Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Actualización de la solución
Esta solución se ha reemplazado por la solución de disponibilidad general de Office 365 en Microsoft Sentinel y la solución de informes y supervisión de Azure AD. Juntos proporcionan una versión actualizada de la solución anterior de Office 365 de Azure Monitor con una experiencia de configuración mejorada. Puede seguir usando la solución existente hasta el 31 de octubre de 2020.
Microsoft Sentinel es una solución nativa de administración de eventos e información de seguridad nativa en la nube que ingiere registros y proporciona funcionalidad de SIEM adicional, incluidas las detecciones, las investigaciones, la búsqueda y la información controlada por el aprendizaje automático. El uso de Microsoft Sentinel ahora le proporcionará la ingesta de registros de actividad de SharePoint de Office 365 y de administración de Exchange.
Los informes de Azure AD proporcionan una vista más completa de los registros de la actividad de Azure AD en su entorno, incluidos los eventos de inicio de sesión, los eventos de auditoría y los cambios en el directorio. Para conectar los registros de Azure AD, puede usar el conector de Azure AD de Microsoft Sentinel o configurar la integración de registros de Azure AD con Azure Monitor.
La recopilación de los registros de actividad de Azure AD está sujeta a la tarifa de Azure Monitor. Consulte Precios de Azure Monitor para más información.
Para usar la solución de Office 365 de Microsoft Sentinel:
- El uso del conector de Office 365 en Microsoft Sentinel afecta la tarificación de su espacio de trabajo. Para más información, consulte Precios de Microsoft Sentinel.
- Si ya usa la solución Azure Monitor para Office 365, primero debe desinstalarla usando el script en la sección 'Desinstalación' que se encuentra a continuación.
- Habilite la solución Microsoft Sentinel en el área de trabajo.
- Vaya a la página Conectores de datos de Microsoft Sentinel y habilite el conector de Office 365 .
Preguntas más frecuentes
P: ¿Es posible incorporar la solución de Azure Monitor de Office 365 entre ahora y el 31 de octubre?
No, los scripts de incorporación de soluciones de Office 365 de Azure Monitor ya no están disponibles. La solución se quitará el 31 de octubre.
P: ¿Se cambiarán las tablas y esquemas?
El nombre y el esquema de la tabla OfficeActivity seguirán siendo los mismos que en la solución actual. Puede seguir usando las mismas consultas en la nueva solución, excepto las consultas que hacen referencia a datos de Azure AD.
Los registros de la nueva solución de informes y supervisión de Azure AD se ingerirán en las tablas SigninLogs y AuditLogs en lugar de OfficeActivity. Para más información, consulte cómo analizar los registros de Azure AD, que también es relevante para los usuarios de Microsoft Sentinel y Azure Monitor.
A continuación se muestran ejemplos para convertir consultas de OfficeActivity a SigninLogs:
Consulta inicios de sesión fallidos, por usuario:
OfficeActivity
| where TimeGenerated >= ago(1d)
| where OfficeWorkload == "AzureActiveDirectory"
| where Operation == 'UserLoginFailed'
| summarize count() by UserId
SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName
Visualización de las operaciones de Azure AD:
OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation
AuditLogs
| summarize count() by OperationName
P: ¿Cómo puedo incorporar Microsoft Sentinel?
Microsoft Sentinel es una solución que puede habilitar en un área de trabajo de Log Analytics nueva o existente. Para más información, consulte la documentación de incorporación de Microsoft Sentinel.
P: ¿Necesito Microsoft Sentinel para conectar los registros de Azure AD?
Puede configurar la integración de registros de Azure AD con Azure Monitor, que no está relacionada con la solución de Microsoft Sentinel. Microsoft Sentinel proporciona un conector nativo y contenido preconfigurado para los registros de Azure AD. Para obtener más información, consulte la siguiente pregunta sobre el contenido orientado a la seguridad de fábrica.
P: ¿Cuáles son las diferencias al conectar los registros de Azure AD desde Microsoft Sentinel y Azure Monitor?
Microsoft Sentinel y Azure Monitor se conectan a los registros de Azure AD en función de la misma solución de supervisión e informes de Azure AD. Microsoft Sentinel proporciona un conector nativo con un solo clic que conecta los mismos datos y proporciona información de supervisión.
P: ¿Qué necesito cambiar al pasar a las nuevas tablas de supervisión e informes de Azure AD?
Todas las consultas que usan datos de Azure AD, incluidas las consultas en alertas, paneles y cualquier contenido que haya creado con datos de Azure AD de Office 365, se deben volver a crear mediante las nuevas tablas.
Microsoft Sentinel y Azure AD proporcionan contenido integrado que puede usar al pasar a la solución de informes y supervisión de Azure AD. Para obtener más información, consulte la siguiente pregunta sobre contenido orientado a la seguridad listo para usar y cómo usar los libros de Azure Monitor para informes de Azure Active Directory.
¿Cómo puedo usar el contenido listo para usar orientado a la seguridad de Microsoft Sentinel?
Microsoft Sentinel proporciona paneles orientados a la seguridad de fábrica, consultas de alertas personalizadas, consultas de búsqueda, investigación y funcionalidades de respuesta automatizadas basadas en los registros de Office 365 y Azure AD. Explore la comunidad y los tutoriales de GitHub de Microsoft Sentinel para obtener más información:
- Detección de amenazas integrada
- Creación de reglas analíticas personalizadas para detectar amenazas sospechosas
- Supervisión de los datos
- Investigación de incidentes con Microsoft Sentinel
- Configuración de respuestas de amenazas automatizadas en Microsoft Sentinel
- Comunidad de GitHub de Microsoft Sentinel
P: ¿Microsoft Sentinel proporciona conectores adicionales como parte de la solución?
Sí, consulte fuentes de datos conectadas de Microsoft Sentinel.
P: ¿Qué ocurrirá el 31 de octubre? ¿Necesito retirarme de antemano?
- No podrá recibir datos de la solución office365 . La solución se quitará del área de trabajo y ya no estará disponible en Marketplace.
- Para los clientes de Microsoft Sentinel, la solución de área de trabajo de Log Analytics Office365 se incluirá en la solución SecurityInsights de Microsoft Sentinel.
- Si no desactivas manualmente la solución antes del 31 de octubre, tus datos se desconectarán automáticamente y se quitará la tabla OfficeActivity. Incluso así, podrá restaurar la tabla al habilitar el conector de Office 365 en Microsoft Sentinel, como se explica a continuación.
¿Se transferirán mis datos a la nueva solución?
Sí. Al quitar la solución de Office 365 del área de trabajo, sus datos no estarán disponibles temporalmente porque se quita el esquema. Al habilitar el nuevo conector de Office 365 en Microsoft Sentinel, el esquema se restaura en el área de trabajo y los datos ya recopilados estarán disponibles.
La solución de administración de Office 365 permite supervisar el entorno de Office 365 en Azure Monitor.
- Supervise las actividades del usuario en sus cuentas de Office 365 para analizar patrones de uso, así como identificar tendencias de comportamiento. Por ejemplo, puede extraer escenarios de uso específicos, como archivos que se comparten fuera de su organización o los sitios de SharePoint más populares.
- Supervise las actividades del administrador para realizar un seguimiento de los cambios de configuración o las operaciones de privilegios elevados.
- Detecte e investigue el comportamiento de los usuarios no deseados, que se pueden personalizar para sus necesidades organizativas.
- Demostrar auditoría y cumplimiento. Por ejemplo, puede supervisar las operaciones de acceso a archivos confidenciales, lo que puede ayudarle con el proceso de auditoría y cumplimiento.
- Realice la resolución de problemas operativos mediante consultas de registro sobre los datos de actividad de Office 365 de su organización.
Desinstalar
Puede quitar la solución de administración de Office 365 mediante el proceso en Quitar una solución de administración. Sin embargo, esto no detendrá la recopilación de datos de Office 365 en Azure Monitor. Siga el procedimiento siguiente para cancelar la suscripción de Office 365 y dejar de recopilar datos.
Guarde el siguiente script como office365_unsubscribe.ps1.
param ( [Parameter(Mandatory=$True)][string]$WorkspaceName, [Parameter(Mandatory=$True)][string]$ResourceGroupName, [Parameter(Mandatory=$True)][string]$SubscriptionId, [Parameter(Mandatory=$True)][string]$OfficeTennantId, [Parameter(Mandatory=$True)][string]$clientId, [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id ) $line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------' $line IF ($Subscription -eq $null) {Login-AzAccount -ErrorAction Stop} $Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop) $Subscription $option = [System.StringSplitOptions]::RemoveEmptyEntries $Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop) $Workspace $WorkspaceLocation= $Workspace.Location # Client ID for Azure PowerShell # Set redirect URI for Azure PowerShell $redirectUri = "urn:ietf:wg:oauth:2.0:oob" $domain='login.microsoftonline.com' $adTenant = $Subscription[0].Tenant.Id $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";' switch ($WorkspaceLocation) { "USGov Virginia" { $domain='login.microsoftonline.us'; $authority = "https://login.microsoftonline.us/$adTenant"; $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia default { $domain='login.microsoftonline.com'; $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";break} } Function RESTAPI-Auth { $global:SubscriptionID = $Subscription.SubscriptionId # Set Resource URI to Azure Service Management API $resourceAppIdURIARM=$ARMResource; # Authenticate and Acquire Token # Create Authentication Context tied to Azure AD Tenant $authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority # Acquire token $platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto" $global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters) $global:authResultARM.Wait() $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $authHeader } Function Office-UnSubscribe-Call{ #---------------------------------------------------------------------------------------------------------------------------------------------- $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $ResourceName = "https://manage.office.com" $SubscriptionId = $Subscription[0].Subscription.Id $OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_' + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview' $Officeparams = @{ ContentType = 'application/json' Headers = @{ 'Authorization'="$($authHeader)" 'x-ms-client-tenant-id'=$xms_client_tenant_Id 'Content-Type' = 'application/json' } Method = 'Delete' URI = $OfficeAPIUrl } $officeresponse = Invoke-WebRequest @Officeparams $officeresponse } #GetDetails RESTAPI-Auth -ErrorAction Stop Office-UnSubscribe-Call -ErrorAction StopEjecute el script con el siguiente comando:
.\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>Ejemplo:
.\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'
Se le pedirán las credenciales. Proporcione las credenciales para el área de trabajo de Log Analytics.
Recopilación de datos
Los datos pueden tardar unas horas en recopilarse inicialmente. Una vez que se inicia la recopilación, Office 365 envía una notificación de webhook con datos detallados a Azure Monitor cada vez que se crea un registro. Este registro está disponible en Azure Monitor en unos minutos después de recibirse.
Uso de la solución
Los datos recopilados por esta solución de supervisión están disponibles en la página Resumen del área de trabajo de (obsoleto) en el portal de Azure. Abra esta página desde espacios de trabajo de Log Analytics para el espacio de trabajo con su solución y, a continuación, seleccione Resumen del espacio de trabajo (en desuso) en la sección clásica del menú. Cada solución se representa mediante un icono. Seleccione un icono para obtener datos más detallados recopilados por esa solución.
Al agregar la solución de Office 365 al área de trabajo de Log Analytics, el icono de Office 365 se agregará al panel. Este icono muestra un recuento y una representación gráfica del número de equipos de su entorno y su cumplimiento de actualizaciones.
Haga clic en el icono de Office 365 para abrir el panel de Office 365 .
El panel incluye las columnas de la tabla siguiente. Cada columna enumera las diez alertas principales por recuento que coinciden con los criterios de esa columna para el ámbito y el intervalo de tiempo especificados. Puede ejecutar una búsqueda de registros que proporcione toda la lista haciendo clic en Ver todo en la parte inferior de la columna o haciendo clic en el encabezado de columna.
| Columna | Descripción |
|---|---|
| Operaciones | Proporciona información sobre los usuarios activos de todas las suscripciones supervisadas de Office 365. También podrá ver el número de actividades que se producen con el tiempo. |
| Intercambio | Muestra el desglose de las actividades de Exchange Server, como Add-Mailbox Permiso o Set-Mailbox. |
| SharePoint | Muestra las principales actividades que realizan los usuarios en documentos de SharePoint. Al explorar en profundidad este icono, la página de búsqueda muestra los detalles de estas actividades, como el documento de destino y la ubicación de esta actividad. Por ejemplo, para un evento de acceso a archivos, podrá ver el documento al que se accede, su nombre de cuenta asociado y la dirección IP. |
| Azure Active Directory | Incluye actividades de usuario principales, como Restablecer contraseña de usuario e intentos de inicio de sesión. Al explorar en profundidad, podrá ver los detalles de estas actividades, como el estado del resultado. Esto es especialmente útil si desea supervisar actividades sospechosas en Azure Active Directory. |
Registros de Azure Monitor
Todos los registros creados en el área de trabajo de Log Analytics en Azure Monitor por la solución de Office 365 tienen un tipo de OfficeActivity. La propiedad OfficeWorkload determina a qué servicio de Office 365 hace referencia el registro: Exchange, AzureActiveDirectory, SharePoint o OneDrive. La propiedad RecordType especifica el tipo de operación. Las propiedades variarán para cada tipo de operación y se muestran en las tablas siguientes.
Propiedades comunes
Las siguientes propiedades son comunes a todos los registros de Office 365.
| Propiedad | Descripción |
|---|---|
| Tipo | OfficeActivity |
| IP del cliente | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. |
| Carga de Trabajo de Oficina | Servicio de Office 365 al que hace referencia el registro. AzureActiveDirectory Intercambio SharePoint |
| Operación | El nombre de la actividad del usuario o del administrador. |
| IdDeOrganización | El identificador único GUID del inquilino de Office 365 de su organización. Este valor siempre será el mismo para su organización, con independencia del servicio de Office 365 en el que se produce. |
| Tipo de registro | Tipo de operación realizada. |
| EstadoDelResultado | Indica si la acción (especificada en la propiedad Operation) se realizó correctamente o no. Los valores posibles son Succeeded (correcta), PartiallySucceeded (parcialmente correcta) o Failed (con errores). Para la actividad de administrador de Exchange, el valor es True o False. |
| UserId | UpN (nombre principal de usuario) del usuario que realizó la acción que dio lugar a que se registrara el registro; por ejemplo, my_name@my_domain_name. Tenga en cuenta que también se incluyen registros de actividad realizadas por cuentas del sistema (como SHAREPOINT\system o NTAUTHORITY\SYSTEM). |
| UserKey | Un identificador alternativo para el usuario que está identificado en la propiedad denominada UserId. Por ejemplo, esta propiedad se rellena con el identificador único de Passport (PUID) para los eventos producidos por los usuarios de SharePoint, OneDrive para la empresa y Exchange. Esta propiedad también puede especificar el mismo valor que la propiedad UserID para eventos que se producen en otros servicios y eventos realizados por cuentas del sistema. |
| Tipo de usuario | El tipo de usuario que realizó la operación. Administrador Aplicación DcAdmin Regular Reservado ServicePrincipal Sistema |
Base de Azure Active Directory
Las siguientes propiedades son comunes a todos los registros de Azure Active Directory.
| Propiedad | Descripción |
|---|---|
| CargaDeTrabajoDeOficina | AzureActiveDirectory |
| Tipo de registro | AzureActiveDirectory |
| AzureActiveDirectory_EventType | Tipo de evento de Azure AD. |
| PropiedadesExtendidas | Propiedades extendidas del evento de Azure AD. |
Inicio de sesión de la cuenta de Azure Active Directory
Estos registros se crean cuando un usuario de Active Directory intenta iniciar sesión.
| Propiedad | Descripción |
|---|---|
OfficeWorkload |
AzureActiveDirectory |
RecordType |
AzureActiveDirectoryAccountLogon |
Application |
La aplicación que desencadena el evento de inicio de sesión de la cuenta, como Office 15. |
Client |
Información sobre el dispositivo del cliente, el sistema operativo del dispositivo y explorador del dispositivo que se usó para del evento de inicio de sesión de cuenta. |
LoginStatus |
Esta propiedad procede directamente de OrgIdLogon.LoginStatus. El mapeo de varios errores interesantes de inicio de sesión podría realizarse mediante algoritmos de alerta. |
UserDomain |
La información de identidad del inquilino (TII). |
Azure Active Directory
Estos registros se crean cuando se realizan cambios o adiciones a objetos de Azure Active Directory.
| Propiedad | Descripción |
|---|---|
| Carga de Trabajo en la Oficina | AzureActiveDirectory |
| Tipo de registro | AzureActiveDirectory |
| AADTarget | El usuario para el que se realizó la acción (identificada por la propiedad Operation). |
| Actor | El usuario o una entidad de servicio que efectuó la acción. |
| ActorContextId | El GUID de la organización a la que pertenece el actor. |
| DirecciónIPDelActor | La dirección IP del actor en formato de dirección IPV4 o IPV6. |
| InterSystemsId | El GUID que realiza un seguimiento de las acciones entre los componentes dentro del servicio de Office 365. |
| IntraSystemId | El GUID que genera Azure Active Directory para realizar un seguimiento de la acción. |
| SupportTicketId | La ID del ticket de soporte al cliente para la acción en situaciones de "actuar en representación de". |
| TargetContextId | El GUID de la organización a la que pertenece el usuario de destino. |
Seguridad del centro de datos
Estos registros se crean a partir de los datos de auditoría de Seguridad de Data Center.
| Propiedad | Descripción |
|---|---|
| OrganizaciónEfectiva | El nombre del inquilino al que iba dirigido el cmdlet o la elevación. |
| HoraDeAprobaciónDeElevación | La marca de tiempo de cuando se aprobó la elevación. |
| Aprobador de Elevación | El nombre de un administrador de Microsoft. |
| Duración de elevación | La duración durante la cual la elevación estuvo activa. |
| ElevationRequestId | Identificador único para la petición de elevación. |
| ElevationRole | El rol para el que se solicitó el ascenso. |
| Tiempo de Elevación | La hora de inicio de la elevación. |
| Hora_de_Inicio | La hora de inicio de la ejecución del cmdlet. |
Administrador de Exchange
Estos registros se crean cuando se realizan cambios en la configuración de Exchange.
| Propiedad | Descripción |
|---|---|
| Carga de Trabajo de Oficina | Intercambio |
| Tipo de registro | ExchangeAdmin |
| ExternalAccess | Especifica si el cmdlet lo ejecutó un usuario de la organización, el personal del centro de datos de Microsoft o una cuenta de servicio del centro de datos, o un administrador delegado. El valor False indica que alguien de la organización ejecutó el cmdlet. El valor True indica que el cmdlet se ejecutó por personal del centro de datos, una cuenta de servicio del centro de datos o un administrador delegado. |
| ModifiedObjectResolvedName | Este es el nombre descriptivo del objeto modificado por el cmdlet. Esto solo se registra si el cmdlet modifica el objeto. |
| OrganizationName | El nombre del inquilino. |
| Servidor de origen | El nombre del servidor desde el que se ejecutó el cmdlet. |
| Parámetros | El nombre y valor de todos los parámetros usados con el cmdlet que se identifica en la propiedad Operations. |
Buzón de Exchange
Estos registros se crean cuando se realizan cambios o adiciones a los buzones de Exchange.
| Propiedad | Descripción |
|---|---|
| OfficeWorkload | Intercambio |
| Tipo de registro | ExchangeItem |
| ClientInfoString | Información sobre el cliente de correo electrónico que se usó para realizar la operación, como la versión de explorador, la versión de Outlook o información del dispositivo móvil. |
| Client_IPAddress | La dirección IP del dispositivo que se ha usado cuando la operación se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. |
| NombreDeMáquinaDelCliente | El nombre del equipo que hospeda al cliente de Outlook. |
| ClientProcessName | El cliente de correo electrónico que se usó para acceder al buzón. |
| VersiónDelCliente | La versión del cliente de correo electrónico. |
| TipoDeInicioDeSesiónInterno | Reservado para uso interno. |
| Tipo_de_Inicio_de_Sesión | Indica el tipo de usuario que obtuvo acceso al buzón y llevó a cabo la operación que se ha registrado. |
| NombreDeUsuarioDeInicioDeSesión | El nombre amigable del usuario que realizó la operación. |
| LogonUserSid | El SID del usuario que realizó la operación. |
| MailboxGuid | El GUID de Exchange del buzón al que se obtuvo acceso. |
| MailboxOwnerMasterAccountSid | SID de la cuenta principal de la cuenta del propietario del buzón. |
| MailboxOwnerSid | El SID del propietario del buzón. |
| DueñoDelBuzónUPN | La dirección de correo electrónico del propietario del buzón al que se obtuvo acceso. |
Auditoría de buzón de Exchange
Se crean estos registros cuando se genera una entrada de auditoría de buzón.
| Propiedad | Descripción |
|---|---|
| CargaDeTrabajoDeOficina | Intercambio |
| Tipo de registro | ExchangeItem |
| Elemento | Representa el elemento para el que se ha realizado la operación |
| SendAsUserMailboxGuid | El GUID de Exchange del buzón al que se obtuvo acceso para enviar un correo electrónico. |
| EnviarComoUsuarioSmtp | Dirección SMTP del usuario que se está simulando. |
| IdentificadordeBuzóndeCorreoParalaFunciónEnviarEnNombreDeUsuario | El GUID de Exchange del buzón al que se obtuvo acceso para enviar correo en su nombre. |
| SendOnBehalfOfUserSmtp | Dirección SMTP del usuario en cuyo nombre se envía el correo electrónico. |
Grupo de auditoría de buzones de Exchange
Estos registros se crean cuando se realizan cambios o adiciones a grupos de Exchange.
| Propiedad | Descripción |
|---|---|
| OfficeWorkload | Intercambio |
| OfficeWorkload | GrupoDeElementosDeIntercambio |
| AffectedItems | Información sobre cada elemento del grupo. |
| CrossMailboxOperations | Indica si la operación implicó más de un buzón. |
| DestMailboxId | Establezca solo si el parámetro CrossMailboxOperations es True. Especifica el GUID del buzón de correo de destino. |
| DestMailboxOwnerMasterAccountSid | Establezca solo si el parámetro CrossMailboxOperations es True. Especifica el SID de la cuenta principal y el SID del propietario del buzón de destino. |
| DestMailboxOwnerSid | Establezca solo si el parámetro CrossMailboxOperations es True. Especifica el SID del buzón de correo de destino. |
| DestMailboxOwnerUPN | Establezca solo si el parámetro CrossMailboxOperations es True. Especifica el UPN del propietario del buzón de correo de destino. |
| DestFolder | La carpeta de destino, para operaciones como Mover. |
| Carpeta | La carpeta donde se encuentra un grupo de elementos. |
| Carpetas | Información sobre las carpetas de origen implicadas en una operación; por ejemplo, si las carpetas están seleccionadas y después se eliminan. |
Base de SharePoint
Estas propiedades son comunes a todos los registros de SharePoint.
| Propiedad | Descripción |
|---|---|
| Carga de trabajo de oficina | SharePoint |
| Carga de Trabajo de Oficina | SharePoint |
| FuenteDeEventos | Identifica que un evento se produjo en SharePoint. Los valores posibles son SharePoint o ObjectModel. |
| Tipo de elemento | El tipo de objeto al que se ha accedido o modificado. Consulte la tabla ItemType para obtener detalles sobre los tipos de objetos. |
| MachineDomainInfo | Información sobre las operaciones de sincronización del dispositivo. Esta información se registra solo si está presente en la solicitud. |
| ID de Máquina | Información sobre las operaciones de sincronización del dispositivo. Esta información se registra solo si está presente en la solicitud. |
| Sitio_ | El GUID del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. |
| Source_Name | La entidad que ha activado la operación auditada. Los valores posibles son SharePoint o ObjectModel. |
| Agente de usuario (UserAgent) | Información sobre el cliente o el explorador del usuario. Esta información la proporciona el cliente o el explorador. |
Esquema de SharePoint
Estos registros se crean cuando se realizan cambios de configuración en SharePoint.
| Propiedad | Descripción |
|---|---|
| Carga de Trabajo de Oficina | SharePoint |
| Carga de Trabajo de Oficina | SharePoint |
| EventoPersonalizado | Cadena opcional para eventos personalizados. |
| Datos_Evento | Carga opcional para los eventos personalizados. |
| Propiedades Modificadas | La propiedad se incluye para los eventos de administración, como agregar un usuario como miembro de un sitio o un grupo de administradores de colección de sitios. La propiedad incluye el nombre de la propiedad modificada (por ejemplo, el grupo de administradores del sitio), el nuevo valor de la propiedad modificada (como el usuario agregado como administrador de sitio) y el valor anterior del objeto modificado. |
Operaciones de archivos de SharePoint
Estos registros se crean en respuesta a las operaciones de archivo en SharePoint.
| Propiedad | Descripción |
|---|---|
| Carga de Trabajo de Oficina | SharePoint |
| Carga de trabajo de oficina | OperaciónDeArchivoDeSharePoint |
| DestinationFileExtension | La extensión del archivo que se copia o mueve. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved. |
| NombreDeArchivoDestino | El nombre del archivo que se copia o mueve. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved. |
| URL relativo de destino | La dirección URL de la carpeta de destino donde se copia o se mueve un archivo. La combinación de los valores de los parámetros SiteURL, DestinationRelativeURL y DestinationFileName es el mismo que el valor de la propiedad ObjectID, que es el nombre de ruta de acceso completo para el archivo que se copió. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved. |
| TipoDeCompartición | El tipo de permisos de uso compartido que se asignan al usuario con el que se compartió el recurso. Este usuario se identifica mediante el parámetro UserSharedWith. |
| Site_Url | La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. |
| SourceFileExtension | La extensión del archivo al que obtuvo acceso el usuario. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta. |
| NombreDelArchivoFuente | El nombre del archivo o carpeta al que obtuvo acceso el usuario. |
| URLRelativaDeOrigen | La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario. La combinación de los valores de los parámetros SiteURL, SourceRelativeURL y SourceFileName es el mismo que el valor de la propiedad ObjectID, que es el nombre de ruta de acceso completo para el archivo al que accede el usuario. |
| UserSharedWith | El usuario con el que se compartió un recurso. |
Consultas de registros de ejemplo
En la tabla siguiente se proporcionan consultas de registro de ejemplo para los registros de actualización recopilados por esta solución.
| Consulta | Descripción |
|---|---|
| Recuento de todas las operaciones de su suscripción de Office 365 | OfficeActivity | summarize count() by Operation |
| Uso de sitios de SharePoint | OfficeActivity | where OfficeWorkload =~ "sharepoint" | summarize count() by SiteUrl | ordenar por Count asc |
| Operaciones de acceso a archivos por tipo de usuario | OfficeActivity | resumir contar() por TipoDeUsuario |
| Supervisión de acciones externas en Exchange | OfficeActivity | donde OfficeWorkload =~ "exchange" y ExternalAccess == true |
Pasos siguientes
- Utilice consultas de registros en Azure Monitor para visualizar los datos de actualización detallados.
- Cree sus propios paneles para mostrar sus consultas de búsqueda favoritas de Office 365.
- Cree alertas para recibir notificaciones proactivas de actividades importantes de Office 365.