Compartir a través de


OfficeActivity

Registros de auditoría de los inquilinos de Office 365 recopilados por Azure Sentinel. Se incluyen registros de Exchange, SharePoint y Teams.

Atributos de tabla

Attribute Valor
Tipos de recursos -
Categorías Seguridad
Soluciones AzureSentinelPrivatePreview, SecurityInsights
Registro básico No
Transformación en tiempo de ingesta
Consultas de ejemplo

Columnas

Columna Type Descripción
AADGroupId string Identificador de grupo de Azure Active Directory
AADTarget string El usuario en el que se realizó la acción (identificada por la propiedad Operation)
Actividad string Actividad que realizó el usuario.
Actor string El usuario o la entidad de servicio que realizó la acción
ActorContextId string GUID de la organización a la que pertenece el actor
ActorIpAddress string Dirección IP del actor en formato de dirección IPV4 o IPV6
AddOnGuid string Identificador único del complemento generado este evento
AddonName string Nombre del complemento que generó este evento
AddOnType string Tipo de complemento que generó este evento
AffectedItems string Información sobre cada elemento del grupo
AppDistributionMode string Modo de distribución de aplicaciones
AppId string Identificador de aplicación
Application string El nombre de la aplicación
ApplicationId string Id. de aplicación de SharePoint
AppPoolName string Nombre del grupo de aplicaciones
AzureActiveDirectory_EventType string El tipo de evento de Azure AD
AzureADAppId string Identificador de Azure AD de la aplicación teams
_BilledSize real Tamaño del registro en bytes
ChannelGuid string Un identificador único para el canal que se va a auditar
ChannelName string Nombre del canal que se va a auditar
ChannelType string Tipo de canal que se audita (Estándar/Privado)
ChatName string Nombre del chat
ChatThreadId string Identificador del subproceso de chat
Cliente string Detalles sobre el dispositivo cliente, el sistema operativo del dispositivo y el explorador de dispositivos que se usó para el del evento de inicio de sesión de la cuenta
Client_IPAddress string Dirección IP del dispositivo que se usó cuando se registró la operación.
ClientAppId string Id. de la aplicación cliente
ClientInfoString string Información sobre el cliente de correo electrónico que se usó para realizar la operación
ClientIP string Dirección IP del dispositivo que se usó cuando se registró la actividad.
ClientMachineName string Nombre del equipo que hospeda el cliente de Outlook
ClientProcessName string Cliente de correo electrónico que se usó para acceder al buzón
ClientVersion string La versión del cliente de correo electrónico
CommunicationType string Tipo de comunicaciones realizadas
CrossMailboxOperations bool Indica si la operación implica más de un buzón
CustomEvent string Cadena opcional para eventos personalizados
DataCenterSecurityEventType int Tipo de evento dmdlet en el cuadro de bloqueo
DestFolder string La carpeta de destino
DestinationFileExtension string Extensión de archivo de un archivo que se copia o se mueve
DestinationFileName string Nombre del archivo que se copia o se mueve.
DestinationRelativeUrl string Dirección URL de la carpeta de destino donde se copia o mueve un archivo.
DestMailboxId string Establezca solo si el parámetro CrossMailboxOperations es True
DestMailboxOwnerMasterAccountSid string Establezca solo si el parámetro CrossMailboxOperations es True
DestMailboxOwnerSid string Establezca solo si el parámetro CrossMailboxOperations es True
DestMailboxOwnerUPN string Establezca solo si el parámetro CrossMailboxOperations es True
EffectiveOrganization string Nombre del inquilino al que se ha dirigido la elevación o el cmdlet
ElevationApprovedTime datetime Marca de tiempo para cuando se aprobó la elevación.
ElevationApprover string Nombre de un administrador de Microsoft
ElevationDuration int Duración durante la cual la elevación estaba activa (en horas)
ElevationRequestId string Identificador único de la solicitud de elevación
ElevationRole string Rol al que se solicitó la elevación
ElevationTime datetime Hora de inicio de la elevación
Event_Data string Carga opcional para eventos personalizados
EventSource string Identifica que se ha producido un evento en SharePoint. Los valores posibles son SharePoint o ObjectModel
ExtendedProperties string Propiedades extendidas del evento de Azure AD
ExternalAccess string Especifica si un usuario de la organización ejecutó el cmdlet.
ExtraProperties dinámico Lista de propiedades adicionales
Carpeta string Carpeta donde se encuentra un grupo de elementos
Carpetas string Información sobre las carpetas de origen implicadas en una operación
GenericInfo string Se usa para comentarios y otra información genérica
InternalLogonType int Reservado para uso interno
InterSystemsId string GUID que realiza un seguimiento de las acciones entre componentes dentro del servicio de Office 365
IntraSystemId string Guid generado por Azure Active Directory para realizar un seguimiento de la acción
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure
IsManagedDevice bool Indica si una operación la creó un dispositivo administrado por la organización.
IssuedAtTime datetime Emitido at se establece si el token de Microsoft Entra está disponible para la solicitud e indica cuándo se produjo la autenticación de este token de Microsoft Entra.
Elemento string Representa el elemento en el que se realizó la operación
ItemName string Cadena en el campo Asunto del mensaje de correo electrónico
ItemType string El tipo de objeto al que se ha accedido o modificado. Consulte la tabla ItemType para obtener más información sobre los tipos de objetos.
LoginStatus int Esta propiedad viene directamente de OrgIdLogon.LoginStatus. La asignación de varios errores de inicio de sesión interesantes se puede realizar mediante algoritmos de alerta
Logon_Type string Indica el tipo de usuario al que obtuvo acceso al buzón y realizó la operación que se registró.
LogonUserDisplayName string Nombre descriptivo del usuario que realizó la operación
LogonUserSid string SID del usuario que realizó la operación
MachineDomainInfo string Información sobre las operaciones de sincronización de dispositivos
MachineId string Información sobre las operaciones de sincronización de dispositivos
MailboxGuid string GUID de Exchange del buzón al que se ha accedido
MailboxOwnerMasterAccountSid string SID de cuenta maestra de la cuenta maestra del buzón de correo
MailboxOwnerSid string El SID del propietario del buzón
MailboxOwnerUPN string La dirección de correo electrónico de la persona que posee el buzón al que se ha accedido
Miembros dinámico Una lista de usuarios dentro de un equipo
MessageId string Identificador de un mensaje de chat o canal
ModifiedObjectResolvedName string Este es el nombre descriptivo del objeto modificado por el cmdlet
ModifiedProperties string La propiedad se incluye para eventos de administrador, como agregar un usuario como miembro de un sitio o un grupo de administradores de colección de sitios.
Nombre string Solo está presente para los eventos de configuración. Nombre de la configuración que cambió
NewValue string Solo está presente para los eventos de configuración. Nuevo valor de la configuración
OfficeId string Identificador único de un registro de auditoría
OfficeObjectId string Para la actividad de SharePoint y OneDrive para la Empresa
OfficeTenantId string Id. de inquilino de office
OfficeWorkload string El servicio de Office 365 donde se produjo la actividad
OldValue string Solo está presente para los eventos de configuración. Valor anterior de la configuración
Operación string Nombre de la operación que el usuario está realizando
OperationProperties dinámico Propiedades de operación adicionales
OperationScope string Ámbito en el que se realizó la operación
OrganizationId string El identificador único GUID del inquilino de Office 365 de su organización. Este valor siempre será el mismo para su organización.
OrganizationName string Nombre del inquilino
OriginatingServer string Nombre del servidor desde el que se ejecutó el cmdlet.
Parámetros string Nombre y valor de todos los parámetros que se usaron con el cmdlet identificado en la propiedad Operations
RecordType string Tipo de operación indicado por el registro. Consulte la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría.
_ResourceId string Identificador único del recurso al que está asociado el registro.
ResultReasonType string Motivo del resultado notificado en ResultType
ResultStatus string Indica si la acción (especificada en la propiedad Operation) se realizó correctamente o no.
SendAsUserMailboxGuid string GUID de Exchange del buzón al que se tuvo acceso para enviar correo electrónico como
SendAsUserSmtp string Dirección SMTP del usuario que se está suplantando
SendonBehalfOfUserMailboxGuid string GUID de Exchange del buzón al que se tuvo acceso para enviar correo en nombre de
SendOnBehalfOfUserSmtp string Dirección SMTP del usuario en cuyo nombre se envía el correo electrónico
SharingType string El tipo de permisos que se asignaron al usuario con el que se ha compartido el recurso. Este usuario se identifica mediante el parámetro UserSharedWith.
Site_ string Guid del sitio donde se encuentra el archivo o carpeta al que tiene acceso el usuario.
Site_Url string Dirección URL del sitio donde se encuentra el archivo o la carpeta a la que tiene acceso el usuario.
Source_Name string La entidad que desencadenó la operación auditada. Los valores posibles son SharePoint o ObjectModel
SourceFileExtension string Extensión de archivo del archivo al que ha accedido el usuario.
SourceFileName string Nombre del archivo o carpeta al que tiene acceso el usuario.
SourceRecordId string Identificador único de un registro de auditoría
SourceRelativeUrl string Dirección URL de la carpeta que contiene el archivo al que tiene acceso el usuario.
SourceSystem string Tipo de agente por el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Diagnósticos de Azure
SRPolicyId string Id. de directiva
SRPolicyName string Nombre de la directiva
SRRuleMatchDetails dinámico Detalles de la regla
Start_Time datetime Fecha y hora en que se ejecutó el cmdlet
_SubscriptionId string Identificador único de la suscripción a la que está asociado el registro.
SupportTicketId string Identificador de incidencia de soporte al cliente para la acción en situaciones de "actuar en nombre de"
TabType string Tipo de pestaña que generó este evento
TargetContextId string Guid de la organización a la que pertenece el usuario de destino
TargetUserId string Id. de usuario de destino
TargetUserOrGroupName string Almacena el UPN o el nombre del usuario o grupo de destino con el que se compartió un recurso.
TargetUserOrGroupType string Identifica si el usuario o grupo de destino es miembro, invitado, grupo o asociado
TeamGuid string Un identificador único para el equipo que se está auditando
TeamName string Nombre del equipo que se está auditando
TenantId string Id. del área de trabajo de Log Analytics
TimeGenerated datetime Fecha y hora en hora universal coordinada (UTC) cuando el usuario realizó la actividad.
Tipo string Nombre de la tabla.
UniqueTokenId string UniqueTokenId se establece si el token de Microsoft Entra está disponible para la solicitud. Es un identificador único por token que distingue mayúsculas de minúsculas.
UserAgent string Agente de usuario
UserDomain string Dominio del usuario
UserId string UpN (nombre principal de usuario) del usuario que realizó la acción (especificada en la propiedad Operation) que dio lugar a que se registrara el registro.
UserKey string Un identificador alternativo para el usuario identificado en la propiedad UserId
UserSharedWith string Usuario con el que se compartió un recurso
UserType string El tipo de usuario que realizó la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios.