OfficeActivity
Azure Sentinel 所收集的 Office 365 租用戶稽核記錄。 包括 Exchange、SharePoint 和 Teams 記錄。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | - |
類別 | 安全性 |
方案 | AzureSentinelPrivatePreview, SecurityInsights |
基本記錄 | No |
擷取時間轉換 | Yes |
範例查詢 | 是 |
資料行
資料行 | 類型 | 描述 |
---|---|---|
AADGroupId | 字串 | Azure Active Directory 群組標識符 |
AADTarget | 字串 | 執行動作的使用者(由 Operation 屬性識別) |
活動 | 字串 | 使用者執行的活動。 |
演員 | 字串 | 執行動作的用戶或服務主體 |
ActorContextId | 字串 | 動作專案所屬組織的 GUID |
ActorIpAddress | 字串 | IPV4 或 IPV6 位址格式的動作專案 IP 位址 |
AddOnGuid | 字串 | 產生此事件之附加元件的唯一標識符 |
AddonName | 字串 | 產生此事件的附加元件名稱 |
AddOnType | 字串 | 產生此事件的附加元件類型 |
AffectedItems | 字串 | 群組中每個項目的相關信息 |
AppDistributionMode | 字串 | 應用程式散發模式 |
AppId | 字串 | Application ID |
申請 | 字串 | 應用程式名稱 |
ApplicationId | 字串 | SharePoint 應用程式識別碼 |
AppPoolName | 字串 | 應用程式集區名稱 |
AzureActiveDirectory_EventType | 字串 | Azure AD 事件的類型 |
AzureADAppId | 字串 | Teams 應用程式 Azure AD 識別碼 |
_BilledSize | real | 以位元組為單位的記錄大小 |
ChannelGuid | 字串 | 正在稽核之通道的唯一標識符 |
ChannelName | 字串 | 正在稽核的通道名稱 |
ChannelType | 字串 | 正在稽核的通道類型(標準/私人) |
ChatName | 字串 | 聊天的名稱 |
ChatThreadId | 字串 | 聊天對話的標識碼 |
用戶端 | 字串 | 用於帳戶登入事件之用戶端裝置、裝置 OS 和裝置瀏覽器的詳細數據 |
Client_IPAddress | 字串 | 記錄作業時所使用的裝置IP位址 |
ClientAppId | 字串 | 用戶端應用程式識別碼 |
ClientInfoString | 字串 | 用來執行作業的電子郵件客戶端相關信息 |
ClientIP | 字串 | 記錄活動時使用的裝置IP位址 |
ClientMachineName | 字串 | 裝載 Outlook 用戶端的電腦名稱 |
ClientProcessName | 字串 | 用來存取信箱的電子郵件用戶端 |
ClientVersion | 字串 | 電子郵件用戶端的版本 |
CommunicationType | 字串 | 進行的通訊類型 |
CrossMailboxOperations | bool | 指出作業是否涉及多個信箱 |
CustomEvent | 字串 | 自訂事件的選擇性字串 |
DataCenterSecurityEventType | int | 鎖定框中的 dmdlet 事件類型 |
DestFolder | 字串 | 目的地資料夾 |
DestinationFileExtension | 字串 | 已複製或移動之檔案的擴展名 |
DestinationFileName | 字串 | 複製或移動的檔名 |
DestinationRelativeUrl | 字串 | 複製或移動檔案之目的地資料夾的URL |
DestMailboxId | 字串 | 只有在 CrossMailboxOperations 參數為 True 時設定 |
DestMailboxOwnerMasterAccountSid | 字串 | 只有在 CrossMailboxOperations 參數為 True 時設定 |
DestMailboxOwnerSid | 字串 | 只有在 CrossMailboxOperations 參數為 True 時設定 |
DestMailboxOwnerUPN | 字串 | 只有在 CrossMailboxOperations 參數為 True 時設定 |
EffectiveOrganization | 字串 | 提高許可權/Cmdlet 的目標租用戶名稱 |
ElevationApprovedTime | Datetime | 核准提高許可權時的時間戳 |
ElevationApprover | 字串 | Microsoft管理員的名稱 |
ElevationDuration | int | 提高權限作用中的持續時間(以小時為單位) |
ElevationRequestId | 字串 | 提高許可權要求的唯一標識符 |
ElevationRole | 字串 | 要求提高許可權的角色 |
ElevationTime | Datetime | 提高許可權的開始時間 |
Event_Data | 字串 | 自定義事件的選擇性承載 |
EventSource | 字串 | 識別事件在 SharePoint 中發生。 可能的值為 SharePoint 或 ObjectModel |
ExtendedProperties | 字串 | Azure AD 事件的擴充屬性 |
ExternalAccess | 字串 | 指定 Cmdlet 是否由組織中的用戶執行 |
ExtraProperties | dynamic | 額外屬性的清單 |
資料夾 | 字串 | 專案群組所在的資料夾 |
資料夾 | 字串 | 作業中涉及之源資料夾的相關信息 |
GenericInfo | 字串 | 用於批注和其他泛型資訊 |
InternalLogonType | int | 保留供內部使用 |
InterSystemsId | 字串 | 追蹤 Office 365 服務內元件動作的 GUID |
IntraSystemId | 字串 | Azure Active Directory 產生以追蹤動作的 GUID |
_IsBillable | 字串 | 指定內嵌資料是否可計費。 false _IsBillable擷取時,不會向 Azure 帳戶收費 |
IsManagedDevice | bool | 指出作業是否由組織管理的裝置所建立 |
項目 | 字串 | 表示對之執行作業的項目 |
ItemName | 字串 | 電子郵件訊息的 [主旨] 字段中的字串 |
ItemType | 字串 | 被存取或修改之物件的類型。 如需物件類型的詳細資訊,請參閱 ItemType 數據表 |
LoginStatus | int | 此屬性直接來自 OrgIdLogon.LoginStatus。 警示演算法可以完成各種有趣登入失敗的對應 |
Logon_Type | 字串 | 指出存取信箱並執行已記錄之作業的用戶類型 |
LogonUserDisplayName | 字串 | 執行作業的使用者易記名稱 |
LogonUserSid | 字串 | 執行作業的使用者 SID |
MachineDomainInfo | 字串 | 裝置同步作業的相關信息 |
MachineId | 字串 | 裝置同步作業的相關信息 |
MailboxGuid | 字串 | 已存取之信箱的 Exchange GUID |
MailboxOwnerMasterAccountSid | 字串 | 信箱擁有者帳戶的主要帳戶 SID |
MailboxOwnerSid | 字串 | 信箱擁有者的 SID |
MailboxOwnerUPN | 字串 | 擁有所存取信箱之人員的電子郵件位址 |
成員 | dynamic | Team 內的使用者清單 |
MessageId | 字串 | 聊天或頻道訊息的標識碼 |
ModifiedObjectResolvedName | 字串 | 這是 Cmdlet 修改的物件使用者易記名稱 |
ModifiedProperties | 字串 | 系統管理事件包含 屬性,例如將使用者新增為網站或網站集合管理員群組的成員 |
名稱 | 字串 | 僅適用於設定事件。 已變更之設定的名稱 |
NewValue | 字串 | 僅適用於設定事件。 設定的新值 |
OfficeId | 字串 | 稽核記錄的唯一標識碼 |
OfficeObjectId | 字串 | 針對 SharePoint 和 商務用 OneDrive 活動 |
OfficeTenantId | 字串 | Office 租用戶標識碼 |
OfficeWorkload | 字串 | 發生活動的 Office 365 服務 |
OldValue | 字串 | 僅適用於設定事件。 設定的舊值 |
作業 | 字串 | 使用者正在執行的作業名稱 |
OperationProperties | dynamic | 其他作業屬性 |
OperationScope | 字串 | 作業執行的範圍 |
OrganizationId | 字串 | 貴組織的 Office 365 租用戶 GUID。 對於您的組織而言,此值一律相同 |
OrganizationName | 字串 | 租用戶的名稱 |
OriginatingServer | 字串 | 執行 Cmdlet 的伺服器名稱 |
參數 | 字串 | 與 Operations 屬性中識別之 Cmdlet 搭配使用之所有參數的名稱和值 |
RecordType | 字串 | 記錄所指示的作業類型。 如需稽核記錄檔記錄類型的詳細資訊,請參閱 AuditLogRecordType 數據表 |
_ResourceId | string | 記錄相關資源的唯一識別碼 |
ResultReasonType | 字串 | ResultType 中回報結果的原因 |
ResultStatus | 字串 | 指出動作是否成功(在 Operation 屬性中指定) |
SendAsUserMailboxGuid | 字串 | 用來傳送電子郵件之信箱的 Exchange GUID |
SendAsUserSmtp | 字串 | 正在模擬之使用者的 SMTP 位址 |
SendonBehalfOfUserMailboxGuid | 字串 | 用來代表傳送郵件之信箱的 Exchange GUID |
SendOnBehalfOfUserSmtp | 字串 | 代表電子郵件傳送之使用者的 SMTP 位址 |
SharingType | 字串 | 指派給與之共用資源之使用者的共用權限類型。 此使用者是由 UserSharedWith 參數所識別 |
Site_ | 字串 | 使用者存取之檔案或資料夾所在的月臺 GUID |
Site_Url | 字串 | 使用者所存取檔案或資料夾所在的網站URL |
Source_Name | 字串 | 觸發已稽核作業的實體。 可能的值為 SharePoint 或 ObjectModel |
SourceFileExtension | 字串 | 使用者所存取之檔案的擴展名 |
SourceFileName | 字串 | 使用者存取的檔案或資料夾名稱 |
SourceRecordId | 字串 | 稽核記錄的唯一標識碼 |
SourceRelativeUrl | 字串 | 包含使用者所存取檔案的資料夾URL |
SourceSystem | 字串 | 收集事件的代理程序類型。 例如,OpsManager 針對 Windows 代理程式,無論是直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
SRPolicyId | 字串 | 原則識別碼 |
SRPolicyName | 字串 | 原則名稱 |
SRRuleMatchDetails | dynamic | 規則詳細資料 |
Start_Time | Datetime | 執行 Cmdlet 的日期和時間 |
_SubscriptionId | string | 與記錄相關的訂用帳戶唯一識別碼 |
SupportTicketId | 字串 | 「代表行動」情況中動作的客戶支援票證標識碼 |
TabType | 字串 | 產生此事件的索引標籤類型 |
TargetContextId | 字串 | 目標用戶所屬組織的 GUID |
TargetUserId | 字串 | 目標用戶識別碼 |
TargetUserOrGroupName | 字串 | 儲存與資源分享的目標使用者或群組的UPN或名稱 |
TargetUserOrGroupType | 字串 | 識別目標使用者或群組是否為成員、來賓、群組或合作夥伴 |
TeamGuid | 字串 | 正在稽核之小組的唯一標識碼 |
TeamName | 字串 | 正在稽核的小組名稱 |
TenantId | 字串 | Log Analytics 工作區標識符 |
TimeGenerated | Datetime | 當使用者執行活動時,以國際標準時間 (UTC) 表示的日期和時間 |
型別 | string | 資料表的名稱 |
UserAgent | 字串 | 使用者代理程式 |
UserDomain | 字串 | 使用者的網域 |
UserId | 字串 | 執行動作的使用者 UPN (用戶主體名稱)(在 Operation 屬性中指定)導致記錄的記錄 |
UserKey | 字串 | UserId 屬性中識別之使用者的替代標識碼 |
UserSharedWith | 字串 | 與資源分享的使用者 |
UserType | 字串 | 執行作業的使用者類型。 如需使用者類型的詳細資訊,請參閱 UserType 數據表 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應