OfficeActivity
Journaux d’audit pour les abonnés à Office 365 collectés par Azure Sentinel. Y compris les journaux Exchange, SharePoint et Teams.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | AzureSentinelPrivatePreview, SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AADGroupId | string | ID de groupe Azure Active Directory |
| AADTarget | string | Utilisateur sur lequel l’action (identifiée par la propriété Operation) a été effectuée |
| Activité | string | Activité effectuée par l’utilisateur. |
| Acteur | string | L'utilisateur ou le principal du service qui a effectué l'action |
| ActorContextId | string | GUID du organization auquel appartient l’acteur |
| ActorIpAddress | string | Adresse IP de l’acteur au format d’adresse IPV4 ou IPV6 |
| AddOnGuid | string | Identificateur unique du module complémentaire généré cet événement |
| AddonName | string | Nom du module complémentaire qui a généré cet événement |
| AddOnType | string | Type de module complémentaire qui a généré cet événement |
| AffectedItems | string | Informations sur chaque élément du groupe |
| AppDistributionMode | string | Mode de distribution d’applications |
| AppId | string | ID de l'application |
| Application | string | Nom de l’application |
| ApplicationId | string | ID d’application SharePoint |
| AzureActiveDirectory_EventType | string | Type d’événement Azure AD |
| AzureADAppId | string | ID Azure AD de l’application Teams |
| _BilledSize | real | Taille de l’enregistrement en octets |
| ChannelGuid | string | Identificateur unique du canal en cours d’audit |
| ChannelName | string | Nom du canal en cours d’audit |
| ChannelType | string | Type de canal audité (Standard/Privé) |
| ChatName | string | Nom de la conversation |
| ChatThreadId | string | ID du thread de conversation |
| Client | string | Détails sur l’appareil client, le système d’exploitation de l’appareil et le navigateur de l’appareil qui a été utilisé pour l’événement de connexion au compte |
| Client_IPAddress | string | Adresse IP de l’appareil utilisé lors du journal de l’opération |
| ClientAppId | string | ID d’application cliente |
| ClientInfoString | string | Informations sur le client de messagerie utilisé pour effectuer l’opération |
| ClientIP | string | Adresse IP de l’appareil utilisé lors de la journalisation de l’activité |
| ClientMachineName | string | Nom de l’ordinateur qui héberge le client Outlook |
| ClientProcessName | string | Client de messagerie utilisé pour accéder à la boîte aux lettres |
| ClientVersion | string | Version du client de messagerie |
| CommunicationType | string | Type de communications qui ont été effectuées |
| CrossMailboxOperations | bool | Indique si l’opération a impliqué plusieurs boîtes aux lettres |
| CustomEvent | string | Chaîne facultative pour les événements personnalisés |
| DataCenterSecurityEventType | int | Type d’événement dmdlet dans la zone de verrouillage |
| DestFolder | string | Dossier de destination |
| DestinationFileExtension | string | Extension de fichier d’un fichier copié ou déplacé |
| DestinationFileName | string | Nom du fichier copié ou déplacé |
| DestinationRelativeUrl | string | URL du dossier de destination dans lequel un fichier est copié ou déplacé |
| DestMailboxId | string | Défini uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerMasterAccountSid | string | Défini uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerSid | string | Défini uniquement si le paramètre CrossMailboxOperations a la valeur True |
| DestMailboxOwnerUPN | string | Défini uniquement si le paramètre CrossMailboxOperations a la valeur True |
| EffectiveOrganization | string | Nom du locataire auquel l’élévation/l’applet de commande a été ciblée |
| ElevationApprovedTime | DATETIME | Horodatage du moment où l’élévation a été approuvée |
| ElevationApprover | string | Nom d’un responsable Microsoft |
| ElevationDuration | int | Durée pendant laquelle l’élévation a été active (en Heures) |
| ElevationRequestId | string | Identificateur unique pour la demande d’élévation |
| ElevationRole | string | Rôle pour lequel l’élévation a été demandée |
| ElevationTime | DATETIME | Heure de début de l’élévation |
| Event_Data | string | Charge utile facultative pour les événements personnalisés |
| EventSource | string | Identifie qu’un événement s’est produit dans SharePoint. Les valeurs possibles sont SharePoint ou ObjectModel |
| ExtendedProperties | string | Propriétés étendues de l’événement Azure AD |
| ExternalAccess | string | Spécifie si l’applet de commande a été exécutée par un utilisateur dans votre organization |
| ExtraPropriétés | dynamique | Liste des propriétés supplémentaires |
| Dossier | string | Dossier dans lequel se trouve un groupe d’éléments |
| Dossiers | string | Informations sur les dossiers sources impliqués dans une opération |
| GenericInfo | string | Utilisé pour les commentaires et autres informations génériques |
| InternalLogonType | int | Réservé à un usage interne |
| InterSystemsId | string | GUID qui effectue le suivi des actions entre les composants du service Office 365 |
| IntraSystemId | string | GUID généré par Azure Active Directory pour suivre l’action |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable l’ingestion n’est false pas facturée à votre compte Azure |
| IsManagedDevice | bool | Indique si l’opération a été créée par un appareil géré par le organization |
| Élément | string | Représente l’élément sur lequel l’opération a été effectuée |
| ItemName | string | Chaîne dans le champ Objet du message électronique |
| itemType | string | Le type d’objet qui a été ouvert ou modifié. Pour plus d’informations sur les types d’objets, consultez la table ItemType. |
| LoginStatus | int | Cette propriété est directement issue de OrgIdLogon.LoginStatus. Le mappage de différents échecs d’ouverture de session intéressants pourrait être effectué en alertant des algorithmes |
| Logon_Type | string | Indique le type d’utilisateur qui a accédé à la boîte aux lettres et effectué l’opération enregistrée |
| LogonUserDisplayName | string | Nom convivial de l’utilisateur qui a effectué l’opération |
| LogonUserSid | string | SID de l’utilisateur qui a effectué l’opération |
| MachineDomainInfo | string | Informations sur les opérations de synchronisation des appareils |
| MachineId | string | Informations sur les opérations de synchronisation des appareils |
| MailboxGuid | string | GUID Exchange de la boîte aux lettres accessible |
| MailboxOwnerMasterAccountSid | string | SID du compte master du propriétaire de boîte aux lettres |
| MailboxOwnerSid | string | SID du propriétaire de la boîte aux lettres |
| MailboxOwnerUPN | string | Adresse e-mail de la personne propriétaire de la boîte aux lettres consultée |
| Membres | dynamique | Liste d’utilisateurs au sein d’une équipe |
| MessageId | string | Identificateur d’un message de conversation ou de canal |
| ModifiedObjectResolvedName | string | Il s’agit du nom convivial de l’objet qui a été modifié par l’applet de commande |
| ModifiedProperties | string | La propriété est incluse pour les événements d’administration, tels que l’ajout d’un utilisateur en tant que membre d’un site ou d’un groupe d’administrateurs de collection de sites |
| Nom | string | Présent uniquement pour les événements de paramètres. Nom du paramètre modifié |
| NewValue | string | Présent uniquement pour les événements de paramètres. Nouvelle valeur du paramètre |
| OfficeId | string | Identificateur unique d’un enregistrement d’audit |
| OfficeObjectId | string | Pour l’activité SharePoint et OneDrive Entreprise |
| OfficeTenantId | string | ID de locataire Office |
| OfficeWorkload | string | Service Office 365 où l’activité s’est produite |
| OldValue | string | Présent uniquement pour les événements de paramètres. Ancienne valeur du paramètre |
| Opération | string | Nom de l’opération effectuée par l’utilisateur |
| OperationProperties | dynamique | Propriétés d’opération supplémentaires |
| OperationScope | string | Étendue sur laquelle l’opération a été effectuée |
| OrganizationId | string | Le GUID pour le client Office 365 de votre organisation. Cette valeur sera toujours la même pour votre organization |
| OrganizationName | string | Nom du locataire |
| OriginatingServer | string | Nom du serveur à partir duquel l’applet de commande a été exécutée |
| Paramètres | string | Nom et valeur de tous les paramètres utilisés avec l’applet de commande identifiée dans la propriété Operations |
| RecordType | string | Type d’opération indiqué par l’enregistrement. Pour plus d’informations sur les types d’enregistrements de journal d’audit, consultez la table AuditLogRecordType |
| _ResourceId | string | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| ResultReasonType | string | Raison du résultat signalé dans ResultType |
| ResultStatus | string | Indique si l’action (spécifiée dans la propriété Operation) a réussi ou non |
| SendAsUserMailboxGuid | string | GUID Exchange de la boîte aux lettres accessible pour envoyer un e-mail en tant que |
| SendAsUserSmtp | string | Adresse SMTP de l’utilisateur en cours d’emprunt d’identité |
| SendonBehalfOfUserMailboxGuid | string | GUID Exchange de la boîte aux lettres accessible pour envoyer des messages pour le compte de |
| SendOnBehalfOfUserSmtp | string | Adresse SMTP de l’utilisateur au nom duquel l’e-mail est envoyé |
| SharingType | string | Le type d’autorisations de partage attribuées à l’utilisateur avec lequel la ressource a été partagée. Cet utilisateur est identifié par le paramètre UserSharedWith |
| Site_ | string | GUID du site où se trouve le fichier ou le dossier auquel l’utilisateur accède |
| Site_Url | string | URL du site où se trouve le fichier ou le dossier auquel l’utilisateur a accédé |
| Source_Name | string | L’entité qui a déclenché l’opération d’audit. Les valeurs possibles sont SharePoint ou ObjectModel |
| SourceFileExtension | string | Extension de fichier du fichier auquel l’utilisateur a accédé |
| SourceFileName | string | Nom du fichier ou dossier auquel l’utilisateur a accédé |
| SourceRecordId | string | Identificateur unique d’un enregistrement d’audit |
| SourceRelativeUrl | string | URL du dossier qui contient le fichier accessible par l’utilisateur |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| SRPolicyId | string | ID de stratégie |
| SRPolicyName | string | Nom de stratégie |
| SRRuleMatchDetails | dynamique | Détails de la règle |
| start_time | DATETIME | Date et heure auxquelles l’applet de commande a été exécutée |
| _SubscriptionId | string | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| SupportTicketId | string | ID de ticket de support client pour l’action dans les situations « agir pour le compte de » |
| TabType | string | Type d’onglet qui a généré cet événement |
| TargetContextId | string | GUID du organization auquel appartient l’utilisateur ciblé |
| TargetUserId | string | ID d’utilisateur cible |
| TargetUserOrGroupName | string | Stocke l’UPN ou le nom de l’utilisateur ou du groupe cible avec lequel une ressource a été partagée |
| TargetUserOrGroupType | string | Identifie si l’utilisateur ou le groupe cible est un membre, un invité, un groupe ou un partenaire |
| TeamGuid | string | Identificateur unique de l’équipe en cours d’audit |
| NomÉquipe | string | Nom de l’équipe en cours d’audit |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Date et heure en temps universel coordonné (UTC) auxquelles l’utilisateur a effectué l’activité |
| Type | string | Le nom de la table |
| UserAgent | string | Agent utilisateur |
| UserDomain | string | Domaine de l’utilisateur |
| UserId | string | UPN (Nom d’utilisateur principal) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement |
| UserKey | string | Autre ID pour l’utilisateur identifié dans la propriété UserId |
| UserSharedWith | string | Utilisateur avec lequel une ressource a été partagée |
| UserType | string | Le type d’utilisateur qui a effectué l’opération. Consultez le tableau UserType pour plus d’informations sur les types d’utilisateurs. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour