Événement
Créer des applications et des agents IA
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantOfficeActivity
Journaux d’audit pour les abonnés à Office 365 collectés par Azure Sentinel. Y compris les journaux Exchange, SharePoint et Teams.
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | AzureSentinelPrivatePreview, SecurityInsights |
| Journal de base | Non |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
| Colonne | Type | Description |
|---|---|---|
| AADGroupId | string | ID de groupe Azure Active Directory |
| AADTarget | string | Utilisateur sur lequel l’action (identifiée par la propriété Operation) a été effectuée sur |
| Activité | string | Activité effectuée par l’utilisateur. |
| Acteur | string | L'utilisateur ou le principal du service qui a effectué l'action |
| ActorContextId | string | GUID de l’organisation à laquelle appartient l’acteur |
| ActorIpAddress | string | Adresse IP de l’acteur au format d’adresse IPV4 ou IPV6 |
| AddOnGuid | string | Identificateur unique du module complémentaire généré par cet événement |
| AddonName | string | Nom du module complémentaire qui a généré cet événement |
| AddOnType | string | Type de module complémentaire qui a généré cet événement |
| AffectedItems | string | Informations sur chaque élément du groupe |
| AppDistributionMode | string | Mode de distribution d’application |
| AppId | string | ID de l'application |
| Application | string | Nom de l’application |
| ApplicationId | string | ID d’application SharePoint |
| AppPoolName | string | Nom du pool d’applications |
| AzureActiveDirectory_EventType | string | Type d’événement Azure AD |
| AzureADAppId | string | ID Azure AD d’application Teams |
| _BilledSize | real | Taille de l’enregistrement en octets |
| ChannelGuid | string | Identificateur unique du canal audité |
| ChannelName | string | Nom du canal audité |
| ChannelType | string | Type de canal audité (Standard/Privé) |
| ChatName | string | Nom de la conversation |
| ChatThreadId | string | ID du fil de conversation |
| Client | string | Détails sur l’appareil client, le système d’exploitation de l’appareil et le navigateur d’appareil utilisés pour l’événement de connexion de compte |
| Client_IPAddress | string | Adresse IP de l’appareil utilisé lors de la journalisation de l’opération |
| ClientAppId | string | ID application cliente |
| ClientInfoString | string | Informations sur le client de messagerie utilisé pour effectuer l’opération |
| ClientIP | string | Adresse IP de l’appareil utilisé lors de la journalisation de l’activité |
| ClientMachineName | string | Nom de l’ordinateur qui héberge le client Outlook |
| ClientProcessName | string | Client de messagerie utilisé pour accéder à la boîte aux lettres |
| ClientVersion | string | Version du client de messagerie |
| CommunicationType | string | Type de communications effectuées |
| CrossMailboxOperations | bool | Indique si l’opération implique plusieurs boîtes aux lettres |
| CustomEvent | string | Chaîne facultative pour les événements personnalisés |
| DataCenterSecurityEventType | int | Type d’événement dmdlet dans la zone de verrouillage |
| DestFolder | string | Dossier de destination |
| DestinationFileExtension | string | Extension de fichier d’un fichier copié ou déplacé |
| DestinationFileName | string | Nom du fichier copié ou déplacé |
| DestinationRelativeUrl | string | URL du dossier de destination où un fichier est copié ou déplacé |
| DestMailboxId | string | Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerMasterAccountSid | string | Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerSid | string | Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerUPN | string | Définir uniquement si le paramètre CrossMailboxOperations a la valeur True |
| EffectiveOrganization | string | Nom du locataire auquel l’élévation/applet de commande a été ciblée |
| ElevationApprovedTime | DATETIME | Horodatage pour lequel l’élévation a été approuvée |
| ElevationApprover | string | Nom d’un responsable Microsoft |
| ElevationDuration | int | Durée pendant laquelle l’élévation était active (en heures) |
| ElevationRequestId | string | Identificateur unique de la requête d’élévation |
| ElevationRole | string | Le rôle pour lequel l’élévation a été demandée |
| ElevationTime | DATETIME | Heure de début de l’élévation |
| Event_Data | string | Charge utile facultative pour les événements personnalisés |
| EventSource | string | Identifie qu’un événement s’est produit dans SharePoint. Les valeurs possibles sont SharePoint ou ObjectModel |
| ExtendedProperties | string | Propriétés étendues de l’événement Azure AD |
| ExternalAccess | string | Spécifie si l’applet de commande a été exécutée par un utilisateur de votre organisation |
| ExtraProperties | dynamic | Liste des propriétés supplémentaires |
| Dossier | string | Dossier où se trouve un groupe d’éléments |
| Dossiers | string | Informations sur les dossiers sources impliqués dans une opération |
| GenericInfo | string | Utilisé pour les commentaires et d’autres informations génériques |
| InternalLogonType | int | Réservé à une utilisation interne |
| InterSystemsId | string | GUID qui suit les actions entre les composants du service Office 365 |
| IntraSystemId | string | GUID généré par Azure Active Directory pour suivre l’action |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsManagedDevice | bool | Indique si l’opération a été créée par un appareil géré par l’organisation |
| IssuedAtTime | DATETIME | Émis à l’emplacement défini si le jeton Microsoft Entra est disponible pour la demande et indique quand l’authentification pour ce jeton Microsoft Entra s’est produite. |
| Article | string | Représente l’élément sur lequel l’opération a été effectuée |
| ItemName | string | Chaîne dans le champ Objet du message électronique |
| ItemType | string | Le type d’objet qui a été ouvert ou modifié. Pour plus d’informations sur les types d’objets, consultez la table ItemType |
| LoginStatus | int | Cette propriété est directement issue de OrgIdLogon.LoginStatus. Le mappage de différents échecs d’ouverture de session intéressants peut être effectué par des algorithmes d’alerte |
| Logon_Type | string | Indique le type d’utilisateur qui a accédé à la boîte aux lettres et effectué l’opération enregistrée |
| LogonUserDisplayName | string | Nom convivial de l’utilisateur qui a effectué l’opération |
| LogonUserSid | string | SID de l’utilisateur qui a effectué l’opération |
| MachineDomainInfo | string | Informations sur les opérations de synchronisation des appareils |
| MachineId | string | Informations sur les opérations de synchronisation des appareils |
| MailboxGuid | string | GUID Exchange de la boîte aux lettres accessible |
| MailboxOwnerMasterAccountSid | string | SID du compte propriétaire de boîte aux lettres |
| MailboxOwnerSid | string | SID du propriétaire de la boîte aux lettres |
| MailboxOwnerUPN | string | Adresse e-mail de la personne propriétaire de la boîte aux lettres accessible |
| Membres | dynamic | Liste des utilisateurs au sein d’une équipe |
| MessageId | string | Identificateur d’un message de conversation ou de canal |
| ModifiedObjectResolvedName | string | Il s’agit du nom convivial de l’objet modifié par l’applet de commande |
| ModifiedProperties | string | La propriété est incluse pour les événements d’administration, tels que l’ajout d’un utilisateur en tant que membre d’un site ou d’un groupe d’administration de collection de sites |
| Nom | chaîne | Présente uniquement pour les événements de paramètres. Nom du paramètre qui a changé |
| NewValue | string | Présente uniquement pour les événements de paramètres. Nouvelle valeur du paramètre |
| OfficeId | string | Identificateur unique d’un enregistrement d’audit |
| OfficeObjectId | string | Pour l’activité SharePoint et OneDrive Entreprise |
| OfficeTenantId | string | ID de locataire Office |
| OfficeWorkload | string | Service Office 365 où l’activité s’est produite |
| OldValue | string | Présente uniquement pour les événements de paramètres. Ancienne valeur du paramètre |
| Opération | string | Nom de l’opération effectuée par l’utilisateur |
| OperationProperties | dynamic | Propriétés d’opération supplémentaires |
| OperationScope | string | L’étendue de l’opération a été effectuée sur |
| OrganizationId | string | Le GUID pour le client Office 365 de votre organisation. Cette valeur sera toujours la même pour votre organisation. |
| OrganizationName | string | Nom du locataire |
| OriginatingServer | string | Nom du serveur à partir duquel l’applet de commande a été exécutée |
| Paramètres | string | Nom et valeur de tous les paramètres utilisés avec l’applet de commande identifiée dans la propriété Operations |
| RecordType | string | Type d’opération indiqué par l’enregistrement. Pour plus d’informations sur les types d’enregistrements du journal d’audit, consultez la table AuditLogRecordType |
| _ResourceId | string | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| ResultReasonType | string | Motif du résultat signalé dans ResultType |
| ResultStatus | string | Indique si l’action (spécifiée dans la propriété Operation) a réussi ou non |
| SendAsUserMailboxGuid | string | GUID Exchange de la boîte aux lettres accessible pour envoyer un e-mail en tant que |
| SendAsUserSmtp | string | Adresse SMTP de l’utilisateur qui est emprunt d’identité |
| SendonBehalfOfUserMailboxGuid | string | GUID Exchange de la boîte aux lettres accessible pour envoyer du courrier pour le compte de |
| SendOnBehalfOfUserSmtp | string | Adresse SMTP de l’utilisateur au nom duquel l’e-mail est envoyé |
| SharingType | string | Le type d’autorisations de partage attribuées à l’utilisateur avec lequel la ressource a été partagée. Cet utilisateur est identifié par le paramètre UserSharedWith |
| Site_ | string | GUID du site où se trouve le fichier ou le dossier accessible par l’utilisateur |
| Site_Url | string | URL du site où se trouve le fichier ou le dossier accessible par l’utilisateur |
| Source_Name | string | L’entité qui a déclenché l’opération d’audit. Les valeurs possibles sont SharePoint ou ObjectModel |
| SourceFileExtension | string | Extension de fichier du fichier accessible par l’utilisateur |
| SourceFileName | string | Nom du fichier ou du dossier accessible par l’utilisateur |
| SourceRecordId | string | Identificateur unique d’un enregistrement d’audit |
| SourceRelativeUrl | string | URL du dossier qui contient le fichier accessible par l’utilisateur |
| SourceSystem | string | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| SRPolicyId | string | ID de stratégie |
| SRPolicyName | string | Nom de stratégie |
| SRRuleMatchDetails | dynamic | Détails de la règle |
| start_time | DATETIME | Date et heure à laquelle l’applet de commande a été exécutée |
| _SubscriptionId | string | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| SupportTicketId | string | ID du ticket de support client pour l’action dans les situations « act-on-behalf-of » |
| TabType | string | Type d’onglet qui a généré cet événement |
| TargetContextId | string | GUID de l’organisation à laquelle appartient l’utilisateur ciblé |
| TargetUserId | string | ID d’utilisateur cible |
| TargetUserOrGroupName | string | Stocke l’UPN ou le nom de l’utilisateur ou du groupe cible avec lequel une ressource a été partagée |
| TargetUserOrGroupType | string | Identifie si l’utilisateur ou le groupe cible est membre, invité, groupe ou partenaire |
| TeamGuid | string | Identificateur unique de l’équipe auditée |
| TeamName | string | Nom de l’équipe auditée |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Date et heure en temps universel coordonné (UTC) lorsque l’utilisateur a effectué l’activité |
| Type | string | Le nom de la table |
| UniqueTokenId | string | UniqueTokenId est défini si le jeton Microsoft Entra est disponible pour la demande. Il s’agit d’un identificateur unique par jeton qui respecte la casse. |
| UserAgent | string | Agent utilisateur |
| UserDomain | string | Domaine de l’utilisateur |
| ID utilisateur | chaîne | UPN (nom d’utilisateur principal) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journalisation de l’enregistrement |
| UserKey | string | UN AUTRE ID pour l’utilisateur identifié dans la propriété UserId |
| UserSharedWith | string | Utilisateur avec lequel une ressource a été partagée |
| UserType | string | Le type d’utilisateur qui a effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez la table UserType |
Ressources supplémentaires
Formation
Module
Badanie zagrożeń przy użyciu uniwersalnego dziennika inspekcji usługi Microsoft Purview (UAL)
Certification
Certyfikat firmy Microsoft: Współpracownik analityka operacji zabezpieczeń - Certifications
Badanie, wyszukiwanie i eliminowanie zagrożeń przy użyciu usług Microsoft Sentinel, Microsoft Defender for Cloud i Microsoft 365 Defender.