Condividi tramite


OfficeActivity

Log di controllo per i tenant di Office 365 raccolti da Azure Sentinel. Inclusi i log di Exchange, SharePoint e Teams.

Attributi di tabella

Attributo Valore
Tipi di risorse -
Categorie Sicurezza
Soluzioni AzureSentinelPrivatePreview, SecurityInsights
Log di base No
Trasformazione in fase di inserimento
Query di esempio

Colonne

Column Type Descrizione
AADGroupId string ID gruppo di Azure Active Directory
AADTarget string L'utente su cui è stata eseguita l'azione (identificata dalla proprietà Operation)
Impegno string Attività eseguita dall'utente.
Attore string Utente o entità servizio che ha eseguito l'azione
ActorContextId string GUID dell'organizzazione a cui appartiene l'attore
ActorIpAddress string Indirizzo IP dell'attore in formato indirizzo IPV4 o IPV6
AddOnGuid string Identificatore univoco del componente aggiuntivo generato da questo evento
AddonName string Nome del componente aggiuntivo che ha generato questo evento
AddOnType string Tipo di componente aggiuntivo che ha generato questo evento
AffectedItems string Informazioni su ogni elemento del gruppo
AppDistributionMode string Modalità di distribuzione dell'applicazione
AppId string ID applicazione
Applicazione string Nome dell'applicazione
ApplicationId string ID applicazione SharePoint
AppPoolName string Nome del pool di app
AzureActiveDirectory_EventType string Tipo di evento di Azure AD
AzureADAppId string ID Azure AD dell'applicazione Teams
_BilledSize real Dimensioni del record in byte
ChannelGuid string Identificatore univoco per il canale controllato
ChannelName string Nome del canale controllato
ChannelType string Tipo di canale controllato (Standard/Privato)
ChatName string Nome della chat
ChatThreadId string ID del thread di chat
Client string Dettagli sul dispositivo client, sul sistema operativo del dispositivo e sul browser del dispositivo usato per l'evento di accesso dell'account
Client_IPAddress string Indirizzo IP del dispositivo usato durante la registrazione dell'operazione
ClientAppId string ID applicazione client
ClientInfoString string Informazioni sul client di posta elettronica usato per eseguire l'operazione
ClientIP string Indirizzo IP del dispositivo usato durante la registrazione dell'attività
ClientMachineName string Nome del computer che ospita il client outlook
ClientProcessName string Client di posta elettronica utilizzato per accedere alla cassetta postale
ClientVersion string Versione del client di posta elettronica
CommunicationType string Il tipo di comunicazioni che è stato condotto
CrossMailboxOperations bool Indica se l'operazione ha coinvolto più cassette postali
CustomEvent string Stringa facoltativa per gli eventi personalizzati
DataCenterSecurityEventType int Tipo di evento dmdlet nella casella di blocco
DestFolder string Cartella di destinazione
DestinationFileExtension string Estensione di file di un file copiato o spostato
DestinationFileName string Nome del file copiato o spostato
DestinationRelativeUrl string URL della cartella di destinazione in cui viene copiato o spostato un file
DestMailboxId string Impostare solo se il parametro CrossMailboxOperations è True
DestMailboxOwnerMasterAccountSid string Impostare solo se il parametro CrossMailboxOperations è True
DestMailboxOwnerSid string Impostare solo se il parametro CrossMailboxOperations è True
DestMailboxOwnerUPN string Impostare solo se il parametro CrossMailboxOperations è True
EffectiveOrganization string Nome del tenant a cui è stato destinato il cmdlet o l'elevazione dei privilegi
ElevationApprovedTime datetime Timestamp per il momento in cui è stata approvata l'elevazione
ElevationApprover string Nome di un manager Microsoft
ElevationDuration int Durata per cui l'elevazione è attiva (in ore)
ElevationRequestId string Identificatore univoco per la richiesta di elevazione dei privilegi
ElevationRole string Ruolo per cui è stata richiesta l'elevazione
ElevationTime datetime Ora di inizio dell'elevazione
Event_Data string Payload facoltativo per gli eventi personalizzati
EventSource string Identifica un evento che si è verificato in SharePoint. I valori possibili sono SharePoint o ObjectModel
ExtendedProperties string Proprietà estese dell'evento di Azure AD
ExternalAccess string Specifica se il cmdlet è stato eseguito da un utente dell'organizzazione
Proprietà aggiuntive dynamic Elenco di proprietà aggiuntive
Cartella string Cartella in cui si trova un gruppo di elementi
Cartelle string Informazioni sulle cartelle di origine coinvolte in un'operazione
GenericInfo string Usato per commenti e altre informazioni generica
InternalLogonType int Riservato per uso interno
InterSystemsId string GUID che tiene traccia delle azioni tra i componenti all'interno del servizio Office 365
IntraSystemId string GUID generato da Azure Active Directory per tenere traccia dell'azione
_IsBillable string Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure
IsManagedDevice bool Indica se l'operazione è stata creata da un dispositivo gestito dall'organizzazione
IssuedAtTime datetime Rilasciato In viene impostato se il token Microsoft Entra è disponibile per la richiesta e indica quando si è verificata l'autenticazione per questo token Microsoft Entra.
Articolo string Rappresenta l'elemento su cui è stata eseguita l'operazione
ItemName string Stringa nel campo Oggetto del messaggio di posta elettronica
ItemType string Il tipo dell'oggetto a cui è stato effettuato l'accesso o che è stato modificato. Per informazioni dettagliate sui tipi di oggetti, vedere la tabella ItemType
LoginStatus int Questa proprietà deriva direttamente da OrgIdLogon.LoginStatus. Il mapping di vari errori di accesso interessanti può essere eseguito tramite algoritmi di avviso
Logon_Type string Indica il tipo di utente che ha eseguito l'accesso alla cassetta postale ed ha eseguito l'operazione registrata
LogonUserDisplayName string Nome descrittivo dell'utente che ha eseguito l'operazione
LogonUserSid string SID dell'utente che ha eseguito l'operazione
MachineDomainInfo string Informazioni sulle operazioni di sincronizzazione dei dispositivi
MachineId string Informazioni sulle operazioni di sincronizzazione dei dispositivi
MailboxGuid string GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso
MailboxOwnerMasterAccountSid string SID dell'account master dell'account proprietario della cassetta postale
MailboxOwnerSid string SID del proprietario della cassetta postale
MailboxOwnerUPN string Indirizzo di posta elettronica della persona proprietaria della cassetta postale a cui è stato eseguito l'accesso
Membri dynamic Elenco di utenti all'interno di un team
MessageId string Identificatore di un messaggio di chat o canale
ModifiedObjectResolvedName string Nome descrittivo dell'oggetto modificato dal cmdlet
ModifiedProperties string La proprietà è inclusa per gli eventi di amministrazione, ad esempio l'aggiunta di un utente come membro di un sito o di un gruppo di amministratori della raccolta siti
Nome string Presente solo per gli eventi delle impostazioni. Nome dell'impostazione modificata
NewValue string Presente solo per gli eventi delle impostazioni. Nuovo valore dell'impostazione
OfficeId string Identificatore univoco di un record di controllo
OfficeObjectId string Per l'attività di SharePoint e OneDrive for Business
OfficeTenantId string ID tenant di Office
OfficeWorkload string Servizio di Office 365 in cui si è verificata l'attività
OldValue string Presente solo per gli eventi delle impostazioni. Valore precedente dell'impostazione
Operazione string Nome dell'operazione eseguita dall'utente
OperationProperties dynamic Proprietà aggiuntive dell'operazione
OperationScope string Ambito su cui è stata eseguita l'operazione
OrganizationId string GUID per il tenant di Office 365 dell'organizzazione. Questo valore sarà sempre lo stesso per l'organizzazione
OrganizationName string Nome del tenant
OriginatingServer string Nome del server da cui è stato eseguito il cmdlet
Parametri string Nome e valore per tutti i parametri usati con il cmdlet identificato nella proprietà Operations
RecordType string Tipo di operazione indicato dal record. Per informazioni dettagliate sui tipi di record del log di controllo, vedere la tabella AuditLogRecordType
_ResourceId string Identificatore univoco della risorsa a cui è associato il record.
ResultReasonType string Motivo del risultato segnalato in ResultType
ResultStatus string Indica se l'azione (specificata nella proprietà Operation) ha avuto esito positivo o negativo
SendAsUserMailboxGuid string GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso per l'invio di posta elettronica come
SendAsUserSmtp string Indirizzo SMTP dell'utente che viene rappresentato
SendonBehalfOfUserMailboxGuid string GUID di Exchange della cassetta postale a cui è stato eseguito l'accesso per inviare messaggi di posta elettronica per conto di
SendOnBehalfOfUserSmtp string Indirizzo SMTP dell'utente per conto del quale viene inviato il messaggio di posta elettronica
SharingType string Il tipo di autorizzazioni di condivisione che sono state assegnate all'utente con cui è stata condivisa la risorsa. L'utente è identificato dal parametro UserSharedWith
Site_ string GUID del sito in cui si trova il file o la cartella a cui si accede dall'utente
Site_Url string URL del sito in cui si trova il file o la cartella a cui si accede dall'utente
Source_Name string L'entità che ha attivato le operazioni di controllo. I valori possibili sono SharePoint o ObjectModel
SourceFileExtension string Estensione del file a cui l'utente ha eseguito l'accesso
SourceFileName string Nome del file o della cartella a cui l'utente accede
SourceRecordId string Identificatore univoco di un record di controllo
SourceRelativeUrl string URL della cartella che contiene il file a cui l'utente accede
SourceSystem string Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure
SRPolicyId string ID criterio
SRPolicyName string Nome del criterio
SRRuleMatchDetails dynamic Dettagli regola
Start_Time datetime Data e ora in cui è stato eseguito il cmdlet
_SubscriptionId string Identificatore univoco della sottoscrizione a cui è associato il record
SupportTicketId string ID ticket di supporto clienti per l'azione in situazioni "act-on-behalf-of"
TabType string Tipo di scheda che ha generato questo evento
TargetContextId string GUID dell'organizzazione a cui appartiene l'utente di destinazione
TargetUserId string ID utente di destinazione
TargetUserOrGroupName string Archivia l'UPN o il nome dell'utente o del gruppo di destinazione con cui è stata condivisa una risorsa
TargetUserOrGroupType string Identifica se l'utente o il gruppo di destinazione è membro, guest, gruppo o partner
TeamGuid string Identificatore univoco per il team controllato
TeamName string Nome del team controllato
TenantId string L'ID dell'area di lavoro Log Analytics
TimeGenerated datetime Data e ora in utc (Coordinated Universal Time) quando l'utente ha eseguito l'attività
Type string Nome della tabella
UniqueTokenId string UniqueTokenId viene impostato se il token Microsoft Entra è disponibile per la richiesta. Si tratta di un identificatore univoco per token che fa distinzione tra maiuscole e minuscole.
UserAgent string Agente utente
UserDomain string Dominio dell'utente
ID utente string UPN (Nome entità utente) dell'utente che ha eseguito l'azione (specificata nella proprietà Operation) che ha causato la registrazione del record
UserKey string ID alternativo per l'utente identificato nella proprietà UserId
UserSharedWith string L'utente con cui è stata condivisa una risorsa
UserType string Il tipo di utente che ha eseguito l'operazione. Per informazioni dettagliate sui tipi di utenti, vedere la tabella UserType