Office 365 solução de gestão no Azure (Pré-visualização)

  • Artigo

logótipo do Office 365

Importante

Atualização da solução

Esta solução foi substituída pela solução de Disponibilidade Geral Office 365 no Microsoft Sentinel e pela solução de relatórios e monitorização de Azure AD. Em conjunto, fornecem uma versão atualizada da solução anterior do Azure Monitor Office 365 com uma experiência de configuração melhorada. Pode continuar a utilizar a solução existente até 31 de outubro de 2020.

O Microsoft Sentinel é uma solução nativa de Informações e Gestão de Eventos de Segurança na cloud que ingere registos e fornece funcionalidades SIEM adicionais, incluindo deteções, investigações, informações orientadas para investigação e machine learning. A utilização do Microsoft Sentinel irá agora fornecer-lhe a ingestão de Office 365 atividades do SharePoint e registos de gestão do Exchange.

Azure AD relatórios fornece uma vista mais abrangente dos registos de Azure AD atividade no seu ambiente, incluindo eventos de início de sessão, eventos de auditoria e alterações ao diretório. Para ligar Azure AD registos, pode utilizar o conector de Azure AD do Microsoft Sentinel ou configurar a integração de registos de Azure AD com o Azure Monitor.

A coleção de Azure AD registo está sujeita aos preços do Azure Monitor. Veja Preços do Azure Monitor para obter mais informações.

Para utilizar a solução de Office 365 do Microsoft Sentinel:

  1. A utilização Office 365 conector no Microsoft Sentinel afeta os preços da área de trabalho. Para obter mais informações, veja Preços do Microsoft Sentinel.
  2. Se já estiver a utilizar a solução de Office 365 do Azure Monitor, primeiro tem de desinstalá-la com o script na secção Desinstalar abaixo.
  3. Ative a solução Do Microsoft Sentinel na sua área de trabalho.
  4. Aceda à página Conectores de dados no Microsoft Sentinel e ative o conector Office 365.

Perguntas mais frequentes

P: É possível embarcar no Office 365 solução do Azure Monitor entre hoje e 31 de outubro?

Não, os scripts de integração da solução de Office 365 do Azure Monitor já não estão disponíveis. A solução será removida a 31 de outubro.

P: As tabelas e os esquemas serão alterados?

O nome e o esquema da tabela OfficeActivity permanecerão iguais aos da solução atual. Pode continuar a utilizar as mesmas consultas na nova solução, excluindo consultas que fazem referência Azure AD dados.

Os novos Azure AD registos de soluções de relatórios e monitorização serão ingeridos nas tabelas SigninLogs e AuditLogs em vez do OfficeActivity. Para obter mais informações, veja como analisar Azure AD registos, o que também é relevante para os utilizadores do Microsoft Sentinel e do Azure Monitor.

Seguem-se exemplos para converter consultas do OfficeActivity em SigninLogs:

As consultas falharam os inícios de sessão, por utilizador:

OfficeActivity
| where TimeGenerated >= ago(1d) 
| where OfficeWorkload == "AzureActiveDirectory"                      
| where Operation == 'UserLoginFailed'
| summarize count() by UserId    

SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName

Ver operações de Azure AD:

OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation

AuditLogs
| summarize count() by OperationName

P: Como posso embarcar no Microsoft Sentinel?

O Microsoft Sentinel é uma solução que pode ativar numa área de trabalho do Log Analytics nova ou existente. Para saber mais, consulte a documentação de integração do Microsoft Sentinel.

P: Preciso do Microsoft Sentinel para ligar os registos de Azure AD?

Pode configurar Azure AD integração de registos com o Azure Monitor, que não está relacionado com a solução do Microsoft Sentinel. O Microsoft Sentinel fornece um conector nativo e conteúdo inicial para Azure AD registos. Para obter mais informações, veja a pergunta abaixo sobre o conteúdo orientado para a segurança.

P: Quais são as diferenças ao ligar Azure AD registos do Microsoft Sentinel e do Azure Monitor?

O Microsoft Sentinel e o Azure Monitor ligam-se a registos de Azure AD com base na mesma solução de relatórios e monitorização Azure AD. O Microsoft Sentinel fornece um conector nativo com um clique que liga os mesmos dados e fornece informações de monitorização.

P: O que preciso de alterar ao mudar para as novas tabelas de relatórios e monitorização de Azure AD?

Todas as consultas que utilizem Azure AD dados, incluindo consultas em alertas, dashboards e qualquer conteúdo que tenha criado com Office 365 Azure AD dados, têm de ser recriadas com as novas tabelas.

O Microsoft Sentinel e Azure AD fornecem conteúdos incorporados que pode utilizar ao mudar para a solução de relatórios e monitorização do Azure AD. Para obter mais informações, veja a pergunta seguinte sobre conteúdos orientados para segurança e Como utilizar livros do Azure Monitor para relatórios do Azure Active Directory.

P: Como posso utilizar o conteúdo orientado para a segurança do Microsoft Sentinel?

O Microsoft Sentinel fornece dashboards orientados para segurança, consultas de alerta personalizadas, consultas de investigação, investigação e capacidades de resposta automatizadas, baseadas nos registos de Office 365 e Azure AD. Explore a comunidade e tutoriais do GitHub do Microsoft Sentinel para saber mais:

P: O Microsoft Sentinel fornece conectores adicionais como parte da solução?

Sim, consulte Origens de dados de ligação do Microsoft Sentinel.

P: O que acontecerá no dia 31 de outubro? Preciso de sair de antemão?

  • Não poderá receber dados da solução do Office365 . A solução será removida da área de trabalho e deixará de estar disponível no Marketplace.
  • Para os clientes do Microsoft Sentinel, a solução de área de trabalho do Log Analytics Office365 será incluída na solução SecurityInsights do Microsoft Sentinel.
  • Se não remover a sua solução manualmente até 31 de outubro, os seus dados serão desligados automaticamente e a tabela OfficeActivity removida. Ainda assim, continuará a poder restaurar a tabela quando ativar o conector Office 365 no Microsoft Sentinel, conforme explicado abaixo.

P: Os meus dados serão transferidos para a nova solução?

Sim. Quando remover a solução de Office 365 da área de trabalho, os respetivos dados ficarão temporariamente indisponíveis porque o esquema é removido. Quando ativa o novo conector Office 365 no Microsoft Sentinel, o esquema é restaurado para a área de trabalho e todos os dados já recolhidos ficarão disponíveis.

A solução de gestão de Office 365 permite-lhe monitorizar o seu ambiente de Office 365 no Azure Monitor.

  • Monitorize as atividades dos utilizadores nas suas contas de Office 365 para analisar padrões de utilização, bem como identificar tendências comportamentais. Por exemplo, pode extrair cenários de utilização específicos, como ficheiros que são partilhados fora da sua organização ou os sites do SharePoint mais populares.
  • Monitorize as atividades de administrador para controlar as alterações de configuração ou as operações de privilégios elevados.
  • Detetar e investigar comportamentos de utilizador indesejados, que podem ser personalizados para as suas necessidades organizacionais.
  • Demonstrar auditoria e conformidade. Por exemplo, pode monitorizar as operações de acesso a ficheiros em ficheiros confidenciais, o que pode ajudá-lo com o processo de auditoria e conformidade.
  • Execute a resolução de problemas operacionais com consultas de registo sobre Office 365 dados de atividade da sua organização.

Desinstalar

Pode remover a solução de gestão Office 365 com o processo em Remover uma solução de gestão. No entanto, isto não impedirá que os dados sejam recolhidos de Office 365 para o Azure Monitor. Siga o procedimento abaixo para anular a subscrição do Office 365 e parar de recolher dados.

  1. Guarde o seguinte script como office365_unsubscribe.ps1.

    param (
    [Parameter(Mandatory=$True)][string]$WorkspaceName,
    [Parameter(Mandatory=$True)][string]$ResourceGroupName,
    [Parameter(Mandatory=$True)][string]$SubscriptionId,
    [Parameter(Mandatory=$True)][string]$OfficeTennantId,
    [Parameter(Mandatory=$True)][string]$clientId,
    [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id
)
$line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------'

$line
IF ($Subscription -eq $null)
    {Login-AzAccount -ErrorAction Stop}
$Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop)
$Subscription
$option = [System.StringSplitOptions]::RemoveEmptyEntries 
$Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop)
$Workspace
$WorkspaceLocation= $Workspace.Location

# Client ID for Azure PowerShell
# Set redirect URI for Azure PowerShell
$redirectUri = "urn:ietf:wg:oauth:2.0:oob"
$domain='login.microsoftonline.com'
$adTenant =  $Subscription[0].Tenant.Id
$authority = "https://login.windows.net/$adTenant";
$ARMResource ="https://management.azure.com/";'

switch ($WorkspaceLocation) {
       "USGov Virginia" { 
                         $domain='login.microsoftonline.us';
                          $authority = "https://login.microsoftonline.us/$adTenant";
                          $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia
       default {
                $domain='login.microsoftonline.com'; 
                $authority = "https://login.windows.net/$adTenant";
                $ARMResource ="https://management.azure.com/";break} 
                }

Function RESTAPI-Auth { 

$global:SubscriptionID = $Subscription.SubscriptionId
# Set Resource URI to Azure Service Management API
$resourceAppIdURIARM=$ARMResource;
# Authenticate and Acquire Token 
# Create Authentication Context tied to Azure AD Tenant
$authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority
# Acquire token
$platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto"
$global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters)
$global:authResultARM.Wait()
$authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
$authHeader
}

Function Office-UnSubscribe-Call{

#----------------------------------------------------------------------------------------------------------------------------------------------
$authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
$ResourceName = "https://manage.office.com"
$SubscriptionId   = $Subscription[0].Subscription.Id
$OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_'  + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview'

$Officeparams = @{
    ContentType = 'application/json'
    Headers = @{
    'Authorization'="$($authHeader)"
    'x-ms-client-tenant-id'=$xms_client_tenant_Id
    'Content-Type' = 'application/json'
    }
    Method = 'Delete'
    URI = $OfficeAPIUrl
  }

$officeresponse = Invoke-WebRequest @Officeparams 
$officeresponse

}

#GetDetails 
RESTAPI-Auth -ErrorAction Stop
Office-UnSubscribe-Call -ErrorAction Stop

  2. Execute o script com o seguinte comando:

    .\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>

    Exemplo:

    .\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'

Ser-lhe-ão pedidas as credenciais. Forneça as credenciais da área de trabalho do Log Analytics.

Recolha de dados

Pode demorar algumas horas para que os dados sejam recolhidos inicialmente. Assim que começar a recolher, Office 365 envia uma notificação de webhook com dados detalhados para o Azure Monitor sempre que um registo é criado. Este registo está disponível no Azure Monitor poucos minutos depois de ser recebido.

Utilizar a solução

Os dados recolhidos por esta solução de monitorização estão disponíveis na página Resumo da Área de Trabalho (preterido) no portal do Azure. Abra esta página a partir das áreas de trabalho do Log Analytics da área de trabalho com a sua solução e, em seguida, selecione Resumo da Área de Trabalho (preterido) na secção Clássico do menu. Cada solução é representada por um mosaico. Selecione um mosaico para obter dados mais detalhados recolhidos por essa solução.

Quando adiciona a solução Office 365 à área de trabalho do Log Analytics, o mosaico Office 365 será adicionado ao dashboard. Este mosaico apresenta uma contagem e uma representação gráfica do número de computadores no seu ambiente e a respetiva conformidade de atualização.

Mosaico resumo do Office 365

Clique no mosaico Office 365 para abrir o dashboard do Office 365.

Dashboard do Office 365

O dashboard inclui as colunas da tabela seguinte. Cada coluna lista os dez alertas principais por contagem correspondente aos critérios dessa coluna para o âmbito e intervalo de tempo especificados. Pode executar uma pesquisa de registos que forneça a lista inteira ao clicar em Ver tudo na parte inferior da coluna ou ao clicar no cabeçalho da coluna.

Coluna Descrição
Operações Fornece informações sobre os utilizadores ativos de todas as subscrições de Office 365 monitorizadas. Também poderá ver o número de atividades que ocorrem ao longo do tempo.
Troca Mostra a discriminação das atividades Exchange Server, como a Permissão do Add-Mailbox ou a Caixa de Correio Definida.
SharePoint Mostra as principais atividades que os utilizadores realizam em documentos do SharePoint. Ao desagregar a partir deste mosaico, a página de pesquisa mostra os detalhes destas atividades, como o documento de destino e a localização desta atividade. Por exemplo, para um evento Acesso a Ficheiros, poderá ver o documento que está a ser acedido, o nome da conta associada e o endereço IP.
Azure Active Directory Inclui as principais atividades do utilizador, como Repor Palavra-passe de Utilizador e Tentativas de Início de Sessão. Ao desagregar, poderá ver os detalhes destas atividades, como o Estado do Resultado. Isto é sobretudo útil se quiser monitorizar atividades suspeitas no Azure Active Directory.

Registos do Azure Monitor

Todos os registos criados na área de trabalho do Log Analytics no Azure Monitor pela solução Office 365 têm um Tipo de OfficeActivity. A propriedade OfficeWorkload determina a que serviço Office 365 o registo se refere - Exchange, AzureActiveDirectory, SharePoint ou OneDrive. A propriedade RecordType especifica o tipo de operação. As propriedades variam para cada tipo de operação e são apresentadas nas tabelas abaixo.

Common properties (Propriedades comuns)

As seguintes propriedades são comuns a todos os registos Office 365.

Propriedade Descrição
Tipo OfficeActivity
ClientIP O endereço IP do dispositivo que foi utilizado quando a atividade foi registada. O endereço IP é apresentado no formato de endereço IPv4 ou IPv6.
OfficeWorkload Office 365 serviço ao qual o registo se refere.

AzureActiveDirectory
Troca
SharePoint
Operação O nome da atividade do utilizador ou administrador.
OrganizationId O GUID do inquilino Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente da Office 365 serviço em que ocorre.
RecordType Tipo de operação executada.
ResultStatus Indica se a ação (especificada na propriedade Operação) foi concluída com êxito ou não. Os valores possíveis são Com Êxito, ParcialmenteSucceeded ou Com Falhas. Para a atividade de administrador do Exchange, o valor é Verdadeiro ou Falso.
IDUtilizador O UPN (Nome Principal de Utilizador) do utilizador que efetuou a ação que resultou no registo ser registado; por exemplo, my_name@my_domain_name. Tenha em atenção que também estão incluídos registos de atividade realizados por contas de sistema (como SHAREPOINT\system ou NTAUTHORITY\SYSTEM).
UserKey Um ID alternativo para o utilizador identificado na propriedade UserId. Por exemplo, esta propriedade é preenchida com o ID exclusivo do passaporte (PUID) para eventos realizados por utilizadores no SharePoint, OneDrive para Empresas e Exchange. Esta propriedade também pode especificar o mesmo valor que a propriedade UserID para eventos que ocorrem noutros serviços e eventos realizados por contas de sistema
UserType O tipo de utilizador que executou a operação.

Admin
Aplicação
DcAdmin
Normal
Reservado
ServicePrincipal
Sistema

Base do Azure Active Directory

As seguintes propriedades são comuns a todos os registos do Azure Active Directory.

Propriedade Descrição
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectory
AzureActiveDirectory_EventType O tipo de evento Azure AD.
Propriedades Expandidas As propriedades expandidas do evento Azure AD.

Início de sessão da Conta do Azure Active Directory

Estes registos são criados quando um utilizador do Active Directory tenta iniciar sessão.

Propriedade Descrição
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectoryAccountLogon
Application A aplicação que aciona o evento de início de sessão da conta, como o Office 15.
Client Detalhes sobre o dispositivo cliente, o SO do dispositivo e o browser do dispositivo que foi utilizado para o evento de início de sessão da conta.
LoginStatus Esta propriedade pertence diretamente a OrgIdLogon.LoginStatus. O mapeamento de várias falhas de início de sessão interessantes pode ser feito através de algoritmos de alerta.
UserDomain As Informações de Identidade do Inquilino (TII).

Azure Active Directory

Estes registos são criados quando são feitas alterações ou adições a objetos do Azure Active Directory.

Propriedade Descrição
OfficeWorkload AzureActiveDirectory
RecordType AzureActiveDirectory
AADTarget O utilizador no qual a ação (identificada pela propriedade Operação) foi efetuada.
Ator O utilizador ou principal de serviço que efetuou a ação.
ActorContextId O GUID da organização à qual o ator pertence.
ActorIpAddress O endereço IP do ator no formato de endereço IPV4 ou IPV6.
InterSystemsId O GUID que controla as ações entre componentes no serviço Office 365.
IntraSystemId O GUID gerado pelo Azure Active Directory para controlar a ação.
SupportTicketId O ID do pedido de suporte ao cliente para a ação em situações "act-on-behalf-of".
TargetContextId O GUID da organização à qual o utilizador visado pertence.

Segurança do Data Center

Estes registos são criados a partir de dados de auditoria da Segurança do Data Center.

Propriedade Descrição
EffectiveOrganization O nome do inquilino para o qual a elevação/cmdlet foi direcionado.
ElevationApprovedTime O carimbo de data/hora para quando a elevação foi aprovada.
ElevationApprover O nome de um gestor da Microsoft.
ElevationDuration A duração para a qual a elevação estava ativa.
ElevationRequestId Um identificador exclusivo para o pedido de elevação.
ElevationRole A função para a que a elevação foi pedida.
ElevationTime A hora de início da elevação.
Start_Time A hora de início da execução do cmdlet.

Exchange Administração

Estes registos são criados quando são efetuadas alterações à configuração do Exchange.

Propriedade Descrição
OfficeWorkload Troca
RecordType ExchangeAdmin
ExternalAccess Especifica se o cmdlet foi executado por um utilizador na sua organização, por pessoal do datacenter da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém na sua organização. O valor Verdadeiro indica que o cmdlet foi executado por pessoal do datacenter, uma conta de serviço do datacenter ou um administrador delegado.
ModifiedObjectResolvedName Este é o nome amigável do utilizador do objeto que foi modificado pelo cmdlet . Isto só é registado se o cmdlet modificar o objeto.
OrganizationName O nome do inquilino.
OriginingServer O nome do servidor a partir do qual o cmdlet foi executado.
Parâmetros O nome e o valor de todos os parâmetros que foram utilizados com o cmdlet identificado na propriedade Operações.

Caixa de Correio do Exchange

Estes registos são criados quando são efetuadas alterações ou adições a caixas de correio do Exchange.

Propriedade Descrição
OfficeWorkload Troca
RecordType ExchangeItem
ClientInfoString Informações sobre o cliente de e-mail que foi utilizado para executar a operação, como uma versão do browser, a versão do Outlook e as informações do dispositivo móvel.
Client_IPAddress O endereço IP do dispositivo que foi utilizado quando a operação foi registada. O endereço IP é apresentado no formato de endereço IPv4 ou IPv6.
ClientMachineName O nome do computador que aloja o cliente do Outlook.
ClientProcessName O cliente de e-mail que foi utilizado para aceder à caixa de correio.
ClientVersion A versão do cliente de e-mail .
InternalLogonType Reservado para utilização interna.
Logon_Type Indica o tipo de utilizador que acedeu à caixa de correio e efetuou a operação que foi registada.
LogonUserDisplayName O nome amigável do utilizador que efetuou a operação.
LogonUserSid O SID do utilizador que realizou a operação.
MailboxGuid O GUID do Exchange da caixa de correio a que foi acedido.
MailboxOwnerMasterAccountSid SID da conta principal da conta de proprietário da caixa de correio.
Caixa de correioOwnerSid O SID do proprietário da caixa de correio.
Caixa de CorreioOwnerUPN O endereço de e-mail da pessoa proprietária da caixa de correio a que foi acedido.

Auditoria da Caixa de Correio do Exchange

Estes registos são criados quando é criada uma entrada de auditoria de caixa de correio.

Propriedade Descrição
OfficeWorkload Troca
RecordType ExchangeItem
Item Representa o item no qual a operação foi executada
SendAsUserMailboxGuid O GUID do Exchange da caixa de correio que foi acedida para enviar e-mails como.
SendAsUserSmtp Endereço SMTP do utilizador que está a ser representado.
SendonBehalfOfUserMailboxGuid O GUID do Exchange da caixa de correio que foi acedida para enviar correio em nome de.
SendOnBehalfOfUserSmtp Endereço SMTP do utilizador em cujo nome o e-mail é enviado.

Grupo de Auditoria da Caixa de Correio do Exchange

Estes registos são criados quando são efetuadas alterações ou adições a grupos do Exchange.

Propriedade Descrição
OfficeWorkload Troca
OfficeWorkload ExchangeItemGroup
AffectedItems Informações sobre cada item no grupo.
CrossMailboxOperations Indica se a operação envolveu mais do que uma caixa de correio.
DestMailboxId Defina apenas se o parâmetro CrossMailboxOperations for True. Especifica o GUID da caixa de correio de destino.
DestMailboxOwnerMasterAccountSid Defina apenas se o parâmetro CrossMailboxOperations for True. Especifica o SID para o SID da conta principal do proprietário da caixa de correio de destino.
DestMailboxOwnerSid Defina apenas se o parâmetro CrossMailboxOperations for True. Especifica o SID da caixa de correio de destino.
DestMailboxOwnerUPN Defina apenas se o parâmetro CrossMailboxOperations for True. Especifica o UPN do proprietário da caixa de correio de destino.
DestFolder A pasta de destino, para operações como Mover.
Pasta A pasta onde está localizado um grupo de itens.
Pastas Informações sobre as pastas de origem envolvidas numa operação; por exemplo, se as pastas estiverem selecionadas e, em seguida, forem eliminadas.

SharePoint Base

Estas propriedades são comuns a todos os registos do SharePoint.

Propriedade Descrição
OfficeWorkload SharePoint
OfficeWorkload SharePoint
EventSource Identifica que ocorreu um evento no SharePoint. Os valores possíveis são SharePoint ou ObjectModel.
TipoItem O tipo de objeto que foi acedido ou modificado. Veja a tabela ItemType para obter detalhes sobre os tipos de objetos.
MachineDomainInfo Informações sobre operações de sincronização de dispositivos. Estas informações só são comunicadas se estiverem presentes no pedido.
MachineId Informações sobre operações de sincronização de dispositivos. Estas informações só são comunicadas se estiverem presentes no pedido.
Site_ O GUID do site onde está localizado o ficheiro ou pasta acedido pelo utilizador.
Source_Name A entidade que acionou a operação auditada. Os valores possíveis são SharePoint ou ObjectModel.
UserAgent Informações sobre o cliente ou browser do utilizador. Estas informações são fornecidas pelo cliente ou browser.

Esquema do SharePoint

Estes registos são criados quando são efetuadas alterações de configuração no SharePoint.

Propriedade Descrição
OfficeWorkload SharePoint
OfficeWorkload SharePoint
CustomEvent Cadeia opcional para eventos personalizados.
Event_Data Payload opcional para eventos personalizados.
ModifiedProperties A propriedade está incluída para eventos de administrador, como adicionar um utilizador como membro de um site ou de um grupo de administradores de coleções de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo Site Administração), o novo valor da propriedade modificada (tal como o utilizador que foi adicionado como administrador do site) e o valor anterior do objeto modificado.

Operações de Ficheiros do SharePoint

Estes registos são criados em resposta às operações de ficheiros no SharePoint.

Propriedade Descrição
OfficeWorkload SharePoint
OfficeWorkload SharePointFileOperation
DestinationFileExtension A extensão de ficheiro de um ficheiro que é copiado ou movido. Esta propriedade é apresentada apenas para eventos FileCopied e FileMoved.
DestinationFileName O nome do ficheiro que é copiado ou movido. Esta propriedade é apresentada apenas para eventos FileCopied e FileMoved.
DestinationRelativeUrl O URL da pasta de destino onde um ficheiro é copiado ou movido. A combinação dos valores dos parâmetros SiteURL, DestinationRelativeURL e DestinationFileName é igual ao valor da propriedade ObjectID, que é o nome do caminho completo para o ficheiro que foi copiado. Esta propriedade é apresentada apenas para eventos FileCopied e FileMoved.
SharingType O tipo de permissões de partilha que foram atribuídas ao utilizador com o qual o recurso foi partilhado. Este utilizador é identificado pelo parâmetro UserSharedWith.
Site_Url O URL do site onde está localizado o ficheiro ou pasta acedido pelo utilizador.
SourceFileExtension A extensão de ficheiro do ficheiro que foi acedido pelo utilizador. Esta propriedade está em branco se o objeto que foi acedido for uma pasta.
SourceFileName O nome do ficheiro ou pasta acedido pelo utilizador.
SourceRelativeUrl O URL da pasta que contém o ficheiro acedido pelo utilizador. A combinação dos valores dos parâmetros SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID, que é o nome de caminho completo para o ficheiro acedido pelo utilizador.
UserSharedWith O utilizador com o qual um recurso foi partilhado.

Consultas de registo de exemplo

A tabela seguinte fornece consultas de registo de exemplo para registos de atualização recolhidos por esta solução.

Consulta Descrição
Contagem de todas as operações na subscrição do Office 365 OfficeActivity | resumir contagem() por Operação
Utilização de sites do SharePoint OfficeActivity | em que OfficeWorkload =~ "sharepoint" | summarize count() by SiteUrl | ordenar por Contar asc
Operações de acesso a ficheiros por tipo de utilizador OfficeActivity | summarize count() by UserType
Monitorizar ações externas no Exchange OfficeActivity | em que OfficeWorkload =~ "exchange" e ExternalAccess == true

Passos seguintes