeerd in de eigenschap UserId. Deze eigenschap wordt bijvoorbeeld ingevuld met de unieke id (PUID) van het paspoort voor gebeurtenissen die worden uitgevoerd door gebruikers in SharePoint, OneDrive voor Bedrijven en Exchange. Deze eigenschap kan ook dezelfde waarde opgeven als de eigenschap UserID voor gebeurtenissen die plaatsvinden in andere services en gebeurtenissen die worden uitgevoerd door systeemaccounts |
| UserType | Het type gebruiker dat de bewerking heeft uitgevoerd. Beheerder Toepassing DcAdmin Regelmatig Gereserveerd ServicePrincipal Systeem |
Azure Active Directory-basis
De volgende eigenschappen zijn gemeenschappelijk voor alle Azure Active Directory-records.
| Eigenschap | Beschrijving |
|---|---|
| OfficeWorkload | AzureActiveDirectory |
| RecordType | AzureActiveDirectory |
| AzureActiveDirectory_EventType | Het type Azure AD gebeurtenis. |
| ExtendedProperties | De uitgebreide eigenschappen van de gebeurtenis Azure AD. |
Azure Active Directory-account aanmelden
Deze records worden gemaakt wanneer een Active Directory-gebruiker zich probeert aan te melden.
| Eigenschap | Beschrijving |
|---|---|
OfficeWorkload |
AzureActiveDirectory |
RecordType |
AzureActiveDirectoryAccountLogon |
Application |
De toepassing die de aanmeldingsactie voor het account activeert, zoals Office 15. |
Client |
Details over het clientapparaat, het besturingssysteem van het apparaat en de apparaatbrowser die is gebruikt voor de aanmeldingsgebeurtenis van het account. |
LoginStatus |
Deze eigenschap is rechtstreeks afkomstig van OrgIdLogon.LoginStatus. Het toewijzen van verschillende interessante aanmeldingsfouten kan worden uitgevoerd door waarschuwingsalgoritmen. |
UserDomain |
De tenantidentiteitsgegevens (TII). |
Azure Active Directory
Deze records worden gemaakt wanneer wijzigingen of toevoegingen worden aangebracht aan Azure Active Directory-objecten.
| Eigenschap | Beschrijving |
|---|---|
| OfficeWorkload | AzureActiveDirectory |
| RecordType | AzureActiveDirectory |
| AADTarget | De gebruiker waarop de actie (geïdentificeerd door de eigenschap Bewerking) is uitgevoerd. |
| Acteur | De gebruiker of service-principal die de actie heeft uitgevoerd. |
| ActorContextId | De GUID van de organisatie waartoe de actor behoort. |
| ActorIpAddress | Het IP-adres van de actor in IPV4- of IPV6-adresindeling. |
| InterSystemsId | De GUID die de acties tussen onderdelen binnen de Office 365-service bijhoudt. |
| IntraSystemId | De GUID die wordt gegenereerd door Azure Active Directory om de actie bij te houden. |
| SupportTicketId | De ticket-id van de klantondersteuning voor de actie in 'act-on-behalf-of'-situaties. |
| TargetContextId | De GUID van de organisatie waartoe de doelgebruiker behoort. |
Datacentrumbeveiliging
Deze records worden gemaakt op basis van controlegegevens van Data Center Security.
| Eigenschap | Beschrijving |
|---|---|
| EffectiveOrganization | De naam van de tenant waarop de uitbreiding/cmdlet is gericht. |
| ElevationApprovedTime | Het tijdstempel voor wanneer de uitbreiding is goedgekeurd. |
| ElevationApprover | De naam van een Microsoft-manager. |
| ElevationDuration | De duur waarvoor de verhoging actief was. |
| ElevationRequestId | Een unieke id voor de aanvraag voor benodigde bevoegdheden. |
| ElevationRole | De rol waarvoor de uitbreiding is aangevraagd. |
| ElevationTime | De begintijd van de verhoging. |
| Start_Time | De begintijd van de uitvoering van de cmdlet. |
Exchange Beheer
Deze records worden gemaakt wanneer er wijzigingen worden aangebracht in de Exchange-configuratie.
| Eigenschap | Beschrijving |
|---|---|
| OfficeWorkload | Exchange |
| RecordType | ExchangeAdmin |
| ExternalAccess | Hiermee geeft u op of de cmdlet is uitgevoerd door een gebruiker in uw organisatie, door personeel van het Microsoft-datacenter of een datacenterserviceaccount, of door een gedelegeerde beheerder. De waarde False geeft aan dat de cmdlet is uitgevoerd door iemand in uw organisatie. De waarde True geeft aan dat de cmdlet is uitgevoerd door datacenterpersoneel, een datacenterserviceaccount of een gedelegeerde beheerder. |
| ModifiedObjectResolvedName | Dit is de beschrijvende naam van het object dat is gewijzigd door de cmdlet. Dit wordt alleen geregistreerd als de cmdlet het object wijzigt. |
| OrganizationName | De naam van de tenant. |
| OriginatingServer | De naam van de server van waaruit de cmdlet is uitgevoerd. |
| Parameters | De naam en waarde voor alle parameters die zijn gebruikt met de cmdlet die wordt geïdentificeerd in de eigenschap Operations. |
Exchange-postvak
Deze records worden gemaakt wanneer er wijzigingen of toevoegingen worden aangebracht in Exchange-postvakken.
| Eigenschap | Beschrijving |
|---|---|
| OfficeWorkload | Exchange |
| RecordType | ExchangeItem |
| ClientInfoString | Informatie over de e-mailclient die is gebruikt om de bewerking uit te voeren, zoals een browserversie, Outlook-versie en informatie over mobiele apparaten. |
| Client_IPAddress | Het IP-adres van het apparaat dat is gebruikt toen de bewerking werd geregistreerd. Het IP-adres wordt weergegeven in de IPv4- of IPv6-adresindeling. |
| ClientMachineName | De computernaam die als host fungeert voor de Outlook-client. |
| ClientProcessName | De e-mailclient die is gebruikt voor toegang tot het postvak. |
| ClientVersion | De versie van de e-mailclient . |
| InternalLogonType | Gereserveerd voor intern gebruik. |
| Logon_Type | Geeft het type gebruiker aan dat het postvak heeft geopend en de bewerking heeft uitgevoerd die is geregistreerd. |
| LogonUserDisplayName | De gebruiksvriendelijke naam van de gebruiker die de bewerking heeft uitgevoerd. |
| LogonUserSid | De SID van de gebruiker die de bewerking heeft uitgevoerd. |
| MailboxGuid | De Exchange-GUID van het postvak dat is geopend. |
| MailboxOwnerMasterAccountsid | De SID van het hoofdaccount van de eigenaar van het postvak. |
| MailboxOwnerSid | De SID van de eigenaar van het postvak. |
| MailboxOwnerUPN | Het e-mailadres van de persoon die eigenaar is van het postvak dat is geopend. |
Controle van Exchange-postvakken
Deze records worden gemaakt wanneer een controlevermelding voor een postvak wordt gemaakt.
| Eigenschap | Beschrijving |
|---|---|
| OfficeWorkload | Exchange |
| RecordType | ExchangeItem |
| Item | Vertegenwoordigt het item waarop de bewerking is uitgevoerd |
| SendAsUserMailboxGuid | De Exchange-GUID van het postvak dat is geopend om e-mail te verzenden als. |
| SendAsUserSmtp | SMTP-adres van de gebruiker die wordt geïmiteerd. |
| SendonBehalfOfUserMailboxGuid | De Exchange-GUID van het postvak dat is geopend voor het verzenden van e-mail namens. |
| SendOnBehalfOfUserSmtp | SMTP-adres van de gebruiker namens wie het e-mailbericht wordt verzonden. |
Controlegroep voor Exchange-postvakken
Deze records worden gemaakt wanneer er wijzigingen of toevoegingen worden aangebracht aan Exchange-groepen.
| Eigenschap | Beschrijving |
|---|---|
| OfficeWorkload | Exchange |
| OfficeWorkload | ExchangeItemGroup |
| AffectedItems | Informatie over elk item in de groep. |
| CrossMailboxOperations | Geeft aan of de bewerking meer dan één postvak betreft. |
| DestMailboxId | Alleen instellen als de parameter CrossMailboxOperations true is. Hiermee geeft u de GUID van het doelpostvak op. |
| DestMailboxOwnerMasterAccountsid | Alleen instellen als de parameter CrossMailboxOperations true is. Hiermee geeft u de SID voor de hoofdaccount-SID van de doelpostvakeigenaar. |
| DestMailboxOwnerSid | Alleen instellen als de parameter CrossMailboxOperations true is. Hiermee geeft u de SID van het doelpostvak. |
| DestMailboxOwnerUPN | Alleen instellen als de parameter CrossMailboxOperations true is. Hiermee geeft u de UPN van de eigenaar van het doelpostvak. |
| DestFolder | De doelmap, voor bewerkingen zoals Verplaatsen. |
| Map | De map waarin een groep items zich bevindt. |
| Mappen | Informatie over de bronmappen die betrokken zijn bij een bewerking; bijvoorbeeld als mappen zijn geselecteerd en vervolgens worden verwijderd. |
SharePoint Base
Deze eigenschappen zijn gemeenschappelijk voor alle SharePoint-records.
| Eigenschap | Beschrijving |
|---|---|
| OfficeWorkload | SharePoint |
| OfficeWorkload | SharePoint |
| EventSource | Identificeert dat er een gebeurtenis is opgetreden in SharePoint. Mogelijke waarden zijn SharePoint of ObjectModel. |
| ItemType | Het type object dat is geopend of gewijzigd. Zie de tabel ItemType voor meer informatie over de typen objecten. |
| MachineDomainInfo | Informatie over apparaatsynchronisatiebewerkingen. Deze informatie wordt alleen gerapporteerd als deze aanwezig is in de aanvraag. |
| MachineId | Informatie over apparaatsynchronisatiebewerkingen. Deze informatie wordt alleen gerapporteerd als deze aanwezig is in de aanvraag. |
| Site_ | De GUID van de site waar het bestand of de map die door de gebruiker wordt geopend zich bevindt. |
| Source_Name | De entiteit die de gecontroleerde bewerking heeft geactiveerd. Mogelijke waarden zijn SharePoint of ObjectModel. |
| Useragent | Informatie over de client of browser van de gebruiker. Deze informatie wordt verstrekt door de client of browser. |
SharePoint-schema
Deze records worden gemaakt wanneer configuratiewijzigingen worden aangebracht in SharePoint.
| Eigenschap | Beschrijving |
|---|---|
| OfficeWorkload | SharePoint |
| OfficeWorkload | SharePoint |
| CustomEvent | Optionele tekenreeks voor aangepaste gebeurtenissen. |
| Event_Data | Optionele nettolading voor aangepaste gebeurtenissen. |
| ModifiedProperties | De eigenschap is opgenomen voor beheergebeurtenissen, zoals het toevoegen van een gebruiker als lid van een site of een beheerdersgroep voor een siteverzameling. De eigenschap bevat de naam van de eigenschap die is gewijzigd (bijvoorbeeld de groep Site Beheer), de nieuwe waarde van de gewijzigde eigenschap (zoals de gebruiker die is toegevoegd als sitebeheerder) en de vorige waarde van het gewijzigde object. |
SharePoint-bestandsbewerkingen
Deze records worden gemaakt als reactie op bestandsbewerkingen in SharePoint.
| Eigenschap | Beschrijving |
|---|---|
| OfficeWorkload | SharePoint |
| OfficeWorkload | SharePointFileOperation |
| DestinationFileExtension | De bestandsextensie van een bestand dat wordt gekopieerd of verplaatst. Deze eigenschap wordt alleen weergegeven voor de gebeurtenissen FileCopied en FileMoved. |
| DestinationFileName | De naam van het bestand dat wordt gekopieerd of verplaatst. Deze eigenschap wordt alleen weergegeven voor de gebeurtenissen FileCopied en FileMoved. |
| DestinationRelativeUrl | De URL van de doelmap waarin een bestand wordt gekopieerd of verplaatst. De combinatie van de waarden voor de parameters SiteURL, DestinationRelativeURL en DestinationFileName is hetzelfde als de waarde voor de eigenschap ObjectID. Dit is de volledige padnaam voor het bestand dat is gekopieerd. Deze eigenschap wordt alleen weergegeven voor de gebeurtenissen FileCopied en FileMoved. |
| SharingType | Het type machtigingen voor delen dat is toegewezen aan de gebruiker waarmee de resource is gedeeld. Deze gebruiker wordt geïdentificeerd door de parameter UserSharedWith. |
| Site_Url | De URL van de site waar het bestand of de map die door de gebruiker wordt geopend, zich bevindt. |
| SourceFileExtension | De bestandsextensie van het bestand dat door de gebruiker is geopend. Deze eigenschap is leeg als het object dat is geopend een map is. |
| SourceFileName | De naam van het bestand of de map die door de gebruiker wordt geopend. |
| SourceRelativeUrl | De URL van de map die het bestand bevat waartoe de gebruiker toegang heeft. De combinatie van de waarden voor de parameters SiteURL, SourceRelativeURL en SourceFileName is hetzelfde als de waarde voor de eigenschap ObjectID. Dit is de volledige padnaam voor het bestand dat door de gebruiker wordt geopend. |
| UserSharedWith | De gebruiker met wie een resource is gedeeld. |
Voorbeeld van logboekquery's
De volgende tabel bevat voorbeeldlogboekquery's voor updaterecords die door deze oplossing zijn verzameld.
| Query’s uitvoeren | Description |
|---|---|
| Het aantal bewerkingen op uw Office 365-abonnement | OfficeActivity | summarize count() by Operation |
| Gebruik van SharePoint-sites | OfficeActivity | where OfficeWorkload =~ "sharepoint" | summarize count() by SiteUrl | sorteren op aantal asc |
| Bewerkingen voor bestandstoegang per gebruikerstype | OfficeActivity | summarize count() by UserType |
| Externe acties in Exchange bewaken | OfficeActivity | waarbij OfficeWorkload =~ "exchange" en ExternalAccess == true |
Volgende stappen
- Gebruik logboekquery's in Azure Monitor om gedetailleerde updategegevens weer te geven.
- Maak uw eigen dashboards om uw favoriete Office 365 zoekquery's weer te geven.
- Waarschuwingen maken om proactief op de hoogte te worden gesteld van belangrijke Office 365 activiteiten.