OfficeActivity
Registos de auditoria para inquilinos Office 365 recolhidos pelo Azure Sentinel. Incluindo os registos do Exchange, do SharePoint e do Teams.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | AzureSentinelPrivatePreview, SecurityInsights |
| Registo básico | No |
| Transformação em tempo de ingestão | Yes |
| Consultas de Exemplo | Sim |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| AADGroupId | string | ID do grupo do Azure Active Directory |
| AADTarget | string | O utilizador em que a ação (identificada pela propriedade Operação) foi efetuada |
| Atividade | string | A atividade que o utilizador realizou. |
| Ator | string | O utilizador ou principal de serviço que realizou a ação |
| ActorContextId | string | O GUID da organização à qual o ator pertence |
| ActorIpAddress | string | O endereço IP do ator no formato de endereço IPV4 ou IPV6 |
| AddOnGuid | string | O identificador exclusivo do suplemento gerado neste evento |
| AddonName | string | O nome do suplemento que gerou este evento |
| AddOnType | string | O tipo de suplemento que gerou este evento |
| AffectedItems | string | Informações sobre cada item no grupo |
| AppDistributionMode | string | Modo de distribuição de aplicações |
| AppId | string | ID da aplicação |
| Aplicação | string | O nome da aplicação |
| ApplicationID | string | ID da aplicação do SharePoint |
| AzureActiveDirectory_EventType | string | O tipo de evento Azure AD |
| AzureADAppId | string | ID de Azure AD de Aplicações do Teams |
| _BilledSize | real | O tamanho do registo em bytes |
| ChannelGuid | string | Um identificador exclusivo para o canal que está a ser auditado |
| ChannelName | string | O nome do canal a ser auditado |
| ChannelType | string | O tipo de canal a ser auditado (Standard/Privado) |
| ChatName | string | O nome da conversa |
| ChatThreadId | string | O ID do tópico de chat |
| Cliente | string | Detalhes sobre o dispositivo cliente, o SO do dispositivo e o browser do dispositivo que foi utilizado para o evento de início de sessão da conta |
| Client_IPAddress | string | O endereço IP do dispositivo que foi utilizado quando a operação foi registada |
| ClientAppId | string | ID da aplicação cliente |
| ClientInfoString | string | Informações sobre o cliente de e-mail que foi utilizado para executar a operação |
| ClientIP | string | O endereço IP do dispositivo que foi utilizado quando a atividade foi registada |
| ClientMachineName | string | O nome do computador que aloja o cliente do Outlook |
| ClientProcessName | string | O cliente de e-mail que foi utilizado para aceder à caixa de correio |
| ClientVersion | string | A versão do cliente de e-mail |
| CommunicationType | string | O tipo de comunicações que foi realizada |
| CrossMailboxOperations | bool | Indica se a operação envolveu mais do que uma caixa de correio |
| CustomEvent | string | Cadeia opcional para eventos personalizados |
| DataCenterSecurityEventType | int | O tipo de evento dmdlet na caixa de bloqueio |
| DestFolder | string | A pasta de destino |
| DestinationFileExtension | string | A extensão de ficheiro de um ficheiro que é copiado ou movido |
| DestinationFileName | string | O nome do ficheiro que é copiado ou movido |
| DestinationRelativeUrl | string | O URL da pasta de destino onde um ficheiro é copiado ou movido |
| DestMailboxId | string | Definir apenas se o parâmetro CrossMailboxOperations for True |
| DestMailboxOwnerMasterAccountSid | string | Definir apenas se o parâmetro CrossMailboxOperations for True |
| DestMailboxOwnerSid | string | Definir apenas se o parâmetro CrossMailboxOperations for True |
| DestMailboxOwnerUPN | string | Definir apenas se o parâmetro CrossMailboxOperations for True |
| EffectiveOrganization | string | O nome do inquilino a que a elevação/cmdlet foi direcionado |
| ElevationApprovedTime | datetime | O carimbo de data/hora para quando a elevação foi aprovada |
| ElevationApprover | string | O nome de um gestor da Microsoft |
| ElevationDuration | int | A duração para a qual a elevação estava ativa (em Horas) |
| ElevationRequestId | string | Um identificador exclusivo para o pedido de elevação |
| ElevationRole | string | A função para a que a elevação foi pedida |
| ElevationTime | datetime | A hora de início da elevação |
| Event_Data | string | Payload opcional para eventos personalizados |
| EventSource | string | Identifica que ocorreu um evento no SharePoint. Os valores possíveis são SharePoint ou ObjectModel |
| ExtendedProperties | string | As propriedades expandidas do evento Azure AD |
| ExternalAccess | string | Especifica se o cmdlet foi executado por um utilizador na sua organização |
| ExtraProperties | dynamic | Uma lista de propriedades adicionais |
| Pasta | string | A pasta onde está localizado um grupo de itens |
| Pastas | string | Informações sobre as pastas de origem envolvidas numa operação |
| GenericInfo | string | Utilizado para comentários e outras informações genéricas |
| InternalLogonType | int | Reservado para utilização interna |
| InterSystemsId | string | O GUID que controla as ações entre componentes no serviço Office 365 |
| IntraSystemId | string | O GUID gerado pelo Azure Active Directory para controlar a ação |
| _IsBillable | string | Especifica se a ingestão de dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| IsManagedDevice | bool | Indica se a operação foi criada por um dispositivo gerido pela organização |
| Item | string | Representa o item no qual a operação foi executada |
| NomeDoItem | string | A cadeia no campo Assunto da mensagem de e-mail |
| TipoItem | string | O tipo de objeto que foi acedido ou modificado. Veja a tabela ItemType para obter detalhes sobre os tipos de objetos |
| LoginStatus | int | Esta propriedade pertence diretamente a OrgIdLogon.LoginStatus. O mapeamento de várias falhas de início de sessão interessantes pode ser feito através de algoritmos de alerta |
| Logon_Type | string | Indica o tipo de utilizador que acedeu à caixa de correio e efetuou a operação que foi registada |
| LogonUserDisplayName | string | O nome amigável do utilizador que efetuou a operação |
| LogonUserSid | string | O SID do utilizador que realizou a operação |
| MachineDomainInfo | string | Informações sobre operações de sincronização de dispositivos |
| MachineId | string | Informações sobre operações de sincronização de dispositivos |
| MailboxGuid | string | O GUID do Exchange da caixa de correio que foi acedida |
| MailboxOwnerMasterAccountSid | string | SID da conta principal da conta de proprietário da caixa de correio |
| Caixa de correioOwnerSid | string | O SID do proprietário da caixa de correio |
| Caixa de CorreioOwnerUPN | string | O endereço de e-mail da pessoa proprietária da caixa de correio à qual foi acedido |
| Membros | dynamic | Uma lista de utilizadores numa Equipa |
| MessageId | string | Um identificador para uma mensagem de chat ou canal |
| ModifiedObjectResolvedName | string | Este é o nome amigável do utilizador do objeto que foi modificado pelo cmdlet |
| ModifiedProperties | string | A propriedade está incluída para eventos de administração, como adicionar um utilizador como membro de um site ou grupo de administradores de coleções de sites |
| Name | string | Apenas presente para eventos de definições. Nome da definição que foi alterada |
| NewValue | string | Apenas presente para eventos de definições. Novo valor da definição |
| OfficeId | string | Identificador exclusivo de um registo de auditoria |
| OfficeObjectId | string | Para atividade do SharePoint e OneDrive para Empresas |
| OfficeTenantId | string | O ID do inquilino do Office |
| OfficeWorkload | string | O serviço Office 365 onde ocorreu a atividade |
| OldValue | string | Apenas presente para eventos de definições. Valor antigo da definição |
| Operação | string | O nome da operação que o utilizador está a executar |
| OperationProperties | dynamic | Propriedades de operação adicionais |
| OperationScope | string | O âmbito em que a operação foi executada |
| OrganizationId | string | O GUID do inquilino Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização |
| OrganizationName | string | O nome do inquilino |
| OriginingServer | string | O nome do servidor a partir do qual o cmdlet foi executado |
| Parâmetros | string | O nome e o valor de todos os parâmetros que foram utilizados com o cmdlet identificado na propriedade Operações |
| RecordType | string | O tipo de operação indicado pelo registo. Veja a tabela AuditLogRecordType para obter detalhes sobre os tipos de registos de auditoria |
| _ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
| ResultReasonType | string | Motivo do resultado reportado em ResultType |
| ResultStatus | string | Indica se a ação (especificada na propriedade Operação) foi ou não bem-sucedida |
| SendAsUserMailboxGuid | string | O GUID do Exchange da caixa de correio que foi acedida para enviar e-mails como |
| SendAsUserSmtp | string | Endereço SMTP do utilizador que está a ser representado |
| SendonBehalfOfUserMailboxGuid | string | O GUID do Exchange da caixa de correio que foi acedida para enviar correio em nome de |
| SendOnBehalfOfUserSmtp | string | Endereço SMTP do utilizador em cujo nome o e-mail é enviado |
| SharingType | string | O tipo de permissões de partilha que foram atribuídas ao utilizador com o qual o recurso foi partilhado. Este utilizador é identificado pelo parâmetro UserSharedWith |
| Site_ | string | O GUID do site onde o ficheiro ou pasta acedido pelo utilizador está localizado |
| Site_Url | string | O URL do site onde o ficheiro ou pasta acedido pelo utilizador está localizado |
| Source_Name | string | A entidade que acionou a operação auditada. Os valores possíveis são SharePoint ou ObjectModel |
| SourceFileExtension | string | A extensão de ficheiro do ficheiro que foi acedido pelo utilizador |
| SourceFileName | string | O nome do ficheiro ou pasta acedido pelo utilizador |
| SourceRecordId | string | Identificador exclusivo de um registo de auditoria |
| SourceRelativeUrl | string | O URL da pasta que contém o ficheiro acedido pelo utilizador |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| SRPolicyId | string | ID da Política |
| SRPolicyName | string | Nome da política |
| SRRuleMatchDetails | dynamic | Detalhes da regra |
| Start_Time | datetime | A data e hora em que o cmdlet foi executado |
| _SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
| SupportTicketId | string | O ID do pedido de suporte ao cliente para a ação em situações "act-on-behalf-of" |
| TabType | string | O tipo de separador que gerou este evento |
| TargetContextId | string | O GUID da organização à qual o utilizador visado pertence |
| TargetUserId | string | ID de utilizador de destino |
| TargetUserOrGroupName | string | Armazena o UPN ou o nome do utilizador ou grupo de destino com o qual um recurso foi partilhado |
| TargetUserOrGroupType | string | Identifica se o utilizador ou grupo de destino é Membro, Convidado, Grupo ou Parceiro |
| TeamGuid | string | Um identificador exclusivo para a equipa que está a ser auditada |
| TeamName | string | O nome da equipa a ser auditada |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| TimeGenerated | datetime | A data e hora na Hora Universal Coordenada (UTC) quando o utilizador realizou a atividade |
| Tipo | string | O nome da tabela |
| UserAgent | string | O agente de utilizador |
| UserDomain | string | O domínio do utilizador |
| IDUtilizador | string | O UPN (Nome Principal de Utilizador) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou no registo a ser registado |
| UserKey | string | Um ID alternativo para o utilizador identificado na propriedade UserId |
| UserSharedWith | string | O utilizador com o qual um recurso foi partilhado |
| UserType | string | O tipo de utilizador que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários