Solución de administración de Office 365 en Azure (versión preliminar)

  • Artículo

Logotipo de Office 365

Importante

Actualización de la solución

Esta solución se ha reemplazado por la solución de disponibilidad general Office 365 en Microsoft Sentinel y la solución de supervisión e informes de Azure AD. De forma conjunta, proporcionan una versión actualizada de la solución Office 365 de Azure Monitor anterior con una experiencia de configuración mejorada. Puede seguir usando la solución existente hasta el 31 de octubre de 2020.

Microsoft Sentinel es una solución de Administración de eventos e información de seguridad nativa de la nube que ingiere registros y proporciona funcionalidades de SIEM adicionales, como detecciones, investigaciones, búsqueda e información basada en aprendizaje automático. El uso de Microsoft Sentinel ahora le proporcionará ingesta de registros de administración de Exchange y de actividad de Office 365 SharePoint.

Los informes de Azure AD proporcionan una vista de registros más completa de la actividad de Azure AD en el entorno, lo que incluye eventos de inicio de sesión, eventos de auditoría y cambios en el directorio. Para conectarse a los registros de Azure AD, puede usar el conector de Azure AD para Microsoft Sentinel o configurar la integración de registros de Azure AD con Azure Monitor.

La colección de registro de Azure AD está sujeta a los precios de Azure Monitor. Para más información, vea Precios de Azure Monitor.

Para usar la solución Office 365 en Microsoft Sentinel:

  1. El uso del conector de Office 365 en Microsoft Sentinel afecta a los precios del área de trabajo. Para más información, consulte Precios de Microsoft Sentinel.
  2. Si ya usa la solución Office 365 de Azure Monitor, primero tendrá que desinstalarla mediante el script de la sección de desinstalación siguiente.
  3. Habilite la solución Microsoft Sentinel en su área de trabajo.
  4. Vaya a la página Conectores de datos de Azure Microsoft y habilite el conector Office 365.

Preguntas más frecuentes

P: ¿Es posible incorporar la solución Office 365 de Azure Monitor entre ahora y el 31 de octubre?

No, los scripts de incorporación de la solución Office 365 de Azure Monitor ya no están disponibles. La solución se eliminará el 31 de octubre.

P: ¿Se modificarán las tablas y los esquemas?

El nombre y el esquema de la tabla OfficeActivity seguirán siendo los mismos que en la solución actual. Puede seguir usando las mismas consultas en la nueva solución excluyendo las consultas que hacen referencia a datos de Azure AD.

Los registros de la nueva solución de supervisión e informes de Azure AD se inscribirán en las tablas SigninLogs y AuditLogs en lugar de OfficeActivity. Para más información, consulte Análisis de registros de Azure AD, que también es de interés para los usuarios de Microsoft Sentinel y Azure Monitor.

Estos son algunos ejemplos para convertir consultas de OfficeActivity a SigninLogs:

Consulta de inicios de sesión con error, por usuario:

OfficeActivity
| where TimeGenerated >= ago(1d) 
| where OfficeWorkload == "AzureActiveDirectory"                      
| where Operation == 'UserLoginFailed'
| summarize count() by UserId    

SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName

Visualización de operaciones de Azure AD:

OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation

AuditLogs
| summarize count() by OperationName

P: ¿Cómo puedo incorporar Microsoft Sentinel?

Azure Sentinel es una solución que puede habilitar en un área de trabajo de Log Analytics nueva o existente. Para más información, consulte Documentación sobre la incorporación de Microsoft Sentinel.

P: ¿Necesito Microsoft Sentinel para conectar los registros de Azure AD?

Puede configurar la integración de registros de Azure AD con Azure Monitor, lo que no está relacionado con la solución Microsoft Sentinel. Microsoft Sentinel proporciona un conector nativo y contenido predefinido para los registros de Azure AD. Para más información, vea la siguiente pregunta sobre el contenido de serie orientado a la seguridad.

P: ¿Qué diferencias hay al conectar registros de Azure AD desde Microsoft Sentinel y Azure Monitor?

Microsoft Sentinel y Azure Monitor se conectan a los registros de Azure AD basándose en la misma solución de informes y supervisión de Azure AD. Microsoft Sentinel proporciona un conector nativo de un solo clic que conecta los mismos datos y suministra información de supervisión.

P: ¿Qué debo cambiar al pasar a las nuevas tablas de informes y supervisión de Azure AD?

Todas las consultas que usen datos de Azure AD, incluidas las consultas de alertas, paneles y cualquier contenido que se haya creado con datos de Azure AD de Office 365, se deben volver a crear con las nuevas tablas.

Microsoft Sentinel y Azure AD proporcionan contenido integrado que puede usar al pasar a la solución de informes y supervisión de Azure AD. Para más información, vea la siguiente pregunta sobre contenido de serie orientado a la seguridad y Procedimiento para usar libros de Azure Monitor para informes de Azure Active Directory.

P: ¿Cómo puedo usar el contenido orientado a la seguridad predefinido de Microsoft Sentinel?

Microsoft Sentinel proporciona paneles orientados a la seguridad predefinidos, consultas de alertas personalizadas, consultas de búsqueda, investigación y funcionalidades de respuesta automatizadas basadas en los registros de Office 365 y Azure AD. Explore la comunidad de GitHub y los tutoriales de Microsoft Sentinel para obtener más información:

P: ¿Microsoft Sentinel proporciona conectores adicionales como parte de la solución?

Sí, consulte Orígenes de datos de conexión de Microsoft Sentinel.

P: ¿Qué ocurrirá el 31 de octubre? ¿Tengo que realizar la retirada con antelación?

  • No podrá recibir datos de la solución Office365. La solución se quitará del área de trabajo y dejará de estar disponible en el marketplace.
  • Para los clientes de Microsoft Sentinel, la solución Office365 del área de trabajo de Log Analytics se incluirá en la solución SecurityInsights de Microsoft Sentinel.
  • Si no retira la solución manualmente antes del 31 de octubre, los datos se desconectarán automáticamente, y se quitará la tabla OfficeActivity. Con todo, podrá restaurar la tabla cuando habilite el conector de Office 365 en Microsoft Sentinel, como se explica a continuación.

P: ¿Mis datos se transferirán a la nueva solución?

Sí. Cuando quite la solución Office 365 del área de trabajo, los datos dejarán de estar disponibles temporalmente porque el esquema se ha quitado. Al habilitar el nuevo conector de Office 365 en Microsoft Sentinel, el esquema se restaura en el área de trabajo y los datos ya recopilados estarán disponibles.

La solución de administración de Office 365 permite supervisar el entorno de Office 365 en Azure Monitor.

  • Supervise las actividades de usuario en las cuentas de Office 365 para analizar patrones de uso e identificación de tendencias de comportamiento. Por ejemplo, puede extraer escenarios de uso específicos, como los archivos que se comparten fuera de la organización o los sitios de SharePoint más populares.
  • Supervise las actividades del administrador para realizar el seguimiento de cambios de configuración u operaciones de privilegios elevados.
  • Detecte e investigue comportamientos de usuario no deseados, que puede personalizar para las necesidades de la organización.
  • Demuestre el cumplimiento de las normas y las auditorías. Por ejemplo, puede supervisar las operaciones de acceso a archivos en los archivos confidenciales, lo que pueden ayudarle con el proceso de cumplimiento y auditoría.
  • Solucione problemas operativos mediante consultas de registros en los datos de actividad de Office 365 de su organización.

Desinstalación

Puede quitar la solución de administración de Office 365 mediante el proceso de Quitar una solución de administración. Esta acción no detendrá la recopilación de datos de Office 365 en Azure Monitor. Realice el procedimiento siguiente para cancelar la suscripción a Office 365 y detener la recopilación de datos.

  1. Guarde el script siguiente como office365_unsubscribe.ps1.

    param (
    [Parameter(Mandatory=$True)][string]$WorkspaceName,
    [Parameter(Mandatory=$True)][string]$ResourceGroupName,
    [Parameter(Mandatory=$True)][string]$SubscriptionId,
    [Parameter(Mandatory=$True)][string]$OfficeTennantId,
    [Parameter(Mandatory=$True)][string]$clientId,
    [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id
)
$line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------'

$line
IF ($Subscription -eq $null)
    {Login-AzAccount -ErrorAction Stop}
$Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop)
$Subscription
$option = [System.StringSplitOptions]::RemoveEmptyEntries 
$Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop)
$Workspace
$WorkspaceLocation= $Workspace.Location

# Client ID for Azure PowerShell
# Set redirect URI for Azure PowerShell
$redirectUri = "urn:ietf:wg:oauth:2.0:oob"
$domain='login.microsoftonline.com'
$adTenant =  $Subscription[0].Tenant.Id
$authority = "https://login.windows.net/$adTenant";
$ARMResource ="https://management.azure.com/";'

switch ($WorkspaceLocation) {
       "USGov Virginia" { 
                         $domain='login.microsoftonline.us';
                          $authority = "https://login.microsoftonline.us/$adTenant";
                          $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia
       default {
                $domain='login.microsoftonline.com'; 
                $authority = "https://login.windows.net/$adTenant";
                $ARMResource ="https://management.azure.com/";break} 
                }

Function RESTAPI-Auth { 

$global:SubscriptionID = $Subscription.SubscriptionId
# Set Resource URI to Azure Service Management API
$resourceAppIdURIARM=$ARMResource;
# Authenticate and Acquire Token 
# Create Authentication Context tied to Azure AD Tenant
$authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority
# Acquire token
$platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto"
$global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters)
$global:authResultARM.Wait()
$authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
$authHeader
}

Function Office-UnSubscribe-Call{

#----------------------------------------------------------------------------------------------------------------------------------------------
$authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
$ResourceName = "https://manage.office.com"
$SubscriptionId   = $Subscription[0].Subscription.Id
$OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_'  + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview'

$Officeparams = @{
    ContentType = 'application/json'
    Headers = @{
    'Authorization'="$($authHeader)"
    'x-ms-client-tenant-id'=$xms_client_tenant_Id
    'Content-Type' = 'application/json'
    }
    Method = 'Delete'
    URI = $OfficeAPIUrl
  }

$officeresponse = Invoke-WebRequest @Officeparams 
$officeresponse

}

#GetDetails 
RESTAPI-Auth -ErrorAction Stop
Office-UnSubscribe-Call -ErrorAction Stop

  2. Ejecute el script con el siguiente comando:

    .\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>

    Ejemplo:

    .\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'

Se le pedirán las credenciales. Proporcione las credenciales para el área de trabajo de Log Analytics.

datos, recopilación

Inicialmente, la recopilación de datos puede tardar unas horas. Cuando comienza la recopilación, Office 365 envía una notificación de webhook con datos detallados a Azure Monitor cada vez que se crea un registro. Este registro está disponible en Azure Monitor al cabo de unos minutos de su recepción.

Uso de la solución

Los datos recopilados por esta solución de supervisión están disponibles en la página Resumen del área de trabajo (en desuso) en Azure Portal. Abra esta página en las áreas de trabajo de Log Analytics para el área de trabajo con la solución y, después, seleccione Resumen del área de trabajo (en desuso) en la sección Clásica del menú. Cada solución se representa mediante un icono. Seleccione un icono para obtener los datos más detallados que recopiló esa solución.

Al agregar la solución Office 365 al área de trabajo de Log Analytics, se agrega el icono Office 365 al panel. Este icono muestra un recuento y una representación gráfica del número de equipos en el entorno y del cumplimiento de las actualizaciones.

Icono de resumen de Office 365

Haga clic en el icono de Office 365 para abrir el panel de Office 365.

Panel de Office 365

El panel incluye las columnas de la tabla siguiente. Cada columna muestra las diez principales alertas por recuento que coinciden con los criterios de esa columna para el ámbito e intervalo de tiempo especificados. Puede ejecutar una búsqueda de registros que proporcione toda la lista haciendo clic en Ver todo en la parte inferior de la columna o haciendo clic en el encabezado de columna.

Columna Descripción
Operaciones Proporciona información acerca de los usuarios activos de todas las suscripciones de Office 365 supervisadas. También podrá ver el número de actividades que se producen con el tiempo.
Exchange Muestra el desglose de las actividades del servidor de Exchange, como Add-Mailbox Permission o Set-Mailbox.
SharePoint Muestra las actividades principales que realizan los usuarios en documentos de SharePoint. Cuando obtiene los detalles de este icono, la página de búsqueda muestra los detalles de estas actividades, como el documento de destino y la ubicación de esta actividad. Por ejemplo, para un evento de acceso a archivos, podrá ver el documento al que se tiene acceso, el nombre de la cuenta asociada y la dirección IP.
Azure Active Directory Incluye las actividades principales de los usuarios, como restablecer la contraseña de usuario y los intentos de inicio de sesión. Cuando se profundiza, podrá ver los detalles de estas actividades, como el estado del resultado. Esto es especialmente útil si desea supervisar las actividades sospechosas en Azure Active Directory.

Registros de Azure Monitor

El valor de Tipo es OfficeActivity para todos los registros creados en el área de trabajo de Log Analytics en Azure Monitor por la solución de Office 365. La propiedad OfficeWorkload determina a qué servicio de Office 365 hace referencia el registro: Exchange, AzureActiveDirectory, SharePoint o OneDrive. La propiedad RecordType especifica el tipo de operación. Las propiedades varían para cada tipo de operación y se muestran en las tablas siguientes.

Propiedades comunes

Las siguientes propiedades son comunes a todos los registros de Office 365.

Propiedad Descripción
Tipo OfficeActivity
ClientIP La dirección IP del dispositivo que se usó cuando se registró la actividad. La dirección IP se muestra en formato de dirección IPv4 o IPv6.
OfficeWorkload Servicio de Office 365 al que hace referencia el registro.

AzureActiveDirectory
Exchange
SharePoint
Operación El nombre de la actividad de usuario o administrador.
OrganizationId El identificador único GUID del inquilino de Office 365 de su organización. Este valor siempre será el mismo para su organización, con independencia del servicio de Office 365 en el que se produce.
RecordType Tipo de operación realizada.
ResultStatus Indica si la acción (especificada en la propiedad Operation) se realizó correctamente o no. Los valores posibles son Succeeded (correcta), PartiallySucceeded (parcialmente correcta) o Failed (con errores). Para la actividad de administración de Exchange, el valor es True o False.
UserId El UPN (nombre principal de usuario) del usuario que realizó la acción que generó el registro, por ejemplo, mi_nombre@mi_nombre_dominio. Tenga en cuenta que también se incluyen los registros de actividad realizada por cuentas del sistema (como SHAREPOINT\system o NTAUTHORITY\SYSTEM).
UserKey Un identificador alternativo para el usuario identificado en la propiedad UserId. Por ejemplo, esta propiedad se rellena con el identificador único de Passport (PUID) para los eventos producidos por los usuarios de SharePoint, OneDrive para la empresa y Exchange. Esta propiedad también puede especificar el mismo valor que la propiedad UserID para los eventos que se producen en otros servicios y los eventos producidos por las cuentas del sistema
UserType El tipo de usuario que realizó la operación.

Administración
Application
DcAdmin
Normal
Reserved
ServicePrincipal
Sistema

Azure Active Directory

Las siguientes propiedades son comunes a todos los registros de Azure Active Directory.

Propiedad Descripción
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectory
AzureActiveDirectory_EventType El tipo de evento de Azure AD.
ExtendedProperties Las propiedades extendidas del evento de Azure AD.

Inicio de sesión de cuenta de Azure Active Directory

Estos registros se crean cuando un usuario de Active Directory intenta iniciar sesión.

Propiedad Descripción
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectoryAccountLogon
Application La aplicación que desencadena el evento de inicio de sesión en la cuenta, como Office 15.
Client Detalles sobre dispositivo, sistema operativo del dispositivo y explorador del dispositivo que usó el cliente para el evento de inicio de sesión en la cuenta.
LoginStatus Esta propiedad viene directamente de OrgIdLogon.LoginStatus. Los algoritmos de alertas podrían realizar la asignación de distintos errores de inicio de sesión interesantes.
UserDomain La información de identidad del inquilino (TII).

Azure Active Directory

Estos registros se crean cuando se realizan cambios o adiciones en objetos de Active Directory de Azure.

Propiedad Descripción
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectory
AADTarget El usuario sobre el que se realizó la acción (identificada por la propiedad Operation).
Actor El usuario o la entidad de servicio que realizó la acción.
ActorContextId El identificador GUID de la organización al que pertenece el actor.
ActorIpAddress Dirección IP del actor en formato de dirección IPV4 o IPV6.
InterSystemsId El identificador GUID que realiza el seguimiento de las acciones en los componentes del servicio Office 365.
IntraSystemId El identificador GUID generado por Azure Active Directory para realizar el seguimiento de la acción.
SupportTicketId El identificador del vale de soporte técnico para la acción en situaciones de "actuar en nombre de".
TargetContextId El identificador GUID de la organización a la que pertenece el usuario de destino.

Data Center Security

Estos registros se crean a partir de los datos de auditoría de Data Center Security.

Propiedad Descripción
EffectiveOrganization El nombre del inquilino al que estaba destinada la elevación o el cmdlet.
ElevationApprovedTime La marca de tiempo en el momento de la aprobación de la elevación.
ElevationApprover El nombre de un administrador de Microsoft.
ElevationDuration La duración en activo de la elevación.
ElevationRequestId Un identificador único para la solicitud de elevación.
ElevationRole El rol para el que se solicitó la elevación.
ElevationTime La hora de inicio de la elevación.
Start_Time La hora de inicio de la ejecución del cmdlet.

Administración de Exchange

Estos registros se crean cuando se realizan cambios en la configuración de Exchange.

Propiedad Descripción
OfficeWorkload Exchange
RecordType ExchangeAdmin
ExternalAccess Especifica si el cmdlet se ha ejecutado por un usuario de la organización, por personal del centro de datos de Microsoft o una cuenta de servicio del centro de datos o por un administrador delegado. El valor False indica que el cmdlet se ejecutó por alguien de su organización. El valor True indica que el cmdlet lo ejecutó personal del centro de datos, una cuenta de servicio del centro de datos o un administrador delegado.
ModifiedObjectResolvedName Este es el nombre descriptivo del objeto que ha sido modificado por el cmdlet. Esto se registra únicamente si el cmdlet modifica el objeto.
OrganizationName El nombre del inquilino.
OriginatingServer El nombre del servidor desde el que se ejecutó el cmdlet.
Parámetros El nombre y valor de todos los parámetros que se utilizaron con el cmdlet que se identifica en la propiedad Operations.

Buzón de Exchange

Estos registros se crean cuando se realizan cambios o agregaciones en los buzones de Exchange.

Propiedad Descripción
OfficeWorkload Exchange
RecordType ExchangeItem
ClientInfoString Información sobre el cliente de correo electrónico que se usó para realizar la operación, como la versión del explorador, la versión de Outlook y la información del dispositivo móvil.
Client_IPAddress La dirección IP del dispositivo que se usó cuando se registró la operación. La dirección IP se muestra en formato de dirección IPv4 o IPv6.
ClientMachineName El nombre del equipo que hospeda al cliente de Outlook.
ClientProcessName El cliente de correo electrónico que se usó para tener acceso al buzón.
ClientVersion La versión del cliente de correo electrónico.
InternalLogonType Reservado para uso interno.
Logon_Type Indica el tipo de usuario que tuvo acceso al buzón de correo y realizó la operación que se ha registrado.
LogonUserDisplayName El nombre descriptivo del usuario que realizó la operación.
LogonUserSid El identificador SID del usuario que realizó la operación.
MailboxGuid El identificador GUID de Exchange del buzón de correo al que se obtuvo acceso.
MailboxOwnerMasterAccountSid Identificador SID de la cuenta maestra de la cuenta del propietario del buzón de correo.
MailboxOwnerSid El identificador SID del propietario del buzón.
MailboxOwnerUPN La dirección de correo electrónico de la persona que posee el buzón al que se obtuvo acceso.

Auditoría de buzón de Exchange

Estos registros se crean cuando se crea una entrada de auditoría de buzones de correo.

Propiedad Descripción
OfficeWorkload Exchange
RecordType ExchangeItem
Elemento Representa el elemento en el que se realizó la operación
SendAsUserMailboxGuid El identificador GUID de Exchange del buzón de correo al que se obtuvo acceso para enviar correo.
SendAsUserSmtp Dirección SMTP del usuario que se está suplantando.
SendonBehalfOfUserMailboxGuid El identificador GUID de Exchange del buzón de correo al que se obtuvo acceso para enviar correo en su nombre.
SendOnBehalfOfUserSmtp Dirección SMTP del usuario en cuyo nombre se envió el correo electrónico.

Auditoría de grupos buzones de Exchange

Estos registros se crean cuando se realizan cambios o agregaciones en los grupos de Exchange.

Propiedad Descripción
OfficeWorkload Exchange
OfficeWorkload ExchangeItemGroup
AffectedItems Información sobre cada elemento del grupo.
CrossMailboxOperations Indica si estuvo implicado más de un buzón de correo en la operación.
DestMailboxId Se establece únicamente si el parámetro CrossMailboxOperations es True. Especifica el identificador GUID del buzón de destino.
DestMailboxOwnerMasterAccountSid Se establece únicamente si el parámetro CrossMailboxOperations es True. Especifica el identificador SID de la cuenta maestra del propietario del buzón de destino.
DestMailboxOwnerSid Se establece únicamente si el parámetro CrossMailboxOperations es True. Especifica el identificador SID del buzón de correo de destino.
DestMailboxOwnerUPN Se establece únicamente si el parámetro CrossMailboxOperations es True. Especifica el UPN del propietario del buzón de correo de destino.
DestFolder La carpeta de destino, para operaciones como Move (mover).
Carpeta La carpeta donde se encuentra un grupo de elementos.
Carpetas Información sobre las carpetas de origen implicadas en una operación; por ejemplo, si las carpetas son seleccionadas y, a continuación, se eliminan.

SharePoint

Estas propiedades son comunes a todos los registros de SharePoint.

Propiedad Descripción
OfficeWorkload SharePoint
OfficeWorkload SharePoint
EventSource Identifica que se ha producido un evento en SharePoint. Los valores posibles son SharePoint y ObjectModel.
ItemType El tipo de objeto al que se ha accedido o modificado. Consulte la tabla ItemType para obtener detalles sobre los tipos de objetos.
MachineDomainInfo Información sobre las operaciones de sincronización del dispositivo. Esta información se notifica solo si está presente en la solicitud.
MachineId Información sobre las operaciones de sincronización del dispositivo. Esta información se notifica solo si está presente en la solicitud.
Site_ El identificador GUID del sitio donde se encuentra el archivo o carpeta al que tuvo acceso el usuario.
Source_Name La entidad que desencadenó la operación auditada. Los valores posibles son SharePoint y ObjectModel.
UserAgent Información sobre el cliente o explorador del usuario. Esta información la proporciona el cliente o el explorador.

Esquema de SharePoint

Estos registros se crean cuando se realizan cambios en la configuración de SharePoint.

Propiedad Descripción
OfficeWorkload SharePoint
OfficeWorkload SharePoint
CustomEvent Cadena opcional para eventos personalizados.
Event_Data Carga opcional para eventos personalizados.
ModifiedProperties La propiedad se incluye para los eventos de administración, como agregar a un usuario como miembro de un sitio o un grupo de administración de la colección de sitios. La propiedad incluye el nombre de la propiedad que se ha modificado (por ejemplo, el grupo de administración del sitio), el nuevo valor de la propiedad modificada (como el usuario que se ha agregado como un administrador del sitio) y el valor anterior del objeto modificado.

Operaciones de archivos de SharePoint

Estos registros se crean en respuesta a las operaciones de archivos en SharePoint.

Propiedad Descripción
OfficeWorkload SharePoint
OfficeWorkload SharePointFileOperation
DestinationFileExtension La extensión de archivo de un archivo que se ha copiado o movido. Esta propiedad solo se muestra para los eventos FileCopied y FileMoved.
DestinationFileName El nombre del archivo que se ha copiado o movido. Esta propiedad solo se muestra para los eventos FileCopied y FileMoved.
DestinationRelativeUrl La dirección URL de la carpeta de destino donde se ha copiado o movido un archivo. La combinación de los valores de los parámetros SiteURL, DestinationRelativeURL y DestinationFileName es el valor de la propiedad ObjectID, que es el nombre de la ruta de acceso completa del archivo que se copió. Esta propiedad solo se muestra para los eventos FileCopied y FileMoved.
SharingType El tipo de permisos que se asignaron al usuario con el que se ha compartido el recurso. Este usuario se identifica mediante el parámetro UserSharedWith.
Site_Url La dirección URL del sitio donde se encuentra el archivo o carpeta al que tuvo acceso el usuario.
SourceFileExtension La extensión de archivo del archivo al que tuvo acceso el usuario. Esta propiedad está en blanco si el objeto al que se tuvo acceso es una carpeta.
SourceFileName El nombre del archivo o carpeta al que tuvo acceso el usuario.
SourceRelativeUrl La dirección URL de la carpeta que contiene el archivo al que tuvo acceso el usuario. La combinación de los valores de los parámetros SiteURL, SourceRelativeURL y SourceFileName es el valor de la propiedad ObjectID, que es el nombre de la ruta de acceso completa del archivo al que tuvo acceso el usuario.
UserSharedWith El usuario con el que se compartió un recurso.

Consultas de registros de ejemplo

En la tabla siguiente se proporcionan ejemplos de consultas de registros para los registros de actualizaciones recopilados por esta solución.

Consultar Descripción
Recuento de todas las operaciones de la suscripción a Office 365 OfficeActivity | summarize count() by Operation
Uso de sitios de SharePoint OfficeActivity | where OfficeWorkload =~ "sharepoint" | summarize count() by SiteUrl | sort by Count asc
Operaciones de acceso a archivos por tipo de usuario OfficeActivity | summarize count() by UserType
Supervisión de acciones externas en Exchange OfficeActivity | where OfficeWorkload =~ "exchange" and ExternalAccess == true

Pasos siguientes