OfficeActivity
Azure Sentinel 所收集的 Office 365 租用戶稽核記錄。 包括 Exchange、SharePoint 和 Teams 記錄。
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | - |
| 類別 | 安全性 |
| 方案 | AzureSentinelPrivatePreview, SecurityInsights |
| 基本記錄 | No |
| 擷取時間轉換 | Yes |
| 範例查詢 | 是 |
資料行
| 資料行 | 類型 | 描述 |
|---|---|---|
| AADGroupId | 字串 | Azure Active Directory 群組標識符 |
| AADTarget | 字串 | 執行動作的使用者(由 Operation 屬性識別) |
| 活動 | 字串 | 使用者執行的活動。 |
| 演員 | 字串 | 執行動作的用戶或服務主體 |
| ActorContextId | 字串 | 動作專案所屬組織的 GUID |
| ActorIpAddress | 字串 | IPV4 或 IPV6 位址格式的動作專案 IP 位址 |
| AddOnGuid | 字串 | 產生此事件之附加元件的唯一標識符 |
| AddonName | 字串 | 產生此事件的附加元件名稱 |
| AddOnType | 字串 | 產生此事件的附加元件類型 |
| AffectedItems | 字串 | 群組中每個項目的相關信息 |
| AppDistributionMode | 字串 | 應用程式散發模式 |
| AppId | 字串 | Application ID |
| 申請 | 字串 | 應用程式名稱 |
| ApplicationId | 字串 | SharePoint 應用程式識別碼 |
| AppPoolName | 字串 | 應用程式集區名稱 |
| AzureActiveDirectory_EventType | 字串 | Azure AD 事件的類型 |
| AzureADAppId | 字串 | Teams 應用程式 Azure AD 識別碼 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| ChannelGuid | 字串 | 正在稽核之通道的唯一標識符 |
| ChannelName | 字串 | 正在稽核的通道名稱 |
| ChannelType | 字串 | 正在稽核的通道類型(標準/私人) |
| ChatName | 字串 | 聊天的名稱 |
| ChatThreadId | 字串 | 聊天對話的標識碼 |
| 用戶端 | 字串 | 用於帳戶登入事件之用戶端裝置、裝置 OS 和裝置瀏覽器的詳細數據 |
| Client_IPAddress | 字串 | 記錄作業時所使用的裝置IP位址 |
| ClientAppId | 字串 | 用戶端應用程式識別碼 |
| ClientInfoString | 字串 | 用來執行作業的電子郵件客戶端相關信息 |
| ClientIP | 字串 | 記錄活動時使用的裝置IP位址 |
| ClientMachineName | 字串 | 裝載 Outlook 用戶端的電腦名稱 |
| ClientProcessName | 字串 | 用來存取信箱的電子郵件用戶端 |
| ClientVersion | 字串 | 電子郵件用戶端的版本 |
| CommunicationType | 字串 | 進行的通訊類型 |
| CrossMailboxOperations | bool | 指出作業是否涉及多個信箱 |
| CustomEvent | 字串 | 自訂事件的選擇性字串 |
| DataCenterSecurityEventType | int | 鎖定框中的 dmdlet 事件類型 |
| DestFolder | 字串 | 目的地資料夾 |
| DestinationFileExtension | 字串 | 已複製或移動之檔案的擴展名 |
| DestinationFileName | 字串 | 複製或移動的檔名 |
| DestinationRelativeUrl | 字串 | 複製或移動檔案之目的地資料夾的URL |
| DestMailboxId | 字串 | 只有在 CrossMailboxOperations 參數為 True 時設定 |
| DestMailboxOwnerMasterAccountSid | 字串 | 只有在 CrossMailboxOperations 參數為 True 時設定 |
| DestMailboxOwnerSid | 字串 | 只有在 CrossMailboxOperations 參數為 True 時設定 |
| DestMailboxOwnerUPN | 字串 | 只有在 CrossMailboxOperations 參數為 True 時設定 |
| EffectiveOrganization | 字串 | 提高許可權/Cmdlet 的目標租用戶名稱 |
| ElevationApprovedTime | Datetime | 核准提高許可權時的時間戳 |
| ElevationApprover | 字串 | Microsoft管理員的名稱 |
| ElevationDuration | int | 提高權限作用中的持續時間(以小時為單位) |
| ElevationRequestId | 字串 | 提高許可權要求的唯一標識符 |
| ElevationRole | 字串 | 要求提高許可權的角色 |
| ElevationTime | Datetime | 提高許可權的開始時間 |
| Event_Data | 字串 | 自定義事件的選擇性承載 |
| EventSource | 字串 | 識別事件在 SharePoint 中發生。 可能的值為 SharePoint 或 ObjectModel |
| ExtendedProperties | 字串 | Azure AD 事件的擴充屬性 |
| ExternalAccess | 字串 | 指定 Cmdlet 是否由組織中的用戶執行 |
| ExtraProperties | dynamic | 額外屬性的清單 |
| 資料夾 | 字串 | 專案群組所在的資料夾 |
| 資料夾 | 字串 | 作業中涉及之源資料夾的相關信息 |
| GenericInfo | 字串 | 用於批注和其他泛型資訊 |
| InternalLogonType | int | 保留供內部使用 |
| InterSystemsId | 字串 | 追蹤 Office 365 服務內元件動作的 GUID |
| IntraSystemId | 字串 | Azure Active Directory 產生以追蹤動作的 GUID |
| _IsBillable | 字串 | 指定內嵌資料是否可計費。 false_IsBillable擷取時,不會向 Azure 帳戶收費 |
| IsManagedDevice | bool | 指出作業是否由組織管理的裝置所建立 |
| 項目 | 字串 | 表示對之執行作業的項目 |
| ItemName | 字串 | 電子郵件訊息的 [主旨] 字段中的字串 |
| ItemType | 字串 | 被存取或修改之物件的類型。 如需物件類型的詳細資訊,請參閱 ItemType 數據表 |
| LoginStatus | int | 此屬性直接來自 OrgIdLogon.LoginStatus。 警示演算法可以完成各種有趣登入失敗的對應 |
| Logon_Type | 字串 | 指出存取信箱並執行已記錄之作業的用戶類型 |
| LogonUserDisplayName | 字串 | 執行作業的使用者易記名稱 |
| LogonUserSid | 字串 | 執行作業的使用者 SID |
| MachineDomainInfo | 字串 | 裝置同步作業的相關信息 |
| MachineId | 字串 | 裝置同步作業的相關信息 |
| MailboxGuid | 字串 | 已存取之信箱的 Exchange GUID |
| MailboxOwnerMasterAccountSid | 字串 | 信箱擁有者帳戶的主要帳戶 SID |
| MailboxOwnerSid | 字串 | 信箱擁有者的 SID |
| MailboxOwnerUPN | 字串 | 擁有所存取信箱之人員的電子郵件位址 |
| 成員 | dynamic | Team 內的使用者清單 |
| MessageId | 字串 | 聊天或頻道訊息的標識碼 |
| ModifiedObjectResolvedName | 字串 | 這是 Cmdlet 修改的物件使用者易記名稱 |
| ModifiedProperties | 字串 | 系統管理事件包含 屬性,例如將使用者新增為網站或網站集合管理員群組的成員 |
| 名稱 | 字串 | 僅適用於設定事件。 已變更之設定的名稱 |
| NewValue | 字串 | 僅適用於設定事件。 設定的新值 |
| OfficeId | 字串 | 稽核記錄的唯一標識碼 |
| OfficeObjectId | 字串 | 針對 SharePoint 和 商務用 OneDrive 活動 |
| OfficeTenantId | 字串 | Office 租用戶標識碼 |
| OfficeWorkload | 字串 | 發生活動的 Office 365 服務 |
| OldValue | 字串 | 僅適用於設定事件。 設定的舊值 |
| 作業 | 字串 | 使用者正在執行的作業名稱 |
| OperationProperties | dynamic | 其他作業屬性 |
| OperationScope | 字串 | 作業執行的範圍 |
| OrganizationId | 字串 | 貴組織的 Office 365 租用戶 GUID。 對於您的組織而言,此值一律相同 |
| OrganizationName | 字串 | 租用戶的名稱 |
| OriginatingServer | 字串 | 執行 Cmdlet 的伺服器名稱 |
| 參數 | 字串 | 與 Operations 屬性中識別之 Cmdlet 搭配使用之所有參數的名稱和值 |
| RecordType | 字串 | 記錄所指示的作業類型。 如需稽核記錄檔記錄類型的詳細資訊,請參閱 AuditLogRecordType 數據表 |
| _ResourceId | string | 記錄相關資源的唯一識別碼 |
| ResultReasonType | 字串 | ResultType 中回報結果的原因 |
| ResultStatus | 字串 | 指出動作是否成功(在 Operation 屬性中指定) |
| SendAsUserMailboxGuid | 字串 | 用來傳送電子郵件之信箱的 Exchange GUID |
| SendAsUserSmtp | 字串 | 正在模擬之使用者的 SMTP 位址 |
| SendonBehalfOfUserMailboxGuid | 字串 | 用來代表傳送郵件之信箱的 Exchange GUID |
| SendOnBehalfOfUserSmtp | 字串 | 代表電子郵件傳送之使用者的 SMTP 位址 |
| SharingType | 字串 | 指派給與之共用資源之使用者的共用權限類型。 此使用者是由 UserSharedWith 參數所識別 |
| Site_ | 字串 | 使用者存取之檔案或資料夾所在的月臺 GUID |
| Site_Url | 字串 | 使用者所存取檔案或資料夾所在的網站URL |
| Source_Name | 字串 | 觸發已稽核作業的實體。 可能的值為 SharePoint 或 ObjectModel |
| SourceFileExtension | 字串 | 使用者所存取之檔案的擴展名 |
| SourceFileName | 字串 | 使用者存取的檔案或資料夾名稱 |
| SourceRecordId | 字串 | 稽核記錄的唯一標識碼 |
| SourceRelativeUrl | 字串 | 包含使用者所存取檔案的資料夾URL |
| SourceSystem | 字串 | 收集事件的代理程序類型。 例如,OpsManager針對 Windows 代理程式,無論是直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| SRPolicyId | 字串 | 原則識別碼 |
| SRPolicyName | 字串 | 原則名稱 |
| SRRuleMatchDetails | dynamic | 規則詳細資料 |
| Start_Time | Datetime | 執行 Cmdlet 的日期和時間 |
| _SubscriptionId | string | 與記錄相關的訂用帳戶唯一識別碼 |
| SupportTicketId | 字串 | 「代表行動」情況中動作的客戶支援票證標識碼 |
| TabType | 字串 | 產生此事件的索引標籤類型 |
| TargetContextId | 字串 | 目標用戶所屬組織的 GUID |
| TargetUserId | 字串 | 目標用戶識別碼 |
| TargetUserOrGroupName | 字串 | 儲存與資源分享的目標使用者或群組的UPN或名稱 |
| TargetUserOrGroupType | 字串 | 識別目標使用者或群組是否為成員、來賓、群組或合作夥伴 |
| TeamGuid | 字串 | 正在稽核之小組的唯一標識碼 |
| TeamName | 字串 | 正在稽核的小組名稱 |
| TenantId | 字串 | Log Analytics 工作區標識符 |
| TimeGenerated | Datetime | 當使用者執行活動時,以國際標準時間 (UTC) 表示的日期和時間 |
| 型別 | string | 資料表的名稱 |
| UserAgent | 字串 | 使用者代理程式 |
| UserDomain | 字串 | 使用者的網域 |
| UserId | 字串 | 執行動作的使用者 UPN (用戶主體名稱)(在 Operation 屬性中指定)導致記錄的記錄 |
| UserKey | 字串 | UserId 屬性中識別之使用者的替代標識碼 |
| UserSharedWith | 字串 | 與資源分享的使用者 |
| UserType | 字串 | 執行作業的使用者類型。 如需使用者類型的詳細資訊,請參閱 UserType 數據表 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應