Compartilhar via


OfficeActivity

Logs de auditoria para locatários do Office 365 coletados pelo Azure Sentinel. Isso incluiu os logs do Exchange, do SharePoint e do Teams.

Atributos da tabela

Atributo Valor
Tipos de recursos -
Categorias Segurança
Soluções AzureSentinelPrivatePreview, SecurityInsights
Log básico Não
Transformação de tempo de ingestão Sim
Consultas de amostras Sim

Colunas

Coluna Type Descrição
AADGroupId string ID do grupo do Azure Active Directory
AADTarget string O usuário no qual a ação (identificada pela propriedade Operation) foi executada
Atividade string A atividade que o usuário executou.
Ator string O usuário ou a entidade de serviço que executou a ação
ActorContextId string O GUID da organização à qual o ator pertence
ActorIpAddress string O endereço IP do ator no formato de endereço IPV4 ou IPV6
AddOnGuid string O identificador exclusivo do complemento gerou esse evento
Nome do Addon string O nome do complemento que gerou esse evento
AddOnType string O tipo de complemento que gerou esse evento
AffectedItems string Informações sobre cada item do grupo
Modo de distribuição de aplicativos string Modo de distribuição de aplicativos
AppId string ID do aplicativo
Aplicativo string O nome do aplicativo
ApplicationId string ID do aplicativo do SharePoint
AppPoolName string O nome do pool de aplicativos
AzureActiveDirectory_EventType string O tipo de evento do Azure AD
AzureADAppId string ID do Azure AD do aplicativo Teams
_BilledSize real O tamanho do registro em bytes
ChannelGuid string Um identificador exclusivo para o canal que está sendo auditado
ChannelName string O nome do canal que está sendo auditado
ChannelType string O tipo de canal que está sendo auditado (Padrão/Privado)
ChatName string O nome do chat
ChatThreadId string O ID do tópico de chat
Cliente string Detalhes sobre o dispositivo cliente, o sistema operacional do dispositivo e o navegador do dispositivo que foi usado para o evento de login da conta
Client_IPAddress string O endereço IP do dispositivo que foi usado quando a operação foi registrada
ClientAppId string ID da solicitação de emprego do cliente
ClientInfoString string Informações sobre o cliente de e-mail que foi usado para executar a operação
ClientIP string O endereço IP do dispositivo que foi usado quando a atividade foi registrada
ClientMachineName string O nome do computador que hospeda o cliente do Outlook
ClientProcessName string O cliente de email usado para acessar a caixa de correio
ClientVersion string A versão do cliente de e-mail
Tipo de comunicação string O tipo de comunicação que foi realizada
CrossMailboxOperations bool Indica se a operação envolveu mais de uma caixa de correio
CustomEvent string Cadeia de caracteres opcional para eventos personalizados
DataCenterSecurityEventType int O tipo de evento dmdlet no cofre
DestFolder string A pasta de destino
DestinationFileExtension string A extensão de arquivo de um arquivo que é copiado ou movido
DestinationFileName string O nome do arquivo que é copiado ou movido
DestinationRelativeUrl string A URL da pasta de destino para onde um arquivo é copiado ou movido
DestMailboxId string Defina somente se o parâmetro CrossMailboxOperations for True
DestMailboxOwnerMasterAccountSid string Defina somente se o parâmetro CrossMailboxOperations for True
DestMailboxOwnerSid string Defina somente se o parâmetro CrossMailboxOperations for True
DestMailboxOwnerUPN string Defina somente se o parâmetro CrossMailboxOperations for True
EffectiveOrganization string O nome do locatário ao qual a elevação/cmdlet foi direcionada
ElevationApprovedTime datetime O carimbo de data/hora de quando a elevação foi aprovada
ElevationApprover string O nome de um gerente da Microsoft
ElevationDuration int A duração durante a qual a elevação esteve ativa (em horas)
ElevationRequestId string Um identificador exclusivo para a solicitação de elevação
ElevationRole string A função para a qual a elevação foi solicitada
ElevationTime datetime A hora de início da elevação
Event_Data string Carga opcional para eventos personalizados
EventSource string Identifica o que ocorreu um evento no SharePoint. Os valores possíveis são SharePoint ou ObjectModel
ExtendedProperties string As propriedades estendidas do evento do Azure AD
ExternalAccess string Especifica se o cmdlet foi executado por um usuário em sua organização
ExtraProperties dinâmico Uma lista de propriedades extras
Pasta string A pasta onde um grupo de itens está localizado
Pastas string Informações sobre as pastas de origem envolvidas em uma operação
Informações genéricas string Usado para comentários e outras informações genéricas
InternalLogonType int Reservado para uso interno
InterSystemsId string O GUID que rastreia as ações entre componentes no serviço Office 365
IntraSystemId string O GUID gerado pelo Azure Active Directory para acompanhar a ação
_IsBillable string Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure
IsManagedDevice bool Indica se a operação foi criada por um dispositivo gerenciado pela organização
IssuedAtTime datetime Emitido em é definido se o token do Microsoft Entra estiver disponível para a solicitação e indica quando ocorreu a autenticação desse token do Microsoft Entra.
Item string Representa o item no qual a operação foi executada
ItemName string A cadeia de caracteres no campo Assunto da mensagem de email
ItemType string O tipo de objeto acessado ou modificado. Consulte a tabela ItemType para obter detalhes sobre os tipos de objetos
LoginStatus int Esta propriedade é diretamente de OrgIdLogon.LoginStatus. O mapeamento de várias falhas de logon interessantes pode ser feito por algoritmos de alerta
Logon_Type string Indica o tipo de usuário que acessou a caixa de correio e executou a operação que foi registrada
LogonUserDisplayName string O nome amigável do usuário que executou a operação
LogonUserSid string O SID do usuário que executou a operação
MachineDomainInfo string Informações sobre operações de sincronização de dispositivos
MachineId string Informações sobre operações de sincronização de dispositivos
MailboxGuid string O GUID do Exchange da caixa de correio que foi acessada
MailboxOwnerMasterAccountSid string SID da conta mestra da conta do proprietário da caixa de correio
MailboxOwnerSid string O SID do proprietário da caixa de correio
MailboxOwnerUPN string O endereço de email da pessoa proprietária da caixa de correio que foi acessada
Membros dinâmico Uma lista de usuários dentro de uma equipe
MessageId string Um identificador para uma mensagem de chat ou canal
ModifiedObjectResolvedName string Esse é o nome amigável do objeto que foi modificado pelo cmdlet
ModifiedProperties string A propriedade é incluída para eventos de administrador, como adicionar um usuário como membro de um site ou de um grupo de administradores de conjunto de sites
Nome string Presente apenas para eventos de configurações. Nome da configuração que mudou
NewValue string Presente apenas para eventos de configurações. Novo valor da configuração
ID do escritório string Identificador exclusivo de um registro de auditoria
OfficeObjectId string Para atividades do SharePoint e do OneDrive for Business
Código_do_inquilino string A ID do locatário do escritório
OfficeWorkload string O serviço do Office 365 em que a atividade ocorreu
OldValue string Presente apenas para eventos de configurações. Valor antigo da configuração
Operação string O nome da operação que o usuário está executando
OperationProperties dinâmico Propriedades adicionais da operação
OperationScope string O escopo em que a operação foi executada
OrganizationId string O GUID do locatário do Office 365 da sua organização. Esse valor será sempre o mesmo para sua organização
OrganizationName string O nome do locatário
OriginatingServer string O nome do servidor do qual o cmdlet foi executado
Parâmetros string O nome e o valor de todos os parâmetros que foram usados com o cmdlet identificado na propriedade Operations
RecordType string O tipo de operação indicado pelo registro. Consulte a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria
_ResourceId string Identificador exclusivo do recurso ao qual o registro está associado
ResultadoMotivoTipo string Motivo do resultado relatado em ResultType
ResultStatus string Indica se a ação (especificada na propriedade Operation) foi bem-sucedida ou não
SendAsUserMailboxGuid string O GUID do Exchange da caixa de correio que foi acessada para enviar emails como
SendAsUserSmtp string Endereço SMTP do usuário que está sendo representado
SendonBehalfOfUserMailboxGuid string O GUID do Exchange da caixa de correio que foi acessada para enviar emails em nome de
SendOnBehalfOfUserSmtp string Endereço SMTP do usuário em nome do qual o e-mail é enviado
SharingType string O tipo de permissões de compartilhamento atribuídas ao usuário com o qual o recurso foi compartilhado. Esse usuário é identificado pelo parâmetro UserSharedWith
Site_ string O GUID do site em que o arquivo ou pasta acessado pelo usuário está localizado
Site_Url string A URL do site onde o arquivo ou pasta acessada pelo usuário está localizado
Source_Name string A entidade que disparou a operação auditada. Os valores possíveis são SharePoint ou ObjectModel
SourceFileExtension string A extensão do arquivo que foi acessado pelo usuário
SourceFileName string O nome do arquivo ou pasta acessado pelo usuário
SourceRecordId string Identificador exclusivo de um registro de auditoria
SourceRelativeUrl string A URL da pasta que contém o arquivo acessado pelo usuário
SourceSystem string O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure
SRPolicyId string ID da política
SRPolicyName string Nome de política
SRRuleMatchDetails dinâmico Detalhes da regra
Start_Time datetime A data e a hora em que o cmdlet foi executado
_SubscriptionId string Identificador exclusivo da assinatura à qual o registro está associado
SupportTicketId string O ID do tíquete de suporte ao cliente para a ação em situações de "agir em nome de"
Tipo de guia string O tipo de guia que gerou esse evento
TargetContextId string O GUID da organização à qual o usuário de destino pertence
TargetUserId string ID do usuário de destino
TargetUserOrGroupName string Armazena o UPN ou o nome do usuário ou grupo de destino com o qual um recurso foi compartilhado
TargetUserOrGroupType string Identifica se o usuário ou grupo de destino é um membro, convidado, grupo ou parceiro
TeamGuid string Um identificador exclusivo para a equipe que está sendo auditada
Nome da equipe string O nome da equipe que está sendo auditada
TenantId string A ID do workspace do Log Analytics
TimeGenerated datetime A data e a hora em UTC (Tempo Universal Coordenado) em que o usuário executou a atividade
Type string O nome da tabela
UniqueTokenId string UniqueTokenId será definido se o token do Microsoft Entra estiver disponível para a solicitação. É um identificador exclusivo por token que diferencia maiúsculas de minúsculas.
UserAgent string O agente do usuário
UserDomain string O domínio do usuário
ID do Usuário string O UPN (Nome Principal do Usuário) do usuário que executou a ação (especificado na propriedade Operation) que resultou no registro do registro
UserKey string Uma ID alternativa para o usuário identificado na propriedade UserId
UserSharedWith string O usuário com o qual um recurso foi compartilhado
UserType string O tipo de usuário que realizou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de usuários