Solución de administración de Office 365 en Azure (versión preliminar)
Importante
Actualización de la solución
Esta solución se ha reemplazado por la solución de disponibilidad general Office 365 en Microsoft Sentinel y la solución de supervisión e informes de Azure AD. De forma conjunta, proporcionan una versión actualizada de la solución Office 365 de Azure Monitor anterior con una experiencia de configuración mejorada. Puede seguir usando la solución existente hasta el 31 de octubre de 2020.
Microsoft Sentinel es una solución de Administración de eventos e información de seguridad nativa de la nube que ingiere registros y proporciona funcionalidades de SIEM adicionales, como detecciones, investigaciones, búsqueda e información basada en aprendizaje automático. El uso de Microsoft Sentinel ahora le proporcionará ingesta de registros de administración de Exchange y de actividad de Office 365 SharePoint.
Los informes de Azure AD proporcionan una vista de registros más completa de la actividad de Azure AD en el entorno, lo que incluye eventos de inicio de sesión, eventos de auditoría y cambios en el directorio. Para conectarse a los registros de Azure AD, puede usar el conector de Azure AD para Microsoft Sentinel o configurar la integración de registros de Azure AD con Azure Monitor.
La colección de registro de Azure AD está sujeta a los precios de Azure Monitor. Para más información, vea Precios de Azure Monitor.
Para usar la solución Office 365 en Microsoft Sentinel:
- El uso del conector de Office 365 en Microsoft Sentinel afecta a los precios del área de trabajo. Para más información, consulte Precios de Microsoft Sentinel.
- Si ya usa la solución Office 365 de Azure Monitor, primero tendrá que desinstalarla mediante el script de la sección de desinstalación siguiente.
- Habilite la solución Microsoft Sentinel en su área de trabajo.
- Vaya a la página Conectores de datos de Azure Microsoft y habilite el conector Office 365.
Preguntas más frecuentes
P: ¿Es posible incorporar la solución Office 365 de Azure Monitor entre ahora y el 31 de octubre?
No, los scripts de incorporación de la solución Office 365 de Azure Monitor ya no están disponibles. La solución se eliminará el 31 de octubre.
P: ¿Se modificarán las tablas y los esquemas?
El nombre y el esquema de la tabla OfficeActivity seguirán siendo los mismos que en la solución actual. Puede seguir usando las mismas consultas en la nueva solución excluyendo las consultas que hacen referencia a datos de Azure AD.
Los registros de la nueva solución de supervisión e informes de Azure AD se inscribirán en las tablas SigninLogs y AuditLogs en lugar de OfficeActivity. Para más información, consulte Análisis de registros de Azure AD, que también es de interés para los usuarios de Microsoft Sentinel y Azure Monitor.
Estos son algunos ejemplos para convertir consultas de OfficeActivity a SigninLogs:
Consulta de inicios de sesión con error, por usuario:
OfficeActivity
| where TimeGenerated >= ago(1d)
| where OfficeWorkload == "AzureActiveDirectory"
| where Operation == 'UserLoginFailed'
| summarize count() by UserId
SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName
Visualización de operaciones de Azure AD:
OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation
AuditLogs
| summarize count() by OperationName
P: ¿Cómo puedo incorporar Microsoft Sentinel?
Azure Sentinel es una solución que puede habilitar en un área de trabajo de Log Analytics nueva o existente. Para más información, consulte Documentación sobre la incorporación de Microsoft Sentinel.
P: ¿Necesito Microsoft Sentinel para conectar los registros de Azure AD?
Puede configurar la integración de registros de Azure AD con Azure Monitor, lo que no está relacionado con la solución Microsoft Sentinel. Microsoft Sentinel proporciona un conector nativo y contenido predefinido para los registros de Azure AD. Para más información, vea la siguiente pregunta sobre el contenido de serie orientado a la seguridad.
P: ¿Qué diferencias hay al conectar registros de Azure AD desde Microsoft Sentinel y Azure Monitor?
Microsoft Sentinel y Azure Monitor se conectan a los registros de Azure AD basándose en la misma solución de informes y supervisión de Azure AD. Microsoft Sentinel proporciona un conector nativo de un solo clic que conecta los mismos datos y suministra información de supervisión.
P: ¿Qué debo cambiar al pasar a las nuevas tablas de informes y supervisión de Azure AD?
Todas las consultas que usen datos de Azure AD, incluidas las consultas de alertas, paneles y cualquier contenido que se haya creado con datos de Azure AD de Office 365, se deben volver a crear con las nuevas tablas.
Microsoft Sentinel y Azure AD proporcionan contenido integrado que puede usar al pasar a la solución de informes y supervisión de Azure AD. Para más información, vea la siguiente pregunta sobre contenido de serie orientado a la seguridad y Procedimiento para usar libros de Azure Monitor para informes de Azure Active Directory.
P: ¿Cómo puedo usar el contenido orientado a la seguridad predefinido de Microsoft Sentinel?
Microsoft Sentinel proporciona paneles orientados a la seguridad predefinidos, consultas de alertas personalizadas, consultas de búsqueda, investigación y funcionalidades de respuesta automatizadas basadas en los registros de Office 365 y Azure AD. Explore la comunidad de GitHub y los tutoriales de Microsoft Sentinel para obtener más información:
- Detección de amenazas integrada
- Creación de reglas de análisis personalizadas para detectar amenazas sospechosas
- Supervisión de los datos
- Investigación de incidentes con Microsoft Sentinel
- Configuración de respuestas automatizadas frente a amenazas en Microsoft Sentinel
- Comunidad de GitHub de Microsoft Sentinel
P: ¿Microsoft Sentinel proporciona conectores adicionales como parte de la solución?
Sí, consulte Orígenes de datos de conexión de Microsoft Sentinel.
P: ¿Qué ocurrirá el 31 de octubre? ¿Tengo que realizar la retirada con antelación?
- No podrá recibir datos de la solución Office365. La solución se quitará del área de trabajo y dejará de estar disponible en el marketplace.
- Para los clientes de Microsoft Sentinel, la solución Office365 del área de trabajo de Log Analytics se incluirá en la solución SecurityInsights de Microsoft Sentinel.
- Si no retira la solución manualmente antes del 31 de octubre, los datos se desconectarán automáticamente, y se quitará la tabla OfficeActivity. Con todo, podrá restaurar la tabla cuando habilite el conector de Office 365 en Microsoft Sentinel, como se explica a continuación.
P: ¿Mis datos se transferirán a la nueva solución?
Sí. Cuando quite la solución Office 365 del área de trabajo, los datos dejarán de estar disponibles temporalmente porque el esquema se ha quitado. Al habilitar el nuevo conector de Office 365 en Microsoft Sentinel, el esquema se restaura en el área de trabajo y los datos ya recopilados estarán disponibles.
La solución de administración de Office 365 permite supervisar el entorno de Office 365 en Azure Monitor.
- Supervise las actividades de usuario en las cuentas de Office 365 para analizar patrones de uso e identificación de tendencias de comportamiento. Por ejemplo, puede extraer escenarios de uso específicos, como los archivos que se comparten fuera de la organización o los sitios de SharePoint más populares.
- Supervise las actividades del administrador para realizar el seguimiento de cambios de configuración u operaciones de privilegios elevados.
- Detecte e investigue comportamientos de usuario no deseados, que puede personalizar para las necesidades de la organización.
- Demuestre el cumplimiento de las normas y las auditorías. Por ejemplo, puede supervisar las operaciones de acceso a archivos en los archivos confidenciales, lo que pueden ayudarle con el proceso de cumplimiento y auditoría.
- Solucione problemas operativos mediante consultas de registros en los datos de actividad de Office 365 de su organización.
Desinstalación
Puede quitar la solución de administración de Office 365 mediante el proceso de Quitar una solución de administración. Esta acción no detendrá la recopilación de datos de Office 365 en Azure Monitor. Realice el procedimiento siguiente para cancelar la suscripción a Office 365 y detener la recopilación de datos.
Guarde el script siguiente como office365_unsubscribe.ps1.
param ( [Parameter(Mandatory=$True)][string]$WorkspaceName, [Parameter(Mandatory=$True)][string]$ResourceGroupName, [Parameter(Mandatory=$True)][string]$SubscriptionId, [Parameter(Mandatory=$True)][string]$OfficeTennantId, [Parameter(Mandatory=$True)][string]$clientId, [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id ) $line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------' $line IF ($Subscription -eq $null) {Login-AzAccount -ErrorAction Stop} $Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop) $Subscription $option = [System.StringSplitOptions]::RemoveEmptyEntries $Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop) $Workspace $WorkspaceLocation= $Workspace.Location # Client ID for Azure PowerShell # Set redirect URI for Azure PowerShell $redirectUri = "urn:ietf:wg:oauth:2.0:oob" $domain='login.microsoftonline.com' $adTenant = $Subscription[0].Tenant.Id $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";' switch ($WorkspaceLocation) { "USGov Virginia" { $domain='login.microsoftonline.us'; $authority = "https://login.microsoftonline.us/$adTenant"; $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia default { $domain='login.microsoftonline.com'; $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";break} } Function RESTAPI-Auth { $global:SubscriptionID = $Subscription.SubscriptionId # Set Resource URI to Azure Service Management API $resourceAppIdURIARM=$ARMResource; # Authenticate and Acquire Token # Create Authentication Context tied to Azure AD Tenant $authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority # Acquire token $platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto" $global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters) $global:authResultARM.Wait() $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $authHeader } Function Office-UnSubscribe-Call{ #---------------------------------------------------------------------------------------------------------------------------------------------- $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $ResourceName = "https://manage.office.com" $SubscriptionId = $Subscription[0].Subscription.Id $OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_' + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview' $Officeparams = @{ ContentType = 'application/json' Headers = @{ 'Authorization'="$($authHeader)" 'x-ms-client-tenant-id'=$xms_client_tenant_Id 'Content-Type' = 'application/json' } Method = 'Delete' URI = $OfficeAPIUrl } $officeresponse = Invoke-WebRequest @Officeparams $officeresponse } #GetDetails RESTAPI-Auth -ErrorAction Stop Office-UnSubscribe-Call -ErrorAction Stop
Ejecute el script con el siguiente comando:
.\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>
Ejemplo:
.\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'
Se le pedirán las credenciales. Proporcione las credenciales para el área de trabajo de Log Analytics.
datos, recopilación
Inicialmente, la recopilación de datos puede tardar unas horas. Cuando comienza la recopilación, Office 365 envía una notificación de webhook con datos detallados a Azure Monitor cada vez que se crea un registro. Este registro está disponible en Azure Monitor al cabo de unos minutos de su recepción.
Uso de la solución
Los datos recopilados por esta solución de supervisión están disponibles en la página Resumen del área de trabajo (en desuso) en Azure Portal. Abra esta página en las áreas de trabajo de Log Analytics para el área de trabajo con la solución y, después, seleccione Resumen del área de trabajo (en desuso) en la sección Clásica del menú. Cada solución se representa mediante un icono. Seleccione un icono para obtener los datos más detallados que recopiló esa solución.
Al agregar la solución Office 365 al área de trabajo de Log Analytics, se agrega el icono Office 365 al panel. Este icono muestra un recuento y una representación gráfica del número de equipos en el entorno y del cumplimiento de las actualizaciones.
Haga clic en el icono de Office 365 para abrir el panel de Office 365.
El panel incluye las columnas de la tabla siguiente. Cada columna muestra las diez principales alertas por recuento que coinciden con los criterios de esa columna para el ámbito e intervalo de tiempo especificados. Puede ejecutar una búsqueda de registros que proporcione toda la lista haciendo clic en Ver todo en la parte inferior de la columna o haciendo clic en el encabezado de columna.
Columna | Descripción |
---|---|
Operaciones | Proporciona información acerca de los usuarios activos de todas las suscripciones de Office 365 supervisadas. También podrá ver el número de actividades que se producen con el tiempo. |
Exchange | Muestra el desglose de las actividades del servidor de Exchange, como Add-Mailbox Permission o Set-Mailbox. |
SharePoint | Muestra las actividades principales que realizan los usuarios en documentos de SharePoint. Cuando obtiene los detalles de este icono, la página de búsqueda muestra los detalles de estas actividades, como el documento de destino y la ubicación de esta actividad. Por ejemplo, para un evento de acceso a archivos, podrá ver el documento al que se tiene acceso, el nombre de la cuenta asociada y la dirección IP. |
Azure Active Directory | Incluye las actividades principales de los usuarios, como restablecer la contraseña de usuario y los intentos de inicio de sesión. Cuando se profundiza, podrá ver los detalles de estas actividades, como el estado del resultado. Esto es especialmente útil si desea supervisar las actividades sospechosas en Azure Active Directory. |
Registros de Azure Monitor
El valor de Tipo es OfficeActivity para todos los registros creados en el área de trabajo de Log Analytics en Azure Monitor por la solución de Office 365. La propiedad OfficeWorkload determina a qué servicio de Office 365 hace referencia el registro: Exchange, AzureActiveDirectory, SharePoint o OneDrive. La propiedad RecordType especifica el tipo de operación. Las propiedades varían para cada tipo de operación y se muestran en las tablas siguientes.
Propiedades comunes
Las siguientes propiedades son comunes a todos los registros de Office 365.
Propiedad | Descripción |
---|---|
Tipo | OfficeActivity |
ClientIP | La dirección IP del dispositivo que se usó cuando se registró la actividad. La dirección IP se muestra en formato de dirección IPv4 o IPv6. |
OfficeWorkload | Servicio de Office 365 al que hace referencia el registro. AzureActiveDirectory Exchange SharePoint |
Operación | El nombre de la actividad de usuario o administrador. |
OrganizationId | El identificador único GUID del inquilino de Office 365 de su organización. Este valor siempre será el mismo para su organización, con independencia del servicio de Office 365 en el que se produce. |
RecordType | Tipo de operación realizada. |
ResultStatus | Indica si la acción (especificada en la propiedad Operation) se realizó correctamente o no. Los valores posibles son Succeeded (correcta), PartiallySucceeded (parcialmente correcta) o Failed (con errores). Para la actividad de administración de Exchange, el valor es True o False. |
UserId | El UPN (nombre principal de usuario) del usuario que realizó la acción que generó el registro, por ejemplo, mi_nombre@mi_nombre_dominio. Tenga en cuenta que también se incluyen los registros de actividad realizada por cuentas del sistema (como SHAREPOINT\system o NTAUTHORITY\SYSTEM). |
UserKey | Un identificador alternativo para el usuario identificado en la propiedad UserId. Por ejemplo, esta propiedad se rellena con el identificador único de Passport (PUID) para los eventos producidos por los usuarios de SharePoint, OneDrive para la empresa y Exchange. Esta propiedad también puede especificar el mismo valor que la propiedad UserID para los eventos que se producen en otros servicios y los eventos producidos por las cuentas del sistema |
UserType | El tipo de usuario que realizó la operación. Administración Application DcAdmin Normal Reserved ServicePrincipal Sistema |
Azure Active Directory
Las siguientes propiedades son comunes a todos los registros de Azure Active Directory.
Propiedad | Descripción |
---|---|
OfficeWorkload | AzureActiveDirectory |
RecordType | AzureActiveDirectory |
AzureActiveDirectory_EventType | El tipo de evento de Azure AD. |
ExtendedProperties | Las propiedades extendidas del evento de Azure AD. |
Inicio de sesión de cuenta de Azure Active Directory
Estos registros se crean cuando un usuario de Active Directory intenta iniciar sesión.
Propiedad | Descripción |
---|---|
OfficeWorkload |
AzureActiveDirectory |
RecordType |
AzureActiveDirectoryAccountLogon |
Application |
La aplicación que desencadena el evento de inicio de sesión en la cuenta, como Office 15. |
Client |
Detalles sobre dispositivo, sistema operativo del dispositivo y explorador del dispositivo que usó el cliente para el evento de inicio de sesión en la cuenta. |
LoginStatus |
Esta propiedad viene directamente de OrgIdLogon.LoginStatus. Los algoritmos de alertas podrían realizar la asignación de distintos errores de inicio de sesión interesantes. |
UserDomain |
La información de identidad del inquilino (TII). |
Azure Active Directory
Estos registros se crean cuando se realizan cambios o adiciones en objetos de Active Directory de Azure.
Propiedad | Descripción |
---|---|
OfficeWorkload | AzureActiveDirectory |
RecordType | AzureActiveDirectory |
AADTarget | El usuario sobre el que se realizó la acción (identificada por la propiedad Operation). |
Actor | El usuario o la entidad de servicio que realizó la acción. |
ActorContextId | El identificador GUID de la organización al que pertenece el actor. |
ActorIpAddress | Dirección IP del actor en formato de dirección IPV4 o IPV6. |
InterSystemsId | El identificador GUID que realiza el seguimiento de las acciones en los componentes del servicio Office 365. |
IntraSystemId | El identificador GUID generado por Azure Active Directory para realizar el seguimiento de la acción. |
SupportTicketId | El identificador del vale de soporte técnico para la acción en situaciones de "actuar en nombre de". |
TargetContextId | El identificador GUID de la organización a la que pertenece el usuario de destino. |
Data Center Security
Estos registros se crean a partir de los datos de auditoría de Data Center Security.
Propiedad | Descripción |
---|---|
EffectiveOrganization | El nombre del inquilino al que estaba destinada la elevación o el cmdlet. |
ElevationApprovedTime | La marca de tiempo en el momento de la aprobación de la elevación. |
ElevationApprover | El nombre de un administrador de Microsoft. |
ElevationDuration | La duración en activo de la elevación. |
ElevationRequestId | Un identificador único para la solicitud de elevación. |
ElevationRole | El rol para el que se solicitó la elevación. |
ElevationTime | La hora de inicio de la elevación. |
Start_Time | La hora de inicio de la ejecución del cmdlet. |
Administración de Exchange
Estos registros se crean cuando se realizan cambios en la configuración de Exchange.
Propiedad | Descripción |
---|---|
OfficeWorkload | Exchange |
RecordType | ExchangeAdmin |
ExternalAccess | Especifica si el cmdlet se ha ejecutado por un usuario de la organización, por personal del centro de datos de Microsoft o una cuenta de servicio del centro de datos o por un administrador delegado. El valor False indica que el cmdlet se ejecutó por alguien de su organización. El valor True indica que el cmdlet lo ejecutó personal del centro de datos, una cuenta de servicio del centro de datos o un administrador delegado. |
ModifiedObjectResolvedName | Este es el nombre descriptivo del objeto que ha sido modificado por el cmdlet. Esto se registra únicamente si el cmdlet modifica el objeto. |
OrganizationName | El nombre del inquilino. |
OriginatingServer | El nombre del servidor desde el que se ejecutó el cmdlet. |
Parámetros | El nombre y valor de todos los parámetros que se utilizaron con el cmdlet que se identifica en la propiedad Operations. |
Buzón de Exchange
Estos registros se crean cuando se realizan cambios o agregaciones en los buzones de Exchange.
Propiedad | Descripción |
---|---|
OfficeWorkload | Exchange |
RecordType | ExchangeItem |
ClientInfoString | Información sobre el cliente de correo electrónico que se usó para realizar la operación, como la versión del explorador, la versión de Outlook y la información del dispositivo móvil. |
Client_IPAddress | La dirección IP del dispositivo que se usó cuando se registró la operación. La dirección IP se muestra en formato de dirección IPv4 o IPv6. |
ClientMachineName | El nombre del equipo que hospeda al cliente de Outlook. |
ClientProcessName | El cliente de correo electrónico que se usó para tener acceso al buzón. |
ClientVersion | La versión del cliente de correo electrónico. |
InternalLogonType | Reservado para uso interno. |
Logon_Type | Indica el tipo de usuario que tuvo acceso al buzón de correo y realizó la operación que se ha registrado. |
LogonUserDisplayName | El nombre descriptivo del usuario que realizó la operación. |
LogonUserSid | El identificador SID del usuario que realizó la operación. |
MailboxGuid | El identificador GUID de Exchange del buzón de correo al que se obtuvo acceso. |
MailboxOwnerMasterAccountSid | Identificador SID de la cuenta maestra de la cuenta del propietario del buzón de correo. |
MailboxOwnerSid | El identificador SID del propietario del buzón. |
MailboxOwnerUPN | La dirección de correo electrónico de la persona que posee el buzón al que se obtuvo acceso. |
Auditoría de buzón de Exchange
Estos registros se crean cuando se crea una entrada de auditoría de buzones de correo.
Propiedad | Descripción |
---|---|
OfficeWorkload | Exchange |
RecordType | ExchangeItem |
Elemento | Representa el elemento en el que se realizó la operación |
SendAsUserMailboxGuid | El identificador GUID de Exchange del buzón de correo al que se obtuvo acceso para enviar correo. |
SendAsUserSmtp | Dirección SMTP del usuario que se está suplantando. |
SendonBehalfOfUserMailboxGuid | El identificador GUID de Exchange del buzón de correo al que se obtuvo acceso para enviar correo en su nombre. |
SendOnBehalfOfUserSmtp | Dirección SMTP del usuario en cuyo nombre se envió el correo electrónico. |
Auditoría de grupos buzones de Exchange
Estos registros se crean cuando se realizan cambios o agregaciones en los grupos de Exchange.
Propiedad | Descripción |
---|---|
OfficeWorkload | Exchange |
OfficeWorkload | ExchangeItemGroup |
AffectedItems | Información sobre cada elemento del grupo. |
CrossMailboxOperations | Indica si estuvo implicado más de un buzón de correo en la operación. |
DestMailboxId | Se establece únicamente si el parámetro CrossMailboxOperations es True. Especifica el identificador GUID del buzón de destino. |
DestMailboxOwnerMasterAccountSid | Se establece únicamente si el parámetro CrossMailboxOperations es True. Especifica el identificador SID de la cuenta maestra del propietario del buzón de destino. |
DestMailboxOwnerSid | Se establece únicamente si el parámetro CrossMailboxOperations es True. Especifica el identificador SID del buzón de correo de destino. |
DestMailboxOwnerUPN | Se establece únicamente si el parámetro CrossMailboxOperations es True. Especifica el UPN del propietario del buzón de correo de destino. |
DestFolder | La carpeta de destino, para operaciones como Move (mover). |
Carpeta | La carpeta donde se encuentra un grupo de elementos. |
Carpetas | Información sobre las carpetas de origen implicadas en una operación; por ejemplo, si las carpetas son seleccionadas y, a continuación, se eliminan. |
SharePoint
Estas propiedades son comunes a todos los registros de SharePoint.
Propiedad | Descripción |
---|---|
OfficeWorkload | SharePoint |
OfficeWorkload | SharePoint |
EventSource | Identifica que se ha producido un evento en SharePoint. Los valores posibles son SharePoint y ObjectModel. |
ItemType | El tipo de objeto al que se ha accedido o modificado. Consulte la tabla ItemType para obtener detalles sobre los tipos de objetos. |
MachineDomainInfo | Información sobre las operaciones de sincronización del dispositivo. Esta información se notifica solo si está presente en la solicitud. |
MachineId | Información sobre las operaciones de sincronización del dispositivo. Esta información se notifica solo si está presente en la solicitud. |
Site_ | El identificador GUID del sitio donde se encuentra el archivo o carpeta al que tuvo acceso el usuario. |
Source_Name | La entidad que desencadenó la operación auditada. Los valores posibles son SharePoint y ObjectModel. |
UserAgent | Información sobre el cliente o explorador del usuario. Esta información la proporciona el cliente o el explorador. |
Esquema de SharePoint
Estos registros se crean cuando se realizan cambios en la configuración de SharePoint.
Propiedad | Descripción |
---|---|
OfficeWorkload | SharePoint |
OfficeWorkload | SharePoint |
CustomEvent | Cadena opcional para eventos personalizados. |
Event_Data | Carga opcional para eventos personalizados. |
ModifiedProperties | La propiedad se incluye para los eventos de administración, como agregar a un usuario como miembro de un sitio o un grupo de administración de la colección de sitios. La propiedad incluye el nombre de la propiedad que se ha modificado (por ejemplo, el grupo de administración del sitio), el nuevo valor de la propiedad modificada (como el usuario que se ha agregado como un administrador del sitio) y el valor anterior del objeto modificado. |
Operaciones de archivos de SharePoint
Estos registros se crean en respuesta a las operaciones de archivos en SharePoint.
Propiedad | Descripción |
---|---|
OfficeWorkload | SharePoint |
OfficeWorkload | SharePointFileOperation |
DestinationFileExtension | La extensión de archivo de un archivo que se ha copiado o movido. Esta propiedad solo se muestra para los eventos FileCopied y FileMoved. |
DestinationFileName | El nombre del archivo que se ha copiado o movido. Esta propiedad solo se muestra para los eventos FileCopied y FileMoved. |
DestinationRelativeUrl | La dirección URL de la carpeta de destino donde se ha copiado o movido un archivo. La combinación de los valores de los parámetros SiteURL, DestinationRelativeURL y DestinationFileName es el valor de la propiedad ObjectID, que es el nombre de la ruta de acceso completa del archivo que se copió. Esta propiedad solo se muestra para los eventos FileCopied y FileMoved. |
SharingType | El tipo de permisos que se asignaron al usuario con el que se ha compartido el recurso. Este usuario se identifica mediante el parámetro UserSharedWith. |
Site_Url | La dirección URL del sitio donde se encuentra el archivo o carpeta al que tuvo acceso el usuario. |
SourceFileExtension | La extensión de archivo del archivo al que tuvo acceso el usuario. Esta propiedad está en blanco si el objeto al que se tuvo acceso es una carpeta. |
SourceFileName | El nombre del archivo o carpeta al que tuvo acceso el usuario. |
SourceRelativeUrl | La dirección URL de la carpeta que contiene el archivo al que tuvo acceso el usuario. La combinación de los valores de los parámetros SiteURL, SourceRelativeURL y SourceFileName es el valor de la propiedad ObjectID, que es el nombre de la ruta de acceso completa del archivo al que tuvo acceso el usuario. |
UserSharedWith | El usuario con el que se compartió un recurso. |
Consultas de registros de ejemplo
En la tabla siguiente se proporcionan ejemplos de consultas de registros para los registros de actualizaciones recopilados por esta solución.
Consultar | Descripción |
---|---|
Recuento de todas las operaciones de la suscripción a Office 365 | OfficeActivity | summarize count() by Operation |
Uso de sitios de SharePoint | OfficeActivity | where OfficeWorkload =~ "sharepoint" | summarize count() by SiteUrl | sort by Count asc |
Operaciones de acceso a archivos por tipo de usuario | OfficeActivity | summarize count() by UserType |
Supervisión de acciones externas en Exchange | OfficeActivity | where OfficeWorkload =~ "exchange" and ExternalAccess == true |
Pasos siguientes
- Use las consultas de registros de Azure Monitor para ver datos detallados sobre la actualización.
- Cree sus propios paneles para mostrar las consultas de búsqueda favoritas de Office 365.
- Cree alertas para recibir notificaciones proactivas de actividades importantes de Office 365.