OfficeActivity
Registos de auditoria para inquilinos Office 365 recolhidos pelo Azure Sentinel. Incluindo os registos do Exchange, do SharePoint e do Teams.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | - |
Categorias | Segurança |
Soluções | AzureSentinelPrivatePreview, SecurityInsights |
Registo básico | No |
Transformação em tempo de ingestão | Yes |
Consultas de Exemplo | Sim |
Colunas
Coluna | Tipo | Description |
---|---|---|
AADGroupId | string | ID do grupo do Azure Active Directory |
AADTarget | string | O utilizador em que a ação (identificada pela propriedade Operação) foi efetuada |
Atividade | string | A atividade que o utilizador realizou. |
Ator | string | O utilizador ou principal de serviço que realizou a ação |
ActorContextId | string | O GUID da organização à qual o ator pertence |
ActorIpAddress | string | O endereço IP do ator no formato de endereço IPV4 ou IPV6 |
AddOnGuid | string | O identificador exclusivo do suplemento gerado neste evento |
AddonName | string | O nome do suplemento que gerou este evento |
AddOnType | string | O tipo de suplemento que gerou este evento |
AffectedItems | string | Informações sobre cada item no grupo |
AppDistributionMode | string | Modo de distribuição de aplicações |
AppId | string | ID da aplicação |
Aplicação | string | O nome da aplicação |
ApplicationID | string | ID da aplicação do SharePoint |
AzureActiveDirectory_EventType | string | O tipo de evento Azure AD |
AzureADAppId | string | ID de Azure AD de Aplicações do Teams |
_BilledSize | real | O tamanho do registo em bytes |
ChannelGuid | string | Um identificador exclusivo para o canal que está a ser auditado |
ChannelName | string | O nome do canal a ser auditado |
ChannelType | string | O tipo de canal a ser auditado (Standard/Privado) |
ChatName | string | O nome da conversa |
ChatThreadId | string | O ID do tópico de chat |
Cliente | string | Detalhes sobre o dispositivo cliente, o SO do dispositivo e o browser do dispositivo que foi utilizado para o evento de início de sessão da conta |
Client_IPAddress | string | O endereço IP do dispositivo que foi utilizado quando a operação foi registada |
ClientAppId | string | ID da aplicação cliente |
ClientInfoString | string | Informações sobre o cliente de e-mail que foi utilizado para executar a operação |
ClientIP | string | O endereço IP do dispositivo que foi utilizado quando a atividade foi registada |
ClientMachineName | string | O nome do computador que aloja o cliente do Outlook |
ClientProcessName | string | O cliente de e-mail que foi utilizado para aceder à caixa de correio |
ClientVersion | string | A versão do cliente de e-mail |
CommunicationType | string | O tipo de comunicações que foi realizada |
CrossMailboxOperations | bool | Indica se a operação envolveu mais do que uma caixa de correio |
CustomEvent | string | Cadeia opcional para eventos personalizados |
DataCenterSecurityEventType | int | O tipo de evento dmdlet na caixa de bloqueio |
DestFolder | string | A pasta de destino |
DestinationFileExtension | string | A extensão de ficheiro de um ficheiro que é copiado ou movido |
DestinationFileName | string | O nome do ficheiro que é copiado ou movido |
DestinationRelativeUrl | string | O URL da pasta de destino onde um ficheiro é copiado ou movido |
DestMailboxId | string | Definir apenas se o parâmetro CrossMailboxOperations for True |
DestMailboxOwnerMasterAccountSid | string | Definir apenas se o parâmetro CrossMailboxOperations for True |
DestMailboxOwnerSid | string | Definir apenas se o parâmetro CrossMailboxOperations for True |
DestMailboxOwnerUPN | string | Definir apenas se o parâmetro CrossMailboxOperations for True |
EffectiveOrganization | string | O nome do inquilino a que a elevação/cmdlet foi direcionado |
ElevationApprovedTime | datetime | O carimbo de data/hora para quando a elevação foi aprovada |
ElevationApprover | string | O nome de um gestor da Microsoft |
ElevationDuration | int | A duração para a qual a elevação estava ativa (em Horas) |
ElevationRequestId | string | Um identificador exclusivo para o pedido de elevação |
ElevationRole | string | A função para a que a elevação foi pedida |
ElevationTime | datetime | A hora de início da elevação |
Event_Data | string | Payload opcional para eventos personalizados |
EventSource | string | Identifica que ocorreu um evento no SharePoint. Os valores possíveis são SharePoint ou ObjectModel |
ExtendedProperties | string | As propriedades expandidas do evento Azure AD |
ExternalAccess | string | Especifica se o cmdlet foi executado por um utilizador na sua organização |
ExtraProperties | dynamic | Uma lista de propriedades adicionais |
Pasta | string | A pasta onde está localizado um grupo de itens |
Pastas | string | Informações sobre as pastas de origem envolvidas numa operação |
GenericInfo | string | Utilizado para comentários e outras informações genéricas |
InternalLogonType | int | Reservado para utilização interna |
InterSystemsId | string | O GUID que controla as ações entre componentes no serviço Office 365 |
IntraSystemId | string | O GUID gerado pelo Azure Active Directory para controlar a ação |
_IsBillable | string | Especifica se a ingestão de dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
IsManagedDevice | bool | Indica se a operação foi criada por um dispositivo gerido pela organização |
Item | string | Representa o item no qual a operação foi executada |
NomeDoItem | string | A cadeia no campo Assunto da mensagem de e-mail |
TipoItem | string | O tipo de objeto que foi acedido ou modificado. Veja a tabela ItemType para obter detalhes sobre os tipos de objetos |
LoginStatus | int | Esta propriedade pertence diretamente a OrgIdLogon.LoginStatus. O mapeamento de várias falhas de início de sessão interessantes pode ser feito através de algoritmos de alerta |
Logon_Type | string | Indica o tipo de utilizador que acedeu à caixa de correio e efetuou a operação que foi registada |
LogonUserDisplayName | string | O nome amigável do utilizador que efetuou a operação |
LogonUserSid | string | O SID do utilizador que realizou a operação |
MachineDomainInfo | string | Informações sobre operações de sincronização de dispositivos |
MachineId | string | Informações sobre operações de sincronização de dispositivos |
MailboxGuid | string | O GUID do Exchange da caixa de correio que foi acedida |
MailboxOwnerMasterAccountSid | string | SID da conta principal da conta de proprietário da caixa de correio |
Caixa de correioOwnerSid | string | O SID do proprietário da caixa de correio |
Caixa de CorreioOwnerUPN | string | O endereço de e-mail da pessoa proprietária da caixa de correio à qual foi acedido |
Membros | dynamic | Uma lista de utilizadores numa Equipa |
MessageId | string | Um identificador para uma mensagem de chat ou canal |
ModifiedObjectResolvedName | string | Este é o nome amigável do utilizador do objeto que foi modificado pelo cmdlet |
ModifiedProperties | string | A propriedade está incluída para eventos de administração, como adicionar um utilizador como membro de um site ou grupo de administradores de coleções de sites |
Name | string | Apenas presente para eventos de definições. Nome da definição que foi alterada |
NewValue | string | Apenas presente para eventos de definições. Novo valor da definição |
OfficeId | string | Identificador exclusivo de um registo de auditoria |
OfficeObjectId | string | Para atividade do SharePoint e OneDrive para Empresas |
OfficeTenantId | string | O ID do inquilino do Office |
OfficeWorkload | string | O serviço Office 365 onde ocorreu a atividade |
OldValue | string | Apenas presente para eventos de definições. Valor antigo da definição |
Operação | string | O nome da operação que o utilizador está a executar |
OperationProperties | dynamic | Propriedades de operação adicionais |
OperationScope | string | O âmbito em que a operação foi executada |
OrganizationId | string | O GUID do inquilino Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização |
OrganizationName | string | O nome do inquilino |
OriginingServer | string | O nome do servidor a partir do qual o cmdlet foi executado |
Parâmetros | string | O nome e o valor de todos os parâmetros que foram utilizados com o cmdlet identificado na propriedade Operações |
RecordType | string | O tipo de operação indicado pelo registo. Veja a tabela AuditLogRecordType para obter detalhes sobre os tipos de registos de auditoria |
_ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
ResultReasonType | string | Motivo do resultado reportado em ResultType |
ResultStatus | string | Indica se a ação (especificada na propriedade Operação) foi ou não bem-sucedida |
SendAsUserMailboxGuid | string | O GUID do Exchange da caixa de correio que foi acedida para enviar e-mails como |
SendAsUserSmtp | string | Endereço SMTP do utilizador que está a ser representado |
SendonBehalfOfUserMailboxGuid | string | O GUID do Exchange da caixa de correio que foi acedida para enviar correio em nome de |
SendOnBehalfOfUserSmtp | string | Endereço SMTP do utilizador em cujo nome o e-mail é enviado |
SharingType | string | O tipo de permissões de partilha que foram atribuídas ao utilizador com o qual o recurso foi partilhado. Este utilizador é identificado pelo parâmetro UserSharedWith |
Site_ | string | O GUID do site onde o ficheiro ou pasta acedido pelo utilizador está localizado |
Site_Url | string | O URL do site onde o ficheiro ou pasta acedido pelo utilizador está localizado |
Source_Name | string | A entidade que acionou a operação auditada. Os valores possíveis são SharePoint ou ObjectModel |
SourceFileExtension | string | A extensão de ficheiro do ficheiro que foi acedido pelo utilizador |
SourceFileName | string | O nome do ficheiro ou pasta acedido pelo utilizador |
SourceRecordId | string | Identificador exclusivo de um registo de auditoria |
SourceRelativeUrl | string | O URL da pasta que contém o ficheiro acedido pelo utilizador |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
SRPolicyId | string | ID da Política |
SRPolicyName | string | Nome da política |
SRRuleMatchDetails | dynamic | Detalhes da regra |
Start_Time | datetime | A data e hora em que o cmdlet foi executado |
_SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
SupportTicketId | string | O ID do pedido de suporte ao cliente para a ação em situações "act-on-behalf-of" |
TabType | string | O tipo de separador que gerou este evento |
TargetContextId | string | O GUID da organização à qual o utilizador visado pertence |
TargetUserId | string | ID de utilizador de destino |
TargetUserOrGroupName | string | Armazena o UPN ou o nome do utilizador ou grupo de destino com o qual um recurso foi partilhado |
TargetUserOrGroupType | string | Identifica se o utilizador ou grupo de destino é Membro, Convidado, Grupo ou Parceiro |
TeamGuid | string | Um identificador exclusivo para a equipa que está a ser auditada |
TeamName | string | O nome da equipa a ser auditada |
TenantId | string | O ID da área de trabalho do Log Analytics |
TimeGenerated | datetime | A data e hora na Hora Universal Coordenada (UTC) quando o utilizador realizou a atividade |
Tipo | string | O nome da tabela |
UserAgent | string | O agente de utilizador |
UserDomain | string | O domínio do utilizador |
IDUtilizador | string | O UPN (Nome Principal de Utilizador) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou no registo a ser registado |
UserKey | string | Um ID alternativo para o utilizador identificado na propriedade UserId |
UserSharedWith | string | O utilizador com o qual um recurso foi partilhado |
UserType | string | O tipo de utilizador que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários