Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема API действий управления Office 365 предоставляется в виде службы данных на двух уровнях:
Общая схема. Интерфейс для доступа к ключевым понятиям аудита Office 365, таким как "тип записи", "время создания", "тип пользователя" и "действие", а также для предоставления основных измерений (например, ИД пользователя) и свойств, характерных для расположения (например, IP-адрес клиента) и службы (например, ИД объекта). Эта схема обеспечивает согласованные и однородные представления, с помощью которых пользователи могут извлекать любые данные аудита Office 365 в нескольких представлениях верхнего уровня на основе соответствующих параметров. Кроме того, это фиксированная схема для всех источников данных, которая позволяет значительно сократить затраты на обучение. Общая схема получена из данных о продукте, принадлежащих каждой группе продуктов, таких как Exchange, SharePoint, Azure Active Directory, Viva Engage и OneDrive. Группы разработчиков продуктов Microsoft 365 могут дополнять поле "ИД объекта", добавляя свойства конкретных служб.
Схема для конкретной службы. Создан на основе общей схемы для предоставления набора атрибутов службы Microsoft 365; Например, схема SharePoint, схема OneDrive и схема администрирования Exchange.
Схемы API управления Office 365
В этой статье содержатся сведения о общей схеме, а также о схемах, относящихся к службе. Доступные схемы приведены в таблице ниже.
| Имя схемы | Описание |
|---|---|
| Общая схема | Представление, позволяющее извлекать значения типа записи, ИД пользователя, IP-адреса клиента, типа пользователя и действия, а также ключевые измерения, такие как свойства пользователя (например, UserID), свойства расположения (например, IP-адрес клиента) и свойства службы (например, ИД объекта). |
| Схема copilot | События включают в себя то, как и когда взаимодействовать с Copilot, в котором служба Microsoft 365 выполняет действие, и ссылки на файлы, хранящиеся в Microsoft 365, которые были доступны во время взаимодействия. |
| Базовая схема SharePoint | Дополняет общую схему свойствами, характерными для всех данных аудита SharePoint. |
| Операции с файлами SharePoint | Дополняет базовую схему SharePoint свойствами, используемыми для доступа к файлам и управления ими в SharePoint. |
| Операции над списками в SharePoint | Расширяет базовую схему SharePoint свойствами, характерными для взаимодействия со списками и элементами списка в SharePoint. |
| Схема общего доступа SharePoint | Дополняет базовую схему SharePoint свойствами, используемыми при обмене файлами. |
| Схема SharePoint | Дополняет базовую схему SharePoint свойствами, характерными для SharePoint, но которые не касаются доступа к файлам и операций с ними. |
| Схема Project | Дополняет базовую схему SharePoint свойствами, характерными для Project. |
| Схема администрирования Exchange | Дополняет общую схему свойствами, характерными для всех данных аудита, которые используются при администрировании Exchange. |
| Схема почтовых ящиков Exchange | Дополняет общую схему свойствами, характерными для всех данных аудита почтовых ящиков Exchange. |
| Схема проверки подлинности OWA | Расширяет общую схему свойствами, характерными для данных проверки подлинности OWA. |
| базовая схема Microsoft Entra ID | Расширяет общую схему свойствами, характерными для всех Microsoft Entra данных аудита. |
| Схема входа в учетную запись Microsoft Entra | Расширяет базовую схему Microsoft Entra ID свойствами, характерными для всех событий входа Microsoft Entra. |
| схема входа Microsoft Entra ID secure STS | Расширяет базовую схему Microsoft Entra ID свойствами, характерными для всех событий входа в службу Microsoft Entra ID secure Token Service (STS). |
| схема Microsoft Entra | Расширяет общую схему свойствами, характерными для всех Microsoft Entra данных аудита. |
| Схема защиты от потери данных | Дополняет общую схему свойствами, характерными для событий, связанных с защитой от потери данных. |
| Схема Центра безопасности и соответствия требованиям | Расширяет общую схему свойствами, характерными для всех событий Центра соответствия требованиям безопасности &. |
| Схема оповещений о безопасности и соответствии требованиям | Дополняет общую схему свойствами, характерными для всех оповещений о безопасности и соответствии требованиям в Office 365. |
| схема Viva Engage | Расширяет общую схему свойствами, характерными для всех событий Viva Engage. |
| Базовая схема безопасности центра обработки данных | Дополняет общую схему свойствами, характерными для всех данных аудита безопасности центра обработки данных. |
| Схема командлетов для обеспечения безопасности центра обработки данных | Дополняет базовую схему безопасности центра обработки данных свойствами, характерными для всех данных аудита командлетов для обеспечения безопасности центра обработки данных. |
| Схема Microsoft Teams | Дополняет общую схему свойствами, характерными для всех событий Microsoft Teams. |
| Схема Microsoft Defender для Office 365 с анализом угроз и реагированием на них | Дополняет общую схему свойствами, характерными для данных Defender для Office 365 и анализа угроз и реагирования на них. |
| Схема отправки | Расширяет общую схему свойствами, относящимися к отправкам пользователями и администраторами в Microsoft Defender для Office 365. |
| Автоматическое исследование и реагирование на события в Microsoft Defender для Office 365 плана 2 | Дополняет общую схему свойствами, характерными для событий автоматизированного анализа угроз и реагирования на них (AIR) в Office 365. Пример см. в блоге Tech Community: Повышение эффективности SOC с помощью Microsoft Defender для Office 365 и API управления Office 365. |
| Схема гигиенических событий | Расширяет общую схему свойствами, характерными для событий во встроенных функциях безопасности для всех облачных почтовых ящиков и Microsoft Defender для Office 365. |
| Схема Power BI | Дополняет общую схему свойствами, характерными для всех событий Power BI. |
| Схема Dynamics 365 | Дополняет общую схему свойствами, характерными для событий Dynamics 365. |
| Схема Viva Аналитики | Расширяет общую схему свойствами, характерными для всех событий Microsoft Viva Insights. |
| Схема карантина | Дополняет общую схему свойствами, характерными для всех событий карантина. |
| Схема Microsoft Forms | Дополняет общую схему свойствами, характерными для всех событий Microsoft Forms. |
| Схема меток MIP | Расширяет общую схему свойствами, характерными для меток конфиденциальности, применяемых вручную или автоматически к сообщениям электронной почты. |
| Схема событий портала зашифрованных сообщений | Расширяет общую схему, используя свойства, относящиеся к порталу зашифрованных сообщений, доступ к которому имеют внешние получатели. |
| Схема Exchange с соответствием требованиям к обмену данными | Дополняет общую схему свойствами, относящимися к модели оскорбительных выражений соответствия требованиям к обмену данными. |
| Схема отчетов | Дополняет общую схему свойствами, характерными для всех событий отчетов. |
| Схема соединителя соответствия | Расширяет общую схему свойствами, которые относятся к импорту данных, не связанных с Майкрософт, с помощью соединителей данных. |
| Схема SystemSync | Дополняет общую схему свойствами, специфичными для данных, принятых через SystemSync. |
| схема Viva Goals | Расширяет общую схему свойствами, характерными для всех событий Viva Goals. |
| схема Планировщик (Майкрософт) | Расширяет общую схему свойствами, характерными для событий Планировщик (Майкрософт). |
| Схема Microsoft Project в Интернете | Расширяет общую схему свойствами, характерными для событий Microsoft Project в Интернете. |
| Схема Viva Pulse | Расширяет общую схему свойствами, характерными для всех событий Viva Pulse. |
| Схема диспетчера соответствия требованиям | Расширяет общую схему свойствами, характерными для событий диспетчера соответствия требованиям. |
| Схема политики резервного копирования | Расширяет общую схему свойствами, характерными для политик Резервное копирование Microsoft 365. |
| Восстановление схемы задачи | Расширяет общую схему свойствами, характерными для Резервное копирование Microsoft 365 задач восстановления. |
| Схема элемента резервного копирования | Расширяет общую схему свойствами, характерными для артефактов Резервное копирование Microsoft 365. |
| Схема элемента восстановления | Расширяет общую схему свойствами, характерными для элементов восстановления Резервное копирование Microsoft 365. |
| Схема службы "Облачная политика" | Расширяет общую схему свойствами, характерными для всех данных аудита службы облачной политики. |
| Схема конфигурации профиля обновления облака | Расширяет общую схему свойствами, характерными для данных аудита конфигурации облачного обновления. |
| Схема конфигурации клиента обновления облака | Расширяет общую схему свойствами, характерными для данных аудита конфигурации клиента Cloud Update. |
| Схема конфигурации устройства для обновления облака | Расширяет общую схему свойствами, характерными для данных аудита конфигурации устройства cloud Update. |
| Схема обнаружения рисков Microsoft Entra | Расширяет общую схему свойствами, характерными для событий обнаружения рисков Microsoft Entra. |
| Схема Microsoft Edge WebContentFiltering | Расширяет общую схему свойствами, характерными для событий WebContentFiltering Microsoft Edge. |
| Microsoft 365 Copilot схему запланированного запроса | Расширяет общую схему свойствами, характерными для Microsoft 365 Copilot запланированных данных аудита запроса. |
| Схема каталога Microsoft Places | Расширяет общую схему свойствами, характерными для Microsoft Places данных аудита каталога. |
Общая схема
EntityType Name: AuditRecord
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| Id | Combination GUIDEdm.Guid | Да | Уникальный идентификатор записи аудита. |
| RecordType | Self.AuditLogRecordType | Да | Тип операции, указанный в записи. Сведения о типах записей в журнале аудита см. в таблице AuditLogRecordType. |
| CreationTime | Edm.Date | Да | Дата и время в формате UTC, когда была создана запись журнала аудита. |
| Operation | Edm.String | Да | Название действия пользователя или администратора. Описание наиболее распространенных операций и действий см. в разделе Поиск в журнале аудита. Что касается действий администратора Exchange, это свойство определяет имя запущенного командлета. Для событий защиты от потери данных этот параметр может иметь значение DlpRuleMatch, DlpRuleUndo или DlpInfo, которые описаны в разделе "Схема защиты от потери данных" ниже. |
| OrganizationId | Edm.Guid | Да | GUID клиента Office 365 вашей организации. Это значение всегда одинаково для вашей организации, независимо от Office 365 службы, в которой оно встречается. |
| UserType | Self.UserType | Да | Тип пользователя, который выполнил операцию. Сведения о типах пользователей см. в таблице UserType. |
| UserKey | Edm.String | Да | Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive и Exchange. |
| Workload | Edm.String | Да | Служба Office 365, в которой было выполнено действие. |
| ResultStatus | Edm.String | Нет | Указывает, успешно ли выполнено действие (указанное в свойстве Operation). Возможные значения: Succeeded, PartiallySucceeded или Failed. Для действий администратора Exchange этот параметр может иметь значение True или False. Важно! Различные рабочие нагрузки могут перезаписывать значение свойства ResultStatus. Например, для событий входа Microsoft Entra ID STS значение Succeeded для ResultStatus указывает только на то, что операция HTTP прошла успешно. Это не означает, что вход был выполнен успешно. Чтобы определить, был ли фактический вход успешным, см. свойство LogonError в схеме входа в Microsoft Entra ID STS. Если не удалось выполнить вход, значение этого свойства содержит причину неудачной попытки входа. |
| ObjectId | Edm.string | Нет | Для действий SharePoint и OneDrive — полное имя файла или папки, к которым обращается пользователь. Что касается ведения журнала аудита действий администратора Exchange, это имя объекта, измененного командлетом. Для службы облачной политики — идентификатор объекта конфигурации политики. Для действия TrainableClassifier — идентификатор модели, созданной, опубликованной, обновленной или удаленной пользователем. |
| UserId | Edm.string | Да | Имя участника-пользователя, который выполнил действие (указанное в свойстве Operation), приведшее к добавлению записи в журнал (например, my_name@my_domain_name).
Примечание. Также включаются записи о действиях, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, — app@sharepoint. Это значение указывает, что "пользователь", выполнивший действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий в масштабах организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. |
| ClientIP | Edm.String | Да | IPv4 или IPv6-адрес устройства, которое использовалось при регистрации действия. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для событий, связанных с Microsoft Entra ID, IP-адрес не регистрируется, а для свойства ClientIP используется nullзначение . |
| Scope | Self.AuditLogScope | Нет | Событие, созданное одним из следующих источников:
|
| AppAccessContext | CollectionSelf.AppAccessContext | Нет | Контекст приложения пользователя или субъекта-службы, которые выполнили действие. |
АгентAdminActivity
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| AgentID | Edm.String | Да | Уникальный идентификатор агента |
| Имя_агента | Edm.String | Да | Имя агента |
| AgentType | Edm.Int32 | Да | Тип агента : Microsoft (1P), External (3P), Shared by users (Shared), Built by your org (External). |
| UserAssignments | Коллекция (Edm.Guid) | Нет | Коллекция GUID пользователей и групп, связанных с действием агента. |
| ForAllUsers | Edm.Boolean | Да | Было ли записано действие, связанное с агентом, для всей организации. Значение True, если оно применяется ко всем пользователям в организации. False, если он применяется к определенным пользователям или группе. |
AgentSettingsAdminActivity
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Property | Edm.String | Да | Имя параметра на уровне клиента, обновленное администратором. |
| RemovedIdentities | Collection(Edm.Guid) | Нет | Коллекция GUID удаленных пользователей или групп. |
| AddedIdentities | Collection(Edm.Guid) | Нет | Коллекция GUID добавленных пользователей или групп. |
| NewValue | Edm.String | Да | Новое значение параметра. |
| ForAllUsers | Edm.Boolean | Да | Логическое значение, указывающее, влияет ли параметр на уровне клиента на всех пользователей. |
| OldValue | Edm.String | Да | Старое значение или новый параметр. |
Enum: AuditLogRecordType; Type: Edm.Int32
AuditLogRecordType
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | ExchangeAdmin | События из журнала аудита действий администратора Exchange. |
| 2 | ExchangeItem | События из журнала аудита почтовых ящиков Exchange для действий, которые выполняются с одним элементом, таких как создание или получение электронного сообщения. |
| 3 | ExchangeItemGroup | События из журнала аудита почтовых ящиков Exchange для действий, которые выполняются с несколькими элементами, таких как перемещение или удаление одного либо нескольких электронных сообщений. |
| 4 | SharePoint | События SharePoint. |
| 6 | SharePointFileOperation | События операций с файлами SharePoint. |
| 7 | OneDrive | События OneDrive. |
| 8 | AzureActiveDirectory | события Microsoft Entra ID. |
| 9 | AzureActiveDirectoryAccountLogon | Microsoft Entra ID события входа в OrgId (не рекомендуется). |
| 10 | DataCenterSecurityCmdlet | События, связанные с командлетами для обеспечения безопасности центра обработки данных. |
| 11 | ComplianceDLPSharePoint | События защиты от потери данных (DLP) в SharePoint и OneDrive. |
| 13 | ComplianceDLPExchange | События защиты от потери данных в Exchange, если настройка выполняется с помощью единой политики защиты от потери данных. События защиты от потери данных, основанные на правилах транспорта Exchange, не поддерживаются. |
| 14 | SharePointSharingOperation | События общего доступа в SharePoint. |
| 15 | AzureActiveDirectoryStsLogon | События входа в службу маркеров безопасности (STS) в Microsoft Entra ID. |
| 16 | SkypeForBusinessPSTNUsage | События телефонной сети общего пользования (ТСОП) из Skype для бизнеса. |
| 17 | SkypeForBusinessUsersBlocked | События заблокированных пользователей из Skype для бизнеса. |
| 18 | SecurityComplianceCenterEOPCmdlet | Администратор действия во встроенных функциях безопасности для всех облачных почтовых ящиков с портала Microsoft Defender. |
| 19 | ExchangeAggregatedOperation | Обобщенные события аудита почтового ящика Exchange. |
| 20 | PowerBIAudit | События Power BI. |
| 21 | CRM | События Dynamics 365. |
| 22 | Viva Engage | события Viva Engage. |
| 23 | SkypeForBusinessCmdlets | События Skype для бизнеса. |
| 24 | Discovery | События для действий обнаружения электронных данных, выполняемых путем выполнения поиска содержимого и управления случаями обнаружения электронных данных на портале Microsoft Purview. |
| 25 | MicrosoftTeams | События из Microsoft Teams. |
| 28 | ThreatIntelligence | Фишинговые и вредоносные события из встроенных функций безопасности для всех облачных почтовых ящиков и Microsoft Defender для Office 365. |
| 29 | MailSubmission | Отправка событий из встроенных функций безопасности для всех облачных почтовых ящиков и Microsoft Defender для Office 365. |
| 30 | MicrosoftFlow | События Microsoft Power Automate (ранее Microsoft Flow). |
| 31 | AeD | События Advanced eDiscovery. |
| 32 | MicrosoftStream | События Microsoft Stream. |
| 33 | ComplianceDLPSharePointClassification | События, связанные с классификацией защиты от потери данных в SharePoint. |
| 34 | ThreatFinder | События, связанные с кампанией из Microsoft Defender для Office 365. |
| 35 | Project | События Microsoft Project. |
| 36 | SharePointListOperation | События списка SharePoint. |
| 37 | SharePointCommentOperation | События комментариев SharePoint. |
| 38 | DataGovernance | События, связанные с политиками хранения и метками хранения на портале Microsoft Purview. |
| 39 | Kaizala | События Kaizala. |
| 40 | SecurityComplianceAlerts | Сигналы оповещений по безопасности и соответствию требованиям. |
| 41 | ThreatIntelligenceUrl | События времени блокировки безопасных ссылок и переопределения блокировки из Microsoft Defender для Office 365. |
| 42 | SecurityComplianceInsights | События, связанные с аналитическими сведениями и отчетами на портале Microsoft Defender. |
| 43 | MIPLabel | События, связанные с обнаружением в транспортном конвейере сообщений электронной почты, помеченных (вручную или автоматически) с помощью меток конфиденциальности. |
| 44 | VivaInsights | События Viva Аналитики. |
| 45 | PowerAppsApp | События Power Apps. |
| 46 | PowerAppsPlan | События плана подписки для Power Apps. |
| 47 | ThreatIntelligenceAtpContent | Фишинговые и вредоносные события для файлов в SharePoint, OneDrive и Microsoft Teams из Microsoft Defender для Office 365. |
| 48 | LabelContentExplorer | События, связанные с обозревателем содержимого с классификацией данных. |
| 49 | TeamsHealthcare | События, связанные с приложением "Пациенты" в Microsoft Teams для здравоохранения. |
| 50 | ExchangeItemAggregated | События, связанные с действием аудита почтового ящика MailItemsAccessed. |
| 51 | HygieneEvent | События, связанные с защитой от исходящего спама. |
| 52 | DataInsightsRestApiAudit | События REST API аналитики данных. |
| 53 | InformationBarrierPolicyApplication | События, связанные с применением политик информационного барьера. |
| 54 | SharePointListItemOperation | События элемента списка SharePoint. |
| 55 | SharePointContentTypeOperation | События типа контента списка SharePoint. |
| 56 | SharePointFieldOperation | События поля списка SharePoint. |
| 57 | MicrosoftTeamsAdmin | События администратора Teams |
| 58 | HRSignal | События, связанные с сигналами данных отдела кадров, поддерживающими решение для управления внутренними рисками. |
| 59 | MicrosoftTeamsDevice | События устройства Teams. |
| 60 | MicrosoftTeamsAnalytics | События аналитики Teams. |
| 61 | InformationWorkerProtection | События, связанные с оповещениями о скомпрометированном пользователе. |
| 62 | Кампания | События почтовой кампании из Microsoft Defender для Office 365. |
| 63 | DLPEndpoint | События защиты от потери данных в конечной точке. |
| 64 | AirInvestigation | События автоматизированного реагирования на инциденты (AIR). |
| 65 | Карантин | События карантина. |
| 66 | MicrosoftForms | События Microsoft Forms. |
| 67 | ApplicationAudit | События аудита приложений. |
| 68 | ComplianceSupervisionExchange | События, отслеживаемые моделью оскорбительных выражений соответствия требованиям к обмену данными. |
| 69 | CustomerKeyServiceEncryption | События, связанные со службой шифрования с ключом клиента. |
| 70 | OfficeNative | События, связанные с метками о конфиденциальности, примененными к документам Office. |
| 71 | MipAutoLabelSharePointItem | События автоматического применения меток в SharePoint. |
| 72 | MipAutoLabelSharePointPolicyLocation | События политики автоматического применения меток в SharePoint. |
| 73 | MicrosoftTeamsShifts | События приложения "Смены" в Teams. |
| 75 | MipAutoLabelExchangeItem | События автоматического применения меток в Exchange. |
| 76 | CortanaBriefing | События письма со сводкой. |
| 78 | WDATPAlerts | События, связанные с оповещениями, созданными Защитником Windows для конечной точки. |
| 79 | PowerAppsResource | События, связанные с соединителями Microsoft Power Platform (предварительная версия). |
| 82 | SensitivityLabelPolicyMatch | События, создаваемые при открытии или переименовании файла с меткой конфиденциальности. |
| 83 | SensitivityLabelAction | Событие, создаваемое при применении, обновлении или удалении меток конфиденциальности в файле. |
| 84 | SensitivityLabeledFileAction | События, создаваемые при открытии или переименовании файла с меткой конфиденциальности. |
| 85 | AttackSim | События, связанные с действиями пользователей в моделировании атак & обучения в Microsoft Defender для Office 365. |
| 86 | AirManualInvestigation | События, связанные с ручными исследованиями при автоматическом исследовании и реагировании (AIR). |
| 87 | SecurityComplianceRBAC | События безопасности и соответствия требованиям RBAC. |
| 88 | UserTraining | События, связанные с обучением пользователей в Microsoft Defender для Office 365 симуляции атак &. |
| 89 | AirAdminActionInvestigation | События, связанные с действиями администратора в автоматизированном исследовании и реагировании (AIR). |
| 90 | MSTIC | События аналитики угроз в Microsoft Defender для Office 365. |
| 91 | PhysicalBadgingSignal | События, связанные с сигналами физического применения бейджей, поддерживающими решение для управления внутренними рисками. |
| 92 | TeamsEasyApprovals | События, связанные с простыми утверждениями Teams |
| 93 | AipDiscover | События сканера AIP |
| 94 | AipSensitivityLabelAction | События меток конфиденциальности AIP |
| 95 | AipProtectionAction | События защиты AIP |
| 96 | AipFileDeleted | События удаления файлов AIP |
| 97 | AipHeartBeat | События пульса AIP |
| 98 | MCASAlerts | События, связанные с оповещениями, запущенными службой Microsoft Cloud App Security. |
| 99 | OnPremisesFileShareScannerDlp | События, связанные со сканированием на наличие конфиденциальных данных в общих папках. |
| 100 | OnPremisesSharePointScannerDlp | События, связанные со сканированием на наличие конфиденциальных данных в SharePoint. |
| 101 | ExchangeSearch | События, связанные с использованием Outlook в Интернете (OWA) для поиска элементов почтовых ящиков. |
| 102 | SharePointSearch | События, связанные с поиском домашнего сайта SharePoint организации. |
| 103 | PrivacyInsights | События аналитики конфиденциальности. |
| 105 | MyAnalyticsSettings | События MyAnalytics. |
| 106 | SecurityComplianceUserChange | События, связанные с изменением или удалением пользователя. |
| 107 | ComplianceDLPExchangeClassification | События классификации защиты от потери данных в Exchange. |
| 109 | MipExactDataMatch | События классификация точных совпадений с данными (EDM). |
| 113 | MS365DCustomDetection | События, связанные с пользовательскими действиями обнаружения в Microsoft 365 Defender. |
| 147 | CoreReportingSettings | Сообщает о событиях параметров. |
| 148 | ComplianceConnector | События, связанные с импортом данных сторонних организаций с помощью соединителей данных на портале Microsoft Purview. |
| 154 | OMEPortal | Журналы событий портала зашифрованных сообщений, созданные внешними получателями. |
| 157 | MipLabelAnalyticsAuditRecord | События аналитики меток MIP. |
| 164 | ScorePlatformGenericAuditRecord | Универсальная запись аудита, используемая для соединителей данных. |
| 174 | DataShareOperation | События, связанные с предоставлением общего доступа к данным, принятым через SystemSync. |
| 181 | EduDataLakeDownloadOperation | События, связанные с экспортом данных, принятых через SystemSync из Data Lake. |
| 183 | MicrosoftGraphDataConnectOperation | События, связанные с извлечением данных Microsoft Graph Data Connect. |
| 186 | PowerPagesSite | Действия, связанные с сайтом Power Pages. |
| 187 | PowerPlatformAdminDlp | События, связанные с Microsoft Power Platform DLP (предварительная версия). |
| 188 | Планировщикплан | Планировщик (Майкрософт) события планирования. |
| 189 | PlannerCopyPlan | Планировщик (Майкрософт) события плана копирования. |
| 190 | PlannerTask | Планировщик (Майкрософт) события задачи. |
| 191 | PlannerRoster | Планировщик (Майкрософт) событиях членства в реестре и реестре. |
| 192 | PlannerPlanList | Планировщик (Майкрософт) события списка планов. |
| 193 | PlannerTaskList | Планировщик (Майкрософт) события списка задач. |
| 194 | PlannerTenantSettings | Планировщик (Майкрософт) события параметров клиента. |
| 195 | ProjectForThewebProject | События проекта Microsoft Project в Интернете. |
| 196 | ProjectForThewebTask | События задач Microsoft Project в Интернете. |
| 197 | ProjectForThewebRoadmap | События стратегии развития Microsoft Project в Интернете. |
| 198 | ProjectForThewebRoadmapItem | События элементов стратегии развития Microsoft Project в Интернете. |
| 199 | ProjectForThewebProjectSettings | События параметров клиента проекта Project в Интернете Microsoft. |
| 200 | ProjectForThewebRoadmapSettings | Microsoft Project в Интернете события параметров клиента стратегии. |
| 202 | MicrosoftTodoAudit | События аудита Microsoft To Do. |
| 206 | MicrosoftTeamsSensitivityLabelAction | События метки конфиденциальности Microsoft Teams. |
| 216 | Viva Goals | события Viva Goals. |
| 217 | MicrosoftGraphDataConnectConsent | События действий согласия, выполняемых администраторами клиентов для приложений Microsoft Graph Data Connect. |
| 218 | AttackSimAdmin | События, связанные с действиями администратора в Office 365 & обучения & атак в Microsoft Defender. |
| 230 | TeamsUpdates | События приложений Teams Обновления. |
| 231 | PlannerRosterSensitivityLabel | Планировщик (Майкрософт) события меток конфиденциальности реестра. |
| 235 | MicrosoftDefenderForIdentityAudit | Microsoft Defender для удостоверений события аудита. |
| 237 | DefenderExpertsforXDRAdmin | события действий администратора Microsoft Defender экспертов. |
| 251 | VfamCreatePolicy | Политика Управления доступом Viva создает события. |
| 252 | VfamUpdatePolicy | События обновления политики Управления доступом Viva. |
| 253 | VfamDeletePolicy | События удаления политики Управления доступом Viva. |
| 256 | PowerPlatformAdministratorActivity | События действий администратора Power Platform. |
| 257 | Windows365CustomerLockbox | События аудита защищенного хранилища Windows365. |
| 261 | CopilotInteraction | События взаимодействия с Copilot. |
| 265 | VivaLearning | Действия пользователей в Viva Обучение. |
| 266 | VivaLearningAdmin | Администратор деятельности в Viva Обучение. |
| 269 | PeopleAdminSettings | События аудита для параметров Люди Администратор. |
| 275 | OWAAuth | Маркер доступа для событий, успешно выданных ресурсом. |
| 277 | SharePointESignature | События аудита eSignature в SharePoint. |
| 278 | Dynamics365BusinessCentral | События аудита для Dynamics 365 Business Central. |
| 279 | MeshWorlds | События аудита для Сетки. |
| 280 | VivaPulseResponse | События реагирования на опрос Viva Pulse. |
| 281 | VivaPulseOrganizer | Мероприятия организатора опроса Viva Pulse. |
| 282 | VivaPulseAdmin | События администратора Viva Pulse. |
| 283 | VivaPulseReport | События, связанные с отчетом Viva Pulse. |
| 284 | AIAppInteraction | События аудита для взаимодействия пользователей со сторонними приложениями ИИ (не созданными корпорацией Майкрософт и не специально созданными). |
| 285 | ComplianceDLMExchange | События ComplianceDLMExchange. |
| 286 | ComplianceDLMSharePoint | События ComplianceDLMSharePoint. |
| 287 | ProjectForThewebAssignedToMeSettings | Microsoft Project в Интернете назначенные мне события параметров клиента. |
| 288 | CloudPolicyService | События из службы облачной политики. |
| 291 | SensitiveInfoDiscovered | События из классификации по запросу Purview для устройств конечных точек. |
| 292 | InsiderRiskScopedUserInsights | События, связанные с аналитикой пользователей с заданной областью в управлении внутренними рисками. |
| 293 | MicrosoftTeamsRetentionLabelAction | События аудита меток хранения в Microsoft Teams. |
| 294 | AadRiskDetection | События аудита для обнаружения рисков в Microsoft Entra (ранее — Azure Active Directory). |
| 295 | AuditSearch | События аудита для администратора, взаимодействующего с поиском в Purview Audit. |
| 296 | AuditRetentionPolicy | События аудита для администратора, взаимодействующего с политиками хранения в Purview Audit. |
| 297 | AuditConfig | События аудита для администратора, взаимодействующего с параметрами конфигурации, связанными с аудитом Purview. |
| 298 | BackupPolicy | События, связанные с политиками Резервное копирование Microsoft 365. |
| 299 | RestoreTask | События, связанные с задачами восстановления Резервное копирование Microsoft 365. |
| 300 | RestoreItem | События, связанные с артефактами, резервные копии с помощью Резервное копирование Microsoft 365. |
| 301 | BackupItem | События, связанные с восстановлением элементов с помощью Резервное копирование Microsoft 365. |
| 302 | URBACAssignment | События, связанные с объединенными назначениями RBAC. |
| 303 | URBACRole | События, связанные с едиными ролями RBAC. |
| 304 | URBACEnableState | События, связанные с включением состояния единого RBAC. |
| 306 | PurviewInsiderRiskCases | События, связанные с случаями риска для программы предварительной оценки Purview. |
| 307 | PurviewInsiderRiskAlerts | События, связанные с оповещениями о риске предварительной оценки Purview. |
| 308 | InsiderRiskScopedUsers | События, связанные с пользователями, связанными с Purview Insider Risk. |
| 310 | CreateCopilotPlugin | События аудита для создания подключаемого модуля Copilot. |
| 311 | UpdateCopilotPlugin | События аудита для обновления подключаемого модуля Copilot. |
| 312 | DeleteCopilotPlugin | События аудита для удаления подключаемого модуля Copilot. |
| 313 | EnableCopilotPlugin | События аудита для включения подключаемого модуля Copilot. |
| 314 | DisableCopilotPlugin | События аудита для отключения подключаемого модуля Copilot. |
| 315 | CreateCopilotWorkspace | События аудита для создания рабочей области Copilot. |
| 316 | UpdateCopilotWorkspace | События аудита для обновления рабочей области Copilot. |
| 317 | DeleteCopilotWorkspace | События аудита для удаления рабочей области Copilot. |
| 318 | EnableCopilotWorkspace | События аудита для включения рабочей области Copilot. |
| 319 | DisableCopilotWorkspace | События аудита для отключения рабочей области Copilot. |
| 320 | CreateCopilotPromptBook | События аудита для создания модуля командной строки Copilot. |
| 321 | UpdateCopilotPromptBook | События аудита для обновления модуля командной строки Copilot. |
| 322 | DeleteCopilotPromptBook | События аудита для удаления модуля командной строки Copilot. |
| 323 | EnableCopilotPromptBook | События аудита для включения модуля командной строки Copilot. |
| 324 | DisableCopilotPromptBook | События аудита для отключения модуля командной строки Copilot. |
| 325 | UpdateCopilotSettings | Событие аудита для обновления параметров пользователя или клиента, связанных с Copilot. |
| 328 | ConnectedAIAppInteraction | Аудит событий, связанных с взаимодействием пользователей со сторонними приложениями ИИ, разработанными не корпорацией Майкрософт, которые развертываются в клиенте Майкрософт организации. |
| 329 | PrivaPrivacyConsentOperation | Аудит событий, связанных с согласием в Microsoft Priva. |
| 330 | PrivaPrivacyAssessmentOperation | События аудита, связанные с оценками в Microsoft Priva. |
| 331 | DataCatalogAccessRequests | События аудита, связанные с запросами на доступ к Каталог данных. |
| 332 | ComplianceSettingsChange | События изменения параметров соответствия требованиям Microsoft Purview. |
| 333 | DataSecurityInvestigation | События из Исследования по безопасности данных в Microsoft Purview. |
| 334 | TeamCopilotInteraction | Аудит событий взаимодействия пользователей с Фасилитатором и действий, выполняемых Посредником в Microsoft Teams. |
| 335 | IRMActivityAuditTrail | События из управления внутренними рисками Purview. |
| 336 | SharePointContentSecurityPolicy | События из политики безопасности содержимого в SharePoint. |
| 337 | CloudUpdateProfileConfig | События из конфигурации профиля облачного обновления. |
| 338 | CloudUpdateTenantConfig | События из конфигурации клиента облачного обновления. |
| 339 | CloudUpdateDeviceConfig | События из конфигурации управляемых устройств в облачном обновлении. |
| 341 | DeviceDiscoverySettingsExclusion | События, связанные с исключениями в параметрах обнаружения устройств. |
| 342 | DeviceDiscoverySettingsAuthenticatedScans | События, связанные с проверкой подлинности, в параметрах обнаружения устройств. |
| 344 | DeviceDiscoverySettings | События, связанные с параметрами обнаружения устройств. |
| 345 | USXWorkspaceOnboarding | События, связанные с подключением рабочей области в Microsoft Defender USX. |
| 346 | VivaGlintAdvancedConfiguration | События, связанные с расширенной конфигурацией в Viva Glint. |
| 347 | VivaGlintPulseProgram | События, связанные с Pulse Program в Viva Glint. |
| 348 | VivaGlintPulseProgramRespondentRate | События, связанные с частотой респондентов программы Pulse в Viva Glint. |
| 349 | VivaGlintQuestion | События, связанные с вопросами в Viva Glint. |
| 350 | VivaGlintRole | События, связанные с ролями в Viva Glint. |
| 351 | VivaGlintRubicon | События, связанные с Рубиконом в Viva Glint. |
| 352 | VivaGlintSupportAccess | События, связанные с поддержкой доступа в Viva Glint. |
| 353 | VivaGlintSystem | События, связанные с системными действиями в Viva Glint. |
| 354 | VivaGlintUser | События, связанные с действиями пользователей в Viva Glint. |
| 355 | VivaGlintUserGroup | События, связанные с действиями группы пользователей в Viva Glint. |
| 356 | VivaGlintFeedbackProgram | События, связанные с программами обратной связи в Viva Glint. |
| 357 | FabricAudit | События, связанные с Microsoft Fabric. |
| 358 | TrainableClassifier | События из классификации данных Purview. |
| 359 | WebContentFiltering | События из Microsoft Edge WebContentFiltering. |
| 360 | NoisyAlertPolicy | События, связанные с политиками шумных оповещений в Microsoft Defender. |
| 361 | DataScanClassification | События из классификации по запросу Purview для SharePoint и OneDrive. |
| 362 | AIInteractionsExport | События, связанные с экспортом взаимодействий СИ. |
| 363 | Microsoft365CopilotScheduledPrompt | События из Microsoft 365 Copilot запланированной командной строки. |
| 364 | PlacesDirectory | События из каталога Microsoft Places. |
| 365 | SentinelNotebookOnLake | События выполнения записной книжки в Sentinel озера данных. |
| 366 | SentinelJob | События операций с заданиями в Sentinel озера данных. |
| 367 | SentinelKQLOnLake | События при запуске KQL в Sentinel озере данных. |
| 368 | SentinelLakeOnboarding | События от подключения к Sentinel озера данных. |
| 369 | SentinelLakeDataOnboarding | События загрузки данных в озеро данных Sentinel. |
| 370 | SentinelAITool | События, связанные с операциями с инструментом ИИ в Microsoft Sentinel |
| 371 | SentinelGraph | События, связанные с Graph в Microsoft Sentinel. |
| 372 | CrossTenantAccessPolicy | События из политик доступа между клиентами. |
| 373 | OutlookCopilotAutomation | События, связанные с автоматизацией серверной части (без явного взаимодействия с пользователем) в Microsoft Outlook, на основе агентов, Copilot или других сценариев ИИ. |
| 374 | VivaEngageNetworkAssociation | События, связанные с сетевой связью в Viva Engage. |
| 375 | AppAdminActivity | События, связанные с действиями администратора приложения. |
| 376 | AppSettingsAdminActivity | События, связанные с действиями администратора параметров приложения. |
| 377 | UniversalPrintJob | События аудита, связанные с заданиями печати в Microsoft Universal Print. |
| 378 | VivaAmplifyOutlookSensitivityLabel | События, связанные с метками конфиденциальности Outlook в Viva Amplify. |
| 379 | AIInteractionsSubscription | События, связанные с подписками на взаимодействие с ИИ. |
| 380 | AIInteractionsChangeNotification | События, связанные с уведомлениями об изменениях взаимодействия с ИИ. |
| 381 | FilteringMailMetadataExtended | События, связанные с фильтрацией метаданных почты. |
| 382 | OfficeRestrictedModeAction | Аудит событий, связанных с действиями, выполняемыми в ограниченном режиме Office. |
| 383 | CopilotForSecurityTrigger | События, связанные с триггерами для агентов Security Copilot. |
| 384 | CopilotAgentManagement | События, связанные с действиями администратора для агентов Microsoft Copilot. |
| 385 | P4AIAssessmentFabricScannerRecord | События, связанные с Purview для сканера структуры оценки ИИ. |
| 386 | PlannerGoal | Планировщик (Майкрософт) события цели. |
| 387 | PlannerGoalList | Планировщик (Майкрософт) события списка целей. |
| 414 | VivaEngageSegment | Viva Engage события сегментации. |
| 422 | VivaEngageEvents | События, связанные с Viva Engage размещенными событиями. |
| 427 | UniversalPrintManagement | Аудит событий, связанных с событиями управления в Microsoft Universal Print. |
Enum: User Type; Type: Edm.Int32
User Type
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Regular | Обычный пользователь без разрешений администратора. |
| 1 | Reserved | Зарезервированное значение, а не для использования. |
| 2 | Admin | Администратор в организации Microsoft 365. |
| 3 | DCAdmin | Администратор центра обработки данных Майкрософт или системная учетная запись центра обработки данных. |
| 4 | System | Событие аудита, активируется логикой на стороне сервера. Например, службы Windows или фоновые процессы. |
| 5 | Application | Событие аудита, активируется приложением Microsoft Entra. |
| 6 | ServicePrincipal | Субъект-служба. |
| 7 | CustomPolicy | Клиент, созданная или управляемая политика. |
| 8 | SystemPolicy | Под управлением Майкрософт или системная политика. |
| 9 | PartnerTechnician | Пользователь клиента партнера, работающий от имени клиента клиента (в сценариях GDAP). |
| 10 | Guest | Гостевой или анонимный пользователь. |
Примечание.
** Для Microsoft Entra связанных событий значение администратора не используется в записи аудита. Записи аудита для действий, выполняемых администраторами, указывают на то, что обычный пользователь (например, UserType: 0) выполнил действие. Свойство UserID идентифицирует пользователя (обычного пользователя или администратора), выполнившего это действие.
Enum: AuditLogScope; Type: Edm.Int32
AuditLogScope
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Online | Это событие было создано службой Microsoft 365. |
| 1 | Onprem | Это событие создано на локальном сервере. |
Сложный тип AppAccessContext
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| AADSessionId | Edm.String | Нет | Microsoft Entra SessionId входа Entra, который был выполнен приложением от имени пользователя. |
| APIId | Edm.String | Нет | ИД пути API, используемого для доступа к ресурсу, например, доступа через API Microsoft Graph. |
| ClientAppId | Edm.String | Нет | Идентификатор приложения Microsoft Entra, которое выполнило доступ от имени пользователя. |
| ClientAppName | Edm.String | Нет | Имя приложения Microsoft Entra, которое осуществлял доступ от имени пользователя. |
| CorrelationId | Edm.String | Нет | Идентификатор, который можно использовать для коррелирования действий определенного пользователя в службах Microsoft 365. |
| UniqueTokenId | Edm.String | Нет | Значение UniqueTokenId устанавливается, если маркер Microsoft Entra доступен для запроса. Это уникальный идентификатор маркера с учетом регистра. |
| IssuedAtTime | Edm.Date | Нет | Значение "Выдано" устанавливается, если маркер Microsoft Entra доступен для запроса и указывает, когда была выполнена проверка подлинности для этого маркера Microsoft Entra. |
Базовая схема SharePoint
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| Site | Edm.Guid | Нет | GUID сайта, на котором расположены файл или папка, к которым получил доступ пользователь. |
| ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | Нет | Тип объекта, который был открыт или изменен. Сведения о типах объектов см. в таблице ItemType. |
| EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | Нет | Определяет, произошло ли событие в SharePoint. Возможные значения: SharePoint или ObjectModel. |
| SourceName | Edm.String | Нет | Сущность, активировавшая подлежащую аудиту операцию. Возможные значения: SharePoint или ObjectModel. |
| UserAgent | Edm.String | Нет | Сведения о клиенте или браузере пользователя. Эту информацию предоставляет клиент или браузер. |
| MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Сведения об операциях синхронизации устройств. Сообщаются, только если присутствуют в запросе. |
| MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Сведения об операциях синхронизации устройств. Сообщаются, только если присутствуют в запросе. |
| ListItemUniqueId | Edm.Guid | Нет | GUID уникально идентифицируемого элемента списка. Эта информация представлена только в том случае, если она применима. |
| ListId | Edm.Guid | Нет | GUID списка. Эта информация представлена только в том случае, если она применима. |
| ApplicationId | Edm.String | Нет | ID приложения, которое выполняет операцию. |
| ApplicationDisplayName | Edm.String | Нет | Видимое пользователю имя приложения, которое выполняет операцию. |
| IsWorkflow | Edm.Boolean | Нет | Этой переменной присваивается значение True, если SharePoint инициировал событие, подлежащее аудиту. |
Enum: ItemType; Type: Edm.Int32
ItemType
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Invalid | Элемент не относится ни к одному из других типов элементов (перечисленных в этой таблице). |
| 1 | File | Элемент представляет собой файл. |
| 5 | Folder | Элемент представляет собой папку. |
| 6 | web | Элемент является веб-сайтом. |
| 7 | Site | Элемент представляет собой сайт. |
| 8 | Tenant | Элемент представляет собой клиент. |
| 9 | DocumentLibrary | Элемент представляет собой библиотеку документов. |
| 11 | Page | Элемент представляет собой страницу. |
Enum: EventSource; Type: Edm.Int32
EventSource
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | SharePoint | Источник события — SharePoint. |
| 1 | ObjectModel | Источник события — ObjectModel. |
Enum: SharePointAuditOperation; Type: Edm.Int32
| Имя элемента | Описание |
|---|---|
| AccessInvitationAccepted | Получатель приглашения на просмотр или правку общего файла (или папки) получил доступ к общему файлу, щелкнув ссылку в приглашении. |
| AccessInvitationCreated | Пользователь отправляет приглашение другому пользователю (внутри или за пределами организации) для просмотра или редактирования общего файла или папки на сайте SharePoint или OneDrive. В сведениях записи о событии указывается имя общего файла, данные пользователя, которому отправлено приглашение, и тип разрешения на общий доступ, который выбрал отправитель приглашения. |
| AccessInvitationExpired | Заканчивается срок действия приглашения, отправленного внешнему пользователю за пределами организации. По умолчанию он истекает через 7 дней, если приглашение не принято. |
| AccessInvitationRevoked | Администратор сайта или владелец сайта или документа в SharePoint или OneDrive отзывает приглашение, отправленное пользователю за пределами вашей организации. Приглашение можно отозвать только до его принятия. |
| AccessInvitationUpdated | Пользователь, создавший и отправивший приглашение другому пользователю, чтобы просмотреть или изменить общий файл или папку на сайте SharePoint или OneDrive, возмещает приглашение. |
| AccessRequestApproved | Администратор сайта или владелец сайта или документа в SharePoint или OneDrive утверждает запрос пользователя на доступ к сайту или документу. |
| AccessRequestCreated | Пользователь запрашивает доступ к сайту или документу в SharePoint или OneDrive, на доступ к которым у него нет разрешения. |
| AccessRequestRejected | Администратор или владелец сайта либо документа в SharePoint отклоняет запрос пользователя на доступ к сайту или документу. |
| ActivationEnabled | Пользователи могут включать поддержку браузера для шаблонов форм, не содержащих кода форм, требовать полного доверия, включать отображение на мобильном устройстве, а также использовать подключение к данным, управляемое администратором сервера. |
| AdministratorAddedToTermStore | Добавлен администратор банка терминов. |
| AdministratorDeletedFromTermStore | Удален администратор банка терминов. |
| AllowGroupCreationSet | Администратор или владелец сайта добавляет уровень разрешений на сайт SharePoint или OneDrive, который позволяет пользователю, которому назначено это разрешение, создать группу для этого сайта. |
| AppCatalogCreated | Создан каталог приложений для развертывания пользовательских бизнес-приложений в среде SharePoint. |
| AuditPolicyRemoved | Для семейства веб-сайтов удалена политика жизненного цикла документов. |
| AuditPolicyUpdate | Для семейства веб-сайтов обновлена политика жизненного цикла документов. |
| AzureStreamingEnabledSet | Владелец видеопортала разрешил потоковую передачу видео из Azure. |
| CollaborationTypeModified | Изменен тип совместной работы, разрешенной на сайтах (например, интрасеть, экстрасеть или общедоступная сеть). |
| ConnectedSiteSettingModified | Пользователь либо создал, изменил или удалил связь между проектом и сайтом проекта, либо пользователь изменяет параметр синхронизации для ссылки в Project Web App. |
| CreateSSOApplication | В службе Secure Store создано конечное приложение. |
| CustomFieldOrLookupTableCreated | Пользователь создал настраиваемое поле или таблицу подстановки или элемент в веб-приложении Project. |
| CustomFieldOrLookupTableDeleted | Пользователь удалил пользовательское поле или таблицу или элемент подстановки в веб-приложении Project. |
| CustomFieldOrLookupTableModified | Пользователь изменил пользовательское поле или таблицу подстановки или элемент в веб-приложении Project. |
| CustomizeExemptUsers | Глобальный администратор настроил список исключаемых агентов пользователя в Центре администрирования SharePoint. Вы можете указать, какие агенты пользователя не должны получать веб-страницы полностью для индексации. Эта конфигурация означает, что при обнаружении исключенным агентом пользователя формы InfoPath форма возвращается в виде XML-файла, а не всей веб-страницы. Этот результат ускоряет индексирование форм InfoPath. |
| DefaultLanguageChangedInTermStore* | В банке терминов изменен язык. |
| DelegateModified | Пользователь создал или изменил делегат безопасности в Веб-приложении Project. |
| DelegateRemoved | Пользователь удалил делегат безопасности в Веб-приложении Project. |
| DeleteSSOApplication | Удалено приложение для единого входа. |
| eDiscoveryHoldApplied | К источнику контента применено удержание на месте. Для управления удержанием на месте используется семейство веб-сайтов для обнаружения электронных данных (например, Центр обнаружения электронных данных) в SharePoint. |
| eDiscoveryHoldRemoved | Удержание на месте отменено для источника контента. Для управления удержанием на месте используется семейство веб-сайтов для обнаружения электронных данных (например, Центр обнаружения электронных данных) в SharePoint. |
| eDiscoverySearchPerformed | В SharePoint выполнен поиск с помощью функции обнаружения электронных данных с использованием семейства веб-сайтов для обнаружения электронных данных. |
| EngagementAccepted | Пользователь принимает участие ресурсов в веб-приложении Project. |
| EngagementModified | Пользователь изменяет задействование ресурсов в веб-приложении Project. |
| EngagementRejected | Пользователь отклоняет задействование ресурсов в веб-приложении Project. |
| EnterpriseCalendarModified | Пользователь копирует, изменяет или удаляет корпоративный календарь в Веб-приложении Project. |
| EntityDeleted | Пользователь удаляет расписание в Веб-приложении Project. |
| EntityForceCheckedIn | Пользователь принудительно применяет проверка в календаре, настраиваемом поле или таблице подстановки в веб-приложении Project. |
| ExemptUserAgentSet | Глобальный администратор добавляет агента пользователя в список исключаемых агентов пользователя в Центре администрирования SharePoint. |
| FeatureActivated | Администратор сайта активирует функцию семейства веб-сайтов. |
| FeatureDeactivated | Администратор сайта отключает функцию семейства веб-сайтов. |
| FileAccessed | Пользователь или системная учетная запись обращается к файлу на сайте SharePoint или OneDrive. Системные учетные записи также могут создавать события FileAccessed. |
| FileCheckOutDiscarded | Пользователь удаляет извлеченный файл. Это значит, что любые изменения, которые он внес в файл при извлечении, будут отменены и не сохранены в версии документа, находящегося в библиотеке документов. |
| FileCheckedIn | Пользователь выполняет проверку документа, извлеченного из библиотеки документов SharePoint или OneDrive. |
| FileCheckedOut | Пользователь извлекает документ, расположенный в библиотеке документов SharePoint или OneDrive. Пользователи могут извлекать документы, к которым им предоставлен общий доступ, и вносить в них изменения. |
| FileCopied | Пользователь копирует документ с сайта SharePoint или OneDrive. Скопированный файл можно сохранить в другой папке на сайте. |
| FileDeleted | Пользователь удаляет документ с сайта SharePoint или OneDrive. |
| FileDeletedFirstStageRecycleBin | Пользователь удаляет файл из корзины на сайте SharePoint или OneDrive. |
| FileDeletedSecondStageRecycleBin | Пользователь удаляет файл из корзины второго уровня на сайте SharePoint или OneDrive. |
| FileDownloaded | Пользователь скачивает документ с сайта SharePoint или OneDrive. |
| FileFetched | Это событие заменено событием FileAccessed и устарело. |
| FileModified | Учетная запись пользователя или системы изменяет содержимое или свойства документа, расположенного на сайте SharePoint или OneDrive. |
| FileMoved | Пользователь перемещает документ из его текущего расположения на сайте SharePoint или OneDrive в новое расположение. |
| FilePreviewed | Пользователь просматривает документ на сайте SharePoint или OneDrive. |
| FileRecycled | Пользователь перемещает документ в корзину SharePoint или OneDrive. |
| FileRenamed | Пользователь переименовывает документ на сайте SharePoint или OneDrive. |
| FileRestored | Пользователь восстанавливает документ из корзины сайта SharePoint или OneDrive. |
| FileSyncDownloadedFull | Пользователь скачивает файл на свой компьютер из библиотеки документов SharePoint или OneDrive с помощью приложения приложение синхронизации OneDrive (OneDrive.exe). |
| FileSyncDownloadedPartial | Это событие устарело вместе со старым приложением приложение синхронизации OneDrive (Groove.exe). |
| FileSyncUploadedFull | Пользователь отправляет новый файл или изменения в файл в библиотеке документов SharePoint или OneDrive с помощью приложения приложение синхронизации OneDrive (OneDrive.exe). |
| FileSyncUploadedPartial | Это событие устарело вместе со старым приложением приложение синхронизации OneDrive (Groove.exe). |
| FileUploaded | Пользователь отправляет документ в папку на сайте SharePoint или OneDrive. |
| FileViewed | Это событие заменено событием FileAccessed и устарело. |
| FolderCopied | Пользователь копирует папку с сайта SharePoint или OneDrive в другое расположение в SharePoint или OneDrive. |
| FolderCreated | Пользователь создает папку на сайте SharePoint или OneDrive. |
| FolderDeleted | Пользователь удаляет папку с сайта SharePoint или OneDrive. |
| FolderDeletedFirstStageRecycleBin | Пользователь удаляет папку из корзины на сайте SharePoint или OneDrive . |
| FolderDeletedSecondStageRecycleBin | Пользователь удаляет папку из корзины второго уровня на сайте SharePoint или OneDrive. |
| FolderModified | Пользователь изменяет папку на сайте SharePoint или OneDrive. Это событие содержит изменения метаданных папки, например тегов и свойств. |
| FolderMoved | Пользователь перемещает папку с сайта SharePoint или OneDrive. |
| FolderRecycled | Пользователь перемещает папку в корзину SharePoint или OneDrive. |
| FolderRenamed | Пользователь переименовывает папку на сайте SharePoint или OneDrive. |
| FolderRestored | Пользователь восстанавливает папку из корзины на сайте SharePoint или OneDrive. |
| GroupAdded | Администратор или владелец сайта создает группу для сайта SharePoint или OneDrive или выполняет задачу, которая приводит к созданию группы. Например, когда пользователь впервые создает ссылку для предоставления общего доступа к файлу, на сайт OneDrive пользователя добавляется системная группа. Это событие также может возникнуть, если пользователь создал ссылку с разрешениями на внесение изменений в общий файл. |
| GroupRemoved | Пользователь удаляет группу с сайта SharePoint или OneDrive. |
| GroupUpdated | Администратор или владелец сайта изменяет параметры группы для сайта SharePoint или OneDrive. Действия могут включать изменение имени группы, назначение пользователям прав на просмотр или изменение параметров членства в группах, а также установку способа обработки запросов на вступление в группы. |
| LanguageAddedToTermStore | В банк терминов добавлен язык. |
| LanguageRemovedFromTermStore | Из банка терминов удален язык. |
| LegacyWorkflowEnabledSet | Администратор или владелец сайта добавляет тип контента задачи рабочего процесса SharePoint на сайт. Глобальные администраторы также могут включить рабочие процессы для всей организации в Центре администрирования SharePoint. |
| LookAndFeelModified | Пользователь изменяет форматы быстрого запуска, диаграммы Ганта или форматы групп. Кроме того, пользователь создает, изменяет или удаляет представление в веб-приложении Project. |
| ManagedSyncClientAllowed | Пользователь успешно устанавливает связь синхронизации с сайтом SharePoint или OneDrive. Отношение синхронизации установлено успешно, так как компьютер пользователя входит в домен, который добавлен в список доменов (так называемый список надежных получателей) и который позволяет получить доступ к библиотекам документов в вашей организации. Дополнительные сведения см. в статье Начало работы с командная консоль SharePoint Online, чтобы включить приложение синхронизации OneDrive для доменов, которые находятся в списке надежных получателей. |
| MaxQuotaModified | Изменена максимальная квота для сайта. |
| MaxResourceUsageModified | Изменен максимальный объем ресурсов, который можно использовать для сайта. |
| MySitePublicEnabledSet | Администратор SharePoint установил флаг, который позволяет пользователям иметь общедоступные личные сайты. |
| NewsFeedEnabledSet | Администратор или владелец сайта включает RSS-каналы для сайта SharePoint или OneDrive. Глобальные администраторы могут включить RSS-каналы для всей организации в Центре администрирования SharePoint. |
| ODBNextUXSettings | Включен новый пользовательский интерфейс для OneDrive. |
| OfficeOnDemandSet | Администратор сайта включает функцию "Office по запросу", с помощью которой пользователи могут получать доступ к последней версии классических приложений Office. Функция "Office по запросу" включена в Центре администрирования SharePoint. Для ее использования требуется подписка на Office 365, включающая установленные полнофункциональные приложения Office. |
| PageViewed | Пользователь просматривает страницу на сайте SharePoint или сайте OneDrive. Это действие не включает просмотр файлов из библиотеки документов с сайта SharePoint или One Drive для бизнеса в браузере. |
| PeopleResultsScopeSet | Администратор сайта создает или изменяет источник результатов для поиска людей на сайте SharePoint. |
| PermissionSyncSettingModified | Пользователь изменяет параметры синхронизации разрешений проекта в Project Web App. |
| PermissionTemplateModified | Пользователь создает, изменяет или удаляет шаблон разрешений в веб-приложении Project. |
| PortfolioDataAccessed | Пользователь обращается к содержимому портфеля (библиотека драйверов, определение приоритетов драйверов, анализ портфеля) в веб-приложении Project. |
| PortfolioDataModified | Пользователь создает, изменяет или удаляет данные портфеля (библиотека драйверов, определение приоритетов драйверов, анализ портфеля) в веб-приложении Project. |
| PreviewModeEnabledSet | Администратор сайта включает предварительный просмотр документов для сайта SharePoint. |
| ProjectAccessed | Пользователь обращается к содержимому проекта в веб-приложении Project. |
| ProjectCheckedIn | Пользователь выполняет проверку проекта, извлеченного из веб-приложения Project. |
| ProjectCheckedOut | Пользователь извлекает проект, расположенный в веб-приложении Project. Пользователи могут извлекать и вносить изменения в проекты, для открытия которых у них есть разрешение. |
| ProjectCreated | Пользователь создает проект в веб-приложении Project. |
| ProjectDeleted | Пользователь удаляет проект в веб-приложении Project. |
| ProjectForceCheckedIn | Пользователь принудительно выполняет проверка в проекте в веб-приложении Project. |
| ProjectModified | Пользователь изменяет проект в веб-приложении Project. |
| ProjectPublished | Пользователь публикует проект в веб-приложении Project. |
| ProjectWorkflowRestarted | Пользователь перезапускает рабочий процесс в веб-приложении Project. |
| PWASettingsAccessed | Пользователи получают доступ к параметрам веб-приложения Project через CSOM. |
| PWASettingsModified | Пользователь изменяет конфигурацию веб-приложения Project. |
| QueueJobStateModified | Пользователь отменяет или перезапускает задание очереди в Веб-приложении Project. |
| QuotaWarningEnabledModified | Изменено предупреждение о квоте хранилища. |
| RenderingEnabled | Шаблоны форм с поддержкой браузера отрисовываются службами форм InfoPath. |
| ReportingAccessed | Пользователь обращается к конечной точке отчетов в Веб-приложении Project. |
| ReportingSettingModified | Пользователь изменяет конфигурацию отчетов в Project Web App. |
| ResourceAccessed | Пользователь обращается к содержимому корпоративного ресурса в веб-приложении Project. |
| ResourceCheckedIn | Пользователь выполняет проверку корпоративного ресурса, извлеченного из веб-приложения Project. |
| ResourceCheckedOut | Пользователь извлекает корпоративный ресурс, расположенный в веб-приложении Project. |
| ResourceCreated | Пользователь создает корпоративный ресурс в веб-приложении Project. |
| ResourceDeleted | Пользователь удаляет корпоративный ресурс в веб-приложении Project. |
| ResourceForceCheckedIn | Пользователь принудительно выполняет проверка корпоративного ресурса в веб-приложении Project. |
| ResourceModified | Пользователь изменяет корпоративный ресурс в Веб-приложении Project. |
| ResourcePlanCheckedInOrOut | Пользователь возвращает или выходит из плана ресурсов в Веб-приложении Project. |
| ResourcePlanModified | Пользователь изменяет план ресурсов в веб-приложении Project. |
| ResourcePlanPublished | Пользователь публикует план ресурсов в веб-приложении Project. |
| ResourceRedacted | Пользователь отредактирует корпоративный ресурс, удаляя всю личную информацию в веб-приложении Project. |
| ResourceWarningEnabledModified | Изменено предупреждение о квоте ресурсов. |
| SSOGroupCredentialsSet | В службе Secure Store установлены учетные данные группы. |
| SSOUserCredentialsSet | В службе Secure Store установлены учетные данные пользователя. |
| SearchCenterUrlSet | Задан URL-адрес центра поиска. |
| SecondaryMySiteOwnerSet | Пользователь добавил совладельца на свой личный сайт. |
| SecurityCategoryModified | Пользователь создает, изменяет или удаляет категорию безопасности в веб-приложении Project. |
| SecurityGroupModified | Пользователь создает, изменяет или удаляет группу безопасности в Веб-приложении Project. |
| SendToConnectionAdded | Глобальный администратор создает подключение для отправки на странице управления записями в Центре администрирования SharePoint. Подключение для отправки определяет параметры для репозитория документов или центра записей. При создании подключения для отправки организатор контента может отправлять документы в указанное расположение. |
| SendToConnectionRemoved | Глобальный администратор удаляет подключение для отправки на странице управления записями в Центре администрирования SharePoint. |
| SharedLinkCreated | Пользователь создает ссылку на общий файл в SharePoint или OneDrive. Эту ссылку можно отправить другим людям, чтобы предоставить им доступ к файлу. Пользователь может создавать ссылки двух типов: ссылку, с помощью которой можно просмотреть и изменить общий файл, или ссылку, которая позволяет только просматривать файл. |
| SharedLinkDisabled | Пользователь отключает (окончательно) ссылку, созданную для совместного использования файла. |
| SharingInvitationAccepted* | Пользователь принимает приглашение на совместное использование файла или папки. Это событие регистрируется в журнале, когда пользователь делится файлом с другими лицами. |
| SharingRevoked | Пользователь не предоставил общий доступ к файлу или папке, которые ранее были переданы другим пользователям. Это событие регистрируется в журнале, когда пользователь прекращает совместное использование файла с другими лицами. |
| SharingSet | Пользователь предоставляет общий доступ к файлу или папке в SharePoint или OneDrive другому пользователю в своей организации. |
| SiteAdminChangeRequest | Пользователь отправляет запрос на добавление себя в качестве администратора семейства веб-сайтов SharePoint. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. |
| SiteCollectionAdminAdded* | Администратор или владелец семейства веб-сайтов добавляет пользователя в качестве администратора семейства веб-сайтов для сайта SharePoint или OneDrive. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. |
| SiteCollectionCreated | Глобальный администратор создает семейство веб-сайтов в вашей организации SharePoint. |
| SitePermanentlyDeleted | SharePoint или глобальный администратор безвозвратно удаляет сайт из SharePoint Администратор Центр удаленных сайтов. |
| SiteRenamed | Администратор или владелец сайта переименовывает сайт SharePoint или OneDrive |
| SiteRestored | SharePoint или глобальный администратор восстанавливает сайт из SharePoint Администратор Центр удаленных сайтов. |
| StatusReportModified | Пользователь создает, изменяет или удаляет отчет о состоянии в веб-приложении Project. |
| SyncGetChanges | Пользователь нажимает кнопку Синхронизация в области действий в SharePoint или OneDrive, чтобы синхронизировать любые изменения в файле в библиотеке документов на своем компьютере. |
| SyntexBillingSubscriptionSettingsChanged | Параметры подписки на выставление счетов Syntex изменились. Это событие активируется по истечении срока действия пробной версии Syntex. |
| TaskStatusAccessed | Пользователь обращается к состоянию одной или нескольких задач в Веб-приложении Project. |
| TaskStatusApproved | Пользователь утверждает обновление состояния одной или нескольких задач в Project Web App. |
| TaskStatusRejected | Пользователь отклоняет обновление состояния одной или нескольких задач в Project Web App. |
| TaskStatusSaved | Пользователь сохраняет обновление состояния одной или нескольких задач в Веб-приложении Project. |
| TaskStatusSubmitted | Пользователь отправляет обновление состояния одной или нескольких задач в Project Web App. |
| TenantWideThemeCreated | Администратор SharePoint, глобальный администратор или бренд-менеджер создает настраиваемую тему, которая применяется на всех сайтах SharePoint в вашей организации. |
| TenantWideThemeDeleted | Администратор SharePoint, глобальный администратор или менеджер бренда удаляет пользовательскую тему, которая применяется ко всем сайтам SharePoint в вашей организации. |
| TenantWideThemeUpdated | Администратор SharePoint, глобальный администратор или бренд-менеджер обновляет настраиваемую тему, которая применяется на всех сайтах SharePoint в вашей организации. |
| TimesheetAccessed | Пользователь обращается к расписанию в веб-приложении Project. |
| TimesheetApproved | Пользователь утверждает расписание в Веб-приложении Project. |
| TimesheetRejected | Пользователь отклоняет расписание в Веб-приложении Project. |
| TimesheetSaved | Пользователь сохраняет расписание в веб-приложении Project. |
| TimesheetSubmitted | Пользователь отправляет расписание состояния в веб-приложении Project. |
| UnmanagedSyncClientBlocked | Пользователь пытается установить связь синхронизации с сайтом SharePoint или OneDrive с компьютера, который не является членом домена вашей организации или членом домена, который не был добавлен в список доменов (называемый списком надежных получателей), который может получить доступ к библиотекам документов в вашей организации. Отношение синхронизации запрещено, поэтому с компьютера пользователя не разрешается синхронизировать, скачивать или передавать файлы в библиотеке документов. |
| UpdateDisableSiteBranding | SharePoint или глобальный администратор включает или отключает фирменную символику сайта. |
| UpdateSSOApplication | В службе Secure Store обновлено конечное приложение. |
| UserAddedToGroup | Администратор или владелец сайта добавляет пользователя в группу на сайте SharePoint или OneDrive. При добавлении в группу пользователю предоставляются назначенные ей разрешения. |
| UserRemovedFromGroup | Администратор или владелец сайта удаляет пользователя из группы на сайте SharePoint или OneDrive. После удаления пользователь лишается разрешений, назначенных группе. |
| WebThemeApplied | Веб-тему применяет глобальный администратор SharePoint или владелец сайта. |
| WorkflowModified | Пользователь создает, изменяет или удаляет этапы или этапы корпоративного типа проекта или рабочего процесса в веб-приложении Project. |
Операции с файлами SharePoint
События файлов и страниц, возвращаемые при поиске по журналам аудита, используют эту схему.
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| SiteUrl | Edm.String | Да | URL-адрес сайта, на котором расположены файл или папка, к которым получил доступ пользователь. |
| SourceRelativeUrl | Edm.String | Нет | URL-адрес папки с файлом, к которому получил доступ пользователь. Сочетание значений параметров SiteURL, SourceRelativeURL и SourceFileName совпадает со значением свойства ObjectID , которое является полным именем пути к файлу, к которому обращается пользователь. |
| SourceFileName | Edm.String | Да | Имя файла или папки, к которым получил доступ пользователь. |
| SourceFileExtension | Edm.String | Нет | Расширение файла, к которому получил доступ пользователь. Это свойство пустое, если объект, к которому получен доступ, представляет собой папку. |
| DestinationRelativeUrl | Edm.String | Нет | URL-адрес конечной папки, в которую копируется или перемещается файл. Сочетание значений параметров SiteURL, DestinationRelativeURL и DestinationFileName совпадает со значением свойства ObjectID , которое является полным именем пути к скопированному файлу. Это свойство отображается только для событий FileCopied и FileMoved. |
| DestinationFileName | Edm.String | Нет | Имя скопированного или перемещенного файла. Это свойство отображается только для событий FileCopied и FileMoved. |
| DestinationFileExtension | Edm.String | Нет | Расширение скопированного или перемещенного файла. Это свойство отображается только для событий FileCopied и FileMoved. |
| UserSharedWith | Edm.String | Нет | Пользователь, которому предоставлен общий доступ к ресурсу. |
| SharingType | Edm.String | Нет | Тип разрешения на общий доступ, назначенный пользователю, которому предоставлен доступ к ресурсу. Этот пользователь идентифицируется с помощью параметра UserSharedWith . |
| SourceLabel | Edm.String | Нет | Оригинальная метка файла до ее изменения в результате действий пользователя. |
| DestinationLabel | Edm.String | Нет | Окончательная метка файла после ее изменения в результате действий пользователя. |
| SensitivityLabelOwnerEmail | Edm.String | Нет | Адрес электронной почты владельца метки конфиденциальности. |
| SensitivityLabelId | Edm.String | Нет | Текущий ID метки конфиденциальности файла. |
Операции над списками в SharePoint
События списка SharePoint, возвращаемые при поиске по журналам аудита, используют эту схему.
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| ListTitle | Edm.String | Нет | Название списка SharePoint. |
| ListName | Edm.String | Нет | Имя списка SharePoint. |
| ListUrl | Edm.String | Нет | URL-адрес списка относительно содержащего его веб-сайта. |
| ListBaseType | Edm.String | Нет | Получает или задает значение, которое указывает зависящее от реализации значение, определяющее положение дополнительного действия на странице. |
| ListBaseTemplateType | Edm.String | Нет | Тип определения списка, на котором основан список. |
| IsHiddenList | Edm.Boolean | Нет | Этой переменной присваивается значение True, если список SharePoint скрыт. |
| IsDocLib | Edm.Boolean | Нет | Этой переменной присваивается значение True, если список SharePoint имеет тип "библиотека документов". |
Схема общего доступа SharePoint
События запросов на общий доступ и доступ , возвращаемые при поиске по журналам аудита , используют эту схему.
События SharePoint, связанные с общим доступом к файлам. Они отличаются от событий, связанных с файлами и папками, так как пользователь выполняет действие, которое определенным образом влияет на другого пользователя. Сведения о схеме совместного доступа SharePoint см. в разделе Использование аудита общего доступа в журнале аудита.
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| TargetUserOrGroupName | Edm.String | Нет | В этом параметре хранится имя участника-пользователя для целевого пользователя или группы, которым предоставлен общий доступ к ресурсу. |
| TargetUserOrGroupType | Edm.String | Нет | Указывает на тип целевого пользователя или группы: участник, гость, группа или партнер. |
| EventData | XML code | Нет | Сообщает дополнительные сведения о выполненном действии предоставления общего доступа (например, добавлении пользователя в группу или предоставлении разрешений на правку). |
| SiteUrl | Edm.String | Нет | URL-адрес сайта, на котором расположены файл или папка, к которым получил доступ пользователь. |
| SourceRelativeUrl | Edm.String | Нет | URL-адрес папки с файлом, к которому получил доступ пользователь. Сочетание значений параметров SiteURL, SourceRelativeURL и SourceFileName совпадает со значением свойства ObjectID , которое является полным именем пути к файлу, к которому обращается пользователь. |
| SourceFileName | Edm.String | Нет | Имя файла или папки, к которым получил доступ пользователь. |
| SourceFileExtension | Edm.String | Нет | Расширение файла, к которому получил доступ пользователь. Это свойство пустое, если объект, к которому получен доступ, представляет собой папку. |
| UniqueSharingId | Edm.String | Нет | Уникальный ID общего доступа, связанный с операцией общего доступа. |
Схема SharePoint
События SharePoint (за исключением событий файлов и папок), возвращаемые при поиске по журналам аудита , используют эту схему.
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| CustomEvent | Edm.String | Нет | Необязательная строка для настраиваемых событий. |
| EventData | Edm.String | Нет | Необязательные полезные данные для настраиваемых событий. |
| ModifiedProperties | Collection(ModifiedProperty) | Нет | Это свойство включается для действий администратора, таких как добавление пользователя в качестве участника сайта или члена группы администраторов семейства веб-сайтов. Значение включает имя измененного свойства (например, группы администраторов сайта), новое значение измененного свойства (например, пользователя, добавленного в качестве администратора сайта) и предыдущее значение измененного объекта. |
Схема Project
События Microsoft Project в Интернете, возвращенные при поиске по журналам аудита, используют эти схемы.
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| Entity | Edm.String | Да | Элемент ProjectEntity, для которого предназначался аудит. |
| Action | Edm.String | Да | Выполненное действие ProjectAction. |
| OnBehalfOfResId | Edm.Guid | Нет | ИД ресурса, от имени которого выполнено действие. |
Enum: Project Action; Type: Edm.Int32
Действие Project
| Имя элемента | Описание |
|---|---|
| Accepted | Пользователь принял событие или рабочий процесс. |
| Accessed | Пользователь получил доступ к сущности. |
| Activated | Пользователь активировал сущность, событие или рабочий процесс. |
| Cancelled | Пользователь отменил событие или рабочий процесс. |
| CheckedIn | Пользователь записывает сущность после изменения. |
| CheckedOut | Пользователь получает сущность для изменения. |
| Copied | Пользователь скопировал сущность. |
| Created | Пользователь создал сущность. |
| Deactivated | Пользователь отключил сущность. |
| Deleted | Пользователь удалил сущность. |
| Exported | Пользователь экспортировал сущность. |
| ForceCheckedIn | Пользователь применил принудительную запись сущности после изменения. |
| Modified | Пользователь изменил сущность. |
| Published | Пользователь опубликовал сущность. |
| Redacted | Пользователь отредактировал сущность. |
| Rejected | Пользователь отклонил сущность. |
| Restarted | Пользователь перезапустил событие или рабочий процесс. |
| Saved | Пользователь сохранил сущность. |
| Sent | Пользователь отправил сущность. |
| Submitted | Пользователь отправил сущность для проверки или рабочего процесса. |
Enum: Project Entity; Type: Edm.Int32
Объект Project
| Имя элемента | Описание |
|---|---|
| CustomField | Представляет корпоративное настраиваемое поле. |
| Driver | Представляет драйвер портфеля. |
| DriverPrioritization | Представляет приоритеты портфеля. |
| Engagement | Представляет задействование ресурсов. |
| EnterpriseCalendar | Представляет корпоративный календарь ресурсов. |
| EnterpriseProjectType | Представляет тип корпоративного проекта. |
| FiscalPeriod | Представляет финансовый период. |
| GanttChartFormat | Представляет формат диаграммы Ганта. |
| GroupingFormat | Представляет формат группировки представления. |
| LineClassification | Представляет классификацию строк расписания. |
| LookupTable | Представляет корпоративную таблицу подстановки. |
| PermissionTemplate | Представляет шаблон разрешения безопасности. |
| PortfolioAnalysis | Представляет анализ портфеля. |
| Project | Представляет проект. |
| QueueJob | Представляет задание в очереди. |
| QuickLaunch | Представляет элемент панели быстрого запуска. |
| Reporting | Представляет конечную точку отчетов. |
| Resource | Представляет корпоративный ресурс. |
| ResourcePlan | Представляет план ресурсов, связанный с проектом. |
| SecurityCategory | Представляет категорию безопасности. |
| SecurityGroup | Представляет группу безопасности. |
| Setting | Представляет параметр веб-приложения Project. |
| Statusing | Представляет обновление состояния задачи. |
| StatusReport | Представляет отчет о состоянии. |
| TimeReportingPeriod | Представляет период времени для расписания. |
| Timesheet | Представляет сущность расписания. |
| TimesheetAuditLog | Представляет журнал аудита расписания. |
| TimesheetManager | Представляет диспетчер расписания. |
| UserDelegate | Представляет делегирование пользователя для другого пользователя. |
| View | Представляет определение представления. |
| WorkflowPhase | Представляет этап в рабочем процессе. |
| WorkflowStage | Представляет стадию в рабочем процессе. |
Схема администрирования Exchange
| Параметры | Тип | Обязательный | Описание |
|---|---|---|---|
| ModifiedObjectResolvedName | Edm.String | Нет | Это понятное имя объекта, измененного командлетом. Оно записывается в журнал, только если командлет изменяет объект. |
| Параметры | Collection(Common.NameValuePair) | Нет | Имя и значения всех параметров, которые использовались с командлетом, указанным в свойстве Operations. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Нет | Это свойство включается для событий администрирования. Оно включает имя и новое значение измененного свойства, а также предыдущее значение измененного объекта. |
| ExternalAccess | Edm.Boolean | Да | Указывает, кто запустил командлет: пользователь в вашей организации, сотрудник центра данных Майкрософт, учетная запись службы центра данных или полномочный администратор. Значение False означает, что командлет был запущен пользователем в вашей организации. Значение True значит, что командлет запустили сотрудник центра данных Майкрософт, учетная запись службы центра данных или полномочный администратор. |
| OriginatingServer | Edm.String | Нет | Имя сервера, с которого выполнен командлет. |
| OrganizationName | Edm.String | Нет | Имя клиента. |
| DeviceId | Edm.String | Нет | Доступно только для зарегистрированного или присоединенного к домену устройства. |
| TokenObjectId | Edm.String | Да | Утверждение oid маркеров Microsoft Entra. |
| TokenTenantId | Edm.String | Да | утверждение tid маркеров Microsoft Entra. |
Схема почтовых ящиков Exchange
События почтового ящика Exchange , возвращаемые при поиске по журналам аудита , используют эти схемы.
| Параметры | Тип | Обязательный | Описание |
|---|---|---|---|
| LogonType | Self.LogonType | Да | Указывает на тип пользователя, который получил доступ к почтовому ящику и выполнил операцию, зарегистрированную в журнале. |
| InternalLogonType | Self.LogonType | Да | Зарезервировано для внутреннего использования. |
| MailboxGuid | Edm.String | Нет | GUID почтового ящика Exchange, к которому получен доступ. |
| MailboxOwnerUPN | Edm.String | Нет | Адрес электронной почты пользователя, владеющего почтовым ящиком, к которому получен доступ. |
| MailboxOwnerSid | Edm.String | Нет | ИД безопасности (SID) владельца почтового ящика. |
| MailboxOwnerMasterAccountSid | Edm.String | Нет | ИД безопасности главной учетной записи, принадлежащей владельцу почтового ящика. |
| LogonUserSid | Edm.String | Нет | ИД безопасности пользователя, выполнившего операцию. |
| LogonUserDisplayName | Edm.String | Нет | Понятное имя пользователя, который выполнил операцию. |
| ExternalAccess | Edm.Boolean | Да | Имеет значение true, если домен пользователя, выполнившего вход, отличается от домена владельца почтового ящика. |
| OriginatingServer | Edm.String | Нет | Расположение, из которого выполнена операция. |
| OrganizationName | Edm.String | Нет | Имя клиента. |
| ClientInfoString | Edm.String | Нет | Информация о почтовом клиенте, использованном для выполнения операции (например, версия браузера, версия Outlook и сведения о мобильном устройстве). |
| ClientIPAddress | Edm.String | Нет | IP-адрес устройства, которое использовалось при регистрации операции в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. |
| ClientMachineName | Edm.String | Нет | Имя компьютера, на котором размещен клиент Outlook. |
| ClientProcessName | Edm.String | Нет | Почтовый клиент, который использовался для доступа к почтовому ящику. |
| ClientVersion | Edm.String | Нет | Версия почтового клиента. |
| SessionId | Edm.String | Нет | Уникальный идентификатор сеанса. Это помогает дифференцировать действия злоумышленников и повседневные действия пользователей в одной учетной записи (полезно для скомпрометированных учетных записей). |
| Appid | Edm.String | Нет | Идентификатор приложения |
| ClientAppId | Edm.String | Нет | Исходный идентификатор вызывающего объекта (службы или протокола) запроса. |
| HostAppId | Edm.String | Нет | Идентификатор выполняемой службы или протокола. |
| OperationProperties | Collection(Common.NameValuePair) | Нет | Коллекция свойств, относящихся к операции. |
| ClientRequestId | Edm.String | Нет | Идентификатор запроса клиента. |
| ExternalUserTenantId | Edm.String | Нет | Идентификатор клиента для внешних пользователей. |
| ActorIP | Edm.String | Нет | IP-адрес субъекта, выполняющего операцию. |
| ActorInfoString | Edm.String | Нет | Имя облачного экземпляра (например, Public, GCC, GCC-H) |
| DeviceId | Edm.String | Нет | Доступно только для зарегистрированного или присоединенного к домену устройства. |
| CloudInstanceName | Edm.String | Нет | Имя облачного экземпляра (например, Public, GCC, GCC-H) |
| TokenObjectId | Edm.String | Нет | Утверждение oid маркеров Microsoft Entra. |
| TokenTenantId | Edm.String | Нет | утверждение tid маркеров Microsoft Entra. |
| AuthType | Edm.String | Нет | Указывает схему проверки подлинности, используемую клиентом для доступа к службе. |
| TokenType | Edm.String | Нет | Указывает тип маркера, представленного во время проверки подлинности, предоставляя контекст роли маркера и область. |
Enum: LogonType; Type: Edm.Int32
LogonType
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Owner | Владелец почтового ящика. |
| 1 | Admin | Пользователь с правами администратора почтового ящика другого пользователя. |
| 2 | Delegated | Пользователь, которому делегированы права для почтового ящика другого пользователя. |
| 3 | Transport | Служба транспорта в центре данных Майкрософт. |
| 4 | SystemService | Учетная запись службы в центре данных Майкрософт. |
| 5 | BestAccess | Зарезервировано для внутреннего использования. |
| 6 | DelegatedAdmin | Полномочный администратор. |
Схема ExchangeMailboxAuditGroupRecord
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Folder | Self.ExchangeFolder | Нет | Папка, в которой расположена группа элементов. |
| CrossMailboxOperations | Edm.Boolean | Нет | Указывает, применялась ли операция к нескольким почтовым ящикам. |
| DestMailboxId | Edm.Guid | Нет | Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает GUID целевого почтового ящика. |
| DestMailboxOwnerUPN | Edm.String | Нет | Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает имя участника-пользователя целевого почтового ящика. |
| DestMailboxOwnerSid | Edm.String | Нет | Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает ИД безопасности целевого почтового ящика. |
| DestMailboxOwnerMasterAccountSid | Edm.String | Нет | Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает ИД безопасности (SID) для SID главной учетной записи владельца целевого почтового ящика. |
| DestFolder | Self.ExchangeFolder | Нет | Конечная папка для операций, таких как Move. |
| Folders | Collection(Self.ExchangeFolder) | Нет | Сведения об исходных папках, задействованных при операции (например, в случае выбора папок с последующим их удалением). |
| AffectedItems | Collection(Self.ExchangeItem) | Нет | Сведения о каждом элементе в группе. |
| Teams | Self.TeamsData | Нет | Данные, связанные с Microsoft Teams, для групповых операций. |
Схема ExchangeMailboxAuditRecord
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Item | Self.ExchangeItem | Нет | Представляет элемент, с которым выполнена операция. |
| ModifiedProperties | Collection(Edm.String) | Нет | Измененные свойства. |
| MbxLoginLocalQueueADLookupInfo | Самостоятельно. LocalQueueADLookupInfo | Нет | Содержит сведения о поиске Active Directory для контекста входа в почтовый ящик. |
| SendAsUserSmtp | Edm.String | Нет | SMTP-адрес олицетворяемого пользователя. |
| SendAsUserMailboxGuid | Edm.Guid | Нет | GUID почтового ящика Exchange, к которому получен доступ для отправки электронной почты. |
| SendOnBehalfOfUserSmtp | Edm.String | Нет | SMTP-адрес пользователя, от имени которого отправляется электронная почта. |
| SendOnBehalfOfUserMailboxGuid | Edm.Guid | Нет | GUID почтового ящика Exchange, к которому получен доступ для отправки почты от его имени. |
| ContactEmail1EmailAddress | Edm.String | Нет | Первый адрес электронной почты для контактных данных. |
| ContactEmail1DisplayName | Edm.String | Нет | Отображаемое имя электронной почты для первого контакта. |
| ContactEmail2EmailAddress | Edm.String | Нет | Второй адрес электронной почты для контактных данных. |
| ContactEmail2DisplayName | Edm.String | Нет | Отображаемое имя для адреса электронной почты второго контакта. |
| ContactEmail3EmailAddress | Edm.String | Нет | Третий адрес электронной почты для контактных данных. |
| ContactEmail3DisplayName | Edm.String | Нет | Отображаемое имя для адреса электронной почты третьего контакта. |
| AttachmentId | Edm.String | Нет | Идентификатор для вложения электронной почты. |
| AttachmentSizeInBytes | Edm.Int64 | Нет | Размер вложения в байтах. |
| SaveToSentItems | Edm.Boolean | Нет | Флаг, указывающий, следует ли сохранять элемент в папке отправленных элементов. |
| Teams | Self.TeamsData | Нет | Данные, связанные с Microsoft Teams. |
Схема ExchangeAggregatedMailboxAuditRecord
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| OperationCount | Edm.Int32 | Нет | Общее количество операций, выполненных с агрегированным набором элементов. |
| Folders | Collection(Self.ExchangeAggregatedFolder) | Нет | Коллекция агрегированных объектов папок, участвующих в операции. |
| Сообщения | Collection(Self.ExchangeAggregatedMessage) | Нет | Коллекция агрегированных объектов сообщений, участвующих в операции. |
Схема ExchangeAggregatedOperationRecord
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| OperationCount | Edm.Int32 | Нет | Общее количество операций, включенных в эту запись. |
| AggregateDurationInSeconds | Edm.Int32 | Нет | Совокупная длительность всех агрегированных операций в секундах. |
Сложный тип ExchangeItem
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Id | Edm.String | Да | ИД хранилища. |
| Subject | Edm.String | Нет | Строка темы сообщения, к которому получен доступ. |
| ParentFolder | Self.ExchangeFolder | Нет | Имя папки, в которой расположен элемент. |
| ParentMessage | Самостоятельно. ExchangeMessage | Нет | Родительское сообщение, если этот элемент вложен. |
| Attachments | Edm.String | Нет | Список имен и размер файлов всех элементов, вложенных в сообщение. |
| ImmutableId | Edm.String | Нет | Постоянный, неизменяемый идентификатор элемента. |
| InternetMessageId | Edm.String | Нет | Идентификатор сообщения в Интернете. |
| ComplianceLabel | Edm.String | Нет | Метка соответствия, примененная к элементу. |
| IsRecord | Edm.Boolean | Нет | Флаг, указывающий, является ли элемент записью. |
| IsPriorityCleanup | Edm.Boolean | Нет | Флаг для обработки очистки приоритета |
| SizeInBytes | Edm.Int64 | Нет | Размер элемента Exchange в байтах. |
| Конфиденциальность | Edm.String | Нет | Указывает уровень конфиденциальности элемента (например, "Обычный", "Личный", "Частный", "Конфиденциальный"). |
Сложный тип LocalQueueADLookupInfo
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Puid | Edm.String | Нет | Уникальный идентификатор passport (Puid) для учетной записи Майкрософт или объекта пользователя. |
| OrgIdPuid | Edm.String | Нет | PuID идентификатора организации. |
| Smtp | Edm.String | Нет | SMTP-адрес для поиска AD. |
| SearchScope | Edm.String | Нет | Область поиска Active Directory |
| ConsumerMailbox | Edm.String | Нет | Флаг, указывающий, является ли это почтовым ящиком потребителя. |
Сложный тип EmailAddress
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Address | Edm.String | Нет | Email адрес, связанный с пользователем. |
| Имя | Edm.String | Нет | Отображаемое имя для адреса электронной почты. |
Сложный тип ExchangeFolder
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Id | Edm.String | Да | Идентификатор хранилища объекта папки. |
| Path | Edm.String | Нет | Имя папки почтового ящика, где расположено сообщение, к которому получен доступ. |
| Имя | Edm.String | Нет | Имя папки |
| MemberSid | Edm.String | Нет | Идентификатор безопасности элемента |
| MemberRights | Edm.String | Нет | Права доступа к папке |
| MemberUpn | Edm.String | Нет | Имя участника-пользователя |
Сложный тип ExchangeMessage
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Id | Edm.String | Да | Уникальный идентификатор сообщения. |
| Path | Edm.String | Нет | Путь, по которому находится сообщение |
Сложный тип ExchangeFolderItem
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Id | Edm.String | Нет | Guid, определяющий элемент папки в Exchange. |
| ImmutableId | Edm.String | Нет | Неизменяемый идентификатор для каждого элемента папки Exchange. |
| InternetMessageId | Edm.String | Нет | Идентификатор интернет-сообщения для каждого элемента папки. |
| CreationTime | Edm.Date | Нет | Время создания записи или элемента. |
| Subject | Edm.String | Нет | Тема записи или элемента. |
| SizeInBytes | Edm.Int64 | Нет | Размер записи или элемента в байтах. |
| Конфиденциальность | Edm.String | Нет | Метки конфиденциальности записи или элемента. |
| ClientRequestId | Edm.String | Нет | Уникальный идентификатор для клиентского запроса, который активировал операцию. |
| Teams | Self.TeamsData | Нет | Данные, связанные с Microsoft Teams |
Сложный тип ExchangeMessageItem
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Id | Edm.String | Нет | Guid, идентифицирующий элемент сообщения Exchange. |
| SizeInBytes | Edm.Int64 | Нет | Размер сообщения в байтах, включая все вложения. |
Сложный тип ExchangeAggregatedFolder
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Id | Edm.String | Да | Guid агрегированной папки. |
| Path | Edm.String | Нет | Путь к агрегированной папке. |
| FolderItems | Collection(Self.ExchangeFolderItem) | Нет | Коллекция элементов папок Exchange. |
Сложный тип ExchangeAggregatedMessage
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Id | Edm.String | Да | Guid контейнера агрегированных сообщений. |
| Path | Edm.String | Нет | Путь к агрегированному сообщению. |
| MessageItems | Collection(Self.ExchangeMessageItem) | Нет | Коллекция элементов сообщений обмена. |
Схема проверки подлинности OWA
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| UniqueTokenIdentifier | Edm.String | Нет | Уникальный идентификатор ресурса. |
| ResourceURL | Edm.String | Нет | URL-адрес ресурса. |
Базовая схема Azure Active Directory
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | Да | Тип события Microsoft Entra. |
| ExtendedProperties | Collection(Common.NameValuePair) | Нет | Расширенные свойства события Microsoft Entra. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Нет | Это свойство включено для событий администрирования. Оно включает имя, а также новое и предыдущее значения измененного свойства. |
Enum: AzureActiveDirectoryEventType; Type: Edm.Int32
AzureActiveDirectoryEventType
| Имя элемента | Описание |
|---|---|
| AccountLogon | Событие входа в учетную запись. |
| AzureApplicationAuditEvent | Событие, связанное с безопасностью приложения Azure. |
Схема входа в учетную запись Azure Active Directory
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Application | Edm.String | Нет | Приложение, которое активирует событие входа в учетную запись (например, Office 15). |
| Client | Edm.String | Нет | Сведения о клиентском устройстве, ОС и браузере устройства, которое использовалось для входа в учетную запись. |
| LoginStatus | Edm.Int32 | Да | Значение этого свойства берется непосредственно из параметра OrgIdLogon.LoginStatus. Различные представляющие интерес ошибки входа можно сопоставить с помощью алгоритмов оповещения. |
| UserDomain | Edm.String | Да | Сведения об удостоверении клиента (TII). |
Enum: CredentialType; Type: Edm.Int32
| Значение | Имя элемента | Описание |
|---|---|---|
| –1 | Other | Другой способ проверки подлинности. |
| 0 | Password | Учетные данные пользователя — имя пользователя и пароль. |
| 1 | MobilePhone | Учетные данные пользователя — мобильный телефон. |
| 2 | SecretQuestion | Учетные данные пользователя — секретный вопрос. |
| 3 | SecurePin | Учетные данные пользователя — надежный PIN-код. |
| 4 | SecurePinReset | Учетные данные пользователя — сброс надежного PIN-кода. |
| 11 | EasyID | Учетные данные пользователя — EasyID. |
| 14 | PasswordIndexCredentialType | Учетные данные пользователя — PasswordIndexCredentialType. |
| 16 | Device | Учетные данные пользователя — устройство. |
| 17 | ForeignRealmIndex | Учетные данные пользователя — ForeignRealmIndex. |
Enum: LoginType; Type: Edm.Int32
| Значение | Имя элемента | Описание |
|---|---|---|
| –1 | Other | Другой тип проверки подлинности. |
| 1 | InitialAuth | Вход с начальной проверкой подлинности. |
| 2 | CookieCopy | Вход с использованием файла cookie. |
| 3 | SilentReAuth | Вход с автоматической повторной проверкой подлинности. |
Enum: AuthenticationMethod; Type: Edm.Int32
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Min | Способ проверки подлинности — Min. |
| 1 | Password | Способ проверки подлинности — пароль. |
| 2 | Digest | Способ проверки подлинности — дайджест. |
| 3 | ProxyAuth | Способ проверки подлинности — ProxyAuth. |
| 4 | InfoCard | Способ проверки подлинности — InfoCard. |
| 5 | DAToken | Способ проверки подлинности — DAToken. |
| 6 | Sha1RememberMyPassword | Способ проверки подлинности — Sha1RememberMyPassword. |
| 7 | LMPasswordHash | Способ проверки подлинности — LMPasswordHash. |
| 8 | ADFSFederatedToken | Способ проверки подлинности — ADFSFederatedToken. |
| 9 | EID | Способ проверки подлинности — EID. |
| 10 | DeviceID | Способ проверки подлинности — DeviceID. |
| 11 | MD5 | Способ проверки подлинности — MD5. |
| 12 | EncProxyPasswordHash | Способ проверки подлинности — EncProxyPasswordHash. |
| 13 | LWAFederation | Способ проверки подлинности — LWAFederation. |
| 14 | Sha1HashedPassword | Способ проверки подлинности — Sha1HashedPassword. |
| 15 | SecurePin | Способ проверки подлинности — безопасный PIN-код. |
| 16 | SecurePinReset | Способ проверки подлинности — безопасный сброс PIN-кода. |
| 17 | SAML20PostSimpleSign | Способ проверки подлинности — SAML20PostSimpleSign. |
| 18 | SAML20Post | Способ проверки подлинности — SAML20Post. |
| 19 | OneTimeCode | Способ проверки подлинности — одноразовый код. |
Схема Azure Active Directory
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Actor | Collection(Self.IdentityTypeValuePair) | Нет | Пользователь или субъект-служба, которые выполнили действие. |
| ActorContextId | Edm.String | Нет | GUID организации, в которую входит субъект. |
| ActorIpAddress | Edm.String | Нет | IP-адрес субъекта в формате адреса IPV4 или IPV6. |
| InterSystemsId | Edm.String | Нет | GUID, который отслеживает действия с компонентами в службе Office 365. |
| IntraSystemsId | Edm.String | Нет | GUID, который создается в Azure Active Directory для отслеживания действия. |
| SupportTicketId | Edm.String | Нет | Идентификатор запроса в службу поддержки от пользователя для действий от его имени. |
| Target | Collection(Self.IdentityTypeValuePair) | Нет | Пользователь, с которым выполнено действие (определяется свойством Operation). |
| TargetContextId | Edm.String | Нет | GUID организации, в которую входит целевой пользователь. |
Сложный тип IdentityTypeValuePair
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ИД | Edm.String | Да | Значение удостоверения заданного типа. |
| Type | Self.IdentityType | Да | Тип удостоверения. |
Enum: IdentityType; Type: Edm.Int32
IdentityType
| Имя элемента | Описание |
|---|---|
| Claim | Удостоверение представляет собой утверждение в целях авторизации. |
| Name | Имя субъекта, выполнившего действие аудита, или отображаемое имя целевого удостоверения. |
| Other | Удостоверение субъекта другого типа (например, ObjectId в GUID), созданное в службе Office 365. |
| PUID | Субъект, выполнивший действие аудита, или уникальный идентификатор целевого паспорта. |
| SPN | Удостоверение субъекта-службы, если действие выполнено в службе Office 365. |
| UPN | Имя участника-пользователя. |
Схема входа в службу маркеров безопасности Azure Active Directory
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ApplicationId | Edm.String | Нет | GUID, который представляет приложение, запрашивающее вход. Отображаемое имя можно просмотреть с помощью API Graph Azure Active Directory. |
| Client | Edm.String | Нет | Сведения о клиентском устройстве, предоставляемые браузером, с которого выполнен вход. |
| DeviceProperties | Collection(Common.NameValuePair) | Нет | Это свойство включает различные сведения об устройстве, в том числе: Id, Display name, OS, Browser, IsCompliant, IsCompliantAndManaged, SessionId и DeviceTrustType. Свойство DeviceTrustType может принимать следующие значения: 0 — Microsoft Entra зарегистрировано 1 — Microsoft Entra присоединено 2 . Присоединено гибридное Microsoft Entra |
| ErrorCode | Edm.String | Нет | Для неудачных попыток входа (если значением свойства Operation является UserLoginFailed) это свойство содержит код ошибки Azure Active Directory STS (AADSTS). Описания этих кодов ошибок см. в статье Коды ошибок проверки подлинности и авторизации. Значение 0 указывает на успешный вход. |
| LogonError | Edm.String | Нет | Для неудачных попыток входа это свойство содержит понятное пользователю описание причины неудачного входа. |
Схема защиты от потери данных
События защиты от потери данных (DLP) в Microsoft Purview доступны для Exchange Online, конечных точек (устройств), SharePoint и OneDrive.
События защиты от потери данных всегда имеются UserKey="DlpAgent" в общей схеме. Есть три типа событий защиты от потери данных, которые хранятся в виде значения свойства Operation общей схемы:
- DlpRuleMatch: указывает, что было сопоставлено правило. Эти события существуют во всех exchange, конечных точках (устройствах) и SharePoint и OneDrive. В Exchange они включают сведения о ложных срабатываниях и переопределениях. Для SharePoint и OneDrive ложноположительные срабатывания и переопределения создают отдельные события.
-
DlpRuleUndo: только SharePoint и OneDrive. Указывает, что ранее примененное действие политики было отменено из-за:
- Положительное или переопределяемое обозначение AFalse по пользователю.
- Документ больше не подчиняется политике (из-за изменения политики или изменения содержимого в документе).
- DlpInfo: только SharePoint и OneDrive. Указывает ложноположительное обозначение, но действие не было отменено.
| Параметры | Тип | Обязательный | Описание |
|---|---|---|---|
| SharePointMetaData | Self.SharePointMetadata | Нет | Описывает метаданные документа в SharePoint или OneDrive, содержащего конфиденциальную информацию. |
| ExchangeMetaData | Self.ExchangeMetadata | Нет | Описывает метаданные электронного сообщения, содержащего конфиденциальные сведения. |
| EndpointMetaData | Самостоятельно. EndpointMetadata | Нет | Описывает метаданные документа в конечной точке, содержащего конфиденциальные сведения. |
| ExceptionInfo | Edm.String | Нет | Указывает на причины, по которым политика больше не применяется, а также возможные сведения о ложных срабатываниях и переопределениях, обнаруженных пользователем. |
| PolicyDetails | Collection(Self.PolicyDetails) | Да | Сведения об 1 или нескольких политиках, активировавших событие защиты от потери данных. |
| SensitiveInfoDetectionIsIncluded | Boolean | Да | Указывает, содержит ли событие значение типа конфиденциальных данных и окружающий контекст из исходного контента. Для доступа к конфиденциальным данным требуется разрешение "Чтение событий политики защиты от потери данных, в том числе конфиденциальных сведений" в Azure Active Directory. |
Схема обнаружения электронных данных
Схема аудита обнаружения электронных данных предназначена для отслеживания и регистрации действий, связанных с процессами обнаружения электронных данных в организации.
| Параметры | Тип | Обязательный | Описание |
|---|---|---|---|
| CaseId | Edm.Guid | Нет | Идентификатор (GUID) дела обнаружения электронных данных. |
| CaseName | Edm.String | Нет | Имя дела обнаружения электронных данных. |
| Object1Id | Edm.String | Нет | Идентификатор объекта (например, набор для поиска, удержания или проверки), который был создан, доступ к которому был изменен или был изменен. |
| Object1Name | Edm.String | Нет | Имя объекта (например, набор для поиска, удержания или проверки), который был создан, доступ к которому был изменен или был изменен. |
| Object1Type | Edm.String | Нет | Тип объекта eDiscovery, который пользователь создал, удалил или изменил. |
| Object2Id | Edm.String | Нет | Идентификатор объекта (например, набор для поиска, удержания или проверки), который был создан, доступ к которому был изменен или был изменен. |
| Object2Name | Edm.String | Нет | Имя объекта (например, набор для поиска, удержания или проверки), который был создан, доступ к которому был изменен или был изменен. |
| Object2Type | Edm.String | Нет | Тип объекта eDiscovery, который пользователь создал, удалил или изменил. |
| StartTime | Edm.Date | Нет | Дата и время в формате UTC, когда было запущено действие обнаружения электронных данных. |
| EndTime | Edm.Date | Нет | Дата и время в формате UTC, когда было завершено действие обнаружения электронных данных. |
| UserCancelled | Edm.Boolean | Нет | Было ли отменено конкретное действие пользователем. |
| ItemIds | Collection(Edm.String) | Нет | Идентификаторы элементов, связанные с действием. |
| ItemNames | Collection(Edm.String) | Нет | Имена элементов, связанных с действием. |
| DataSources | Collection(Edm.String) | Нет | Список исходных идентификаторов, имен источников и расположений, связанных с действием. |
| QueryId | Edm.String | Нет | Идентификатор запроса, связанного с действием. |
| QueryText | Edm.String | Нет | Текст запроса, связанный с действием, например статистический процесс поиска или добавление в процесс проверки. |
| QueryFiles | Collection(Edm.String) | Нет | Имена входных файлов, используемые для создания запроса. Это зависит от жеста поиска по файлам. |
| Параметры | Collection(Common.NameValuePair) | Нет | Параметры, применяемые к действию обнаружения электронных данных. |
| ExtendedProperties | Collection(Common.NameValuePair) | Нет | Дополнительные свойства, связанные с действием обнаружения электронных данных. |
| ExportName | Edm.String | Нет | Имя экспорта обнаружения электронных данных. |
| JobId | Edm.String | Нет | GUID процесса обнаружения электронных данных. |
| RecordNumber | Edm.String | Нет | Используется, когда запись аудита делится на несколько частей из-за размера. Он указывает последовательность каждой части в общих разбиениях. |
Сложный тип SharePointMetadata
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| From | Edm.String | Да | Пользователь, который активировал событие. Значения: FileOwner, LastModifier или LastSharer. |
| itemCreationTime | Edm.Date | Да | Метка даты и времени в формате UTC, когда событие регистрируется в журнале. |
| SiteCollectionGuid | Edm.Guid | Да | GUID семейства веб-сайтов. |
| SiteCollectionUrl | Edm.String | Да | Имя сайта SharePoint. |
| FileName | Edm.String | Да | Имя пути. |
| FileOwner | Edm.String | Да | Владелец документа. |
| FilePathUrl | Edm.String | Да | URL-адрес документа. |
| DocumentLastModifier | Edm.String | Да | Пользователь, который последним изменил документ. |
| DocumentSharer | Edm.String | Да | Пользователь, который последним изменил параметры общего доступа к документу. |
| UniqueId | Edm.String | Да | GUID, определяющий файл. |
| LastModifiedTime | Edm.DateTime | Да | Метка времени последнего изменения документа в формате UTC. |
| IsViewableByExternalUsers | Edm.Boolean | Да | Определяет, доступен ли файл любому внешнему пользователю. |
Сложный тип ExchangeMetadata
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| MessageID | Edm.String | Да | Идентификатор электронного сообщения, активировавшего событие. |
| From | Edm.String | Да | Пользователь, который отправил сообщение. |
| To | Collection(Edm.String) | Нет | Коллекция электронных адресов, указанных в строке "Кому" сообщения. |
| CC | Collection(Edm.String) | Нет | Коллекция электронных адресов, указанных в строке "Копия" сообщения. |
| BCC | Collection(Edm.String) | Нет | Коллекция электронных адресов, указанных в строке "СК" сообщения. |
| Subject | Edm.String | Да | Тема электронного сообщения. |
| Sent | Edm.DateTime | Да | Время отправки сообщения в формате UTC. |
| RecipientCount | Edm.Int32 | Да | Общее количество все получателей в строках "Кому", "Копия" и "СК" сообщения. |
Сложный тип EndpointMetadata
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | Нет | Сведения о типе обнаруженных конфиденциальных сведений. |
| EnforcementMode | Edm.String | Да | Укажите, задано ли для правила защиты от потери данных значение 1/2/3/4/5, отображающее audit/warn(block with override)/warn и bypass/block/allow (аудит без оповещений) соответственно. |
| FileExtension | Edm.String | Нет | Расширение файла документа, содержащего конфиденциальную информацию. |
| FileType | Edm.String | Нет | Тип файла документа, содержащего конфиденциальную информацию. |
| DeviceName | Edm.String | Нет | Имя устройства, на котором было обнаружено соответствие правилу защиты от потери данных. |
Сложный тип PolicyDetails
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| PolicyId | Edm.Guid | Да | GUID политики защиты от потери данных для этого события. |
| PolicyName | Edm.String | Да | Понятное имя политики защиты от потери данных для этого события. |
| Rules | Collection(Self.Rules) | Да | Сведения о правилах в политике, сопоставленных с этим событием. |
Сложный тип Rules
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| RuleId | Edm.Guid | Да | GUID правила защиты от потери данных для этого события. |
| RuleName | Edm.String | Да | Понятное имя правила защиты от потери данных для этого события. |
| Actions | Collection(Edm.String) | Нет | Список действий, выполненных в результате события RuleMatch защиты от потери данных. |
| OverriddenActions | Collection(Edm.String) | Нет | Список ранее выполненных действий, которые отменены в результате события DLPRuleUndo. |
| Severity | Edm.String | Нет | Серьезность (низкая, средняя или высокая) сопоставленного правила. |
| RuleMode | Edm.String | Да | Указывает, какое действие назначено для правила защиты от потери данных: "Принудительно", "Аудит и уведомление" или только "Аудит". |
| ConditionsMatched | Self.ConditionsMatched | Нет | Сведения об условиях правила, сопоставленных с этим событием. |
Сложный тип ConditionsMatched
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | Нет | Сведения о типе обнаруженных конфиденциальных сведений. |
| DocumentProperties | Collection(NameValuePair) | Нет | Сведения о свойствах документа, активировавших соответствие правилу. |
| OtherConditions | Collection(NameValuePair) | Нет | Список пар "ключ-значение", описывающих другие сопоставленные условия. |
Сложный тип SensitiveInformation
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Confidence | Edm.Int | Да | Общий доверительный уровень всех сопоставлений шаблонов для типа конфиденциальной информации. |
| Count | Edm.Int | Да | Общее количество обнаруженных экземпляров конфиденциальных сведений. |
| Location | Edm.String | Нет | |
| SensitiveType | Edm.Guid | Да | GUID, определяющий тип обнаруженных конфиденциальных данных. |
| SensitiveInformationDetections | Self.SensitiveInformationDetections | Нет | Массив объектов, содержащих данные конфиденциальной информации со следующими сведениями: совпадающее значение и контекст сопоставленного значения. |
| SensitiveInformationDetailed ClassificationAttributes |
Collection(SensitiveInformationDetailed ConfidenceLevelResult) |
Да | Сведения о количестве типов конфиденциальной информации, обнаруженных для каждого из трех уровней доверия (высокий, средний и низкий), и если он соответствует правилу защиты от потери данных. |
| SensitiveInformationTypeName | Edm.String | Нет | Имя типа конфиденциальной информации. |
| UniqueCount | Edm.Int32 | Да | Количество обнаруженных уникальных экземпляров конфиденциальных сведений. |
Сложный тип SensitiveInformationDetailedClassificationAttributes
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Confidence | Edm.int32 | Да | Доверительный уровень шаблона, который был обнаружен. |
| Count | Edm.Int32 | Да | Количество конфиденциальных экземпляров, обнаруженных для определенного уровня достоверности. |
| IsMatch | Edm.Boolean | Да | Указывает, соответствует ли данное количество доверительному уровню обнаруженного типа конфиденциальной информации в правиле DLP. |
Сложный тип SensitiveInformationDetections
Чувствительные к DLP данные доступны только в API feed активности пользователям, которым предоставлены разрешения «Чтение конфиденциальных данных DLP».
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| DetectedValues | Collection(Common.NameValuePair) | Да | Массив обнаруженных конфиденциальных сведений. Сведения содержат пары ключевых значений со значением Value = совпадающим значением (например, Значение кредита карта) и Context = отрывок из исходного содержимого, содержащего совпадающее значение. |
| ResultsTruncated | Edm.Boolean | Да | Указывает, усекались ли журналы из-за большого количества результатов. |
Сложный тип ExceptionInfo
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Reason | Edm.String | Нет | Этот параметр указывает одну из 3 причин, по которой правило больше не применяется к событию DLPRuleUndo: Override (переопределение), Document Change (изменение документа) или Policy Change (изменение политики). |
| FalsePositive | Edm.Boolean | Нет | Указывает, обозначил ли пользователь это событие как ложное срабатывание. |
| Justification | Edm.String | Нет | Здесь записано указанное пользователем обоснование, если он решил переопределить политику. |
| Rules | Collection(Edm.Guid) | Нет | Коллекция идентификаторов GUID для каждого правила, которое было назначено ложноположительным или переопределенным или для которого действие было отменено. |
Схема Центра безопасности и соответствия требованиям
| Параметры | Тип | Обязательный | Описание |
|---|---|---|---|
| StartTime | Edm.Date | Нет | Дата и время выполнения командлета. |
| ClientRequestId | Edm.String | Нет | Guid, который можно использовать для корреляции этого командлета с операциями портала. Эти сведения используются только службой поддержки Майкрософт. |
| CmdletVersion | Edm.String | Нет | Версия сборки командлета при его запуске. |
| EffectiveOrganization | Edm.String | Нет | GUID организации, на которую повлиял командлет. (Не рекомендуется. Этот параметр в конечном итоге перестанет отображаться.) |
| UserServicePlan | Edm.String | Нет | План обслуживания, назначенный пользователю, запустившему командлет. |
| ClientApplication | Edm.String | Нет | Если командлет выполнялся приложением, а не удаленным PowerShell, это поле содержит имя приложения. |
| Параметры | Edm.String | Нет | Имя и значение параметров, которые использовались с командлетом, которые не включают персональные данные. |
| NonPiiParameters | Edm.String | Нет | Имя и значение параметров, которые использовались с командлетом, включающими персональные данные. (Не рекомендуется: это поле в конечном итоге перестанет отображаться, и его содержимое будет объединено с полем Параметры.) |
Схема оповещений о безопасности и соответствии требованиям
Сигналы оповещений:
- Все оповещения, созданные политиками оповещений на портале Microsoft Defender.
- Оповещения, связанные с Microsoft 365, созданные в Microsoft Defender for Cloud Apps.
Параметры UserId и UserKey этих событий всегда относятся к элементу SecurityComplianceAlerts. Существует три типа событий оповещений, хранящиеся в виде значения свойства Operation общей схемы:
- AlertTriggered: новое оповещение создается из-за соответствия политике.
- AlertEntityGenerated: в оповещение добавляется новая сущность. Это событие применимо только к оповещениям, созданным на основе политик оповещений на портале Microsoft Defender. Каждое созданное оповещение можно связать с одним или несколькими такими событиями. Например, политика оповещений настроена на срабатывание оповещения, если любой пользователь удаляет более 100 файлов в течение 5 минут. Если два пользователя превышают пороговое значение примерно в одно и то же время, есть два события AlertEntityGenerated, но только одно событие AlertTriggered.
- AlertUpdated: в метаданные оповещения были внесены изменения. Это событие регистрируется при изменении состояния оповещения (например, с "Активный" на "Разрешено") и при добавлении комментария к оповещению.
| Параметры | Тип | Обязательный | Описание |
|---|---|---|---|
| AlertId | Edm.Guid | Да | GUID оповещения. |
| AlertType | Self.String | Да | Тип оповещения. Типы оповещений:
|
| Name | Edm.String | Да | Имя оповещения. |
| PolicyId | Edm.Guid | Нет | GUID политики, вызвавшей оповещение. |
| Status | Edm.String | Нет | Состояние оповещения. Состояния:
|
| Severity | Edm.String | Нет | Степень серьезности оповещения. Степени серьезности:
|
| Category | Edm.String | Нет | Категория оповещения. Категории:
|
| Source | Edm.String | Нет | Источник оповещения. Источники:
|
| Comments | Edm.String | Нет | Примечания, оставленные пользователями, которые просмотрели оповещение. Это "Новое оповещение" по умолчанию. |
| Data | Edm.String | Нет | Большой двоичный объект с подробными данными оповещения или сущности оповещения. |
| AlertEntityId | Edm.String | Нет | Идентификатор для сущности оповещения. Этот параметр применяется только для событий AlertEntityGenerated. |
| EntityType | Edm.String | Нет | Тип оповещения или сущности оповещения. Типы сущностей:
Этот параметр применяется только к событиям AlertEntityGenerated. |
схема Viva Engage
Viva Engage события, возвращаемые при поиске по журналам аудита, используют эту схему.
| Параметры | Тип | Обязательный | Описание |
|---|---|---|---|
| ActorUserId | Edm.String | Нет | Адрес электронной почты пользователя, который выполнил операцию. |
| ActorYammerUserId | Edm.Int64 | Нет | Идентификатор пользователя, который выполнил операцию. |
| DataExportType | Edm.String | Нет | Возвращает значение data, если экспортированные данные включают сообщения, заметки, файлы, темы, пользователей и группы. Возвращает значение user, если экспортированные данные содержат только пользователей. |
| FileId | Edm.Int64 | Нет | Идентификатор файла, с которым выполнена операция. |
| FileName | Edm.String | Нет | Имя файла, с которым выполнена операция. Отображается пустым, если не относится к операции. |
| GroupName | Edm.String | Нет | Имя группы, с которой выполнена операция. Отображается пустым, если не относится к операции. |
| IsSoftDelete | Edm.Boolean | Нет | Возвращает значение true, если для политики хранения данных в сети задано значение Soft Delete (обратимое удаление). Возвращает значение false, если для политики хранения данных в сети установлено значение Hard Delete (необратимое удаление). |
| MeetingId | Edm.String | Нет | Идентификатор события или собрания команд в операции. |
| MessageId | Edm.Int64 | Нет | Идентификатор сообщения, с которым выполнена операция. |
| ModifiedProperties | Collection(ModifiedProperty) | Нет | Включает имя измененного свойства, новое значение измененного объекта и предыдущее значение измененного объекта. |
| YammerNetworkId | Edm.Int64 | Нет | Сетевой идентификатор пользователя, который выполнил операцию. |
| TargetObjectId | Edm.String | Нет | Entra Id целевого пользователя в операции. |
| TargetUserId | Edm.String | Нет | Электронный адрес целевого пользователя, с которым выполнена операция. Отображается пустым, если не относится к операции. |
| TargetYammerUserId | Edm.Int64 | Нет | Идентификатор целевого пользователя, с которым выполнена операция. |
| ThreadId | Edm.Int64 | Нет | Идентификатор потока message в операции. |
| VersionId | Edm.Int64 | Нет | Идентификатор версии файла, с которым выполнена операция. |
Базовая схема безопасности центра обработки данных
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| DataCenterSecurityEventType | Self.DataCenterSecurityEventType | Да | Тип события командлета в защищенном хранилище. |
Enum: DataCenterSecurityEventType; Type: Edm.Int32
DataCenterSecurityEventType
| Имя элемента | Описание |
|---|---|
| DataCenterSecurityCmdletAuditEvent | Значение перечисления для события, связанного с типом аудита командлета. |
Схема командлетов для обеспечения безопасности центра обработки данных
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| StartTime | Edm.Date | Да | Время начала выполнения командлета. |
| EffectiveOrganization | Edm.String | Да | Имя клиента, для которого предназначалось повышение прав или командлет. |
| ElevationTime | Edm.Date | Да | Время начала повышения прав. |
| ElevationApprover | Edm.String | Да | Имя менеджера Майкрософт. |
| ElevationApprovedTime | Edm.Date | Нет | Метка времени, когда утверждено повышение прав. |
| ElevationRequestId | Edm.Guid | Да | Уникальный идентификатор запроса на повышение прав. |
| ElevationRole | Edm.String | Нет | Роль, для которой запрошено повышение прав. |
| ElevationDuration | Edm.Int32 | Да | Период, в течение которого было активным повышение прав. |
| GenericInfo | Edm.String | Нет | Используется для комментариев и других общих сведений. |
Схема Microsoft Teams
События Microsoft Teams , возвращаемые при поиске по журналам аудита, используют эти схемы.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Action | Edm.String | Нет | Для отправленных событий канала действие, предпринятое приглашенным или владельцем канала для общего доступ с приглашением команды. |
| AddOnGuid | Edm.Guid | Нет | Уникальный идентификатор надстройки, создавшей событие. |
| AddOnName | Edm.String | Нет | Имя надстройки, создавшей событие. |
| AddOnType | Self.AddOnType | Нет | Тип надстройки, создавшей это событие. |
| ChannelGuid | Edm.Guid | Нет | Уникальный идентификатор канала, для которого выполняется аудит. |
| ChannelName | Edm.String | Нет | Имя канала, для которого выполняется аудит. |
| ChannelType | Edm.String | Нет | Тип проверяемого канала (стандартный или закрытый). |
| ExtraProperties | Collection(Self.KeyValuePair) | Нет | Список дополнительных свойств. |
| HostedContents | Collection(Self.HostedContent) | Нет | Коллекция размещенного содержимого сообщений чата или канала. |
| Приглашенный | Edm.String | Нет | Для отправленных событий канала UPN владельца команды приглашенного, который принимает или отклоняет приглашение на общий доступ с приглашением команды. |
| Members | Collection(Self.MicrosoftTeamsMember) | Нет | Список пользователей в группе. |
| MessageId | Edm.String | Нет | Идентификатор сообщения чата или канала. |
| MessageURLs | Edm.String | Нет | Присутствует для любого URL-адреса, отправленного в сообщениях Teams. |
| Сообщения | Collection(Self.Message) | Нет | Коллекция сообщений чата или канала. |
| MessageSizeInBytes | Edm.Int64 | Нет | Размер сообщения чата или канала в байтах с кодированием UTF-16. |
| Имя | Edm.String | Нет | Присутствует только для событий параметров. Имя измененного параметра. |
| NewValue | Edm.String | Нет | Присутствует только для событий параметров. Новое значение параметра. |
| OldValue | Edm.String | Нет | Присутствует только для событий параметров. Старое значение параметра. |
| SubscriptionId | Edm.String | Нет | Уникальный идентификатор подписки на уведомления об изменениях Microsoft Graph. |
| TabType | Edm.String | Нет | Присутствует только для событий вкладок. Тип вкладки, создавшей событие. |
| TeamGuid | Edm.Guid | Нет | Уникальный идентификатор группы, для которой выполняется аудит. |
| TeamName | Edm.String | Нет | Имя группы, для которой выполняется аудит. |
Сложный тип MicrosoftTeamsMember
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| UPN | Edm.String | Нет | Имя участника-пользователя. |
| Role | Self.MemberRoleType | Нет | Роль пользователя в группе. |
| DisplayName | Edm.String | Нет | Отображаемое имя пользователя. |
Enum: MemberRoleType; Type: Edm.Int32
MemberRoleType
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Member | Пользователь, который входит в группу. |
| 1 | Owner | Владелец группы. |
| 2 | Guest | Пользователь, который не входит в группу. |
Сложный тип KeyValuePair
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Key | Edm.String | Нет | Ключ в паре "ключ — значение". |
| Value | Edm.String | Нет | Значение в паре "ключ — значение". |
Enum: AddOnType; Type: Edm.Int32
AddOnType
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | Bot | Программа-робот Microsoft Teams. |
| 2 | Connector | Соединитель Microsoft Teams. |
| 3 | Tab | Вкладка Microsoft Teams. |
Сложный тип HostedContent
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Id | Edm.String | Да | Уникальный идентификатор размещенного содержимого сообщения. |
| SizeInBytes | Edm.Int64 | Нет | Размер размещенного содержимого сообщения в байтах. |
Сложный тип сообщения
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| AADGroupId | Edm.String | Нет | Уникальный идентификатор группы в Azure Active Directory, к которой относится сообщение. |
| Id | Edm.String | Да | Уникальный идентификатор сообщения чата или канала. |
| ChannelGuid | Edm.String | Нет | Уникальный идентификатор канала, к которому принадлежит сообщение. |
| ChannelName | Edm.String | Нет | Название канала, к которому относится сообщение. |
| ChannelType | Edm.String | Нет | Тип канала, к которому относится сообщение. |
| ChatName | Edm.String | Нет | Имя чата, к которому относится сообщение. |
| ChatThreadId | Edm.String | Нет | Уникальный идентификатор чата, к которому относится сообщение. |
| ParentMessageId | Edm.String | Нет | Уникальный идентификатор родительского сообщения чата или канала. |
| SizeInBytes | Edm.Int64 | Нет | Размер сообщения в байтах с кодированием UTF-16. |
| TeamGuid | Edm.String | Нет | Уникальный идентификатор команды, к которой относится сообщение. |
| TeamName | Edm.String | Нет | Имя команды, к которой относится сообщение. |
| Версия | Edm.String | Нет | Версия сообщения чата или канала. |
Схема Microsoft Defender для Office 365 с анализом угроз и реагированием на них
Microsoft Defender для событий Office 365 доступны для клиентов Microsoft 365, у которых есть Defender для Office 365, включенная или в качестве подписки на надстройку. Например, Microsoft 365 бизнес премиум включает Defender для Office 365 плана 1, а Microsoft 365 A5/E5/G5 — Defender для Office 365 плана 2.
События исследования угроз и реагирования доступны только для клиентов с Defender для Office 365 плана 2.
Каждое событие в веб-канале Defender для Office 365 соответствует следующим функциям:
- Доставленные сообщения электронной почты обнаружены и действовали до нулевого часа автоматической очистки (ZAP).
- URL-адреса, обнаруженные при щелчке по безопасным ссылкам.
- Файлы, обнаруженные безопасными вложениями для SharePoint, OneDrive и Microsoft Teams.
- Оповещения, активировав автоматические исследования (только для Defender для Office 365 план 2).
- события Обучение эмуляции атак (только в Defender для Office 365 плана 2).
События, связанные с электронными сообщениями
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| AttachmentData | Collection(Self.AttachmentData) | Нет | Данные о вложениях в сообщение, активировавшее событие. |
| DetectionType | Edm.String | Да | Тип обнаружения. Например:
Событиям с типом обнаружения ZAP обычно предшествует сообщение с типом отложенного обнаружения. |
| DetectionMethod | Edm.String | Да | Метод или технология обнаружения, используемые Defender для Office 365. |
| InternetMessageId | Edm.String | Да | Идентификатор интернет-сообщения. |
| NetworkMessageId | Edm.String | Да | Идентификатор сетевого сообщения Exchange Online. |
| P1Sender | Edm.String | Да | Адрес MAIL FROM, используемый при передаче smtp-сообщения между серверами электронной почты (также известный 5321.MailFrom как адрес, отправитель P1 или отправитель конверта). |
| P2Sender | Edm.String | Да | Адрес from (также известный 5322.From как адрес или отправитель P2), который отображается в почтовых клиентах. |
| Политика | Self.Policy | Да | Тип политики угроз (например, защита от нежелательной почты или защиты от фишинга) и связанный тип действия (например, спам с высоким уровнем достоверности, спам или фишинг), относящиеся к сообщению электронной почты. |
| Политика | Self.PolicyAction | Да | Действие, настроенное в политике угроз (например, Переместить в папку нежелательной почты или Карантин), относятся к сообщению электронной почты. |
| Recipients | Collection(Edm.String) | Да | Массив получателей сообщения. |
| SenderIp | Edm.String | Да | IPv4- или IPv6-адрес, отправив сообщение. |
| Subject | Edm.String | Да | Строка темы сообщения. |
| Verdict | Edm.String | Да | Заключение о сообщении. |
| MessageTime | Edm.Date | Да | Дата и время указаны в соответствии со всемирным координированным временем (UTC) и отражают момент получения или отправки электронного сообщения. |
| EventDeepLink | Edm.String | Да | Прямая ссылка на событие электронной почты в Обозреватель угроз или обнаружения в режиме реального времени. |
| Действие доставки | Edm.String | Да | Исходное действие доставки сообщения электронной почты. |
| Исходное расположение доставки | Edm.String | Да | Исходное расположение доставки сообщения электронной почты. |
| Последнее расположение доставки | Edm.String | Да | Последнее расположение доставки сообщения электронной почты во время события. |
| Направление | Edm.String | Да | Определяет, было ли сообщение электронной почты входящим, исходящим или сообщением внутри организации. |
| ThreatsAndDetectionTech | Edm.String | Да | Угрозы и соответствующие технологии обнаружения. В этом поле указываются все угрозы в сообщении электронной почты, включая последнее добавление решения о спаме. Например, ["Phish: [Spoof DMARC]","Spam: [URL malicious reputation]"]. Различные технологии обнаружения угроз и обнаружения описаны в разделе Технологии обнаружения. |
| AdditionalActionsAndResults | Collection(Edm.String) | Нет | Дополнительные действия, выполненные с электронной почтой, например автоматическая очистка или ручное исправление. Также включает соответствующие результаты. |
| Connectors | Edm.String | Нет | Имена и GUID соединителей, связанных с электронной почтой. |
| AuthDetails | Collection(Self.AuthDetails) | Нет | Проверки подлинности, проведенные для электронной почты. Также включает значения для SPF, DKIM, DMARC и CompAuth. |
| SystemOverrides | Collection(Self.SystemOverrides) | Нет | Переопределения, применимые к электронной почте. Это могут быть системные переопределения или переопределения пользователей. |
| Доверительный уровень фишинга | Edm.String | Нет | Указывает доверительный уровень, связанный с решением о фишинге. Возможные значения: "Обычный" или "Высокий". |
Примечание.
Рекомендуется использовать новое поле ThreatsAndDetectionTech, так как в нем указывается несколько решений и обновленные технологии обнаружения. Это поле также соответствует значениям, отображаемым в других интерфейсах, таких как Обозреватель угроз и Расширенная охота.
Технологии обнаружения
| Имя | Описание |
|---|---|
| Расширенный фильтр | Фишинговые сигналы на основе машинного обучения. |
| Подсистема защиты от вредоносных программ | Обнаружение из подсистемы защиты от вредоносных программ. |
| Кампания | Сообщения, идентифицированные как часть кампании. |
| Репутация домена | Анализ на основе репутации домена. |
| Отключение файла | Во время анализа обнаружено, что вложенные файлы являются небезопасными. |
| Репутация отключения файла | Вложенный файл помечен как небезопасный из-за репутации предыдущего отключения. |
| Репутация файла | Вложенные файлы помечены как небезопасные из-за плохой репутации. |
| Сопоставление отпечатков | Сообщение помечено как небезопасное из-за предыдущих сообщений. |
| Общий фильтр | Фишинговые сигналы на основе правил. |
| Олицетворение фирменной символики | Тип вложенного файла. |
| Олицетворение домена | Олицетворение доменов, которые определяет клиент или которыми он владеет. |
| Олицетворение пользователя | Олицетворение пользователей, определенное администратором или с помощью аналитики почтовых ящиков. |
| Олицетворение на основе аналитики почтовых ящиков | Олицетворение на основе аналитики почтовых ящиков. |
| Обнаружение с помощью смешанного анализа | Решение по этому сообщению принято с использованием нескольких фильтров. |
| Спуфинг DMARC | Сбой проверки подлинности DMARC для сообщений. |
| Спуфинг внешнего домена | Отправитель пытается подделать другой домен. |
| Спуфинг внутри организации | Отправитель пытается подделать домен получателя. |
| Отключение URL-адресов | Сообщение было признано небезопасным из-за предыдущего отключения вредоносных URL-адресов. |
| Репутация отключения URL-адресов | Сообщение было признано небезопасным из-за отключения вредоносных URL-адресов. |
| Репутация вредоносного URL-адреса | Сообщение было признано небезопасным из-за вредоносного URL-адреса. |
Сложный тип AttachmentData
AttachmentData
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| FileName | Edm.String | Да | Имя вложенного файла. |
| FileType | Edm.String | Да | Тип вложенного файла. |
| FileVerdict | Self.FileVerdict | Да | Заключение о вредоносности файла. |
| MalwareFamily | Edm.String | Нет | Тип вредоносности файла. |
| SHA256 | Edm.String | Да | Хэш файла SHA256. |
Примечание.
В семействе Malware вы увидите точное имя MalwareFamily (например, HTML/Phish.VS! MSR) или вредоносные полезные данные в виде статической строки. Полезные данные вредоносной программы по-прежнему следует рассматривать как вредоносные сообщения электронной почты, если конкретное имя не определено.
Сложный тип SystemOverrides
SystemOverrides
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Details | Edm.String | Нет | Сведения о конкретном примененном переопределении (например, ETR или надежный отправитель). |
| FinalOverride | Edm.String | Нет | Указывает переопределение, повлиявшее на доставку в случае нескольких переопределений. |
| Result | Edm.String | Нет | Указывает, было ли сообщение разрешено или заблокировано в зависимости от переопределения. |
| Source | Edm.String | Нет | Указывает, было ли переопределение настроено пользователем или клиентом. |
Сложный тип AuthDetails
AuthDetails
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Имя | Edm.String | Нет | Имя конкретной проверки подлинности, например DKIM или DMARC. |
| Value | Edm.String | Нет | Значение, связанное с конкретной проверкой подлинности, например True или False. |
Enum: FileVerdict; Type: Edm.Int32
FileVerdict
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Good | Угрозы не обнаружены. |
| 1 | Bad | Во вложении обнаружена вредоносная программа. |
| –1 | Error | Ошибка при сканировании или анализе. |
| –2 | Timeout | Превышено время ожидания при сканировании или анализе. |
| –3 | Pending | Сканирование или анализ не завершены. |
Enum: Policy; Type: Edm.Int32
Тип политики и тип действия
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | Anti-spam, HSPM | Действие "Спам с высоким уровнем достоверности" (HSPM) в политике защиты от нежелательной почты. |
| 2 | Anti-spam, SPM | Действие нежелательной почты (SPM) в политике защиты от нежелательной почты. |
| 3 | Anti-spam, Bulk | Массовое действие в политике защиты от нежелательной почты. |
| 4 | Anti-spam, PHSH | Действие фишинга (PHSH) в политике защиты от нежелательной почты. |
| 5 | Anti-phish, DIMP | Действие олицетворения домена (DIMP) в политике защиты от фишинга. |
| 6 | Anti-phish, UIMP | Действие олицетворения пользователя (UIMP) в политике защиты от фишинга. |
| 7 | Anti-phish, SPOOF | Действие спуфингов в политике защиты от фишинга. |
| 8 | Anti-phish, GIMP | Действие аналитики почтовых ящиков в политике защиты от фишинга. |
| 9 | Anti-malware, AMP | Действие политики вредоносных программ в политике защиты от вредоносных программ. |
| 10 | Safe attachment, SAP | Действие политики в политике безопасных вложений. |
| 11 | Exchange transport rule, ETR | Действие политики в правиле потока обработки почты Exchange (также известное как правило транспорта). |
| 12 | Anti-malware, ZAPM | Действие политики вредоносных программ в политике защиты от вредоносных программ, применяемое к автоматической очистке нулевого часа (ZAP). |
| 13 | Anti-phish, ZAPP | Действие политики фишинга в политике защиты от фишинга, применяемой к ZAP. |
| 14 | Anti-phish, ZAPS | Действие политики нежелательной почты в политике защиты от нежелательной почты, применяемой к ZAP. |
| 15 | Защита от нежелательной почты, фишинговое сообщение с высокой вероятностью (HPHISH) | Высокий уровень достоверности действия политики фишинга в политике защиты от нежелательной почты. |
| 17 | Защита от нежелательной почты, исходящая нежелательная почта (OSPM) | Действие политики в политике исходящей нежелательной почты. |
Enum: PolicyAction; Type: Edm.Int32
Действие политики
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | MoveToJMF | Действие политики заключается в перемещении сообщения в папку "Нежелательная Email". |
| 1 | AddXHeader | Действие политики заключается в добавлении X-заголовка в сообщение электронной почты. |
| 2 | ModifySubject | Действие политики заключается в изменении темы сообщения электронной почты с информацией, указанной политикой угроз. |
| 3 | Redirect | Действие политики заключается в перенаправлении сообщения электронной почты на адрес электронной почты, указанный политикой угроз. |
| 4 | Delete | Действие политики состоит в удалении (отбрасывании) сообщения электронной почты. |
| 5 | Quarantine | Действие политики состоит в помещении сообщения электронной почты на карантин. |
| 6 | NoAction | Настройка политики не предполагает действий с сообщением электронной почты. |
| 7 | BccMessage | Действие политики заключается в сккэ сообщения электронной почты на адрес электронной почты, указанный политикой угроз. |
| 8 | ReplaceAttachment | Действие политики заключается в замене вложения в сообщении электронной почты, как указано в политике угроз. |
События выбора URL-адреса
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| UserId | Edm.String | Да | Идентификатор (например, адрес электронной почты) пользователя, щелкнувшего URL-адрес. |
| AppName | Edm.String | Да | Служба Office 365, из которой щелкнули URL-адрес (например, "Почта"). |
| URLClickAction | Self.URLClickAction | Да | Щелкните действие для URL-адреса на основе политик организации для безопасных ссылок. |
| SourceId | Edm.String | Да | Идентификатор службы Office 365, из которой был щелкнут URL-адрес (например, для электронной почты это значение является идентификатором сетевого сообщения Exchange Online). |
| TimeOfClick | Edm.Date | Да | Дата и время щелчка URL-адреса в формате UTC. |
| URL | Edm.String | Да | URL-адрес, который щелкнул пользователь. |
| UserIp | Edm.String | Да | IPv4 или IPv6-адрес пользователя, щелкнувшего URL-адрес. |
Enum: URLClickAction; Type: Edm.Int32
URLClickAction
| Значение | Имя элемента | Описание |
|---|---|---|
| 2 | Blockpage | Пользователь не может переходить по URL-адресу по безопасным ссылкам. |
| 3 | PendingDetonationPage | Пользователь представил страницу ожидания детонации по безопасным ссылкам. |
| 4 | BlockPageOverride | Пользователь не может переходить по URL-адресу по безопасным ссылкам, но пользователь перечеркивал блок, чтобы перейти по URL-адресу. |
| 5 | PendingDetonationPageOverride | Пользователь представил страницу детонации по безопасным ссылкам, но пользователь перечеркит страницу, чтобы перейти по URL-адресу. |
События файлов
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| FileData | Self.FileData | Да | Данные о файле, запускающем событие. |
| SourceWorkload | Self.SourceWorkload | Да | Рабочая нагрузка или служба, в которой был найден файл (например, SharePoint, OneDrive или Microsoft Teams) |
| DetectionMethod | Edm.String | Да | Метод или технология, используемая Microsoft Defender для Office 365 для обнаружения. |
| LastModifiedDate | Edm.Date | Да | Дата и время в формате UTC, когда файл был создан или изменен в последний раз. |
| LastModifiedBy | Edm.String | Да | Идентификатор (например, адрес электронной почты) для пользователя, который создал или выполнил последнее изменение файла. |
| EventDeepLink | Edm.String | Да | Прямая ссылка на событие файла в Обозреватель угроз или обнаружения в режиме реального времени. |
Сложный тип FileData
FileData
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Documentid | Edm.String | Да | Уникальный идентификатор для файла в SharePoint, OneDrive или Microsoft Teams. |
| FileName | Edm.String | Да | Имя файла, запускающего событие. |
| FilePath | Edm.String | Да | Путь (расположение) файла в SharePoint, OneDrive или Microsoft Teams. |
| FileVerdict | Self.FileVerdict | Да | Заключение о вредоносности файла. |
| MalwareFamily | Edm.String | Нет | Тип вредоносности файла. |
| SHA256 | Edm.String | Да | Хэш файла SHA256. |
| FileSize | Edm.String | Да | Размер файла в байтах. |
Enum: SourceWorkload; Type: Edm.Int32
SourceWorkload
| Значение | Имя элемента |
|---|---|
| 0 | SharePoint |
| 1 | OneDrive |
| 2 | Microsoft Teams |
Схема sim-карты атаки в Microsoft Defender для Office 365 плана 2
Обучение эмуляции атак события доступны для клиентов Microsoft 365, у которых есть Defender для Office 365 плана 2, включенных или в качестве подписки на надстройку. Например, Microsoft 365 A5/E5/G5 включает Defender для Office 365 плана 2.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Идентификатор пакетной службы | Edm.String | Да | Уникальный идентификатор для группы записей, которые обрабатываются вместе. |
| Идентификатор кампании | Edm.String | Да | Уникальный идентификатор для кампании по обучению имитации атак. |
| UserDisplayName | Edm.String | Нет | Отображаемое имя пользователя, участвующего в кампании по обучению имитации атак. |
| AttackTechnique | Edm.String | Нет | Метод атаки, используемый в симуляции. |
| CampaignType | Edm.String | Нет | Тип кампании имитации атак. К различным типам относятся кампания моделирования, обучающие кампании, автоматизация моделирования. |
| TimeData | Edm.Date | Нет | Время запуска кампании. |
| EndTimeData | Edm.Date | Нет | Время окончания кампании. |
| AttackSimEvent | Self.AttackSimEventType | Да | Тип события (действие пользователя или состояние доставки сообщений). |
| ExtendedProperties | Collection(Common.NameValuePair) | Да | Дополнительные свойства, связанные с записью аудита. |
Перечисление: AttackSimEventType — Тип: Edm.Int32
| Значение | Имя члена | Описание |
|---|---|---|
| 1 | MessageDelivered | Сообщение успешно доставлено получателю. |
| 2 | MessageFailed | Не удается доставить сообщение. |
| 6 | Ввод учетных данных | Пользователь ввел учетные данные в имитации фишинга для таких методов, как сбор учетных данных, ссылка во вложении. |
| 7 | PermissionGranted | Пользователь предоставил разрешение в имитации фишинга для таких методов, как предоставление согласия Oauth. |
| 8 | LinkClicked | Пользователь щелкнул URL-адрес имитации фишинга. |
| 10 | AttachmentOpened | Вложение, открытое пользователем для таких методов, как вложение вредоносных программ, ссылка во вложении. |
| 12 | MessageRead | Сообщение, открытое и прочитанное получателем. |
| 13 | MessageReplied | Получатель ответил на сообщение. |
| 14 | MessageForwarded | Сообщение, переадресованное другому пользователю. |
| 15 | MessageReported | Сообщение, отправленное получателем как фишинговое. |
| 16 | MessageDeleted | Сообщение удалено получателем. |
| 17 | OutOfOffice | Автоматические ответы в Outlook включены для получателя. |
| 18 | PositiveReinforcementMessageDelivered | Сообщение о положительном подкреплении успешно доставлено получателю. |
Схема Администратор атаки в Microsoft Defender для Office 365 плана 2
Обучение эмуляции атак события администрирования доступны для клиентов Microsoft 365, у которых есть Defender для Office 365 плана 2 или в качестве подписки на надстройку. Например, Microsoft 365 A5/E5/G5 включает Defender для Office 365 плана 2.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Идентификатор пакетной службы | Edm.String | Да | Уникальный идентификатор для группы записей, которые обрабатываются вместе. |
| Идентификатор кампании | Edm.String | Да | Уникальный идентификатор для кампании по обучению имитации атак. |
| AttackTechnique | Edm.String | Нет | Метод атаки, используемый в симуляции. |
| CampaignType | Edm.String | Нет | Тип кампании имитации атак. К различным типам относятся кампания моделирования, обучающие кампании, автоматизация моделирования. |
| TimeData | Edm.Date | Да | Время запуска кампании. |
| EndTimeData | Edm.Date | Да | Время окончания кампании. |
| AttackSimAdminEvent | Self.AttackSimAdminEventType | Да | Тип события администратора sim-карты атаки. |
| ExtendedProperties | Collection(Common.NameValuePair) | Да | Дополнительные свойства, связанные с записью аудита. |
Перечисление: AttackSimAdminEventType — Тип: Edm.Int32
| Значение | Имя члена | Описание |
|---|---|---|
| 0 | CampaignLaunched | При запуске кампании по обучению имитации атак. Различные типы кампаний — симуляция, обучающие кампании. |
| 1 | CampaignCompleted | Когда была завершена кампания по обучению имитации атак. |
| 2 | CampaignReportDownloaded | Администратор скачал отчет о кампании. |
| 3 | CampaignReportViewed | Администратор просмотре отчета о кампании. |
| 4 | CampaignCancelled | Когда кампания по обучению имитации атак была отменена. |
| 5 | CampaignScheduled | Когда была запланирована кампания по обучению имитации атак. |
| 6 | CampaignDeleted | При удалении кампании по обучению имитации атак. |
| 7 | SimulationExcluded | Когда имитация была исключена из отчетов. |
| 8 | AutomationSubmitted | При отправке автоматизации включает в себя моделирование и автоматизацию полезных данных. |
| 9 | AutomationTurnOn | При включении автоматизации включает в себя имитацию и автоматизацию полезных данных. |
| 10 | AutomationTurnOff | При отключении автоматизации включает в себя имитацию и автоматизацию полезных данных. |
| 11 | AutomationCompleted | После завершения автоматизации моделирования. |
| 12 | AutomationDeleted | При удалении автоматизации включает в себя имитацию и автоматизацию полезных данных. |
Схема обучения пользователей
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Идентификатор пакетной службы | Edm.String | Да | Уникальный идентификатор для группы записей, которые обрабатываются вместе. |
| Идентификатор кампании | Edm.String | Да | Уникальный идентификатор для кампании по обучению имитации атак. |
| Идентификатор курса | Edm.String | Да | Уникальный идентификатор учебного курса. |
| UserDisplayName | Edm.String | Нет | Отображаемое имя пользователя, участвующего в имитации атаки. |
| CampaignType | Edm.String | Да | Тип кампании имитации атак. К различным типам относятся кампания моделирования, обучающие кампании, автоматизация моделирования. |
| TimeData | Edm.Date | Да | Время запуска кампании. |
| EndTimeData | Edm.Date | Да | Время окончания кампании. |
| UserTrainingEvent | Self.UserTrainingEventType | Да | Тип события обучения пользователя. |
| ExtendedProperties | Collection(Common.NameValuePair) | Да | Дополнительные свойства, связанные с записью аудита. |
Перечисление: UserTrainingEventType — Тип: Edm.Int32
| Значение | Имя члена | Описание |
|---|---|---|
| 1 | TrainingAssigned | Обучение, назначенное пользователю. |
| 2 | TrainingUpdated | Обучение обновлено для пользователей. |
| 3 | TrainingCompleted | Пользователь завершил обучение. |
| 4 | TrainingPreviouslyAssigned | Ранее было назначено обучение пользователю. |
| 5 | TrainingNotCompleted | Пользователь не завершил назначенное обучение. |
Схема отправки
События отправки ложных срабатываний или ложноотрицательных результатов в корпорацию Майкрософт для анализа доступны во всех организациях с почтовыми ящиками в Exchange Online. Каждое событие в канале отправки соответствует ложноположительным или ложноотрицательному результату, которые были отправлены:
- Администраторы: сообщения, файлы или URL-адреса, отправленные в корпорацию Майкрософт для анализа.
- Пользователи: сообщения, отправляемые пользователями администраторам или корпорации Майкрософт для проверки.
События отправки
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| AdminSubmissionRegistered | Edm.String | Нет | Отправка администратором зарегистрирована и ожидает обработки. |
| AdminSubmissionDeliveryCheck | Edm.String | Нет | Система отправки администратором проверила политику электронной почты. |
| AdminSubmissionSubmitting | Edm.String | Нет | Система отправки администратора отправляет сообщение электронной почты. |
| AdminSubmissionSubmitted | Edm.String | Нет | Система отправки администратором отправила сообщение электронной почты. |
| AdminSubmissionTriage | Edm.String | Нет | Администратор отправку, разохваемую оградителями. |
| AdminSubmissionTimeout | Edm.String | Нет | Администратор время ожидания отправки истекло без результата. |
| UserSubmission | Edm.String | Нет | Об отправке впервые сообщил конечный пользователь. |
| UserSubmissionTriage | Edm.String | Нет | Отправка пользователем рассматривается средством оценки. |
| CustomSubmission | Edm.String | Нет | Сообщение, о котором уведомил пользователь, было отправлено в пользовательский почтовый ящик организации, как установлено в параметрах сообщений, о которых уведомляют пользователи. |
| AttackSimUserSubmission | Edm.String | Нет | Сообщение, о котором уведомил пользователь, на самом деле было сообщением учебной симуляции фишинга. |
| AdminSubmissionTablAllow | Edm.String | Нет | Во время отправки была создана запись разрешения в списке разрешенных и заблокированных клиентов , чтобы немедленно выполнить действия с аналогичными сообщениями во время повторного сканирования. |
| SubmissionNotification | Edm.String | Нет | Отзыв администратора отправлен конечному пользователю. |
Автоматическое исследование и реагирование на события в Microsoft Defender для Office 365 плана 2
События автоматического исследования и реагирования (AIR) доступны для клиентов Microsoft 365, у которых есть Defender для Office 365 плана 2, включенных или в качестве подписки на надстройку. Например, Microsoft 365 A5/E5/G5 включает Defender для Office 365 плана 2.
События анализа регистрируются в журнале на основе изменения в состоянии анализа. Например, когда администратор выполняет действие, изменяющее состояние исследования с Pending Actions to Completed, регистрируется событие.
В настоящее время в журнал записываются только события автоматизированного анализа угроз. Регистрируются следующие значения состояния:
- Исследование начато
- Угрозы не найдены
- Прервано системой
- Ожидание выполнения действия
- Обнаруженные угрозы
- Исправлено
- Не выполнено
- Прервано механизмом регулирования
- Прервано пользователем
- Работает
Основная схема анализа
| Имя | Тип | Описание |
|---|---|---|
| InvestigationId | Edm.String | Идентификатор исследования или идентификатор GUID. |
| InvestigationName | Edm.String | Имя исследования. |
| InvestigationType | Edm.String | Тип анализа. Принимается одно из следующих значений:
(В настоящее время ручные исследования недоступны.) |
| LastUpdateTimeUtc | Edm.Date | Время последнего обновления для исследования в формате UTC. |
| StartTimeUtc | Edm.Date | Время начала исследования. |
| Статус | Edm.String | Состояние анализа: выполняется, ожидание выполнения действия и т. д. |
| DeeplinkURL | Edm.String | URL-адрес прямой ссылки на исследование на портале Microsoft Defender. |
| Действия | Коллекция (Edm.String) | Коллекция действий, рекомендуемых исследованием. |
| Data | Edm.String | Строка данных с дополнительными сведениями об объектах анализа и сведениями об оповещениях, связанных с анализом. Объекты доступны в отдельном узле в составе большого двоичного объекта. |
Действия
| Поле | Тип | Описание |
|---|---|---|
| ИД | Edm.String | Идентификатор действия |
| ActionType | Edm.String | Тип действия, например исправление электронной почты. |
| ActionStatus | Edm.String | Значения:
|
| ApprovedBy | Edm.String | Значение null, если утверждено автоматически; в противном случае — имя пользователя или идентификатор (ожидается в ближайшее время) |
| TimestampUtc | Edm.DateTime | Метка времени изменения состояния действия. |
| ActionId | Edm.String | Уникальный идентификатор действия. |
| InvestigationId | Edm.String | Уникальный идентификатор для исследования. |
| RelatedAlertIds | Collection(Edm.String) | Оповещения, связанные с исследованием. |
| StartTimeUtc | Edm.DateTime | Метка времени создания действия. |
| EndTimeUtc | Edm.DateTime | Метка времени обновления конечного состояния действия. |
| Идентификаторы ресурсов | Edm.String | Состоит из идентификатора клиента Azure Active Directory. |
| Объекты | Collection(Edm.String) | Список одной или нескольких затронутых сущностей по действию. |
| Идентификаторы соответствующих оповещений | Edm.String | Оповещение, связанное с исследованием. |
Объекты
MailMessage (электронная почта)
| Поле | Тип | Описание |
|---|---|---|
| Type | Edm.String | "mail-message" |
| Files | Коллекция (Self.File) | Сведения о файлах вложений этого сообщения. |
| Recipient | Edm.String | Получатель этого почтового сообщения. |
| Urls | Коллекция(Self.URL) | URL-адреса, содержащиеся в этом почтовом сообщении. |
| Sender | Edm.String | Электронный адрес отправителя. |
| SenderIP | Edm.String | IP-адрес отправителя. |
| ReceivedDate | Edm.DateTime | Дата получения этого сообщения. |
| NetworkMessageId | Edm.Guid | Идентификатор сетевого сообщения. |
| InternetMessageId | Edm.String | Идентификатор сообщения в Интернете для этого почтового сообщения. |
| Subject | Edm.String | Тема этого почтового сообщения. |
IP
| Поле | Тип | Описание |
|---|---|---|
| Type | Edm.String | "ip" |
| Address | Edm.String | IP-адрес в виде строки, например 127.0.0.1. |
URL
| Поле | Тип | Описание |
|---|---|---|
| Type | Edm.String | "url" |
| Url | Edm.String | Полный URL-адрес, на который указывает сущность. |
Mailbox (также аналогичен пользователю)
| Поле | Тип | Описание |
|---|---|---|
| Type | Edm.String | "mailbox" |
| MailboxPrimaryAddress | Edm.String | Основной адрес почтового ящика. |
| DisplayName | Edm.String | Отображаемое имя почтового ящика. |
| Upn | Edm.String | Имя участника-пользователя почтового ящика. |
File
| Поле | Тип | Описание |
|---|---|---|
| Type | Edm.String | "file" |
| Имя | Edm.String | Имя файла без пути. |
| FileHashes | Коллекция (Edm.String) | Хэши файлов, связанные с файлом. |
FileHash
| Поле | Тип | Описание |
|---|---|---|
| Type | Edm.String | "filehash" |
| Algorithm | Edm.String | Тип алгоритма хэширования. Может принимать одно из следующих значений:
|
| Value | Edm.String | Хэш-значение. |
MailCluster
| Поле | Тип | Описание |
|---|---|---|
| Type | Edm.String | "MailCluster" Определяет тип обсуждаемой сущности. |
| NetworkMessageIds | Коллекция (Edm.String) | Список идентификаторов почтовых сообщений, входящих в почтовый кластер. |
| CountByDeliveryStatus | Коллекции (Edm.String) | Количество почтовых сообщений по строковом представлению DeliveryStatus. |
| CountByThreatType | Коллекции (Edm.String) | Количество почтовых сообщений по представлению строки ThreatType. |
| Threats | Коллекции (Edm.String) | Угрозы почтовых сообщений, входящих в почтовый кластер. Угрозы включают такие значения, как фишинг и вредоносные программы. |
| Query | Edm.String | Запрос, используемый для идентификации сообщений почтового кластера. |
| QueryTime | Edm.DateTime | Время запроса. |
| MailCount | Edm.int | Количество почтовых сообщений, входящих в почтовый кластер. |
| Source | Строка | Источник почтового кластера; значение источника кластера. |
Схема гигиенических событий
Гигиенические события связаны с защитой от спама. Эти события связаны с пользователями, которым запрещено отправлять электронную почту. Дополнительные сведения см. в следующих статьях:
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Аудит | Edm.String | Нет | Системная информация, связанная с гигиеническим событием. |
| Событие | Edm.String | Нет | Тип гигиенического события. Значения для этого параметра перечислены или исключены. |
| EventId | Edm.Int64 | Нет | Идентификатор типа гигиенического события. |
| EventValue | Edm.String | Нет | Пользователь, который был затронут. |
| Reason | Edm.String | Нет | Подробности о гигиеническом мероприятии. |
Схема Power BI
Эта схема используется в событиях Power BI, перечисленных в разделе Поиск в журнале аудита .
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Имя приложения, в котором возникло событие. |
| DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Имя информационной панели, в которой возникло событие. |
| DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Классификация данных (при наличии) для информационной панели, в которой возникло событие. |
| DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Имя набора данных, в котором возникло событие. |
| MembershipInformation | Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Сведения об участниках группы. |
| OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Список разрешений для приложения организации (всей организации, определенных пользователей или определенных групп). |
| ReportName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Имя отчета, в котором возникло событие. |
| SharingInformation | Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Сведения о пользователе, которому отправлено приглашение к совместному использованию. |
| SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Сведения о состоянии различных параметров уровня клиента. |
| WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Имя рабочей области, в которой возникло событие. |
Сложный тип MembershipInformationType
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Адрес электронной почты группы. |
| Status | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | В настоящее время не заполняется. |
Сложный тип SharingInformationType
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Электронный адрес получателя приглашения к совместному использованию. |
| RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Имя получателя приглашения к совместному использованию. |
| ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Нет | Разрешение, предоставляемое получателю. |
Схема Dynamics 365
Записи аудита для событий, относящихся к приложениям на основе моделей в Dynamics 365, используют как базовую схему, так и схему операций объектов. Дополнительные сведения см. в статье о Включение и использование ведения журнала действий.
Базовая схема Dynamics 365
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| CrmOrganizationUniqueName | Edm.String | Да | Уникальное название организации. |
| InstanceUrl | Edm.String | Да | URL-адрес экземпляра. |
| ItemUrl | Edm.String | Нет | URL-адрес записи, создавшей журнал. |
| ItemType | Edm.String | Нет | Имя объекта. |
| UserAgent | Edm.String | Нет | Уникальный идентификатор GUID пользователя в организации. |
| Поля | Collection(Common.NameValuePair) | Нет | Объект JSON, содержащий пары "ключ-значение" свойств, которые были созданы или обновлены. |
Схема операции объекта Dynamics 365
События объектов из приложений Dynamics 365 на основе моделей используют эту схему для дополнения базовой схемы Dynamics 365. Эта схема содержит сведения о операции объекта, инициировавшей событие, для которого выполнен аудит.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| EntityId | Edm.Guid | Нет | Уникальный идентификатор объекта. |
| EntityName | Edm.String | Да | Имя объекта в организации. Примеры объектов: contact или authentication. |
| Сообщение | Edm.String | Да | Этот параметр содержит операцию, которая была выполнена в связи с объектом. Например, если был создан новый контакт, значение свойства Message — , Create а соответствующее значение свойства EntityName — contact. |
| Запрос | Edm.String | Нет | Параметры запроса фильтра, использованные при выполнении операции FetchXML. |
| PrimaryFieldValue | Edm.String | Нет | Указывает значение для атрибута, являющегося основным полем объекта. |
Схема Viva Аналитики
События Viva Аналитики, возвращаемые при поиске по журналам аудита, используют эту схему.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| WpaUserRole | Edm.String | Нет | Роль Пользователя Viva Аналитики, выполнившего действие. |
| ModifiedProperties | Коллекция (Common.ModifiedProperty) | Нет | Это свойство включает имя, а также новое и предыдущее значения измененного свойства. |
| OperationDetails | Коллекция (Common.NameValuePair) | Нет | Список расширенных свойств для измененного параметра. Каждое свойство имеет имя и значение. |
Схема карантина
События карантина , возвращаемые при поиске по журналам аудита, используют эту схему. Дополнительные сведения о карантине см. в статье Сообщения электронной почты, помещенные в карантин в облачных организациях.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| RequestType | Self.RequestType | Нет | Тип карантинного запроса, выполненного пользователем. |
| RequestSource | Self.RequestSource | Нет | Запрос на карантин поступают с портала Microsoft Defender, командлета или URL-ссылки. |
| NetworkMessageId | Edm.String | Нет | Идентификатор сетевого сообщения для находящегося в карантине почтового сообщения |
| ReleaseTo | Edm.String | Нет | Получатель сообщения электронной почты. |
Enum: RequestType - Type: Edm.Int32
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Предварительная версия | Запрос пользователя на предварительный просмотр сообщения электронной почты, признанного вредоносным. |
| 1 | Удалить | Запрос пользователя на удаление сообщения электронной почты, признанного вредоносным. |
| 2 | Выпуск | Запрос пользователя на освобождение сообщения электронной почты, признанного вредоносным. |
| 3 | Экспорт | Запрос пользователя на экспорт сообщения электронной почты, признанного вредоносным. |
| 4 | ViewHeader | Запрос пользователя на просмотр заголовка сообщения электронной почты, признанного вредоносным. |
| 5 | Запрос на разблокирование | Запрос пользователя на освобождение сообщения электронной почты, признанного вредоносным. |
Enum: RequestSource - Type: Edm.Int32
Источник запроса пользователя на предварительный просмотр, удаление, выпуск, экспорт или просмотр заголовка потенциально опасного сообщения электронной почты.
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | SCC | Портал Microsoft Defender. |
| 1 | Командлет | Командлет. |
| 2 | Ссылка URL | Ссылка. |
Схема Microsoft Forms
Microsoft Forms события, возвращаемые при поиске по журналам аудита, используют эту схему.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| FormsUserTypes | Collection(Self.FormsUserTypes) | Да | Роль пользователя, выполнившего действие. Значения этого параметра — "Администратор", "Владелец", "Ответчик" или "Совместное редактирование". |
| SourceApp | Edm.String | Да | Указывает, относится ли действие к веб-сайту Forms или к другому приложению. |
| FormName | Edm.String | Нет | Название текущей формы. |
| FormId | Edm.String | Нет | Идентификатор целевой формы. |
| FormTypes | Collection(Self.FormTypes) | Нет | Указывает на то, является ли это формой, тестом или опросом. |
| ActivityParameters | Edm.String | Нет | Строка JSON, содержащая параметры действия. Дополнительные сведения см. в разделе действия Microsoft Forms. |
Enum: FormsUserTypes - Тип: Edm.Int32
FormsUserTypes
| Значение | Тип пользователя формы | Описание |
|---|---|---|
| 0 | Администратор | Администратор —это лицо, имеющее доступ к форме. |
| 1 | Владелец | Пользователь, являющийся владельцем формы. |
| 2 | Ответчик | Пользователь, отправивший ответ в форму. |
| 3 | Совместное редактирование | Пользователь, который использует ссылку для совместной работы, предоставленную владельцем формы для входа и редактирования формы. |
Enum: FormTypes - Тип: Edm.Int32
FormTypes
| Значение | Типы форм | Описание |
|---|---|---|
| 0 | Форма | Формы, созданные при помощи параметра "Новая форма". |
| 1 | Тест | Тесты, созданные при помощи параметра "Новый тест". Тест — это особый тип форм, включающий дополнительные функции, такие как оценки, автоматическое и ручное оценивание и комментирование. |
| 2 | Опрос | Опросы, созданные при помощи параметра "Новый опрос". Опрос — это особый тип форм, включающий дополнительные функции, такие как интеграция CMS и поддержка правил Flow. |
Схема меток MIP
События в схеме меток защиты информации Microsoft Purview запускаются, когда Microsoft 365 обнаруживает сообщение электронной почты, обработанное агентами в транспортном конвейере, к которому применена метка конфиденциальности. Метка конфиденциальности могла быть применена вручную или автоматически, и она могла быть применена в конвейере транспорта или за его пределами. Метки конфиденциальности могут автоматически применяться к сообщениям электронной почты с помощью политик автоматического применения меток.
Цель этой схемы аудита заключается в представлении сводки всех действий с электронной почтой, включающих метки конфиденциальности. Другими словами, для каждого сообщения электронной почты с примененной меткой, отправляемого или получаемого пользователями в организации, должно регистрироваться действие аудита, независимо от способа и времени применения метки конфиденциальности. Дополнительная информация о метках аудита:
- Сведения о метках конфиденциальности
- Автоматическое применение метки конфиденциальности к содержимому
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Sender | Edm.String | Нет | Адрес электронной почты в поле отправителя сообщения электронной почты. |
| Receivers | Collection(Edm.String) | Нет | Все адреса электронной почты в полях "Кому", "Копия" и "СК" сообщения электронной почты. |
| ItemName | Edm.String | Нет | Строка в поле темы сообщения электронной почты. |
| LabelId | Edm.Guid | Нет | GUID метки конфиденциальности, примененной к сообщению электронной почты. |
| LabelName | Edm.String | Нет | Имя метки конфиденциальности, примененной к сообщению электронной почты. |
| LabelAction | Edm.String | Нет | Действия, указываемые меткой конфиденциальности, примененной к сообщению электронной почты до его поступления в канал транспортировки почты. |
| LabelAppliedDateTime | Edm.Date | Нет | Дата применения метки конфиденциальности к сообщению электронной почты. |
| ApplicationMode | Edm.String | Нет | Указывает способ применения метки конфиденциальности к сообщению электронной почты. Значение Privileged указывает, что метка была применена вручную пользователем. Значение Standard указывает, что метка была автоматически применена процессом присвоения меток на стороне клиента или службы. |
Схема событий портала зашифрованных сообщений
События для схемы портала зашифрованных сообщений активируются, когда Purview Message Encryption обнаруживает, что к зашифрованным сообщениям электронной почты обращается через портал внешний получатель. Возможно, почта была зашифрована вручную с помощью метки конфиденциальности или шаблона RMS, либо автоматически с помощью правила транспорта, политики защиты от потери данных или политики автоматической маркировки.
Целью этой схемы аудита является представить все действия на портале, связанные с получением внешнего доступа к зашифрованной почте. Другими словами, попытки входа на портал и любые действия, связанные с доступом к зашифрованной почте, должны фиксироваться. Это касается почты, отправляемой или получаемой пользователями организации, когда к почте применено шифрование, независимо от того, когда и как было применено шифрование. Дополнительные сведения см. в разделе Сведения о журналах портала зашифрованных сообщений.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| MessageId | Edm.String | Нет | Идентификатор сообщения. |
| Recipient | Edm.String | Нет | Адрес электронной почты получателя. |
| Sender | Edm.String | Нет | Адрес электронной почты отправителя. |
| AuthenticationMethod | Self.AuthenticationMethod | Нет | Способ проверки подлинности при доступе к сообщению, например OTP, Yahoo, Gmail, Майкрософт. |
| AuthenticationStatus | Self.AuthenticationStatus | Нет | 0: успех, 1: сбой. |
| OperationStatus | Self.OperationStatus | Нет | 0: успех, 1: сбой. |
| AttachmentName | Edm.String | Нет | Название вложения. |
| OperationProperties | Collection(Common.NameValuePair) | Нет | Дополнительные свойства, например количество отправленных одноразовых секретных кодов, тема сообщения электронной почты и т. д. |
Схема Exchange с соответствием требованиям к обмену данными
Эту схему используют события соответствия требованиям к обмену данными, перечисленные в журнале аудита Office 365. Она включает записи аудита для операции SupervisoryReviewOLAudit, которая формируется, когда модели защиты от спама выявляют оскорбительные выражения в сообщении электронной почты с точностью совпадения >= 99,5 %.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ExchangeDetails | ExchangeDetails | Нет | Свойства сообщения электронной почты, которое инициировало событие SupervisoryReviewOLAudit. |
Enum: ExchangeDetails - Type: ExchangeDetails
ExchangeDetails
| Имя элемента | Тип | Описание |
|---|---|---|
| NetworkMessageId | Edm.Guid | Идентификатор сетевого сообщения для сообщения электронной почты. |
| InternetMessageId | Edm.String | Идентификатор сообщения Интернета для сообщения электронной почты. |
| AttachmentData | Collection(AttachmentDetails) | Сведения о файлах, вложенных в сообщение электронной почты. |
| Получатели | Collection(Edm.String) | Адреса электронной почты в полях "Кому", "Копия" и "СК" сообщения электронной почты. |
| Subject | Edm.String | Текст в поле "Тема" сообщения электронной почты. |
| MessageTime | Edm.Date | Дата и время отправки сообщения электронной почты. |
| From | Edm.String | Адрес электронной почты в поле "От" сообщения электронной почты. |
| Направление | Edm.String | Состояние происхождения сообщения электронной почты. |
Enum: AttachmentDetails - Type: Edm.Int32
AttachmentDetails
| Имя элемента | Тип | Описание |
|---|---|---|
| FileName | Edm.String | Имя файла, вложенного в сообщение электронной почты. |
| FileType | Edm.String | Расширение файла, вложенного в сообщение электронной почты. |
| SHA256 | Edm.String | Хэш SHA-256 файла, вложенного в сообщение электронной почты. |
Схема отчетов
События отчета , возвращаемые при поиске по журналам аудита, используют эту схему.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ModifiedProperties | Коллекция (Common.ModifiedProperty) | Нет | Это свойство включает имя, а также новое и предыдущее значения измененного свойства. |
Схема соединителя соответствия
События в схеме соединителя соответствия инициируются, когда элементы, импортируемые соединителем данных, пропускаются или не импортируются в почтовые ящики пользователей. Дополнительную информацию о соединителях данных см. в статье Сведения о соединителях для сторонних данных.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| JobId | Edm.String | Нет | Это уникальный идентификатор соединителя данных. |
| TaskId | Edm.String | Нет | Уникальный идентификатор экземпляра соединителя периодических данных. Соединители данных импортируют данные с периодическими интервалами. |
| JobType | Edm.String | Нет | Имя соединителя данных. |
| ItemId | Edm.String | Нет | Уникальный идентификатор импортируемого элемента (например, сообщения электронной почты). |
| ItemSize | Edm.Int64 | Нет | Размер импортируемого элемента. |
| SourceUserId | Edm.String | Нет | Уникальный идентификатор пользователя из стороннего источника данных. Например, для соединителя данных Slack это свойство указывает идентификатор пользователя в рабочей области Slack. |
| FailureType | Self.FailureType | Нет | Указывает тип сбоя импорта данных. Например, значение incorrectusermapping указывает, что элемент не был импортирован, так как не удалось найти сопоставление пользователей между сторонним источником данных и Microsoft 365. |
| ResultMessage | Edm.String | Нет | Указывает тип сбоя, например Повторяющееся сообщение. |
| IsRetry | Edm.Boolean | Нет | Указывает, повторяется ли попытка импорта элемента соединителем данных. |
| Вложения | Collection.Attachment | Нет | Список вложений, полученных из стороннего источника данных. |
Перечисление: FailureType — тип: Edm.Int32
| Значение | Имя элемента |
|---|---|
| 0 | По умолчанию |
| 1 | MailboxWrite |
Сложный тип вложения
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| FileName | Edm.String | Нет | Имя вложения. |
| Details | Edm.String | Нет | Другие сведения о вложении. |
Схема SystemSync
События в схеме SystemSync активируются, когда данные, принятые через SystemSync, экспортируются через Data Lake или к ним предоставляется доступ через другие службы.
DataLakeExportOperationAuditRecord
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| DataStoreType | DataStoreType | Да | Указывает, из какого хранилища данных были загружены данные. Все возможные значения см. в описании DataStoreType. |
| UserAction | DataLakeUserAction | Да | Указывает, какое действие пользователь выполнил в хранилище данных. Все возможные значения см. в разделе DataLakeUserAction. |
| ExportTriggeredAt | Edm.DateTimeOffset | Да | Указывает, когда был запущен экспорт данных. |
| NameOfDownloadedZipFile | Edm.String | Нет | Имя сжатого файла, скачанного администратором из Data Lake. |
DataShareOperationAuditRecord
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Приглашение | DataShareInvitationType | Нет | Сведения о приглашении, отправленном получателю Data Share. |
Сложный тип DataShareInvitationType
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ShareId | Edm.Guid | Да | Назначенный системой идентификатор для Data Share. |
| Приглашенные | Collection(Edm.Guid) | Да | Список администраторов, которым было отправлено приглашение. |
| InviteeTenantId | Edm.Guid | Да | Целевой клиент, для которого предназначено приглашение. |
| ShareName | Edm.String | Да | Назначенное системой имя для Data Share. |
| SyncFrequency | Self.SyncFrequency | Да | Частота синхронизации данных с целевой учетной записью хранения после установки общей папки. Дополнительные возможные значения см. ниже. |
| SyncStartTime | Edm.DateTimeOffset | Да | Дата и время первой синхронизации. |
Перечисление: SyncFrequency — Тип: Edm.Int32:
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Каждый час | Указывает, что данные синхронизируются каждый час. |
| 1 | Ежедневно | Указывает, что данные синхронизируются один раз в день. |
Перечисление: DataStoreType — Тип: Edm.Int32:
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | CanonicalStore | Указывает, что данные скачиваются из хранилища Canonical. |
| 1 | StagingStore | Указывает, что данные скачиваются из промежуточного хранилища. |
Перечисление: DataLakeUserAction — Тип: Edm.Int32:
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | TriggerExport | Администратор инициирует экспорт из Data Lake. |
| 1 | DownloadZipFile | Пользователь администратора скачивает экспортированные данные. |
Сложный тип MicrosoftGraphDataConnectOperation
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ApplicationId | Edm.Guid | Да | Идентификация приложения. |
| ApplicationName | Edm.String | Да | Имя приложения. |
| PipelineName | Edm.String | Да | Имя конвейера. |
| PipelineRunId | Edm.Guid | Нет | Идентификация запуска этого конвейера. |
| CopyActivityRunId | Edm.Guid | Нет | Идентификация действия копирования ADF. |
| RunStartTime | Edm.Date | Да | Дата и время извлечения. |
| RunEndTime | Edm.Date | Да | Дата и время извлечения. |
| DatasetName | Edm.String | Да | Имя извлекаемого набора данных. |
| DatasetColumns | Edm.String | Да | Набор извлекаемых выбранных столбцов. |
| ScopeList | Edm.String | Да | Область извлечения. |
| ScopeCountRequested | Edm.Int64 | Нет | Число запрашиваемых областей для этого извлечения. |
| ScopeCountDelivered | Edm.Int64 | Нет | Число доставленных областей для этого извлечения. |
| UndeliveredScope | Edm.String | Нет | Недоставленная область извлечения. |
| RowCount | Edm.Int64 | Нет | Количество извлекаемых строк. |
| Статус | Edm.String | Да | Состояние извлечения. |
| Reason | Edm.String | Нет | Сообщение об ошибке в случае сбоя. |
AipDiscover
В следующей таблице содержатся сведения, связанные с событиями проверки Azure Information Protection (AIP).
| Событие | Описание |
|---|---|
| ApplicationId | ID приложения, которое выполняет операцию. |
| ApplicationName | Понятное имя приложения, выполняющего операцию. Outlook (для электронной почты), OWA (для электронной почты), Word (для файла), Excel (для файла), PowerPoint (для файла). |
| ClientIP | IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для Azure событий, связанных с Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. IP-адрес отображается в формате адреса IPv4 или IPv6. |
| CreationTime | Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита. |
| DataState | Описывает состояние данных. |
| DeviceName | Устройство, на котором произошло действие. |
| Id | GUID текущей записи. |
| IsProtected | Защищено ли: True или False |
| Расположение | Расположение документа относительно устройства пользователя. Возможные значения: unknown, localMedia, removableMedia, fileshare и cloud. |
| ObjectId | Полный путь к файлу (URL-адрес). Для действий SharePoint и OneDrive — полное имя файла или папки, к которым обращается пользователь. |
| Operation | Описывает тип доступа. |
| OrganizationId | GUID клиента Office 365 вашей организации. Это значение всегда одинаково для вашей организации, независимо от Office 365 службы, в которой оно встречается. |
| Платформа | Платформа устройств (Win, OSX, Android, iOS) |
| ProcessName | Имя соответствующего процесса. Например, Outlook, msip.app или WinWord. |
| ProductVersion | Версия клиента AIP. |
| ProtectionOwner | Владелец Rights Management в формате имени участника-пользователя. |
| ProtectionType | Тип защиты может быть шаблонным или нерегламентированным. |
| RecordType | Тип операции, указанный в записи. Сведения о типах записей в журнале аудита см. в таблице AuditLogRecordType. Полный обновленный список и полное описание Log RecordType см. в записи блога о действиях журнала аудита соответствия требованиям Microsoft 365 через API управления Office 365. Здесь перечислены только соответствующие типы записей MIP. |
| Scope | Событие, созданное одним из следующих источников:
|
| SensitiveInfoTypeData | Хранит тип данных типа Конфиденциальные сведения. |
| SensitivityLabelId | Идентификатор GUID текущей метки конфиденциальности MIP. Используйте Get-Label , чтобы получить полные значения GUID. |
| TemplateId | Параметр TemplateID для получения определенного шаблона. Командлет Get-AipServiceTemplate получает все существующие или выбранные шаблоны защиты из Azure Information Protection. |
| UserId | Имя участника-пользователя, который выполнил действие (указанное в свойстве Operation), приведшее к добавлению записи в журнал (например, my_name@my_domain_name).
Примечание. Также включаются записи о действиях, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, — app@sharepoint. Это значение указывает, что "пользователь", выполнивший действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий в масштабах организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. |
| UserKey | Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive и Exchange. |
| UserType | Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType. 0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| Версия | Идентификатор версии файла, с которым выполнена операция. |
| Workload | Хранит службу Office 365, в которой произошло действие. |
AipSensitivityLabelAction
В следующей таблице содержатся сведения, связанные с событиями меток конфиденциальности AIP.
| Событие | Описание |
|---|---|
| ApplicationId | Соответствует идентификатору приложения Microsoft Entra. |
| ApplicationName | Понятное имя приложения, выполняющего операцию. |
| CreationDate | Дата и время в формате UTC в формате ISO8601, когда пользователь выполнил действие. |
| DataState | Указывает состояние данных. |
| DeviceName | Имя устройства пользователя. |
| Удостоверение | Удостоверение пользователя или службы, для проверки подлинности. |
| IsProtected | Защищено ли: True или False |
| IsProtectedBefore | Было ли содержимое защищено перед изменением: True/False |
| IsValid | Логический |
| Расположение | Расположение документа относительно устройства пользователя. Возможные значения: unknown, localMedia, removableMedia, fileshare и cloud. |
| ObjectState | Указывает состояние объекта . |
| Operation | Тип операции для журнала аудита. Имя действия пользователя или администратора. Описание наиболее распространенных операций и действий: SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Удостоверение | Удостоверение пользователя или службы, для проверки подлинности. |
| PSComputerName | Имя компьютера |
| PSShowComputerName | Значение False для документированных, отредактированных в Office 365. |
| Платформа | Платформа устройств (Win, OSX, Android, iOS). |
| ProcessName | Процесс, в котором размещается пакет SDK для MIP. |
| ProductVersion | Версия клиента Azure Information Protection, выполняющего действие аудита. |
| ProtectionType | Тип защиты может быть шаблонным или нерегламентированным. |
| RecordType | Показывает значение действия метки. Тип операции, указанный записью. Дополнительные сведения см. в полном списке типов записей. |
| RunspaceId | Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки. |
| SensitiveInfoTypeData | Хранит тип данных типа конфиденциальной информации |
| TemplateId | Параметр TemplateID для получения определенного шаблона. Командлет Get-AipServiceTemplate получает все существующие или выбранные шаблоны защиты из Azure Information Protection. |
| UserId | Имя участника-пользователя (UPN) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name. Примечание. Также включаются записи о действиях, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, — app@sharepoint. Это значение указывает, что "пользователь", выполнивший действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий в масштабах организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. |
AipProtectionAction
| Событие | Описание |
|---|---|
| PSComputerName | Имя компьютера |
| RunspaceId | Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки. |
| PSShowComputerName | Значение false для документированного, измененного в Office 365. |
| RecordType | Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP. Дополнительные сведения см. в полном списке типов записей. |
| CreationTime | Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита. |
| UserId | Имя участника-пользователя (UPN) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи. Например, my_name@my_domain_name. Примечание. Также включаются записи о действиях, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, — app@sharepoint. Это значение указывает, что "пользователь", выполнивший действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий в масштабах организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. |
| Operation | Тип операции для журнала аудита. Название действия пользователя или администратора. Описание наиболее распространенных операций и действий. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Удостоверение | Удостоверение пользователя или службы, для проверки подлинности. |
| ObjectState | Состояние объекта после текущего события. |
| ApplicationId | Приложение, в котором произошло действие и отображается в GUID. |
| ApplicationName | Понятное имя приложения, выполняющего операцию. Outlook (для электронной почты), OWA (для электронной почты), Word (для файла), Excel (для файла), PowerPoint (для файла). |
| ProcessName | Имя процесса приложения Office. |
| Платформа | Платформа, на которой произошло действие. Например, Windows. |
| DeviceName | Устройство, на которое было записано событие. |
| ProductVersion | Версия клиента Azure Information Protection, выполняющего действие аудита. |
| UserId | Имя участника-пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name. Примечание. Также включаются записи о действиях, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, — app@sharepoint. Это означает, что "пользователь", выполнивший действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий на уровне организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. |
| ClientIP | IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для Azure событий, связанных с Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. IP-адрес отображается в формате адреса IPv4 или IPv6. |
| Id | GUID текущей записи. |
| RecordType | Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP. |
| CreationTime | Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита. |
| Operation | Название действия пользователя или администратора. Описание наиболее распространенных операций и действий см. в разделе Поиск в журнале аудита. |
| OrganizationId | GUID клиента Office 365 вашей организации. Это значение всегда одинаково для вашей организации, независимо от Office 365 службы, в которой оно встречается. |
| UserType | Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType. 0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive и Exchange. |
| Workload | Хранит службу Office 365, в которой произошло действие. |
| Версия | Версия клиента Azure Information Protection, выполняющего действие аудита |
| Scope | Указывает область. |
AipFileDeleted
| Событие | Описание |
|---|---|
| PSComputerName | Имя компьютера |
| RunspaceId | Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки. |
| PSShowComputerName | Значение false для документированного, измененного в Office 365. |
| RecordType | Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP. Дополнительные сведения см. в полном списке типов записей. |
| CreationTime | Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита. |
| UserId | Имя участника-пользователя (UPN) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи. Например, my_name@my_domain_name. Примечание. Также включаются записи о действиях, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, — app@sharepoint. Это значение указывает, что "пользователь", выполнивший действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий в масштабах организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. |
| Operation | Тип операции для журнала аудита. Название действия пользователя или администратора. Описание наиболее распространенных операций и действий. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Удостоверение | Удостоверение пользователя или службы, для проверки подлинности. |
| ObjectState | Состояние объекта после текущего события. |
| ApplicationId | Приложение, в котором произошло действие и отображается в GUID. |
| ApplicationName | Понятное имя приложения, выполняющего операцию. Outlook (для электронной почты), OWA (для электронной почты), Word (для файла), Excel (для файла), PowerPoint (для файла). |
| ProcessName | Имя процесса приложения Office. |
| Платформа | Платформа, на которой произошло действие. Например, Windows. |
| DeviceName | Устройство, на которое было записано событие. |
| ProductVersion | Версия клиента Azure Information Protection, выполняющего действие аудита. |
| UserId | Имя участника-пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name. Примечание. Также включаются записи о действиях, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, — app@sharepoint. Это значение указывает, что "пользователь", выполнивший действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабах организации (например, поиска на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. |
| ClientIP | IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для Azure событий, связанных с Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. IP-адрес отображается в формате адреса IPv4 или IPv6. |
| Id | GUID текущей записи. |
| RecordType | Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP. |
| CreationTime | Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита. |
| Operation | Название действия пользователя или администратора. Описание наиболее распространенных операций и действий см. в разделе Поиск в журнале аудита. |
| OrganizationId | GUID клиента Office 365 вашей организации. Это значение всегда одинаково для вашей организации, независимо от Office 365 службы, в которой оно встречается. |
| UserType | Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType. 0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive и Exchange. |
| Workload | Хранит службу Office 365, в которой произошло действие. |
| Версия | Версия клиента Azure Information Protection, выполняющего действие аудита |
| Scope | Указывает область. |
AipHeartBeat
В следующей таблице содержатся сведения, связанные с событиями пульса AIP.
| Событие | Описание |
|---|---|
| ApplicationId | Соответствует идентификатору приложения Microsoft Entra. |
| ApplicationName | Понятное имя приложения, выполняющего операцию. |
| CreationDate | Дата и время в формате UTC в формате ISO8601, когда пользователь выполнил действие. |
| DataState | Указывает состояние данных. |
| DeviceName | Имя устройства пользователя. |
| Удостоверение | Удостоверение пользователя или службы, для проверки подлинности. |
| IsProtected | Защищено ли: True или False |
| IsProtectedBefore | Было ли содержимое защищено перед изменением: True/False |
| IsValid | Логический |
| Расположение | Расположение документа относительно устройства пользователя. Возможные значения: unknown, localMedia, removableMedia, fileshare и cloud. |
| ObjectState | Указывает состояние объекта . |
| Operation | Тип операции для журнала аудита. Название действия пользователя или администратора. |
| PSComputerName | Имя компьютера |
| PSShowComputerName | Значение False для документированных, отредактированных в Office 365. |
| Платформа | Платформа устройств (Win, OSX, Android, iOS). |
| ProcessName | Процесс, в котором размещается пакет SDK для MIP. |
| ProductVersion | Версия клиента Azure Information Protection, выполняющего действие аудита. |
| ProtectionType | Тип защиты может быть шаблонным или нерегламентированным. |
| RecordType | Показывает значение действия метки. Тип операции, указанный записью. Дополнительные сведения см. в полном списке типов записей. |
| RunspaceId | Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки. |
| SensitiveInfoTypeData | Хранит тип данных типа конфиденциальной информации. |
| TemplateId | Параметр TemplateID для получения определенного шаблона. Командлет Get-AipServiceTemplate получает все существующие или выбранные шаблоны защиты из Azure Information Protection. |
| UserId | Имя участника-пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name.
Примечание. Также включаются записи о действиях, выполняемых системными учетными записями (например, SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, — app@sharepoint. Это значение указывает, что "пользователь", выполнивший действие, был приложением, которое имеет необходимые разрешения в SharePoint для выполнения действий в масштабах организации (например, поиска на сайте SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. |
| UserType | Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType. 0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполняемых пользователями в SharePoint, OneDrive и Exchange. |
Сложный тип MicrosoftGraphDataConnectConsent
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ApplicationId | Edm.Guid | Да | Идентификация приложения. |
| ApplicationVersion | Edm.String | Да | Версия приложения. |
| AppRegistrationTenantId | Edm.Guid | Да | Идентификатор клиента регистрации приложения. |
| Утверждающий | Edm.String | Да | Имя участника-пользователя утверждающего. |
| ApprovalUpdatedDateInUTC | Edm.Date | Да | Время обновления в формате UTC. |
| ApprovalExpiryDateInUTC | Edm.Date | Да | Время окончания срока действия в формате UTC. |
| ApprovalValidDays | Edm.Int32 | Да | Количество дней с момента обновления, для которого утверждение является допустимым. |
| DestinationSinks | Edm.String | Да | Приемники назначения. |
| DestinationTenantId | Edm.Guid | Да | Идентификатор целевого клиента. |
| Reason | Edm.String | Нет | Причина, указанная администратором, выполнившим операцию. |
| Состояние | Edm.String | Да | Состояние согласия. |
| Наборы данных | CollectionSelf. MGDCDataset | Да | Сведения о наборах данных, на которые было предоставлено согласие в рамках этой операции. |
Сложный тип MGDCDataset
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| DatasetName | Edm.String | Да | Имя набора данных в операции согласия. |
| DatasetColumns | Edm.String | Да | Список столбцов для набора данных в операции согласия. |
| DenyGroups | Edm.String | Нет | Список запрещенных групп для набора данных в операции согласия. |
| Scope | Edm.String | Да | Типы область для набора данных в операции согласия. Возможные значения: All, List и FilterUri. |
| ScopeFiltersUris | Edm.String | Нет | URI фильтра область для набора данных в операции согласия. |
| ScopeList | Edm.String | Нет | Список групп область для набора данных в операции согласия. |
| PrivacyPolicyType | Edm.String | Да | Типы политики конфиденциальности для набора данных в операции согласия. Возможные значения: None и DenyList. |
Схема Viva Glint
События Viva Glint , возвращаемые при поиске по журналам аудита , используют эту схему (а также общую схему).
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ClientUUID | Edm.String | Y | UUID клиента экземпляра Viva Glint. |
| Importtype | Edm.String | N | Тип источника импорта данных. |
| DataDSRControl | Edm.String | N | Этот элемент управления на платформе Определяет, удаляются ли данные опроса при удалении пользователя с платформы Viva Glint. |
| ОтменитьEmployeeIds | Edm.String | N | Этот элемент управления на платформе Viva Glint указывает, не учитываются ли идентификаторы сотрудников, ранее удаляемых сотрудников. |
| JobName | Edm.String | N | Имя выполняемого задания приложения данных Glint. |
| ExtendedCompletionDate | Edm.Date | N | Новая дата продления закрытого цикла обследования. |
| FeedBackComponentName | Edm.String | N | Имя определенного компонента в программе обратной связи 360. |
схема Viva Goals
Viva Goals события, возвращаемые при поиске по журналам аудита, используют эту схему (а также общую схему).
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Detail (Сведения) | Edm.String | Нет | Описание события или действия, которое произошло в Viva Goals. |
| Username | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет | Имя пользователя, активировавшего событие. |
| UserRole | Edm.String | Нет | Роль пользователя, активировавшего это событие в Viva Goals. Это значение указывает, является ли пользователь администратором организации или владельцем. |
| OrganizationName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет | Имя организации в Viva Goals, где было активировано событие. |
| OrganizationOwner | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет | Владелец организации в Viva Goals, где произошло событие. |
| ОрганизацияАдминии | Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет | Администраторы организации в Viva Goals, где произошло событие. В организации может быть один или несколько администраторов. |
| UserAgent | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет | Агент пользователя (сведения о браузере) пользователя, активировавшего событие. UserAgent может не присутствовать в случае сгенерированного системой события. |
| ModifiedFields | Collection(Common.NameValuePair) | Нет | Список атрибутов, которые были изменены вместе с новыми и старыми значениями, выходными в виде JSON. |
| ItemDetails | Collection(Common.NameValuePair) | Нет | Дополнительные свойства объекта, который был изменен. |
схема Планировщик (Майкрософт)
Планировщик (Майкрософт) события, возвращаемые при поиске по журналам аудита, используют эту схему.
Планировщик (Майкрософт) перезаписывает определение ObjectId и ResultStatus в общей схеме. Определение ObjectId Планировщик (Майкрософт) привязано к типу записей каждого Планировщик (Майкрософт) и проиллюстрировано отдельно.
ResultStatus Планировщик (Майкрософт) определяется следующим образом.
Перечисление: ResultStatus — Тип: Edm.Int32
ResultStatus
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | Успешно | Запрос пользователя выполнен успешно. |
| 2 | Сбоя | Сбой запроса пользователя по причинам, отличным от авторизации. |
| 3 | AuthorizationFailure | Пользователь, запрошенный, завершился сбоем из-за сбоя авторизации. |
Планировщик (Майкрософт) расширяет общую схему следующими типами записей.
Тип записи PlannerGoal
| Свойства | Тип | Описание |
|---|---|---|
| ObjectId | Edm.String | Идентификатор запрошенной цели. |
| PlanId | Edm.String | Идентификатор плана, содержащего цель. |
Тип записи PlannerPlan
| Свойства | Тип | Описание |
|---|---|---|
| ObjectId | Edm.String | Идентификатор запрошенного плана. |
| ContainerType | Самостоятельно. ContainerType | Тип контейнера, связанного с планом. |
| ContainerId | Edm.String | Идентификатор контейнера, связанного с планом. |
| SharedWithContainerId | Edm.String | Идентификатор контейнера с общим доступом к плану. |
| SharedWithContainerType | Самостоятельно. ContainerType | Тип контейнера с общим доступом к плану. |
| SharedWithContainerAccessLevel | Самостоятельно. PlanAccessLevel | Уровень доступа, предоставленный контейнеру с общим доступом к плану. |
Перечисление: ContainerType — Type Edm.Int32
ContainerType
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Invalid | Используется, когда запрошенный план не найден. |
| 2 | Группа | План связан с группой Microsoft 3365. |
| 3 | TeamsConversation | План связан с беседой Teams. |
| 4 | OfficeDocument | План связан с документом Office. |
| 5 | Реестр | План связан с группой реестра. |
| 6 | Project | План создается из Microsoft Project. |
| 7 | Пользователь | План связан с пользователем. |
| 8 | TeamsChannel | План связан с каналом Teams. |
| 10 | PlannerTask | План связан с задачей Планировщика. |
Перечисление: PlanAccessLevel — тип Edm.Int32
PlanAccessLevel
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | ReadAccess | Доступ к плану чтения. |
| 2 | ReadWriteAccess | Доступ к чтению и записи в plan. |
| 3 | FullAccess | Доступ к чтению, записи и настройке плана. |
Тип записи PlannerCopyPlan
| Свойства | Тип | Описание |
|---|---|---|
| ObjectId | Edm.String | Идентификатор копируемого плана. |
| OriginalPlanId | Edm.String | Идентификатор копируемого плана. То же, что и ObjectId. |
| OriginalContainerType | Самостоятельно. ContainerType | Тип контейнера, связанного с исходным планом. |
| OriginalContainerId | Edm.String | Идентификатор контейнера, связанного с исходным планом. |
| NewPlanId | Edm.String | Идентификатор нового плана. Значение NULL при сбое операции. |
| NewContainerType | Самостоятельно. ContainerType | Тип контейнера, связанного с новым планом. |
| NewContainerId | Edm.String | Идентификатор контейнера, связанного с новым планом. |
Тип записи PlannerTask
| Свойства | Тип | Описание |
|---|---|---|
| ObjectId | Edm.String | Идентификатор запрошенной задачи. |
| PlanId | Edm.String | Идентификатор плана, содержащего задачу. |
Тип записи PlannerRoster
| Свойства | Тип | Описание |
|---|---|---|
| ObjectId | Edm.String | Идентификатор запрошенного списка. |
| MemberIds | Edm.String | Разделенная запятыми строка идентификаторов элементов, измененная на список. |
Тип записи PlannerGoalList
| Свойства | Тип | Описание |
|---|---|---|
| ObjectId | Edm.String | Представление запроса представления для списка целей. |
| Список целей | Edm.String | Строка, разделенная запятыми, запрашиваемых идентификаторов целей. |
Тип записи PlannerPlanList
| Свойства | Тип | Описание |
|---|---|---|
| ObjectId | Edm.String | Представление запроса представления для списка планов. |
| PlanList | Edm.String | Строка, разделенная запятыми, запрашиваемых идентификаторов планов. |
Тип записи PlannerTaskList
| Свойства | Тип | Описание |
|---|---|---|
| ObjectId | Edm.String | Представление запроса представления для списка задач. |
| Tasklist | Edm.String | Строка, разделенная запятыми, запрашиваемых идентификаторов задач. |
Тип записи PlannerTenantSettings
| Свойства | Тип | Описание |
|---|---|---|
| ObjectId | Edm.String | Исходные параметры клиента в ФОРМАТЕ JSON. |
| TenantSettings | Edm.String | Новые параметры клиента в ФОРМАТЕ JSON. |
Тип записи PlannerRosterSensitivityLabel
| Свойства | Тип | Описание |
|---|---|---|
| ObjectId | Edm.String | Идентификатор метки конфиденциальности. Значение NULL при удалении метки конфиденциальности. |
| Реестр | Edm.String | Идентификатор списка, в котором изменяется метка конфиденциальности. |
| AssignmentMethod | Самостоятельно. SensitivityLabelAssignmentMethod | Метод назначения метки конфиденциальности. |
Перечисление: SensitivityLabelAssignmentMethod — тип Edm.Int32
SensitivityLabelAssignmentMethod
| Значение | Имя элемента | Описание |
|---|---|---|
| 0 | Стандартный | Метка конфиденциальности применяется автоматически, но не допускается переопределение назначения привилегированных меток. |
| 1 | Привилегированных | Метка конфиденциальности применяется вручную пользователем или администратором. |
| 2 | Auto | Метка конфиденциальности применяется автоматически и может переопределять назначение привилегированной метки. |
Схема Microsoft Project в Интернете
Microsoft Project для Интернета расширяет общую схему следующими типами записей.
Тип записи ProjectForThewebProject
| Свойства | Тип | Обязательный? | Описание |
|---|---|---|---|
| ProjectId | Edm.Guid | Нет | Идентификатор проверяемого проекта. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Нет | Дополнительные сведения. |
Тип записи ProjectForThewebTask
| Свойства | Тип | Обязательный? | Описание |
|---|---|---|---|
| ProjectId | Edm.Guid | Да | Идентификатор проверяемого проекта. |
| TaskId | Edm.Guid | Да | Идентификатор проверяемой задачи. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Нет | Дополнительные сведения. |
Тип записи ProjectForThewebRoadmap
| Свойства | Тип | Обязательный? | Описание |
|---|---|---|---|
| Идентификатор дорожной карты | Edm.Guid | Да | Идентификатор проверяемой дорожной карты. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Нет | Дополнительные сведения. |
Тип записи ProjectForThewebRoadmapItem
| Свойства | Тип | Обязательный? | Описание |
|---|---|---|---|
| RoadmapItemId | Edm.Guid | Да | Идентификатор проверяемого элемента дорожной карты. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Нет | Дополнительные сведения. |
Complex Type AdditionalInfo
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| EnvironmentName | Edm.String | Нет | Идентификатор среды, в которой было выполнено действие. |
Тип записи ProjectForThewebProjectSetting
| Свойства | Тип | Обязательный? | Описание |
|---|---|---|---|
| ProjectEnabled | Edm.Boolean | Да | Значение, заданное для Project в Интернете (1 = включено, 0 отключено). |
Тип записи ProjectForThewebRoadmapSetting
| Свойства | Тип | Обязательный? | Описание |
|---|---|---|---|
| Дорожная картаEnabled | Edm.Boolean | Да | Значение, заданное для дорожной карты (1 = включено, 0 отключено). |
Тип записи ProjectForThewebAssignedToMeSetting
| Свойства | Тип | Обязательный? | Описание |
|---|---|---|---|
| AssignedToMeEnabled | Edm.Boolean | Да | Значение, заданное для AssignedToMe (1 = включено, 0 отключено). |
Схема Viva Pulse
События Viva pulse , возвращаемые при поиске по журналам аудита, используют эту схему (а также общую схему).
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| EventName | Edm.String | Нет | Описание события или действия, которое произошло в Viva Pulse. |
| PulseId | Edm.String | Нет | Идентификатор пульсового обследования. |
| EventDetails | Collection(Common.NameValuePair) | Нет | Дополнительные свойства события. |
Некоторые события VivaPulse записывают различные свойства в EventDetails. Каждое свойство, записанное в EventDetail, описано в таблице.
| EventName | PropertName | Описание |
|---|---|---|
| PulseReportShare | Recipients | Список идентификаторов получателей, которым предоставлен общий доступ к опросу пульса. |
| PulseCreate | Recipients | Список идентификаторов пользователей, которые являются участниками указанного опроса пульса. |
| PulseInvite | Recipients | Список идентификаторов пользователей, которые дополнительно приглашены на пульс. |
| PulseTenantSettingsUpdate | TenantSettingName | Изменено имя параметров. |
| PulseSubmit | Неприменимо | Это событие не записывает свойства в EventDetails. |
| PulseExtendDeadline | Неприменимо | Это событие не записывает свойства в EventDetails. |
| PulseCancel | Неприменимо | Это событие не записывает свойства в EventDetails. |
| PulseCreateDraft | Неприменимо | Это событие не записывает свойства в EventDetails. |
| PulseDeleteDraft | Неприменимо | Это событие не записывает свойства в EventDetails. |
| PulseDeleteUserData | Неприменимо | Это событие не записывает свойства в EventDetails. |
| PulseQuestionDeleted | Неприменимо | Это событие не записывает свойства в EventDetails. |
| PulseDataExport | ExportType,ExportCompletedDate | ExportType указывает, является ли экспорт данных экспортом на уровне Администратор или на уровне автора. ExportCompletedDate указывает, когда экспорт данных был завершен. |
| PulseConfidentialConversationStarted | Неприменимо | Это событие не записывает свойства в EventDetails. |
| PulseConfidentialConversationResponded | Неприменимо | Это событие не записывает свойства в EventDetails. |
| PulseConfidentialConversationMessageDeleted | Неприменимо | Это событие не записывает свойства в EventDetails. |
Схема диспетчера соответствия требованиям
События диспетчера соответствия требованиям , возвращаемые при поиске по журналам аудита , используют эту схему (а также общую схему).
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Details | Collection(SettingsChange) | Нет | Описание события, которое произошло для диспетчера соответствия требованиям Microsoft Purview. |
Значения, принятые параметрамиИзменение свойств в разделе Сведения о различных операциях, описаны в таблице ниже.
| Operation | PropertyName | Описание |
|---|---|---|
| Все операции | Имя | Имя параметра, участвующего в операции диспетчера соответствия требованиям. |
| Все операции | NewValue | Новое значение для новых параметров. |
| Все операции | OriginalValue | Исходное значение для нового параметра. |
Примечание.
- Для изменения роли имя — это тип роли.
- Запись аудита отражает изменение события, например, когда пользователю назначена роль или отозвана роль.
- Исходное и новое значение имеют сообщения электронной почты пользователя, для которого была изменена роль.
- Если роль не изменена, этот тип роли отсутствует в записи аудита.
Схема политики резервного копирования
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| PolicyID | Edm.String | Да | Идентификатор политики. |
| EditMethodology | Edm.String | Нет | Как была создана или изменена политика. |
| CountOfArtifactsBeingAdded | Edm.Int32 | Нет | Количество добавляемых артефактов. |
| CountOfArtifactsBeingRemoved | Edm.Int32 | Нет | Количество удаляемых артефактов. |
| ServiceType | Edm.String | Нет | Будь то политика SharePoint, Exchange или OneDriveForBusiness. |
Восстановление схемы задачи
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| TaskID | Edm.String | Да | Идентификатор задачи восстановления. |
| CreationMethodology | Edm.String | Нет | Как была создана или изменена задача восстановления. |
| CountOfArtifactsBeingAdded | Edm.Int32 | Нет | Количество добавляемых артефактов. |
| CountOfArtifactsBeingRemoved | Edm.Int32 | Нет | Количество удаляемых артефактов. |
| ServiceType | Edm.String | Нет | Будь то политика SharePoint, Exchange или OneDriveForBusiness. |
Схема элемента восстановления
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| RestoreTime | Edm.DateTime | Да | Время восстановления элемента. |
| RestoreLocationType | Edm.String | Да | Тип расположения, в которое восстанавливается элемент. |
| RestoreLocation | Edm.String | Нет | Расположение, в которое восстанавливается элемент. |
| TaskID | Edm.String | Да | Идентификатор задачи восстановления. |
| BackupItemID | Edm.String | Да | Идентификатор восстанавливаемого элемента резервной копии. |
| ProtectionUnitID | Edm.String | Да | Идентификатор единицы защиты восстанавливаемого элемента. |
| SuccessStatus | Edm.String | Нет | Была ли операция восстановления успешной. |
| BackupItemType | Edm.String | Да | Указывает, является ли элемент резервной копии сайтом, учетной записью или почтовым ящиком. |
| ServiceType | Edm.String | Нет | Будь то политика SharePoint, Exchange или OneDriveForBusiness. |
Схема элемента резервного копирования
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| PolicyID | Edm.String | Да | Идентификатор политики политики, в который добавляется элемент. |
| ItemID | Edm.String | Да | Идентификатор элемента резервной копии. |
| ProtectionUnitID | Edm.String | Да | Идентификатор единицы защиты элемента, для которого создается резервная копия. |
| ResultStatus | Edm.String | Нет | Была ли операция восстановления успешной. |
| BackupItemType | Edm.String | Да | Указывает, является ли элемент резервной копии сайтом, учетной записью или почтовым ящиком. |
| EditMethodology | Edm.String | Нет | Способ добавления элемента резервной копии. |
| ServiceType | Edm.String | Нет | Будь то политика SharePoint, Exchange или OneDriveForBusiness. |
Схема службы "Облачная политика"
Записи аудита для событий, связанных со службой облачной политики , расширяют общую схему следующим образом:
PolicyConfigChangeAuditRecord
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ConfigId | Edm.String | Нет | Идентификатор конфигурации политики |
| ConfigName | Edm.String | Нет | Заданное имя конфигурации политики |
| Описание | Edm.String | Нет | Описание, предоставленное для настройки политики |
| ConfigScope | Самостоятельно. CPSScope | Нет | Область настройки политики |
| Группы | Collection(Common.NameValuePair) | Нет | Список настроенных групп |
| Priority | Edm.Int32 | Нет | Значение приоритета конфигурации политики |
| Политики | Collection(Self.Политика) | Нет | Список настроенных параметров политики |
| Приоритеты | Collection(Self.PrioritySetting) | Нет | Список конфигураций политик и их значений приоритета |
Перечисление: CPSScope — Тип: Edm.Int32
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | Tenant | Конфигурация политики ограничена всеми пользователями в клиенте. |
| 2 | Анонимный | Конфигурация политики ограничена анонимными пользователями. |
| 3 | Пользователь | Конфигурация политики ограничена пользователями в настроенных Microsoft Entra группах. |
Политика сложных типов
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| PolicyId | Edm.String | Нет | Идентификатор параметра политики |
| PolicyName | Edm.String | Нет | Название параметра политики |
| Value | Edm.String | Нет | Настроенное значение параметра политики |
| Параметры | Collection(Self.Параметр) | Нет | Настроенный параметр |
Сложный тип
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| SettingId | Edm.String | Нет | Идентификатор параметра |
| SettingName | Edm.String | Нет | Имя параметра |
| Value | Edm.String | Нет | Настроенное значение параметра |
Сложный тип PrioritySetting
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ConfigId | Edm.String | Нет | Идентификатор конфигурации политики |
| ConfigName | Edm.String | Нет | Заданное имя конфигурации политики |
| Value | Edm.String | Нет | Настроенный приоритет конфигурации политики |
Схема конфигурации профиля обновления облака
События, связанные с конфигурацией профиля облачного обновления , расширяют общую схему следующими типами записей.
CloudUpdateProfileConfigAuditRecord
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ProfileName | Edm.String | Да | Имя профиля |
| ProfileState | Самостоятельно. ProfileState | Нет | Состояние профиля |
| Deadline | Edm.Int32 | Нет | Настроенный крайний срок |
| UpdateValidationState | Самостоятельно. UpdateValidationState | Нет | Состояние проверки обновлений |
| Волны | Collection(Self.Волна) | Нет | Коллекция, содержащая настроенные волны |
| WaveDelay | Edm.Int32 | Нет | Установка задержки между волнами |
Перечисление: ProfileState — Тип: Edm.Int32
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | Включена | Профиль включен и активен. |
| 2 | Отключена | Профиль отключен. |
| 3 | Приостановлено | Профиль включен, но в приостановленном состоянии. |
Перечисление: UpdateValidationState — Тип: Edm.Int32
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | Включена | Проверка обновлений включена. |
| 2 | Отключена | Проверка обновлений отключена. |
Сложный тип волны
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Имя | Edm.String | Нет | Имя волны |
| Тип | Самостоятельно. WaveType | Нет | Волна, заданная администратором, или автоматический перехват всех волн |
| Группы | Collection(Common.NameValuePair) | Нет | Коллекция групп, настроенных для этой волны |
Перечисление: WaveType - Тип: Edm.Int32
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | Группы | Волна была настроена администратором с помощью групп. |
| 2 | Остальныеустройства | Автоматически создается волна, которая включает все устройства в область профиля, которые не охвачены предыдущими волнами. |
Схема конфигурации клиента обновления облака
События, связанные с конфигурацией клиента Cloud Update , расширяют общую схему следующими типами записей.
CloudUpdateTenantConfigAuditRecord
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ProfileExclusionWindows | Collection(Self.ExclusionWindow) | Нет | Коллекция настроенных окон исключения |
| Список исключений | Collection(Common.NameValuePair) | Нет | Коллекция настроенных исключений |
| ТАК | Edm.String | Нет | Ключ ассоциации клиента |
Исключение сложного типаWindow
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Имя | Edm.String | Нет | Заданное имя окна исключения |
| StartDate | Edm.Date | Нет | Дата начала окна исключения |
| EndDate | Edm.Date | Нет | Дата окончания окон исключения |
| Группы | Collection(Common.NameValuePair) | Нет | Коллекция групп, на которые распространяется окно исключения |
Схема устройства для обновления облака
События, связанные с устройством Cloud Update , расширяют общую схему следующими типами записей.
CloudUpdateDeviceConfigAuditRecord
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| RollbackDevices | Самостоятельно. Отката | Нет | Откаты активируются |
| ChannelChangeDevices | Самостоятельно. ChannelChange | Нет | Изменения канала активируются |
Откат сложного типа
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| RollbackType | Самостоятельно. RollbackType | Нет | Тип отката |
| RollbackBuildNumber | Edm.String | Нет | Целевой номер сборки для отката |
| Устройства | Collection(Edm.String) | Нет | Коллекция устройств, предназначенных для отката |
Перечисление: RollbackType — Тип: Edm.Int32
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | SpecificDevices | Откат предназначен для определенного подмножества устройств. |
| 2 | ВсеУстройства | Откат предназначен для всех устройств в область профиля. |
Сложный тип ChannelChange
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ChannelChange | Самостоятельно. Канал | Нет | Целевой канал обновления |
| Устройства | Collection(Edm.String) | Нет | Коллекция целевых устройств |
| Группы | Collection(Common.NameValuePair) | Нет | Коллекция целевых групп |
Перечисление: Channel — Тип: Edm.Int32
| Значение | Имя элемента | Описание |
|---|---|---|
| 1 | MonthlyEnterpriseChannel | Ежемесячный канал (корпоративный) |
| 2 | CurrentChannel | Актуальный канал |
Схема обнаружения рисков Microsoft Entra
Microsoft Entra события обнаружения рисков, возвращаемые при поиске по журналам аудита, используют эту схему (а также общую схему).
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Действие | Edm.String | Нет | Тип действия, для которого был обнаружен риск. |
| ActivityDateTime | Edm.Date | Нет | Дата и время в формате UTC, когда произошло рискованное действие. |
| AdditionalInfo | Edm.String | Нет | Дополнительные сведения об обнаруженном риске в формате JSON. |
| CorrelationId | Edm.String | Нет | Идентификатор, который может использоваться для корреляции действий входа, связанных с обнаружением риска. |
| DetectedDateTime | Edm.Date | Нет | Дата и время в формате UTC, когда был обнаружен риск. |
| DetectionTimingType | Edm.String | Нет | Указывает тип времени обнаруженного риска. Возможные значения: в режиме реального времени или в автономном режиме. |
| LastUpdatedDateTime | Edm.Date | Нет | Дата и время в формате UTC, когда последнее обновление обнаружения рисков. |
| Расположение | Самостоятельно. LocationType | Нет | Сведения о расположении, из которого было обнаружено действие входа. |
| RequestId | Edm.String | Нет | Указывает идентификатор запроса действия входа, для которого был обнаружен риск. Если обнаружение рисков не связано с вхожением, это свойство имеет значение NULL. |
| RiskDetail | Edm.String | Нет | Сведения об обнаружении риска. |
| RiskEventType | Edm.String | Нет | Тип события, для которого был обнаружен риск. |
| RiskId | Edm.String | Нет | Уникальный идентификатор для обнаружения рисков. |
| RiskLevel | Edm.String | Нет | Уровень обнаруженного риска. |
| RiskState | Edm.String | Нет | Состояние риска пользователя, подверженного риску, или входа, связанного с обнаружением риска. |
| Source | Edm.String | Нет | Источник обнаруженного риска. |
| TokenIssuerType | Edm.String | Нет | Тип издателя маркера для входа, связанного с обнаружением риска. |
| UserDisplayName | Edm.String | Нет | Имя участника-пользователя (UPN) пользователя, для которого обнаружен риск. |
Сложный тип LocationType
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Город | Edm.String | Нет | Город, в котором был выполнен вход. |
| CountryOrRegion | Edm.String | Нет | Страна или регион, в которых был выполнен вход. |
| GeoCoordinates | Самостоятельно. GeoCoordinatesType | Нет | Географические координаты расположения, в котором был выполнен вход. |
| Состояние | Edm.String | Нет | Состояние, в котором выполнен вход. |
Сложный тип GeoCoordinatesType
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| Altitude | Edm.String | Нет | Высота расположения, где был выполнен вход. |
| Latitude | Edm.String | Нет | Широта расположения, в котором выполнен вход. |
| Longitude | Edm.String | Нет | Долгота расположения, в котором был выполнен вход. |
Схема Microsoft Edge WebContentFiltering
События Microsoft Edge WebContentFiltering, возвращаемые при поиске по журналам аудита , используют эту схему (а также общую схему).
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| URLPath | Edm.String | Да | URL-адрес, который был просмотрена. |
| DomainURL | Edm.String | Да | URL-адрес домена, который был просмотрован. |
| Category | Edm.String | Да | Категория url-адреса для просмотра. |
Microsoft 365 Copilot схему запланированного запроса
Microsoft 365 Copilot запланированные события запроса, возвращаемые при поиске по журналам аудита, используют эту схему (а также общую схему).
Запланированные запросы Copilot позволяют пользователям автоматизировать запросы Copilot, чтобы они запускались по определенному расписанию в Microsoft 365 Copilot Chat.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| ScenarioType | Edm.String | Да | Имя автоматизации. |
| PromptText | Edm.String | Нет | Запрос Copilot, выполняемый LLM. |
| Automationid | Edm.String | Да | Уникальный идентификатор, который сопоставляет все действия, связанные с каждым запуском запрос Copilot. |
| TriggerMode | Edm.String | Нет | Расписание выполнения запрос Copilot, показанное в формате cron. |
Схема каталога Microsoft Places
Microsoft Places события каталога, возвращаемые при поиске по журналам аудита, используют эту схему (а также общую схему).
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| PlaceType | Edm.String | Нет | Тип элемента размещения, который создается, обновляется или удаляется запросом. Например, "Здание", "Комната", "Стол" и т. д. |
| Параметры | Collection(Common.NameValuePair) | Нет | Имя и значения всех параметров, которые использовались с командлетом, указанным в свойстве Operations. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Нет | Оно включает имя и новое значение измененного свойства, а также предыдущее значение измененного объекта. |
схема Microsoft Sentinel озера данных и графа
Следующие Microsoft Sentinel события, возвращаемые при поиске по журналам аудита, используют эти схемы (а также общую схему).
SentinelNotebookOnLake
Сведения о действиях в журнале аудита см. в разделе действия Microsoft Sentinel записных книжек озера данных.
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| EventTime | Edm.Date | Да | Метка времени отправки или запуска выполнения записной книжки Spark. |
| Вычисления | Edm.String | Нет | Выбрано вычисление. |
| DatabaseName | Edm.String | Нет | Рабочая область, в которой выполнялась команда. |
| TableName | Edm.String | Нет | Имя таблицы. |
| SessionDurationInSecs | Edm.String | Да | Общая длительность сеанса. |
| SessionStartTime | Edm.Date | Нет | Время начала сеанса. |
| SessionEndTime | Edm.Date | Нет | Время окончания сеанса. |
| KernalId | Edm.Guid | Да | Jupyter KernelId, уникально идентифицирует сеанс записной книжки. |
| SessionId | Edm.Guid | Нет | Идентификатор корреляции для различных блоков кода, выполняемых с помощью сеанса Spark. |
| Интерфейс | Edm.String | Да | Интерфейс, из которого была запущена записная книжка. |
SentinelJob
Сведения о действиях в журнале аудита см. в разделе действия заданий Microsoft Sentinel озера данных.
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| EventTime | Edm.Date | Да | Метка времени, когда была инициирована операция в задании. |
| Operation | Edm.String | Да | Имя операции задания. |
| Тип задания | Edm.String | Да | Тип задания, например Записная книжка, KQL. |
| Идентификатор задания | Edm.Guid | Да | Уникальный идентификатор задания. |
| Имя задания | Edm.String | Да | Имя задания. |
| Вычисления | Edm.String | Нет | Вычислительная конфигурация задания. |
| Расписание | Edm.String | Нет | Сведения о расписании, если они настроены для задания. |
| Идентификатор запуска | Edm.Guid | Нет | Идентификатор конкретного экземпляра запуска задания. |
| JobRunStatus | Edm.String | Нет | Состояние выполнения задания. |
| Журналы | Edm.String | Нет | Журналы из записной книжки запускаются. |
| JobExecutionDurationInSecs | Edm.Int64 | Нет | Время, затраченное на выполнение задания. |
| JobTotalDurationInSecs | Edm.Int64 | Нет | Общая продолжительность операции задания, включая сеанс. |
| JobStartTime | Edm.Date | Нет | Время начала задания. |
| JobEndTime | Edm.Date | Нет | Время окончания задания. |
| Интерфейс | Edm.String | Да | Интерфейс, в котором выполнялась операция задания. |
| Базы данныхRead | Collection(Edm.String) | Нет | Список рабочих областей, считываемых заданием. |
| DatabasesWrite | Collection(Edm.String) | Нет | Список рабочих областей, записанных заданием |
| ТаблицыЧитать | Collection(Edm.String) | Нет | Список таблиц, считываемых заданием. |
| TablesWrite | Collection(Edm.String) | Нет | Список таблиц, записанных заданием. |
| Запрос | Edm.String | Нет | KQL-запрос или записная книжка, выполненные в задании. |
SentinelKQLOnLake
Сведения о действиях в журнале аудита см. в разделе действия Microsoft Sentinel озера данных KQL.
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| EventTime | Edm.Date | Да | Метка времени выполнения запроса KQL. |
| DatabaseName | Collection(Edm.String) | Да | Рабочие области, в которые выполнялся запрос KQL. |
| ResultTableCount | Edm.Int64 | Нет | Число выходных таблиц. |
| QueryResponse | Edm.String | Да | Ответ от выполнения запроса KQL. |
| TotalRows | Collection(Edm.Int64) | Да | Общее количество строк, возвращенных при выполнении запроса. Список значений, если одновременно выполнено несколько запросов. |
| ComponentFault | Edm.String | Нет | Сущность, которая вызвала сбой запроса. Например, если результат запроса слишком велик, параметр ComponentFault имеет значение Client. Если произошла внутренняя ошибка, параметр ComponentFault имеет значение "Server". |
| FailureReason | Edm.String | Нет | Если запрос KQL завершился сбоем, причина сбоя. |
| ExecutionDuration | Edm.Int64 | Да | Время выполнения запроса в миллисекундах. |
| TotalCPU | Edm.Int64 | Да | Общая длительность выполнения ЦП. |
| MemoryPeak | Edm.Int64 | Да | Пик памяти выполнения запроса KQL. |
| Интерфейс | Edm.String | Да | Интерфейс, из которого был выполнен запрос KQL. |
| ТаблицыЧитать | Collection(Edm.String) | Да | Список таблиц, считываемых в запросе KQL. |
| QueryText | Edm.String | Да | Запрос KQL, выполненный в стираемой форме. |
SentinelLakeOnboarding
Сведения о действиях в журнале аудита см. в разделе Microsoft Sentinel действия по подключению озера данных.
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| BillingAzureSubscriptionId | Edm.String | Нет | Azure подписка, выбранная для выставления счетов Sentinel озера данных. |
| BillingAzureResourceGroupName | Edm.String | Нет | Azure группа ресурсов, выбранная для выставления счетов Sentinel озера данных. |
| Идентификатор клиента | Edm.String | Нет | Идентификатор клиента, связанный с настройкой или обновлением озера. |
| ProvisioningStatus | Edm.String | Нет | Состояние подготовки озера. |
SentinelLakeDataOnboarding
| Имя свойства | Тип | Обязательный? | Описание |
|---|---|---|---|
| DataOnboardingAtSetup | Edm.String | Нет | Наборы данных, которые были загружены во время подключения Sentinel озера данных. |
| Таблицы | Collection(Edm.String) | Нет | Список имен таблиц, которые были загружены во время подключения Sentinel озера данных. |
| ПодпискиEnabled | Collection(Edm.String) | Нет | Список подписок, включенных для приема ARG. |
| DataOnboardingStatus | Edm.String | Нет | Состояние операции. |
SentinelAITool
Сведения о действиях в журнале аудита см. в разделе действия средств ИИ Microsoft Sentinel.
| Параметр | Тип | Обязательный? | Описание |
|---|---|---|---|
| EventOccurenceTime | Edm.Date | Да | Метка времени операции. |
| ToolID | Edm.Guid | Да | Идентификатор средства ИИ. |
| Имя_средства | Edm.String | Да | Имя средства ИИ. |
| Интерфейс | Edm.String | Да | Интерфейс, из которого было запущено средство искусственного интеллекта. |
| InputParameters | Edm.String | Нет | Параметры, заданные инструменту. |
| Базы данныхRead | Collection(Edm.String) | Нет | Список баз данных, считываемых из при выполнении. |
| ТаблицыЧитать | Collection(Edm.String) | Нет | Список таблиц, считываемых из выполнения. |
| APICalled | Collection(Edm.String) | Нет | API, вызываемые средством ИИ. |
| FailureReason | Edm.String | Нет | Если выполнение завершилось сбоем, причина сбоя. |
| TotalRows | Collection(Edm.Int64) | Нет | Всего возвращенных строк. |
| DataScanned | Edm.Int64 | Нет | Всего отсканированных ГБ. |
| ExecutionDuration | Edm.Int64 | Нет | Время выполнения запроса в миллисекундах. |
| TotalCpuHours | Edm.Int64 | Нет | Общая длительность выполнения ЦП. |
| TotalSCUHours | Edm.Int64 | Нет | Общее количество SKU, используемых при выполнении. |
SentinelGraph
Сведения о действиях журнала аудита см. в разделе действия графа Microsoft Sentinel.
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| EventTime | Edm.Date | Да | Метка времени операции. |
| GraphName | Edm.String | Да | Имя экземпляра графа. |
| Operation | Edm.string | Да | Действие, выполняемое в графе. |
| OperationInput | Edm.string | Нет | Параметры действия графа. |
| Статистика GraphQuery | Edm.string | Нет | Коллекция метаданных ответа. |
| Состояние GraphQuery | Edm.String | Нет | Ответ запроса или действия на графе. |
| Интерфейс | Edm.String | Да | Интерфейс, из которого было выполнено действие графа. |
Схема классификации по запросу Purview
События классификации по запросу Microsoft Purview, возвращаемые при поиске по журналам аудита, используют эту схему.
Схема DataScanClassification
Схема аудита DataScanClassification предназначена для записи и регистрации действий, когда файл был оценен на наличие конфиденциального содержимого в рамках проверки классификации по запросу для SharePoint или OneDrive.
| Параметры | Тип | Обязательный | Описание |
|---|---|---|---|
| ClassificationInfo | Collection(Self.SensitiveInformation) | Нет | Сведения о конфиденциальной информации, найденной в файле после сканирования. |
| PolicyId | Edm.Guid | Да | Guid проверки классификации по запросу. |
| ClassificationMode | Edm.Int32 | Да | Было ли выполнено сканирование для определенных классификаторов или всех. |
| ClassificationPosture | Edm.Int32 | Да | Сравнение конфиденциальной информации, обнаруженной до и после сканирования. |
| ClassificationResult | Edm.Int32 | Да | Состояние классификации файлов. |
| DocumentMetaData | Самостоятельно. DocumentMetadata | Нет | Описывает метаданные документа в SharePoint или OneDrive, содержащего конфиденциальную информацию. |
| PreviousClassificationInfo | Collection(Self.SensitiveInformation) | Нет | Сведения о конфиденциальной информации, найденной в файле после сканирования. |
Сложный тип DocumentMetaData
| Параметры | Тип | Обязательный? | Описание |
|---|---|---|---|
| itemCreationTime | Edm.Date | Да | Метка даты и времени регистрации события в журнале в формате UTC. |
| SiteCollectionGuid | Edm.Guid | Да | GUID семейства веб-сайтов. |
| SiteCollectionUrl | Edm.String | Да | Имя сайта SharePoint. |
| FileName | Edm.String | Да | Имя пути. |
| FileOwner | Edm.String | Да | Владелец документа. |
| FileOwnerEmail | Edm.String | Да | Email адрес владельца документа. |
| FilePathUrl | Edm.String | Да | URL-адрес документа. |
| DocumentLastModifier | Edm.String | Да | Пользователь, который последним изменил документ. |
| UniqueId | Edm.String | Да | GUID, определяющий файл. |
| LastModifiedTime | Edm.DateTime | Да | Метка времени последнего изменения документа в формате UTC. |
Перечисление: ClassificationMode — Тип: Edm.Int32
| Значение | Описание |
|---|---|
| 1 | Файл вычисляется для всех классификаторов, настроенных в клиенте. |
| 2 | Файл вычисляется только для выбранных классификаторов, указанных в сканировании. |
Перечисление: ClassificationPosture — Тип: Edm.Int32
| Значение | Описание |
|---|---|
| 1 | Файл не соответствовал ни одному классификатору как до, так и после сканирования. |
| 2 | После сканирования новый классификатор не найден. |
| 3 | Файл не совпадал ни с каким классификатором перед сканированием. Один или несколько классификаторов, найденных в файле после сканирования. |
| 4 | Перед проверкой файл совпал с некоторыми классификаторами. Один или несколько классификаторов больше не соответствуют |
| 5 | Перед проверкой файл совпал с некоторыми классификаторами. Новый классификатор или изменение существующего числа классификаторов или уровня доверия после сканирования. |
Перечисление: ClassificationResult — Тип: Edm.Int32
| Значение | Описание |
|---|---|
| 1 | Классификация файлов успешно завершена. |
| 2 | Классификация файлов завершена с ошибкой. Не удалось выполнить одно или несколько вычислений классификатора. |
| 3 | Сбой классификации файлов. |