OfficeActivity
Azure Sentinel 收集的 Office 365 租户的审核日志。 包括 Exchange、SharePoint 和 Teams 日志。
表属性
Attribute | 值 |
---|---|
资源类型 | - |
类别 | 安全性 |
解决方案 | AzureSentinelPrivatePreview、SecurityInsights |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
AADGroupId | 字符串 | Azure Active Directory 组 ID |
AADTarget | 字符串 | 操作 (由 Operation 属性) 标识的用户 |
活动 | 字符串 | 用户执行的活动。 |
Actor | 字符串 | 执行操作的用户或服务主体 |
ActorContextId | 字符串 | 执行组件所属组织的 GUID |
ActorIpAddress | 字符串 | 采用 IPV4 或 IPV6 地址格式的参与者的 IP 地址 |
AddOnGuid | 字符串 | 生成此事件的加载项的唯一标识符 |
AddonName | 字符串 | 生成此事件的加载项的名称 |
AddOnType | 字符串 | 生成此事件的加载项类型 |
AffectedItems | 字符串 | 有关组中每个项的信息 |
AppDistributionMode | 字符串 | 应用程序分发模式 |
AppId | 字符串 | 应用程序 ID |
应用程序 | string | 应用程序名称 |
ApplicationId | string | SharePoint 应用程序 ID |
AzureActiveDirectory_EventType | 字符串 | Azure AD 事件的类型 |
AzureADAppId | 字符串 | Teams 应用程序 Azure AD ID |
_BilledSize | real | 记录大小(以字节为单位) |
ChannelGuid | 字符串 | 正在审核的通道的唯一标识符 |
频道名称 | 字符串 | 正在审核的通道的名称 |
ChannelType | 字符串 | (标准/专用) 审核的通道类型 |
ChatName | 字符串 | 聊天的名称 |
ChatThreadId | 字符串 | 聊天线程的 ID |
客户端 | 字符串 | 有关用于帐户登录事件的 的 客户端设备、设备 OS 和设备浏览器的详细信息 |
Client_IPAddress | 字符串 | 记录操作时使用的设备的 IP 地址 |
ClientAppId | 字符串 | 客户端应用程序 ID |
ClientInfoString | 字符串 | 有关用于执行操作的电子邮件客户端的信息 |
ClientIP | string | 记录活动时使用的设备的 IP 地址 |
ClientMachineName | 字符串 | 承载 Outlook 客户端的计算机名称 |
ClientProcessName | 字符串 | 用于访问邮箱的电子邮件客户端 |
ClientVersion | 字符串 | 电子邮件客户端的版本 |
CommunicationType | 字符串 | 进行的通信类型 |
CrossMailboxOperations | bool | 指示操作是否涉及多个邮箱 |
CustomEvent | 字符串 | 自定义事件的可选字符串 |
DataCenterSecurityEventType | int | 锁定框中 dmdlet 事件的类型 |
DestFolder | 字符串 | 目标文件夹 |
DestinationFileExtension | 字符串 | 复制或移动的文件的文件扩展名 |
DestinationFileName | 字符串 | 复制或移动的文件的名称 |
DestinationRelativeUrl | 字符串 | 复制或移动文件的目标文件夹的 URL |
DestMailboxId | 字符串 | 仅当 CrossMailboxOperations 参数为 True 时设置 |
DestMailboxOwnerMasterAccountSid | 字符串 | 仅当 CrossMailboxOperations 参数为 True 时设置 |
DestMailboxOwnerSid | 字符串 | 仅当 CrossMailboxOperations 参数为 True 时设置 |
DestMailboxOwnerUPN | 字符串 | 仅当 CrossMailboxOperations 参数为 True 时设置 |
EffectiveOrganization | 字符串 | 提升/cmdlet 的目标租户的名称 |
ElevationApprovedTime | datetime | 批准提升的时间戳 |
ElevationApprover | 字符串 | Microsoft 经理的姓名 |
ElevationDuration | int | 提升处于活动状态的持续时间 (小时) |
ElevationRequestId | 字符串 | 提升请求的唯一标识符 |
ElevationRole | 字符串 | 请求提升的角色 |
ElevationTime | datetime | 提升的开始时间 |
Event_Data | 字符串 | 自定义事件的可选有效负载 |
EventSource | 字符串 | 确定事件在 SharePoint 中发生。 可能的值为 SharePoint 或 ObjectModel |
ExtendedProperties | 字符串 | Azure AD 事件的扩展属性 |
ExternalAccess | 字符串 | 指定 cmdlet 是否由组织中的用户运行 |
ExtraProperties | dynamic | 额外属性的列表 |
文件夹 | string | 一组项目所在的文件夹 |
文件夹 | 字符串 | 有关操作中涉及的源文件夹的信息 |
GenericInfo | 字符串 | 用于注释和其他常规信息 |
InternalLogonType | int | 保留供内部使用 |
InterSystemsId | 字符串 | 跟踪 Office 365 服务中跨组件操作的 GUID |
IntraSystemId | 字符串 | Azure Active Directory 生成的用于跟踪操作的 GUID |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
IsManagedDevice | bool | 指示操作是否由组织管理的设备创建 |
项 | 字符串 | 表示对其执行操作的项 |
ItemName | 字符串 | 电子邮件的“主题”字段中的字符串 |
ItemType | 字符串 | 访问或修改的对象的类型。 有关对象类型的详细信息,请参阅 ItemType 表 |
LoginStatus | int | 此属性直接从 OrgIdLogon.LoginStatus 获取。 可以通过警报算法来映射各种有趣的登录失败 |
Logon_Type | 字符串 | 指示访问邮箱并执行已记录操作的用户的类型 |
LogonUserDisplayName | 字符串 | 执行操作的用户的用户友好名称 |
LogonUserSid | 字符串 | 执行操作的用户的 SID |
MachineDomainInfo | 字符串 | 有关设备同步操作的信息 |
MachineId | 字符串 | 有关设备同步操作的信息 |
MailboxGuid | 字符串 | 已访问的邮箱的 Exchange GUID |
MailboxOwnerMasterAccountSid | 字符串 | 邮箱所有者帐户的主帐户 SID |
MailboxOwnerSid | 字符串 | 邮箱所有者的 SID |
MailboxOwnerUPN | 字符串 | 拥有所访问邮箱的人员的电子邮件地址 |
成员 | dynamic | 团队中的用户列表 |
MessageId | 字符串 | 聊天或频道消息的标识符 |
ModifiedObjectResolvedName | 字符串 | 这是 cmdlet 修改的对象的用户友好名称 |
ModifiedProperties | 字符串 | 属性包含在管理员事件中,例如将用户添加为网站或网站集管理员组的成员 |
名称 | 字符串 | 仅适用于设置事件。 更改的设置的名称 |
NewValue | 字符串 | 仅适用于设置事件。 设置的新值 |
OfficeId | 字符串 | 审核记录的唯一标识符 |
OfficeObjectId | 字符串 | 对于 SharePoint 和 OneDrive for Business 活动 |
OfficeTenantId | 字符串 | 办公室租户 ID |
OfficeWorkload | 字符串 | 发生活动的Office 365服务 |
OldValue | 字符串 | 仅适用于设置事件。 设置的旧值 |
Operation | string | 用户正在执行的操作的名称 |
OperationProperties | dynamic | 其他操作属性 |
OperationScope | 字符串 | 执行操作的范围 |
OrganizationId | 字符串 | 组织的 Office 365 租户的 GUID。 对于组织,此值将始终相同 |
OrganizationName | 字符串 | 租户的名称 |
OriginatingServer | 字符串 | 执行 cmdlet 的服务器的名称 |
参数 | 字符串 | 与 Operations 属性中标识的 cmdlet 一起使用的所有参数的名称和值 |
RecordType | 字符串 | 记录所指示的操作类型。 有关审核日志记录类型的详细信息,请参阅 AuditLogRecordType 表 |
_ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
ResultReasonType | 字符串 | ResultType 中报告的结果的原因 |
ResultStatus | 字符串 | 指示 Operation 属性中指定的操作 () 是否成功 |
SendAsUserMailboxGuid | 字符串 | 用于发送电子邮件的邮箱的 Exchange GUID |
SendAsUserSmtp | 字符串 | 正在模拟的用户的 SMTP 地址 |
SendonBehalfOfUserMailboxGuid | 字符串 | 用于代表 其发送邮件的邮箱的 Exchange GUID |
SendOnBehalfOfUserSmtp | 字符串 | 代表其发送电子邮件的用户的 SMTP 地址 |
SharingType | 字符串 | 分配给与其共享资源的用户的共享权限类型。 此用户由 UserSharedWith 参数标识 |
Site_ | 字符串 | 用户访问的文件或文件夹所在的网站的 GUID |
Site_Url | 字符串 | 用户访问的文件或文件夹所在的站点的 URL |
Source_Name | 字符串 | 触发已审核操作的实体。 可能的值为 SharePoint 或 ObjectModel |
SourceFileExtension | 字符串 | 用户访问的文件的文件扩展名 |
SourceFileName | 字符串 | 用户访问的文件或文件夹的名称 |
SourceRecordId | 字符串 | 审核记录的唯一标识符 |
SourceRelativeUrl | 字符串 | 包含用户访问的文件的文件夹的 URL |
SourceSystem | 字符串 | 事件所收集的代理的类型。 例如,OpsManager 对于 Windows 代理,直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
SRPolicyId | 字符串 | 策略 ID |
SRPolicyName | 字符串 | 策略名称 |
SRRuleMatchDetails | dynamic | 规则详细信息 |
Start_Time | datetime | 执行 cmdlet 的日期和时间 |
_SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
SupportTicketId | 字符串 | 在“代表行动”情况下操作的客户支持票证 ID |
TabType | 字符串 | 生成此事件的选项卡的类型 |
TargetContextId | 字符串 | 目标用户所属组织的 GUID |
TargetUserId | 字符串 | 目标用户 ID |
TargetUserOrGroupName | 字符串 | 存储共享资源的目标用户或组的 UPN 或名称 |
TargetUserOrGroupType | 字符串 | 标识目标用户或组是成员、来宾、组还是合作伙伴 |
TeamGuid | 字符串 | 正在审核的团队的唯一标识符 |
TeamName | 字符串 | 正在审核的团队的名称 |
TenantId | 字符串 | Log Analytics 工作区 ID |
TimeGenerated | datetime | 协调世界时 (UTC) 用户执行活动的日期和时间 |
类型 | 字符串 | 表的名称 |
UserAgent | 字符串 | 用户代理 |
UserDomain | 字符串 | 用户的域 |
UserId | string | UPN (用户主体名称) 执行操作 (操作属性中指定的用户) 导致记录 |
UserKey | 字符串 | UserId 属性中标识的用户的备用 ID |
UserSharedWith | 字符串 | 与之共享资源的用户 |
UserType | 字符串 | 执行操作的用户的类型。 有关用户类型的详细信息,请参阅 UserType 表 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈