Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Mise à jour de la solution
Cette solution a été remplacée par la solution de disponibilité générale Office 365 dans Microsoft Sentinel et la solution de création de rapports et de surveillance Azure AD. Ensemble, ils fournissent une version mise à jour de la solution Office 365 Azure Monitor précédente avec une expérience de configuration améliorée. Vous pouvez continuer à utiliser la solution existante jusqu’au 31 octobre 2020.
Microsoft Sentinel est une solution de gestion des informations et des événements de sécurité (SIEM) native au cloud, qui ingère les journaux d’activité et fournit des fonctionnalités SIEM supplémentaires, notamment les détections, les enquêtes, l'analyse proactive des menaces et les insights pilotés par l'apprentissage automatique. L'utilisation de Microsoft Sentinel vous permettra désormais de collecter les journaux d'activité de SharePoint Office 365 et de gestion d'Exchange.
La création de rapports Azure AD fournit une vue plus complète des journaux d’activité Azure AD dans votre environnement, notamment les événements de connexion, les événements d’audit et les modifications apportées à votre annuaire. Pour connecter les journaux Azure AD, vous pouvez utiliser le connecteur Microsoft Sentinel Azure AD ou configurer l’intégration des journaux Azure AD à Azure Monitor.
La collection de journaux Azure AD est soumise à la tarification d’Azure Monitor. Pour plus d’informations, consultez la tarification d’Azure Monitor .
Pour utiliser la solution Microsoft Sentinel Office 365 :
- L’utilisation du connecteur Office 365 dans Microsoft Sentinel affecte la tarification de votre espace de travail. Pour plus d’informations, consultez la tarification de Microsoft Sentinel.
- Si vous utilisez déjà la solution Office 365 d’Azure Monitor, vous devez d’abord la désinstaller à l’aide du script dans la section Désinstaller ci-dessous.
- Activez la solution Microsoft Sentinel sur votre espace de travail.
- Accédez à la page Connecteurs de données dans Microsoft Sentinel et activez le connecteur Office 365 .
Questions fréquentes
Q : Est-il possible d’intégrer la solution Office 365 Azure Monitor entre maintenant et le 31 octobre ?
Non, les scripts d’intégration de la solution Office 365 Azure Monitor ne sont plus disponibles. La solution sera supprimée le 31 octobre.
Q : Les tables et les schémas seront-ils modifiés ?
Le nom et le schéma de la table OfficeActivity restent identiques à ceux de la solution actuelle. Vous pouvez continuer à utiliser les mêmes requêtes dans la nouvelle solution, à l’exception des requêtes qui référencent des données Azure AD.
Les nouveaux journaux de la solution de création de rapports et de surveillance Azure AD seront ingérés dans les tables SigninLogs et AuditLogs au lieu d’OfficeActivity. Pour plus d’informations, consultez comment analyser les journaux Azure AD, qui sont également pertinents pour les utilisateurs de Microsoft Sentinel et d’Azure Monitor.
Voici des exemples pour convertir des requêtes d’OfficeActivity en SigninLogs :
Requêtes d'échecs de connexion, par utilisateur :
OfficeActivity
| where TimeGenerated >= ago(1d)
| where OfficeWorkload == "AzureActiveDirectory"
| where Operation == 'UserLoginFailed'
| summarize count() by UserId
SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName
Afficher les opérations Azure AD :
OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation
AuditLogs
| summarize count() by OperationName
Q : Comment puis-je intégrer Microsoft Sentinel ?
Microsoft Sentinel est une solution que vous pouvez activer sur un espace de travail Log Analytics nouveau ou existant. Pour en savoir plus, consultez la documentation sur l’intégration de Microsoft Sentinel.
Q : Ai-je besoin de Microsoft Sentinel pour relier les journaux Azure AD ?
Vous pouvez configurer l’intégration des journaux Azure AD avec Azure Monitor, qui n’a aucun lien avec la solution Microsoft Sentinel. Microsoft Sentinel fournit un connecteur natif et du contenu prêt à l'emploi pour les journaux Azure AD. Pour plus d’informations, consultez la question ci-dessous sur le contenu à orientation sécurité prêt à l'emploi.
Q : Quelles sont les différences lors de la connexion des journaux Azure AD à partir de Microsoft Sentinel et d’Azure Monitor ?
Microsoft Sentinel et Azure Monitor se connectent aux journaux Azure AD en fonction de la même solution de création de rapports et de surveillance Azure AD. Microsoft Sentinel fournit un connecteur natif en un clic qui connecte les mêmes données et fournit des informations de surveillance.
Q : Que dois-je modifier lors du passage aux nouvelles tables de création de rapports et de surveillance Azure AD ?
Toutes les requêtes utilisant des données Azure AD, notamment des requêtes dans des alertes, des tableaux de bord et tout contenu que vous avez créé à l’aide de données Azure AD Office 365, doivent être recréées à l’aide des nouvelles tables.
Microsoft Sentinel et Azure AD fournissent du contenu intégré que vous pouvez utiliser lors du passage à la solution de création de rapports et de supervision Azure AD. Pour plus d’informations, consultez la question suivante sur le contenu orienté sécurité prêt à l’emploi et sur l’utilisation des classeurs Azure Monitor pour les rapports Azure Active Directory.
Q : Comment puis-je utiliser les contenus axés sur la sécurité prêts à l'emploi de Microsoft Sentinel ?
Microsoft Sentinel fournit des tableaux de bord orientés sécurité prêtes à l’emploi, des requêtes d’alerte personnalisées, des requêtes de repérage, des requêtes d’investigation et des fonctionnalités de réponse automatisée basées sur les journaux Office 365 et Azure AD. Explorez la communauté GitHub Microsoft Sentinel et les didacticiels pour en savoir plus :
- Détecter les menaces immédiatement opérationnelles
- Créer des règles analytiques personnalisées pour détecter les menaces suspectes
- Surveiller vos données
- Examiner les incidents avec Microsoft Sentinel
- Configurer des réponses automatisées aux menaces dans Microsoft Sentinel
- Communauté GitHub Microsoft Sentinel
Q : Microsoft Sentinel fournit-t-il des connecteurs supplémentaires dans le cadre de la solution ?
Oui, consultez Connexion des sources de données à Microsoft Sentinel.
Q : Que se passera-t-il le 31 octobre ? Dois-je effectuer le processus de départ au préalable ?
- Vous ne pourrez pas recevoir de données de la solution Office365 . La solution sera supprimée de votre espace de travail et ne sera plus disponible sur la Place de marché.
- Pour les clients Microsoft Sentinel, la solution d’espace de travail Log Analytics Office365 sera incluse dans la solution Microsoft Sentinel SecurityInsights .
- Si vous ne désactivez pas manuellement votre solution d’octobre 31, vos données seront déconnectées automatiquement et la table OfficeActivity supprimée. Dans ce cas, vous pourrez toujours restaurer la table lorsque vous activez le connecteur Office 365 dans Microsoft Sentinel, comme expliqué ci-dessous.
Q : Mes données sont-elles transférées vers la nouvelle solution ?
Oui. Lorsque vous supprimez la solution Office 365 de votre espace de travail, ses données deviennent temporairement indisponibles, car le schéma est supprimé. Lorsque vous activez le nouveau connecteur Office 365 dans Microsoft Sentinel, le schéma est restauré dans l’espace de travail et toutes les données déjà collectées seront disponibles.
La solution de gestion Office 365 vous permet de surveiller votre environnement Office 365 dans Azure Monitor.
- Surveillez les activités des utilisateurs sur vos comptes Office 365 pour analyser les modèles d’utilisation et identifier les tendances comportementales. Par exemple, vous pouvez extraire des scénarios d’utilisation spécifiques, tels que des fichiers partagés en dehors de votre organisation ou les sites SharePoint les plus populaires.
- Surveillez les activités d’administrateur pour suivre les modifications de configuration ou les opérations à privilèges élevés.
- Détectez et examinez le comportement de l’utilisateur indésirable, qui peut être personnalisé pour vos besoins organisationnels.
- Démontrer l’audit et la conformité. Par exemple, vous pouvez surveiller les opérations d’accès aux fichiers confidentiels, ce qui peut vous aider à suivre le processus d’audit et de conformité.
- Réalisez un dépannage opérationnel en utilisant les requêtes de journal sur les données d'activité Office 365 de votre organisation.
Désinstaller
Vous pouvez supprimer la solution de gestion Office 365 à l’aide du processus de suppression d’une solution de gestion. Cela n'empêchera pas pour autant la collecte de données d'Office 365 dans Azure Monitor. Suivez la procédure ci-dessous pour vous désabonner d’Office 365 et arrêter de collecter des données.
Enregistrez le script suivant en tant queoffice365_unsubscribe.ps1.
param ( [Parameter(Mandatory=$True)][string]$WorkspaceName, [Parameter(Mandatory=$True)][string]$ResourceGroupName, [Parameter(Mandatory=$True)][string]$SubscriptionId, [Parameter(Mandatory=$True)][string]$OfficeTennantId, [Parameter(Mandatory=$True)][string]$clientId, [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id ) $line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------' $line IF ($Subscription -eq $null) {Login-AzAccount -ErrorAction Stop} $Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop) $Subscription $option = [System.StringSplitOptions]::RemoveEmptyEntries $Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop) $Workspace $WorkspaceLocation= $Workspace.Location # Client ID for Azure PowerShell # Set redirect URI for Azure PowerShell $redirectUri = "urn:ietf:wg:oauth:2.0:oob" $domain='login.microsoftonline.com' $adTenant = $Subscription[0].Tenant.Id $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";' switch ($WorkspaceLocation) { "USGov Virginia" { $domain='login.microsoftonline.us'; $authority = "https://login.microsoftonline.us/$adTenant"; $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia default { $domain='login.microsoftonline.com'; $authority = "https://login.windows.net/$adTenant"; $ARMResource ="https://management.azure.com/";break} } Function RESTAPI-Auth { $global:SubscriptionID = $Subscription.SubscriptionId # Set Resource URI to Azure Service Management API $resourceAppIdURIARM=$ARMResource; # Authenticate and Acquire Token # Create Authentication Context tied to Azure AD Tenant $authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority # Acquire token $platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto" $global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters) $global:authResultARM.Wait() $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $authHeader } Function Office-UnSubscribe-Call{ #---------------------------------------------------------------------------------------------------------------------------------------------- $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader() $ResourceName = "https://manage.office.com" $SubscriptionId = $Subscription[0].Subscription.Id $OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_' + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview' $Officeparams = @{ ContentType = 'application/json' Headers = @{ 'Authorization'="$($authHeader)" 'x-ms-client-tenant-id'=$xms_client_tenant_Id 'Content-Type' = 'application/json' } Method = 'Delete' URI = $OfficeAPIUrl } $officeresponse = Invoke-WebRequest @Officeparams $officeresponse } #GetDetails RESTAPI-Auth -ErrorAction Stop Office-UnSubscribe-Call -ErrorAction StopExécutez le script avec la commande suivante :
.\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>Exemple:
.\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'
Vous êtes invité à entrer des informations d’identification. Fournissez les informations d’identification de votre espace de travail Log Analytics.
Collecte de données
La collecte initiale des données peut prendre quelques heures. Une fois qu’il commence à collecter, Office 365 envoie une notification de webhook avec des données détaillées à Azure Monitor chaque fois qu’un enregistrement est créé. Cet enregistrement est disponible dans Azure Monitor dans quelques minutes après avoir été reçu.
Utilisation de la solution
Les données collectées par cette solution de supervision sont disponibles dans la page Résumé de l’espace de travail (déconseillé) dans le portail Azure. Ouvrez cette page à partir des espaces de travail Log Analytics pour l’espace de travail avec votre solution, puis sélectionnez Résumé de l’espace de travail (déconseillé) dans la section Classique du menu. Chaque solution est représentée par une vignette. Sélectionnez une vignette pour obtenir des données plus détaillées collectées par cette solution.
Lorsque vous ajoutez la solution Office 365 à votre espace de travail Log Analytics, la vignette Office 365 est ajoutée à votre tableau de bord. Cette vignette affiche un nombre et une représentation graphique du nombre d’ordinateurs de votre environnement et de leur conformité aux mises à jour.
Cliquez sur la vignette Office 365 pour ouvrir le tableau de bord Office 365 .
Le tableau de bord inclut les colonnes du tableau suivant. Chaque colonne répertorie les dix principales alertes en fonction du nombre correspondant aux critères de cette colonne pour l’étendue et l’intervalle de temps spécifiés. Vous pouvez exécuter une recherche dans les journaux qui fournit la liste entière en cliquant sur Afficher tout en bas de la colonne ou en cliquant sur l’en-tête de colonne.
| Colonne | Descriptif |
|---|---|
| Opérations | Fournit des informations sur les utilisateurs actifs de vos abonnements Office 365 surveillés. Vous pourrez également voir le nombre d’activités qui se produisent au fil du temps. |
| Échange | Affiche la répartition des activités Exchange Server telles que l’autorisation Add-Mailbox ou la commande Set-Mailbox. |
| SharePoint | Affiche les principales activités que les utilisateurs effectuent sur les documents SharePoint. Lorsque vous explorez cette vignette, la page de recherche affiche les détails de ces activités, tels que le document cible et l’emplacement de cette activité. Par exemple, pour un événement File Accessed, vous serez en mesure de voir le document accessible, son nom de compte associé et son adresse IP. |
| Azure Active Directory | Inclut les principales activités utilisateur, telles que réinitialiser le mot de passe utilisateur et les tentatives de connexion. Lorsque vous approfondissez, vous pourrez voir les détails de ces activités, tels que l'état du résultat. Cela est principalement utile si vous souhaitez surveiller les activités suspectes sur votre Azure Active Directory. |
Les enregistrements de journaux de Azure Monitor
Tous les enregistrements créés dans l’espace de travail Log Analytics dans Azure Monitor par la solution Office 365 ont un Type de OfficeActivity. La propriété OfficeWorkload détermine le service Office 365 auquel l’enregistrement fait référence : Exchange, AzureActiveDirectory, SharePoint ou OneDrive. La propriété RecordType spécifie le type d’opération. Les propriétés varient pour chaque type d’opération et sont affichées dans les tableaux ci-dessous.
Propriétés communes
Les propriétés suivantes sont communes à tous les enregistrements Office 365.
| Propriété | Descriptif |
|---|---|
| Catégorie | OfficeActivity |
| IP du Client | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. |
| Charge de travail de bureau | Service Office 365 auquel l’enregistrement fait référence. AzureActiveDirectory Échange SharePoint |
| Opération | Nom de l’activité de l’utilisateur ou de l’administrateur. |
| Identifiant de l'Organisation | Le GUID pour le locataire Office 365 de votre organisation. Cette valeur sera toujours identique pour votre organisation, quel que soit le service Office 365 concerné. |
| Type d'enregistrement | Type d’opération effectuée. |
| Statut du Résultat | Indique si l’action (indiquée dans la propriété Opération) a réussi ou non. Les valeurs possibles sont Réussi, PartiellementRéussi ou Échoué. Pour l’activité d’administrateur Exchange, la valeur est True ou False. |
| ID utilisateur | UPN (nom d’utilisateur principal) de l’utilisateur qui a effectué l’action qui a entraîné la journalisation de l’enregistrement ; par exemple, my_name@my_domain_name. Notez que les enregistrements pour l’activité effectuée par les comptes système (tels que SHAREPOINT\system ou NTAUTHORITY\SYSTEM) sont également inclus. |
| Clé utilisateur | Autre ID pour l’utilisateur identifié dans la propriété UserId. Par exemple, cette propriété est remplie avec l’ID unique de passeport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive Entreprise et Exchange. Cette propriété peut également spécifier la même valeur que la propriété UserID pour les événements qui se produisent dans d’autres services et événements effectués par des comptes système |
| Type d'utilisateur | Type d’utilisateur ayant effectué l’opération. Administrateur Application DcAdmin Régulier Réservé ServicePrincipal Système |
Azure Active Directory de base
Les propriétés suivantes sont communes à tous les enregistrements Azure Active Directory.
| Propriété | Descriptif |
|---|---|
| Charge de travail de bureau | AzureActiveDirectory |
| Type d'enregistrement | AzureActiveDirectory |
| AzureActiveDirectory_EventType | Type d’événement Azure AD. |
| Propriétés Étendues | Propriétés étendues de l’événement Azure AD. |
Ouverture de session du compte Azure Active Directory
Ces enregistrements sont créés lorsqu’un utilisateur Active Directory tente de se connecter.
| Propriété | Descriptif |
|---|---|
OfficeWorkload |
AzureActiveDirectory |
RecordType |
AzureActiveDirectoryAccountLogon |
Application |
Application qui déclenche l’événement de connexion au compte. Par exemple, Office 15. |
Client |
Détails sur le périphérique client, le système d’exploitation du périphérique et le navigateur du périphérique qui ont été utilisés pour l’événement de connexion au compte. |
LoginStatus |
Cette propriété provient directement de l’élément OrgIdLogon.LoginStatus. Le mappage de différents échecs de connexion intéressants peut être effectué à l’aide d’algorithmes d’alerte. |
UserDomain |
Informations sur l’identité du client (TII). |
Azure Active Directory
Ces enregistrements sont créés lorsque des modifications ou des ajouts sont apportés aux objets Azure Active Directory.
| Propriété | Descriptif |
|---|---|
| Charge de travail de bureau | AzureActiveDirectory |
| Type d'enregistrement | AzureActiveDirectory |
| AADTarget | L'utilisateur sur lequel l'action a été effectuée (identifiée par la propriété Operation). |
| Acteur | Utilisateur ou principal de service ayant exécuté l’action. |
| ActorContextId | Le GUID de l’organisation à laquelle appartient l’acteur. |
| AdresseIPdeL'Acteur | Adresse IP de l’acteur au format d’adresse IPV4 ou IPV6. |
| InterSystemsId | GUID qui suit les actions des composants du service Office 365. |
| IntraSystemId | GUID généré par Azure Active Directory pour effectuer le suivi de l’action. |
| Identifiant de Ticket de Support | ID de ticket de prise en charge de client pour l’action dans les situations « agir au nom d’un autre utilisateur ». |
| TargetContextId | Le GUID de l'organisation à laquelle appartient l'utilisateur ciblé. |
Sécurité du Centre de données
Ces enregistrements sont créés à partir des données d’audit data Center Security.
| Propriété | Descriptif |
|---|---|
| OrganisationEfficace | Nom du client sur lequel l’élévation/la cmdlet a été ciblée. |
| Heure d'Approbation de l'Élévation | Horodatage du moment où l’élévation a été approuvée. |
| Approbateur d'Élévation | Nom d’un responsable Microsoft. |
| Durée d'Élévation | Durée pendant laquelle l’élévation était active. |
| ElevationRequestId | Identificateur unique pour la demande d’élévation. |
| ElevationRole | Rôle pour lequel l’élévation a été demandée. |
| Temps d'Élévation | Heure de début de l’élévation. |
| Heure_de_Début | Heure de début de l’exécution de la cmdlet. |
Administrateur Exchange
Ces enregistrements sont créés lorsque des modifications sont apportées à la configuration Exchange.
| Propriété | Descriptif |
|---|---|
| Charge de travail de bureau | Échange |
| Type d'enregistrement | ExchangeAdmin |
| Accès Externe | Spécifie si la cmdlet a été exécutée par un utilisateur dans votre organisation, par le personnel du centre de données Microsoft ou par un compte de service du centre de données, ou par un administrateur délégué. La valeur False indique que l’applet de commande a été exécutée par une personne de votre organisation. La valeur True indique que l’applet de commande a été exécutée par le personnel du centre de données, un compte de service de centre de données ou un administrateur délégué. |
| NomDeL'objetRésoluModifié | Il s’agit du nom convivial de l’objet modifié par la cmdlet. Ce paramètre est enregistré uniquement si la cmdlet modifie l’objet. |
| Nom de l'Organisation | Nom du client. |
| Serveur d'origine | Nom du serveur à partir duquel la cmdlet a été exécutée. |
| Paramètres | Les nom et valeur de tous les paramètres utilisés avec le cmdlet identifié dans la propriété Operations. |
Boîte aux lettres Exchange
Ces enregistrements sont créés lorsque des modifications ou des ajouts sont apportés aux boîtes aux lettres Exchange.
| Propriété | Descriptif |
|---|---|
| Charge de travail de bureau | Échange |
| Type d'enregistrement | Élément d'échange |
| ClientInfoString | Informations sur le client de messagerie que vous avez utilisé pour effectuer l’opération, comme la version d’un navigateur, la version d’Outlook et les informations d’appareil mobile. |
| Client_IPAddress | Adresse IP du périphérique utilisé lors de la journalisation de l’opération. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. |
| ClientMachineName | Nom de l’ordinateur qui héberge le client Outlook. |
| ClientProcessName | Client de messagerie que vous avez utilisé pour accéder à la boîte aux lettres. |
| ClientVersion | Version du client de messagerie. |
| InternalLogonType | Réservé à une utilisation interne. |
| Type_de_connexion | Indique le type d’utilisateur ayant accédé à la boîte aux lettres et effectué l’opération qui a été enregistrée. |
| Nom d'affichage de l'utilisateur de connexion | Nom convivial de l’utilisateur ayant effectué l’opération. |
| LogonUserSid | SID de l’utilisateur ayant effectué l’opération. |
| MailboxGuid | GUID Exchange de la boîte aux lettres consultée. |
| MailboxOwnerMasterAccountSid | SID du compte principal associé au propriétaire de la boîte aux lettres. |
| MailboxOwnerSid | SID du propriétaire de la boîte aux lettres. |
| MailboxOwnerUPN | Adresse de messagerie du propriétaire de la boîte aux lettres consultée. |
Audit de boîte aux lettres Exchange
Ces enregistrements sont créés lorsqu’une entrée d’audit de boîte aux lettres est créée.
| Propriété | Descriptif |
|---|---|
| Charge de travail de bureau | Échange |
| Type d'enregistrement | Élément d'échange |
| Élément | Représente l’élément sur lequel l’opération a été effectuée. |
| EnvoyerCommeBoîteAuxLettresGuidUtilisateur | GUID Exchange de la boîte aux lettres consultée pour envoyer un message électronique. |
| SendAsUserSmtp (Envoyer en tant qu'utilisateur via SMTP) | Adresse SMTP de l’utilisateur qui est usurpé. |
| EnvoyersurBehalfOfUtilisateurBoîteAuxLettresGuid | GUID Exchange de la boîte aux lettres à laquelle on a accédé pour envoyer un message électronique au nom de quelqu'un d'autre. |
| SendOnBehalfOfUtilisateurSmtp | Adresse SMTP de l’utilisateur au nom duquel le message électronique est envoyé. |
Groupe d’audit de boîte aux lettres Exchange
Ces enregistrements sont créés lorsque des modifications ou des ajouts sont apportés aux groupes Exchange.
| Propriété | Descriptif |
|---|---|
| Charge de travail de bureau | Échange |
| Charge de travail de bureau | GroupeD'ÉlémentsÉchangeables |
| Éléments affectés | Informations sur chaque élément dans le groupe. |
| CrossMailboxOperations | Indique si l’opération a impliqué plusieurs boîtes aux lettres. |
| DestMailboxId (Id de boîte de destination) | Définissez uniquement si le paramètre CrossMailboxOperations a la valeur True. Indique le GUID de la boîte aux lettres cible. |
| DestMailboxOwnerMasterAccountSid | Définissez uniquement si le paramètre CrossMailboxOperations a la valeur True. Spécifie le SID du compte principal du propriétaire de la boîte aux lettres cible. |
| DestMailboxOwnerSid | Définissez uniquement si le paramètre CrossMailboxOperations a la valeur True. Indique le SID de la boîte aux lettres cible. |
| DestMailboxOwnerUPN | Définissez uniquement si le paramètre CrossMailboxOperations a la valeur True. Indique l’UPN du propriétaire de la boîte aux lettres cible. |
| DestFolder | Dossier de destination pour les opérations telles qu’un déplacement. |
| Dossier | Dossier où se trouve un groupe d’éléments. |
| Dossiers | Informations sur les dossiers source impliqués dans une opération. Par exemple, si les dossiers sont sélectionnés, puis supprimés. |
SharePoint Base
Ces propriétés sont communes à tous les enregistrements SharePoint.
| Propriété | Descriptif |
|---|---|
| Charge de travail de bureau | SharePoint |
| Charge de travail de bureau | SharePoint |
| EventSource | Identifie qu’un événement s’est produit dans SharePoint. Les valeurs possibles sont SharePoint ou ObjectModel. |
| Type d'article | Type d’objet consulté ou modifié. Pour plus d’informations sur les types d’objets, consultez la table ItemType. |
| MachineDomainInfo | Informations sur les opérations de synchronisation de périphérique. Ces informations sont signalées uniquement si elles figurent dans la demande. |
| Identifiant de machine | Informations sur les opérations de synchronisation de périphérique. Ces informations sont signalées uniquement si elles figurent dans la demande. |
| Site_ | GUID du site où se trouve le fichier ou le dossier consulté par l’utilisateur. |
| Source_Name | Entité qui a déclenché l’opération auditée. Les valeurs possibles sont SharePoint ou ObjectModel. |
| Agent utilisateur | Informations sur le navigateur ou le client de l’utilisateur. Ces informations sont fournies par le navigateur ou le client. |
Schéma SharePoint
Ces enregistrements sont créés lorsque des modifications de configuration sont apportées à SharePoint.
| Propriété | Descriptif |
|---|---|
| Charge de travail de bureau | SharePoint |
| Charge de travail de bureau | SharePoint |
| ÉvénementPersonnalisé | Chaîne facultative pour les événements personnalisés. |
| Données_Événement | Charge utile facultative pour les événements personnalisés. |
| ModifiedProperties | La propriété est incluse pour les événements d’administration, par exemple l’ajout d’un utilisateur en tant que membre d’un site ou d’un groupe d’administration d’une collection de sites. La propriété inclut le nom de la propriété modifiée (par exemple, le groupe d’administrateurs du site), la nouvelle valeur de la propriété modifiée (comme l’utilisateur qui a été ajouté en tant qu’administrateur du site) et la valeur précédente de l’objet modifié. |
Opérations de fichier SharePoint
Ces enregistrements sont créés en réponse aux opérations de fichier dans SharePoint.
| Propriété | Descriptif |
|---|---|
| Charge de travail de bureau | SharePoint |
| Charge de travail de bureau | SharePointFileOperation |
| DestinationFileExtension | Extension du fichier qui est copié ou déplacé. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved. |
| NomDuFichierDeDestination | Nom du fichier qui est copié ou déplacé. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved. |
| DestinationRelativeUrl | URL du dossier de destination dans lequel un fichier est copié ou déplacé. La combinaison des valeurs des paramètres SiteURL, DestinationRelativeURL et DestinationFileName est identique à la valeur de la propriété ObjectID, qui est le nom complet du chemin d’accès du fichier copié. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved. |
| TypeDePartage | Type des autorisations de partage qui ont été affectées à l’utilisateur avec lequel la ressource a été partagée. Cet utilisateur est identifié par le paramètre UserSharedWith. |
| Site_Url | URL du site où se trouve le fichier ou le dossier consulté par l’utilisateur. |
| SourceFileExtension | Extension du fichier consulté par l’utilisateur. Cette propriété est vide si l’objet consulté est un dossier. |
| SourceFileName | Nom du fichier ou du dossier consulté par l’utilisateur. |
| SourceRelativeUrl | URL du dossier contenant le fichier consulté par l’utilisateur. La combinaison des valeurs des paramètres SiteURL, SourceRelativeURL et SourceFileName est identique à la valeur de la propriété ObjectID, qui est le nom complet du chemin d’accès au fichier accessible par l’utilisateur. |
| UserSharedWith | Utilisateur avec lequel une ressource a été partagée. |
Exemples de requêtes de journal
Le tableau suivant fournit des exemples de requêtes de journal pour les enregistrements de mise à jour collectés par cette solution.
| Requête | Descriptif |
|---|---|
| Nombre d’opérations sur votre abonnement Office 365 | OfficeActivity | synthétiser count() par Opération |
| Utilisation des sites SharePoint | OfficeActivity | where OfficeWorkload =~ « sharepoint » | summarize count() by SiteUrl | trier par Count asc |
| Opérations d’accès aux fichiers par type d’utilisateur | OfficeActivity | résumer count() par TypeUtilisateur |
| Surveiller les actions externes sur Exchange | OfficeActivity | où OfficeWorkload =~ « exchange » et ExternalAccess == true |
Étapes suivantes
- Utilisez des requêtes de journal dans Azure Monitor pour afficher les données de mise à jour détaillées.
- Créez vos propres tableaux de bord pour afficher vos requêtes de recherche Office 365 préférées.
- Créez des alertes pour être averties de manière proactive des activités Office 365 importantes.