Схема API действий управления Office 365 предоставляется в виде службы данных на двух уровнях:
Общая схема. Интерфейс для доступа к ключевым понятиям аудита Office 365, таким как "тип записи", "время создания", "тип пользователя" и "действие", а также для предоставления основных измерений (например, ИД пользователя) и свойств, характерных для расположения (например, IP-адрес клиента) и службы (например, ИД объекта). Эта схема обеспечивает согласованные и однородные представления, с помощью которых пользователи могут извлекать любые данные аудита Office 365 в нескольких представлениях верхнего уровня на основе соответствующих параметров. Кроме того, это фиксированная схема для всех источников данных, которая позволяет значительно сократить затраты на обучение. Общая схема создается основе данных о продуктах, например Exchange, SharePoint, Azure Active Directory, Yammer и OneDrive для бизнеса, каждый из которых разрабатывает отдельная группа. Группы разработчиков продуктов Microsoft 365 могут дополнять поле "ИД объекта", добавляя свойства конкретных служб.
Схема для конкретной службы. Создается на основе общей схемы, чтобы предоставить набор атрибутов для конкретной службы Microsoft 365. Примеры: схема SharePoint, схема OneDrive для бизнеса и схема администрирования Exchange.
Схемы API управления Office 365
В этой статье содержатся сведения о общей схеме, а также о схемах, относящихся к службе. Доступные схемы приведены в таблице ниже.
| Имя схемы |
Описание |
|
Общая схема |
Представление, позволяющее извлекать значения типа записи, ИД пользователя, IP-адреса клиента, типа пользователя и действия, а также ключевые измерения, такие как свойства пользователя (например, UserID), свойства расположения (например, IP-адрес клиента) и свойства службы (например, ИД объекта). |
|
Схема copilot |
События включают в себя то, как и когда взаимодействовать с Copilot, в котором служба Microsoft 365 выполняет действие, и ссылки на файлы, хранящиеся в Microsoft 365, которые были доступны во время взаимодействия. |
|
Базовая схема SharePoint |
Дополняет общую схему свойствами, характерными для всех данных аудита SharePoint. |
|
Операции с файлами SharePoint |
Дополняет базовую схему SharePoint свойствами, используемыми для доступа к файлам и управления ими в SharePoint. |
|
Операции над списками в SharePoint |
Дополняет базовую схему SharePoint свойствами, предназначенными для взаимодействия со списками и элементами списка в SharePoint Online. |
|
Схема общего доступа SharePoint |
Дополняет базовую схему SharePoint свойствами, используемыми при обмене файлами. |
|
Схема SharePoint |
Дополняет базовую схему SharePoint свойствами, характерными для SharePoint, но которые не касаются доступа к файлам и операций с ними. |
|
Схема Project |
Дополняет базовую схему SharePoint свойствами, характерными для Project. |
|
Схема администрирования Exchange |
Дополняет общую схему свойствами, характерными для всех данных аудита, которые используются при администрировании Exchange. |
|
Схема почтовых ящиков Exchange |
Дополняет общую схему свойствами, характерными для всех данных аудита почтовых ящиков Exchange. |
|
Схема проверки подлинности OWA |
Расширяет общую схему свойствами, характерными для данных проверки подлинности OWA. |
|
базовая схема Microsoft Entra ID |
Расширяет общую схему свойствами, характерными для всех Microsoft Entra данных аудита. |
|
Схема входа в учетную запись Microsoft Entra |
Расширяет базовую схему Microsoft Entra ID свойствами, характерными для всех событий входа Microsoft Entra. |
|
схема входа Microsoft Entra ID secure STS |
Расширяет базовую схему Microsoft Entra ID свойствами, характерными для всех событий входа в службу Microsoft Entra ID secure Token Service (STS). |
|
схема Microsoft Entra |
Расширяет общую схему свойствами, характерными для всех Microsoft Entra данных аудита. |
|
Схема защиты от потери данных |
Дополняет общую схему свойствами, характерными для событий, связанных с защитой от потери данных. |
|
Схема Центра безопасности и соответствия требованиям |
Дополняет общую схему свойствами, характерными для всех событий, связанных с Центром безопасности и соответствия требованиям. |
|
Схема оповещений о безопасности и соответствии требованиям |
Дополняет общую схему свойствами, характерными для всех оповещений о безопасности и соответствии требованиям в Office 365. |
|
Схема Yammer |
Дополняет общую схему свойствами, характерными для всех событий Yammer. |
|
Базовая схема безопасности центра обработки данных |
Дополняет общую схему свойствами, характерными для всех данных аудита безопасности центра обработки данных. |
|
Схема командлетов для обеспечения безопасности центра обработки данных |
Дополняет базовую схему безопасности центра обработки данных свойствами, характерными для всех данных аудита командлетов для обеспечения безопасности центра обработки данных. |
|
Схема Microsoft Teams |
Дополняет общую схему свойствами, характерными для всех событий Microsoft Teams. |
|
Схема Microsoft Defender для Office 365 с анализом угроз и реагированием на них |
Дополняет общую схему свойствами, характерными для данных Defender для Office 365 и анализа угроз и реагирования на них. |
|
Схема отправки |
Расширяет общую схему свойствами, относящимися к отправкам пользователями и администраторами в Microsoft Defender для Office 365. |
|
Схема автоматизированного анализа событий и реагирования на них |
Дополняет общую схему свойствами, характерными для событий автоматизированного анализа угроз и реагирования на них (AIR) в Office 365. Примеры см. в статье Блог Tech Community: повышение эффективности SOC с помощью Microsoft Defender для Office 365 и API управления Office 365. |
|
Схема гигиенических событий |
Расширяет общую схему со свойствами, относящимися к событиям в Exchange Online Protection и Microsoft Defender для Office 365. |
|
Схема Power BI |
Дополняет общую схему свойствами, характерными для всех событий Power BI. |
|
Схема Dynamics 365 |
Дополняет общую схему свойствами, характерными для событий Dynamics 365. |
|
Схема службы "Рабочая аналитика" |
Дополняет общую схему свойствами, характерными для всех событий службы "Рабочая аналитика (Майкрософт)". |
|
Схема карантина |
Дополняет общую схему свойствами, характерными для всех событий карантина. |
|
Схема Microsoft Forms |
Дополняет общую схему свойствами, характерными для всех событий Microsoft Forms. |
|
Схема меток MIP |
Расширяет общую схему свойствами, характерными для меток конфиденциальности, применяемых вручную или автоматически к сообщениям электронной почты. |
|
Схема событий портала зашифрованных сообщений |
Расширяет общую схему, используя свойства, относящиеся к порталу зашифрованных сообщений, доступ к которому имеют внешние получатели. |
|
Схема Exchange с соответствием требованиям к обмену данными |
Дополняет общую схему свойствами, относящимися к модели оскорбительных выражений соответствия требованиям к обмену данными. |
|
Схема отчетов |
Дополняет общую схему свойствами, характерными для всех событий отчетов. |
|
Схема соединителя соответствия |
Расширяет общую схему свойствами, которые относятся к импорту данных, не связанных с Майкрософт, с помощью соединителей данных. |
|
Схема SystemSync |
Дополняет общую схему свойствами, специфичными для данных, принятых через SystemSync. |
|
схема Viva Goals |
Расширяет общую схему свойствами, характерными для всех событий Viva Goals. |
|
схема Планировщик (Майкрософт) |
Расширяет общую схему свойствами, характерными для событий Планировщик (Майкрософт). |
|
Схема Microsoft Project в Интернете |
Расширяет общую схему свойствами, характерными для событий Microsoft Project в Интернете. |
|
Схема Viva Pulse |
Расширяет общую схему свойствами, характерными для всех Viva событий Pulse. |
|
Схема диспетчера соответствия требованиям |
Расширяет общую схему свойствами, характерными для событий диспетчера соответствия требованиям. |
|
Схема политики резервного копирования |
Расширяет общую схему свойствами, характерными для политик Резервное копирование Microsoft 365. |
|
Восстановление схемы задачи |
Расширяет общую схему свойствами, характерными для Резервное копирование Microsoft 365 задач восстановления. |
|
Схема элемента резервного копирования |
Расширяет общую схему свойствами, характерными для артефактов Резервное копирование Microsoft 365. |
|
Схема элемента восстановления |
Расширяет общую схему свойствами, характерными для элементов восстановления Резервное копирование Microsoft 365. |
|
Схема службы "Облачная политика" |
Расширяет общую схему свойствами, характерными для всех данных аудита службы облачной политики. |
|
Схема конфигурации профиля обновления облака |
Расширяет общую схему свойствами, характерными для данных аудита конфигурации облачного обновления. |
|
Схема конфигурации клиента обновления облака |
Расширяет общую схему свойствами, характерными для данных аудита конфигурации клиента Cloud Update. |
|
Схема конфигурации устройства для обновления облака |
Расширяет общую схему свойствами, характерными для данных аудита конфигурации устройства cloud Update. |
|
Схема обнаружения рисков AAD |
Расширяет общую схему свойствами, характерными для событий обнаружения рисков AAD. |
|
Схема WebContentFiltering |
Расширяет общую схему свойствами, характерными для событий WebContentFiltering Microsoft Edge. |
Общая схема
EntityType Name: AuditRecord
| Параметр |
Тип |
Обязательный? |
Описание |
| Id |
Combination GUIDEdm.Guid |
Да |
Уникальный идентификатор записи аудита. |
| RecordType |
Self.AuditLogRecordType |
Да |
Тип операции, указанный в записи. Сведения о типах записей в журнале аудита см. в таблице AuditLogRecordType. |
| CreationTime |
Edm.Date |
Да |
Дата и время в формате UTC, когда была создана запись журнала аудита. |
| Operation |
Edm.String |
Да |
Название действия пользователя или администратора. Описание основных операций и действий см. в статье Поиск в журнале аудита в центре защиты Office 365. Что касается действий администратора Exchange, это свойство определяет имя запущенного командлета. Для событий защиты от потери данных этот параметр может иметь значение DlpRuleMatch, DlpRuleUndo или DlpInfo, которые описаны в разделе "Схема защиты от потери данных" ниже. |
| OrganizationId |
Edm.Guid |
Да |
GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается. |
| UserType |
Self.UserType |
Да |
Тип пользователя, который выполнил операцию. Сведения о типах пользователей см. в таблице UserType. |
| UserKey |
Edm.String |
Да |
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange. |
| Workload |
Edm.String |
Да |
Служба Office 365, в которой было выполнено действие. |
| ResultStatus |
Edm.String |
Нет |
Указывает, успешно ли выполнено действие (указанное в свойстве Operation). Возможные значения: Succeeded, PartiallySucceeded или Failed. Для действий администратора Exchange этот параметр может иметь значение True или False.
Внимание! Различные рабочие нагрузки могут перезаписывать значение свойства ResultStatus. Например, для событий входа Microsoft Entra ID STS значение Succeeded для ResultStatus указывает только на то, что операция HTTP прошла успешно. Это не означает, что вход был выполнен успешно. Чтобы определить, был ли фактический вход успешным, см. свойство LogonError в схеме входа в Microsoft Entra ID STS. При сбое входа значение этого свойства будет содержать причину неудачной попытки входа. |
| ObjectId |
Edm.string |
Нет |
Для действий SharePoint и OneDrive для бизнеса этот параметр указывает на полное имя пути к файлу или папке, к которым получает доступ пользователь. Что касается ведения журнала аудита действий администратора Exchange, это имя объекта, измененного командлетом. Для службы облачной политики — идентификатор объекта конфигурации политики. Для действия TrainableClassifier — идентификатор модели, созданной, опубликованной, обновленной или удаленной пользователем. |
| UserId |
Edm.string |
Да |
Имя участника-пользователя, который выполнил действие (указанное в свойстве Operation), приведшее к добавлению записи в журнал (например, my_name@my_domain_name). Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита. |
| ClientIP |
Edm.String |
Да |
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6.
Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие.
Кроме того, для событий, связанных с Microsoft Entra ID, IP-адрес не регистрируется, а для свойства ClientIP используется nullзначение . |
| Scope |
Self.AuditLogScope |
Нет |
Создано ли это событие в размещенной службе Office 365 или на локальном сервере? Возможные значения: online и onprem. Обратите внимание, что сейчас данные о событиях отправляются с локального сервера в Office 365 только SharePoint. |
| AppAccessContext |
CollectionSelf.AppAccessContext |
Нет |
Контекст приложения пользователя или субъекта-службы, которые выполнили действие. |
Enum: AuditLogRecordType; Type: Edm.Int32
AuditLogRecordType
| Значение |
Имя элемента |
Описание |
| 1 |
ExchangeAdmin |
События из журнала аудита действий администратора Exchange. |
| 2 |
ExchangeItem |
События из журнала аудита почтовых ящиков Exchange для действий, которые выполняются с одним элементом, таких как создание или получение электронного сообщения. |
| 3 |
ExchangeItemGroup |
События из журнала аудита почтовых ящиков Exchange для действий, которые выполняются с несколькими элементами, таких как перемещение или удаление одного либо нескольких электронных сообщений. |
| 4 |
SharePoint |
События SharePoint. |
| 6 |
SharePointFileOperation |
События операций с файлами SharePoint. |
| 7 |
OneDrive |
События OneDrive для бизнеса. |
| 8 |
AzureActiveDirectory |
события Microsoft Entra ID. |
| 9 |
AzureActiveDirectoryAccountLogon |
Microsoft Entra ID события входа в OrgId (не рекомендуется). |
| 10 |
DataCenterSecurityCmdlet |
События, связанные с командлетами для обеспечения безопасности центра обработки данных. |
| 11 |
ComplianceDLPSharePoint |
События защиты от потери данных в SharePoint и OneDrive для бизнеса. |
| 13 |
ComplianceDLPExchange |
События защиты от потери данных в Exchange, если настройка выполняется с помощью единой политики защиты от потери данных. События защиты от потери данных, основанные на правилах транспорта Exchange, не поддерживаются. |
| 14 |
SharePointSharingOperation |
События общего доступа в SharePoint. |
| 15 |
AzureActiveDirectoryStsLogon |
События входа в службу маркеров безопасности (STS) в Microsoft Entra ID. |
| 16 |
SkypeForBusinessPSTNUsage |
События телефонной сети общего пользования (ТСОП) из Skype для бизнеса. |
| 17 |
SkypeForBusinessUsersBlocked |
События заблокированных пользователей из Skype для бизнеса. |
| 18 |
SecurityComplianceCenterEOPCmdlet |
Действия администратора из Центра безопасности и соответствия требованиям. |
| 19 |
ExchangeAggregatedOperation |
Обобщенные события аудита почтового ящика Exchange. |
| 20 |
PowerBIAudit |
События Power BI. |
| 21 |
CRM |
События Dynamics 365. |
| 22 |
Yammer |
События Yammer. |
| 23 |
SkypeForBusinessCmdlets |
События Skype для бизнеса. |
| 24 |
Discovery |
События для действий обнаружения электронных данных, выполняемых при поиске контента и управлении обращениями для обнаружения электронных данных в Центре безопасности и соответствия требованиям. |
| 25 |
MicrosoftTeams |
События из Microsoft Teams. |
| 28 |
ThreatIntelligence |
События фишинга и вредоносных программ из Exchange Online Protection и Microsoft Defender для Office 365. |
| 29 |
MailSubmission |
События отправки из Exchange Online Protection и Microsoft Defender для Office 365. |
| 30 |
MicrosoftFlow |
События Microsoft Power Automate (ранее Microsoft Flow). |
| 31 |
AeD |
События Advanced eDiscovery. |
| 32 |
MicrosoftStream |
События Microsoft Stream. |
| 33 |
ComplianceDLPSharePointClassification |
События, связанные с классификацией защиты от потери данных в SharePoint. |
| 34 |
ThreatFinder |
События, связанные с кампанией из Microsoft Defender для Office 365. |
| 35 |
Project |
События Microsoft Project. |
| 36 |
SharePointListOperation |
События списка SharePoint. |
| 37 |
SharePointCommentOperation |
События комментариев SharePoint. |
| 38 |
DataGovernance |
Событиях, связанные с политиками хранения и метками хранения в Центре безопасности и соответствия требованиям |
| 39 |
Kaizala |
События Kaizala. |
| 40 |
SecurityComplianceAlerts |
Сигналы оповещений по безопасности и соответствию требованиям. |
| 41 |
ThreatIntelligenceUrl |
События времени блокировки безопасных ссылок и переопределения блокировки из Microsoft Defender для Office 365. |
| 42 |
SecurityComplianceInsights |
События, связанные с аналитикой и отчетами в Центре безопасности и соответствия требованиям Office 365. |
| 43 |
MIPLabel |
События, связанные с обнаружением в транспортном конвейере сообщений электронной почты, помеченных (вручную или автоматически) с помощью меток конфиденциальности. |
| 44 |
WorkplaceAnalytics |
События Workplace Analytics |
| 45 |
PowerAppsApp |
События Power Apps. |
| 46 |
PowerAppsPlan |
События плана подписки для Power Apps. |
| 47 |
ThreatIntelligenceAtpContent |
События фишинга и вредоносных программ для файлов в SharePoint, OneDrive для бизнеса и Microsoft Teams из Microsoft Defender для Office 365. |
| 48 |
LabelContentExplorer |
События, связанные с обозревателем содержимого с классификацией данных. |
| 49 |
TeamsHealthcare |
События, связанные с приложением "Пациенты" в Microsoft Teams для сферы здравоохранения. |
| 50 |
ExchangeItemAggregated |
События, связанные с действием аудита почтового ящика MailItemsAccessed. |
| 51 |
HygieneEvent |
События, связанные с защитой от исходящего спама. |
| 52 |
DataInsightsRestApiAudit |
События REST API аналитики данных. |
| 53 |
InformationBarrierPolicyApplication |
События, связанные с применением политик информационного барьера. |
| 54 |
SharePointListItemOperation |
События элемента списка SharePoint. |
| 55 |
SharePointContentTypeOperation |
События типа контента списка SharePoint. |
| 56 |
SharePointFieldOperation |
События поля списка SharePoint. |
| 57 |
MicrosoftTeamsAdmin |
События администратора Teams |
| 58 |
HRSignal |
События, связанные с сигналами данных отдела кадров, поддерживающими решение для управления внутренними рисками. |
| 59 |
MicrosoftTeamsDevice |
События устройства Teams. |
| 60 |
MicrosoftTeamsAnalytics |
События аналитики Teams. |
| 61 |
InformationWorkerProtection |
События, связанные с оповещениями о скомпрометированном пользователе. |
| 62 |
Кампания |
События почтовой кампании из Microsoft Defender для Office 365. |
| 63 |
DLPEndpoint |
События защиты от потери данных в конечной точке. |
| 64 |
AirInvestigation |
События автоматизированного реагирования на инциденты (AIR). |
| 65 |
Карантин |
События карантина. |
| 66 |
MicrosoftForms |
События Microsoft Forms. |
| 67 |
ApplicationAudit |
События аудита приложений. |
| 68 |
ComplianceSupervisionExchange |
События, отслеживаемые моделью оскорбительных выражений соответствия требованиям к обмену данными. |
| 69 |
CustomerKeyServiceEncryption |
События, связанные со службой шифрования с ключом клиента. |
| 70 |
OfficeNative |
События, связанные с метками о конфиденциальности, примененными к документам Office. |
| 71 |
MipAutoLabelSharePointItem |
События автоматического применения меток в SharePoint. |
| 72 |
MipAutoLabelSharePointPolicyLocation |
События политики автоматического применения меток в SharePoint. |
| 73 |
MicrosoftTeamsShifts |
События приложения "Смены" в Teams. |
| 75 |
MipAutoLabelExchangeItem |
События автоматического применения меток в Exchange. |
| 76 |
CortanaBriefing |
События письма со сводкой. |
| 78 |
WDATPAlerts |
События, связанные с оповещениями, созданными Защитником Windows для конечной точки. |
| 79 |
PowerAppsResource |
События, связанные с соединителями Microsoft Power Platform (предварительная версия). |
| 82 |
SensitivityLabelPolicyMatch |
События, создаваемые при открытии или переименовании файла с меткой конфиденциальности. |
| 83 |
SensitivityLabelAction |
Событие, создаваемое при применении, обновлении или удалении меток конфиденциальности в файле. |
| 84 |
SensitivityLabeledFileAction |
События, создаваемые при открытии или переименовании файла с меткой конфиденциальности. |
| 85 |
AttackSim |
События, связанные с действиями пользователей в моделировании атак & обучения в Microsoft Defender для Office 365. |
| 86 |
AirManualInvestigation |
События, связанные с ручными исследованиями при автоматическом исследовании и реагировании (AIR). |
| 87 |
SecurityComplianceRBAC |
События безопасности и соответствия требованиям RBAC. |
| 88 |
UserTraining |
События, связанные с обучением пользователей в моделировании атак & обучение в Microsoft Defender для Office 365. |
| 89 |
AirAdminActionInvestigation |
События, связанные с действиями администратора в автоматизированном исследовании и реагировании (AIR). |
| 90 |
MSTIC |
События аналитики угроз в Microsoft Defender для Office 365. |
| 91 |
PhysicalBadgingSignal |
События, связанные с сигналами физического применения бейджей, поддерживающими решение для управления внутренними рисками. |
| 92 |
TeamsEasyApprovals |
События, связанные с простыми утверждениями Teams |
|
93 |
AipDiscover |
События сканера AIP |
|
94 |
AipSensitivityLabelAction |
События меток конфиденциальности AIP |
|
95 |
AipProtectionAction |
События защиты AIP |
|
96 |
AipFileDeleted |
События удаления файлов AIP |
|
97 |
AipHeartBeat |
События пульса AIP |
| 98 |
MCASAlerts |
События, связанные с оповещениями, запущенными службой Microsoft Cloud App Security. |
| 99 |
OnPremisesFileShareScannerDlp |
События, связанные со сканированием на наличие конфиденциальных данных в общих папках. |
| 100 |
OnPremisesSharePointScannerDlp |
События, связанные со сканированием на наличие конфиденциальных данных в SharePoint. |
| 101 |
ExchangeSearch |
События, связанные с использованием Outlook в Интернете (OWA) для поиска элементов почтовых ящиков. |
| 102 |
SharePointSearch |
События, связанные с поиском домашнего сайта SharePoint организации. |
| 103 |
PrivacyInsights |
События аналитики конфиденциальности. |
| 105 |
MyAnalyticsSettings |
События MyAnalytics. |
| 106 |
SecurityComplianceUserChange |
События, связанные с изменением или удалением пользователя. |
| 107 |
ComplianceDLPExchangeClassification |
События классификации защиты от потери данных в Exchange. |
| 109 |
MipExactDataMatch |
События классификация точных совпадений с данными (EDM). |
| 113 |
MS365DCustomDetection |
События, связанные с пользовательскими действиями обнаружения в Microsoft 365 Defender. |
| 147 |
CoreReportingSettings |
Сообщает о событиях параметров. |
| 148 |
ComplianceConnector |
События, связанные с импортом данных сторонних производителей с использованием соединителей данных на портале соответствия Microsoft Purview. |
|
154 |
OMEPortal |
Журналы событий портала зашифрованных сообщений, созданные внешними получателями. |
| 157 |
MipLabelAnalyticsAuditRecord |
События аналитики меток MIP. |
| 164 |
ScorePlatformGenericAuditRecord |
Универсальная запись аудита, используемая для соединителей данных. |
| 174 |
DataShareOperation |
События, связанные с предоставлением общего доступа к данным, принятым через SystemSync. |
| 181 |
EduDataLakeDownloadOperation |
События, связанные с экспортом данных, принятых через SystemSync из Data Lake. |
| 183 |
MicrosoftGraphDataConnectOperation |
События, связанные с извлечением данных Microsoft Graph Data Connect. |
| 186 |
PowerPagesSite |
Действия, связанные с сайтом Power Pages. |
| 187 |
PowerPlatformAdminDlp |
События, связанные с Microsoft Power Platform DLP (предварительная версия). |
| 188 |
Планировщикплан |
Планировщик (Майкрософт) события планирования. |
| 189 |
PlannerCopyPlan |
Планировщик (Майкрософт) события плана копирования. |
| 190 |
PlannerTask |
Планировщик (Майкрософт) события задачи. |
| 191 |
PlannerRoster |
Планировщик (Майкрософт) событиях членства в реестре и реестре. |
| 192 |
PlannerPlanList |
Планировщик (Майкрософт) события списка планов. |
| 193 |
PlannerTaskList |
Планировщик (Майкрософт) события списка задач. |
| 194 |
PlannerTenantSettings |
Планировщик (Майкрософт) события параметров клиента. |
| 195 |
ProjectForThewebProject |
События проекта Microsoft Project в Интернете. |
| 196 |
ProjectForThewebTask |
События задач Microsoft Project в Интернете. |
| 197 |
ProjectForThewebRoadmap |
События стратегии развития Microsoft Project в Интернете. |
| 198 |
ProjectForThewebRoadmapItem |
События элементов стратегии развития Microsoft Project в Интернете. |
| 199 |
ProjectForThewebProjectSettings |
События параметров клиента проекта Project в Интернете Microsoft. |
| 200 |
ProjectForThewebRoadmapSettings |
Microsoft Project в Интернете события параметров клиента стратегии. |
| 202 |
MicrosoftTodoAudit |
События аудита Microsoft To Do. |
| 206 |
MicrosoftTeamsSensitivityLabelAction |
События метки конфиденциальности Microsoft Teams. |
| 216 |
Viva Goals |
события Viva Goals. |
| 217 |
MicrosoftGraphDataConnectConsent |
События действий согласия, выполняемых администраторами клиентов для приложений Microsoft Graph Data Connect. |
| 218 |
AttackSimAdmin |
События, связанные с действиями администратора в моделировании атак & обучения в Microsoft Defender для Office 365. |
| 230 |
TeamsUpdates |
События приложений Teams Обновления. |
| 231 |
PlannerRosterSensitivityLabel |
Планировщик (Майкрософт) события меток конфиденциальности реестра. |
| 237 |
DefenderExpertsforXDRAdmin |
события действий администратора Microsoft Defender экспертов. |
| 251 |
VfamCreatePolicy |
Viva политика управления доступом создает события. |
| 252 |
VfamUpdatePolicy |
Viva события обновления политики управления доступом. |
| 253 |
VfamDeletePolicy |
Viva политики управления доступом события удаления. |
| 256 |
PowerPlatformAdministratorActivity |
События действий администратора Power Platform. |
|
261 |
CopilotInteraction |
События взаимодействия с Copilot. |
| 275 |
OWAAuth |
Маркер доступа для событий, успешно выданных ресурсом. |
| 280 |
VivaPulseResponse |
Viva события отклика на опрос Pulse. |
| 281 |
VivaPulseOrganizer |
Viva мероприятия организатора опроса Pulse. |
| 282 |
VivaPulseAdmin |
Viva события администрирования Pulse. |
| 283 |
VivaPulseReport |
Viva события, связанные с отчетом Pulse. |
| 287 |
ProjectForThewebAssignedToMeSettings |
Microsoft Project в Интернете назначенные мне события параметров клиента. |
| 288 |
CloudPolicyService |
События из службы облачной политики. |
| 298 |
BackupPolicy |
События, связанные с политиками Резервное копирование Microsoft 365. |
| 299 |
RestoreTask |
События, связанные с задачами восстановления Резервное копирование Microsoft 365. |
| 300 |
RestoreItem |
События, связанные с артефактами, резервные копии с помощью Резервное копирование Microsoft 365. |
| 301 |
BackupItem |
События, связанные с восстановлением элементов с помощью Резервное копирование Microsoft 365. |
| 332 |
ComplianceSettingsChange |
События изменения параметров соответствия требованиям Microsoft Purview. |
| 337 |
CloudUpdateProfileConfig |
События из конфигурации профиля облачного обновления. |
| 338 |
CloudUpdateTenantConfig |
События из конфигурации клиента облачного обновления. |
| 339 |
CloudUpdateDeviceConfig |
События из конфигурации управляемых устройств в облачном обновлении. |
| 358 |
TrainableClassifier |
События из классификации данных Purview. |
| 359 |
WebContentFiltering |
События из Microsoft Edge WebContentFiltering. |
Enum: User Type; Type: Edm.Int32
User Type
| Значение |
Имя элемента |
Описание |
| 0 |
Regular |
Обычный пользователь без разрешений администратора. |
| 1 |
Reserved |
Зарезервированное значение, а не для использования. |
| 2 |
Admin |
Администратор в организации Microsoft 365. ** |
| 3 |
DCAdmin |
Администратор центра обработки данных Майкрософт или системная учетная запись центра обработки данных. |
| 4 |
System |
Событие аудита, активируется логикой на стороне сервера. Например, службы Windows или фоновые процессы. |
| 5 |
Application |
Событие аудита, активируется приложением Microsoft Entra. |
| 6 |
ServicePrincipal |
Субъект-служба. |
| 7 |
CustomPolicy |
Клиент, созданная или управляемая политика. |
| 8 |
SystemPolicy |
Под управлением Майкрософт или системная политика. |
| 9 |
PartnerTechnician |
Пользователь клиента партнера, работающий от имени клиента клиента (в сценариях GDAP). |
| 10 |
Guest |
Гостевой или анонимный пользователь. |
Примечание.
** Для Microsoft Entra связанных событий значение администратора не используется в записи аудита. Записи аудита для действий, выполняемых администраторами, будут указывать, что обычный пользователь (например, UserType: 0) выполнил действие. Свойство UserID идентифицирует пользователя (обычного пользователя или администратора), выполнившего это действие.
Enum: AuditLogScope; Type: Edm.Int32
AuditLogScope
| Значение |
Имя элемента |
Описание |
| 0 |
Online |
Это событие создано в размещенной службе Office 365. |
| 1 |
Onprem |
Это событие создано на локальном сервере. |
Сложный тип AppAccessContext
|
Параметры |
Тип |
Обязательный? |
Описание |
| AADSessionId |
Edm.String |
Нет |
Microsoft Entra SessionId входа Entra, который был выполнен приложением от имени пользователя. |
| APIId |
Edm.String |
Нет |
ИД пути API, используемого для доступа к ресурсу, например, доступа через API Microsoft Graph. |
| ClientAppId |
Edm.String |
Нет |
Идентификатор приложения Microsoft Entra, которое выполнило доступ от имени пользователя. |
| ClientAppName |
Edm.String |
Нет |
Имя приложения Microsoft Entra, которое осуществлял доступ от имени пользователя. |
| CorrelationId |
Edm.String |
Нет |
Идентификатор, который можно использовать для коррелирования действий определенного пользователя в службах Microsoft 365. |
| UniqueTokenId |
Edm.String |
Нет |
Значение UniqueTokenId устанавливается, если маркер Microsoft Entra доступен для запроса. Это уникальный идентификатор маркера с учетом регистра. |
| IssuedAtTime |
Edm.Date |
Нет |
Значение "Выдано" устанавливается, если маркер Microsoft Entra доступен для запроса и указывает, когда была выполнена проверка подлинности для этого маркера Microsoft Entra. |
Базовая схема SharePoint
|
Параметр |
Тип |
Обязательный? |
Описание |
| Site |
Edm.Guid |
Нет |
GUID сайта, на котором расположены файл или папка, к которым получил доступ пользователь. |
| ItemType |
Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" |
Нет |
Тип объекта, который был открыт или изменен. Сведения о типах объектов см. в таблице ItemType. |
| EventSource |
Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" |
Нет |
Определяет, произошло ли событие в SharePoint. Возможные значения: SharePoint или ObjectModel. |
| SourceName |
Edm.String |
Нет |
Сущность, активировавшая подлежащую аудиту операцию. Возможные значения: SharePoint или ObjectModel. |
| UserAgent |
Edm.String |
Нет |
Сведения о клиенте или браузере пользователя. Эту информацию предоставляет клиент или браузер. |
| MachineDomainInfo |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Сведения об операциях синхронизации устройств. Сообщаются, только если присутствуют в запросе. |
| MachineId |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Сведения об операциях синхронизации устройств. Сообщаются, только если присутствуют в запросе. |
| ListItemUniqueId |
Edm.Guid |
Нет |
GUID уникально идентифицируемого элемента списка. Эта информация представлена только в том случае, если она применима. |
| ListId |
Edm.Guid |
Нет |
GUID списка. Эта информация представлена только в том случае, если она применима. |
| ApplicationId |
Edm.String |
Нет |
ID приложения, которое выполняет операцию. |
| ApplicationDisplayName |
Edm.String |
Нет |
Видимое пользователю имя приложения, которое выполняет операцию. |
| IsWorkflow |
Edm.Boolean |
Нет |
Этой переменной присваивается значение True, если SharePoint инициировал событие, подлежащее аудиту. |
Enum: ItemType; Type: Edm.Int32
ItemType
|
Значение |
Имя элемента |
Описание |
| 0 |
Invalid |
Элемент не относится ни к одному из других типов элементов (перечисленных в этой таблице). |
| 1 |
File |
Элемент представляет собой файл. |
| 5 |
Folder |
Элемент представляет собой папку. |
| 6 |
web |
Элемент является веб-сайтом. |
| 7 |
Site |
Элемент представляет собой сайт. |
| 8 |
Tenant |
Элемент представляет собой клиент. |
| 9 |
DocumentLibrary |
Элемент представляет собой библиотеку документов. |
| 11 |
Page |
Элемент представляет собой страницу. |
Enum: EventSource; Type: Edm.Int32
EventSource
|
Значение |
Имя элемента |
Описание |
| 0 |
SharePoint |
Источник события — SharePoint. |
| 1 |
ObjectModel |
Источник события — ObjectModel. |
Enum: SharePointAuditOperation; Type: Edm.Int32
|
Имя элемента |
Описание |
| AccessInvitationAccepted |
Получатель приглашения на просмотр или правку общего файла (или папки) получил доступ к общему файлу, щелкнув ссылку в приглашении. |
| AccessInvitationCreated |
Пользователь отправляет приглашение другому лицу (внутри организации или за ее пределами) на просмотр или правку общего файла или папки на сайте SharePoint или OneDrive для бизнеса. В сведениях записи о событии указывается имя общего файла, данные пользователя, которому отправлено приглашение, и тип разрешения на общий доступ, который выбрал отправитель приглашения. |
| AccessInvitationExpired |
Заканчивается срок действия приглашения, отправленного внешнему пользователю за пределами организации. По умолчанию он истекает через 7 дней, если приглашение не принято. |
| AccessInvitationRevoked |
Администратор или владелец сайта либо документа в SharePoint или OneDrive для бизнеса отзывает приглашение, отправленное пользователю за пределами организации. Приглашение можно отозвать только до его принятия. |
| AccessInvitationUpdated |
Пользователь, создавший и отправивший приглашение другому лицу на просмотр или правку общего файла (или папки) на сайте SharePoint или OneDrive для бизнеса, повторно отправляет приглашение. |
| AccessRequestApproved |
Администратор или владелец сайта либо документа в SharePoint или OneDrive для бизнеса утверждает запрос пользователя на доступ к сайту или документу. |
| AccessRequestCreated |
Пользователь запрашивает доступ к сайту или документу в SharePoint или OneDrive для бизнеса, на который у него нет разрешения. |
| AccessRequestRejected |
Администратор или владелец сайта либо документа в SharePoint отклоняет запрос пользователя на доступ к сайту или документу. |
| ActivationEnabled |
Пользователи могут включать поддержку браузера для шаблонов форм, не содержащих кода форм, требовать полного доверия, включать отображение на мобильном устройстве, а также использовать подключение к данным, управляемое администратором сервера. |
| AdministratorAddedToTermStore |
Добавлен администратор банка терминов. |
| AdministratorDeletedFromTermStore |
Удален администратор банка терминов. |
| AllowGroupCreationSet |
Администратор или владелец сайта добавляет уровень разрешений на сайт SharePoint или OneDrive для бизнеса, с помощью которого пользователь, которому он назначен, сможет создавать группу на этом сайте. |
| AppCatalogCreated |
Создан каталог приложений для развертывания пользовательских бизнес-приложений в среде SharePoint. |
| AuditPolicyRemoved |
Для семейства веб-сайтов удалена политика жизненного цикла документов. |
| AuditPolicyUpdate |
Для семейства веб-сайтов обновлена политика жизненного цикла документов. |
| AzureStreamingEnabledSet |
Владелец видеопортала разрешил потоковую передачу видео из Azure. |
| CollaborationTypeModified |
Изменен тип совместной работы, разрешенной на сайтах (например, интрасеть, экстрасеть или общедоступная сеть). |
| ConnectedSiteSettingModified |
Пользователь либо создал, изменил или удалил связь между проектом и сайтом проекта, либо пользователь изменяет параметр синхронизации для ссылки в Project Web App. |
| CreateSSOApplication |
В службе Secure Store создано конечное приложение. |
| CustomFieldOrLookupTableCreated |
Пользователь создал настраиваемое поле или таблицу подстановки или элемент в веб-приложении Project. |
| CustomFieldOrLookupTableDeleted |
Пользователь удалил пользовательское поле или таблицу или элемент подстановки в веб-приложении Project. |
| CustomFieldOrLookupTableModified |
Пользователь изменил пользовательское поле или таблицу подстановки или элемент в веб-приложении Project. |
| CustomizeExemptUsers |
Глобальный администратор настроил список исключаемых агентов пользователя в Центре администрирования SharePoint. Вы можете указать, какие агенты пользователя не должны получать веб-страницы полностью для индексации. Это означает, что если агент пользователя, указанный в качестве исключения, сталкивается с формой InfoPath, форма будет возвращена в виде XML-файла, а не всей веб-страницы. Это позволяет ускорить индексацию форм InfoPath. |
| DefaultLanguageChangedInTermStore* |
В банке терминов изменен язык. |
| DelegateModified |
Пользователь создал или изменил делегат безопасности в Веб-приложении Project. |
| DelegateRemoved |
Пользователь удалил делегат безопасности в Веб-приложении Project. |
| DeleteSSOApplication |
Удалено приложение для единого входа. |
| eDiscoveryHoldApplied |
К источнику контента применено удержание на месте. Для управления удержанием на месте используется семейство веб-сайтов для обнаружения электронных данных (например, Центр обнаружения электронных данных) в SharePoint. |
| eDiscoveryHoldRemoved |
Удержание на месте отменено для источника контента. Для управления удержанием на месте используется семейство веб-сайтов для обнаружения электронных данных (например, Центр обнаружения электронных данных) в SharePoint. |
| eDiscoverySearchPerformed |
В SharePoint выполнен поиск с помощью функции обнаружения электронных данных с использованием семейства веб-сайтов для обнаружения электронных данных. |
| EngagementAccepted |
Пользователь принимает участие ресурсов в веб-приложении Project. |
| EngagementModified |
Пользователь изменяет задействование ресурсов в веб-приложении Project. |
| EngagementRejected |
Пользователь отклоняет задействование ресурсов в веб-приложении Project. |
| EnterpriseCalendarModified |
Пользователь копирует, изменяет или удаляет корпоративный календарь в Веб-приложении Project. |
| EntityDeleted |
Пользователь удаляет расписание в Веб-приложении Project. |
| EntityForceCheckedIn |
Пользователь принудительно применяет проверка в календаре, настраиваемом поле или таблице подстановки в веб-приложении Project. |
| ExemptUserAgentSet |
Глобальный администратор добавляет агента пользователя в список исключаемых агентов пользователя в Центре администрирования SharePoint. |
| FileAccessed |
Пользователь или системная учетная запись получает доступ к файлу на сайте SharePoint или OneDrive для бизнеса. Системные учетные записи также могут создавать события FileAccessed. |
| FileCheckOutDiscarded |
Пользователь удаляет или отменяет файл, полученный для изменения. Это значит, что любые изменения, которые он внес в файл при извлечении, будут отменены и не сохранены в версии документа, находящегося в библиотеке документов. |
| FileCheckedIn |
Пользователь возвращает документ, полученный для изменения из библиотеки документов SharePoint или OneDrive для бизнеса. |
| FileCheckedOut |
Пользователь получает для изменения документ, расположенный в библиотеке документов SharePoint или OneDrive для бизнеса. Пользователи могут извлекать документы, к которым им предоставлен общий доступ, и вносить в них изменения. |
| FileCopied |
Пользователь копирует документ из сайта SharePoint или OneDrive для бизнеса. Скопированный файл можно сохранить в другой папке на сайте. |
| FileDeleted |
Пользователь удаляет документ из сайта SharePoint или OneDrive для бизнеса. |
| FileDeletedFirstStageRecycleBin |
Пользователь удаляет файл из корзины на сайте SharePoint или OneDrive для бизнеса. |
| FileDeletedSecondStageRecycleBin |
Пользователь удаляет файл из второй корзины на сайте SharePoint или OneDrive для бизнеса. |
| FileDownloaded |
Пользователь скачивает документ на сайте SharePoint или OneDrive для бизнеса. |
| FileFetched |
Это событие заменено событием FileAccessed и устарело. |
| FileModified |
Пользователь или системная учетная запись изменяет контент или свойства документа, расположенного на сайте SharePoint или OneDrive для бизнеса. |
| FileMoved |
Пользователь перемещает документ из текущего расположения на сайте SharePoint или OneDrive для бизнеса в новое место. |
| FilePreviewed |
Пользователь предварительно просматривает документ на сайте SharePoint или OneDrive для бизнеса. |
| FileRecycled |
Пользователь перемещает документ в корзину SharePoint или OneDrive. |
| FileRenamed |
Пользователь переименовывает документ на сайте SharePoint или OneDrive для бизнеса. |
| FileRestored |
Пользователь восстанавливает документ из корзины на сайте SharePoint или OneDrive для бизнеса. |
| FileSyncDownloadedFull |
Пользователь скачивает файл на свой компьютер из библиотеки документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe). |
| FileSyncDownloadedPartial |
Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются. |
| FileSyncUploadedFull |
Пользователь отправляет новый файл или изменения файла в библиотеку документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe). |
| FileSyncUploadedPartial |
Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются. |
| FileUploaded |
Пользователь передает документ в папку на сайте SharePoint или OneDrive для бизнеса. |
| FileViewed |
Это событие заменено событием FileAccessed и устарело. |
| FolderCopied |
Пользователь копирует папку из сайта SharePoint или OneDrive для бизнеса в другое расположение в SharePoint или OneDrive для бизнеса. |
| FolderCreated |
Пользователь создает папку на сайте SharePoint или OneDrive для бизнеса. |
| FolderDeleted |
Пользователь удаляет папку с сайта SharePoint или OneDrive для бизнеса. |
| FolderDeletedFirstStageRecycleBin |
Пользователь удаляет папку из корзины на сайте SharePoint или OneDrive для бизнеса. |
| FolderDeletedSecondStageRecycleBin |
Пользователь удаляет папку из второй корзины на сайте SharePoint или OneDrive для бизнеса. |
| FolderModified |
Пользователь изменяет папку на сайте SharePoint или OneDrive для бизнеса. Это событие содержит изменения метаданных папки, например тегов и свойств. |
| FolderMoved |
Пользователь перемещает папку с сайта SharePoint или OneDrive для бизнеса. |
| FolderRecycled |
Пользователь перемещает папку в корзину SharePoint или OneDrive. |
| FolderRenamed |
Пользователь переименовывает папку на сайте SharePoint или OneDrive для бизнеса. |
| FolderRestored |
Пользователь восстанавливает папку из корзины на сайте SharePoint или OneDrive для бизнеса. |
| GroupAdded |
Администратор или владелец сайта создает группу для сайта SharePoint или OneDrive для бизнеса либо выполняет задачу, которая приводит к созданию группы. Например, когда пользователь впервые создает ссылку на общий доступ к файлу, на сайт OneDrive для бизнеса этого пользователя добавляется системная группа. Это событие также может возникнуть, если пользователь создал ссылку с разрешениями на внесение изменений в общий файл. |
| GroupRemoved |
Пользователь удаляет группу с сайта SharePoint или OneDrive для бизнеса. |
| GroupUpdated |
Администратор или владелец сайта изменяет параметры группы для сайта SharePoint или OneDrive для бизнеса. Действия могут включать изменение имени группы, назначение пользователям прав на просмотр или изменение параметров членства в группах, а также установку способа обработки запросов на вступление в группы. |
| LanguageAddedToTermStore |
В банк терминов добавлен язык. |
| LanguageRemovedFromTermStore |
Из банка терминов удален язык. |
| LegacyWorkflowEnabledSet |
Администратор или владелец сайта добавляет тип контента задачи рабочего процесса SharePoint на сайт. Глобальные администраторы также могут включить рабочие процессы для всей организации в Центре администрирования SharePoint. |
| LookAndFeelModified |
Пользователь изменяет форматы быстрого запуска, диаграммы Ганта или форматы групп. Кроме того, пользователь создает, изменяет или удаляет представление в веб-приложении Project. |
| ManagedSyncClientAllowed |
Пользователь успешно устанавливает отношение синхронизации с сайтом SharePoint или OneDrive для бизнеса. Отношение синхронизации установлено успешно, так как компьютер пользователя входит в домен, который добавлен в список доменов (так называемый список надежных получателей) и который позволяет получить доступ к библиотекам документов в вашей организации. Дополнительные сведения см. в статье Использование SharePoint Online PowerShell для включения приложение синхронизации OneDrive для доменов, которые находятся в списке надежных получателей. |
| MaxQuotaModified |
Изменена максимальная квота для сайта. |
| MaxResourceUsageModified |
Изменен максимальный объем ресурсов, который можно использовать для сайта. |
| MySitePublicEnabledSet |
Администратор SharePoint установил флаг, который позволяет пользователям иметь общедоступные личные сайты. |
| NewsFeedEnabledSet |
Администратор или владелец сайта включает RSS-каналы для сайта SharePoint или OneDrive для бизнеса. Глобальные администраторы могут включить RSS-каналы для всей организации в Центре администрирования SharePoint. |
| ODBNextUXSettings |
Включен новый пользовательский интерфейс для OneDrive для бизнеса. |
| OfficeOnDemandSet |
Администратор сайта включает функцию "Office по запросу", с помощью которой пользователи могут получать доступ к последней версии классических приложений Office. Функция "Office по запросу" включена в Центре администрирования SharePoint. Для ее использования требуется подписка на Office 365, включающая установленные полнофункциональные приложения Office. |
| PageViewed |
Пользователь просматривает страницу на сайте SharePoint или OneDrive для бизнеса. Это действие не включает просмотр файлов из библиотеки документов с сайта SharePoint или One Drive для бизнеса в браузере. |
| PeopleResultsScopeSet |
Администратор сайта создает или изменяет источник результатов для поиска людей на сайте SharePoint. |
| PermissionSyncSettingModified |
Пользователь изменяет параметры синхронизации разрешений проекта в Project Web App. |
| PermissionTemplateModified |
Пользователь создает, изменяет или удаляет шаблон разрешений в веб-приложении Project. |
| PortfolioDataAccessed |
Пользователь обращается к содержимому портфеля (библиотека драйверов, определение приоритетов драйверов, анализ портфеля) в веб-приложении Project. |
| PortfolioDataModified |
Пользователь создает, изменяет или удаляет данные портфеля (библиотека драйверов, определение приоритетов драйверов, анализ портфеля) в веб-приложении Project. |
| PreviewModeEnabledSet |
Администратор сайта включает предварительный просмотр документов для сайта SharePoint. |
| ProjectAccessed |
Пользователь обращается к содержимому проекта в веб-приложении Project. |
| ProjectCheckedIn |
Пользователь выполняет проверку проекта, извлеченного из веб-приложения Project. |
| ProjectCheckedOut |
Пользователь извлекает проект, расположенный в веб-приложении Project. Пользователи могут извлекать и вносить изменения в проекты, для открытия которых у них есть разрешение. |
| ProjectCreated |
Пользователь создает проект в веб-приложении Project. |
| ProjectDeleted |
Пользователь удаляет проект в веб-приложении Project. |
| ProjectForceCheckedIn |
Пользователь принудительно выполняет проверка в проекте в веб-приложении Project. |
| ProjectModified |
Пользователь изменяет проект в веб-приложении Project. |
| ProjectPublished |
Пользователь публикует проект в веб-приложении Project. |
| ProjectWorkflowRestarted |
Пользователь перезапускает рабочий процесс в веб-приложении Project. |
| PWASettingsAccessed |
Пользователи получают доступ к параметрам веб-приложения Project через CSOM. |
| PWASettingsModified |
Пользователь изменяет конфигурацию веб-приложения Project. |
| QueueJobStateModified |
Пользователь отменяет или перезапускает задание очереди в Веб-приложении Project. |
| QuotaWarningEnabledModified |
Изменено предупреждение о квоте хранилища. |
| RenderingEnabled |
Шаблоны формы с поддержкой веб-браузера будут отображаться с использованием InfoPath Forms Services. |
| ReportingAccessed |
Пользователь обращается к конечной точке отчетов в Веб-приложении Project. |
| ReportingSettingModified |
Пользователь изменяет конфигурацию отчетов в Project Web App. |
| ResourceAccessed |
Пользователь обращается к содержимому корпоративного ресурса в веб-приложении Project. |
| ResourceCheckedIn |
Пользователь выполняет проверку корпоративного ресурса, извлеченного из веб-приложения Project. |
| ResourceCheckedOut |
Пользователь извлекает корпоративный ресурс, расположенный в веб-приложении Project. |
| ResourceCreated |
Пользователь создает корпоративный ресурс в веб-приложении Project. |
| ResourceDeleted |
Пользователь удаляет корпоративный ресурс в веб-приложении Project. |
| ResourceForceCheckedIn |
Пользователь принудительно выполняет проверку корпоративного ресурса в веб-приложении Project. |
| ResourceModified |
Пользователь изменяет корпоративный ресурс в Веб-приложении Project. |
| ResourcePlanCheckedInOrOut |
Пользователь возвращает или выходит из плана ресурсов в Веб-приложении Project. |
| ResourcePlanModified |
Пользователь изменяет план ресурсов в веб-приложении Project. |
| ResourcePlanPublished |
Пользователь публикует план ресурсов в веб-приложении Project. |
| ResourceRedacted |
Пользователь отредактирует корпоративный ресурс, удаляя всю личную информацию в веб-приложении Project. |
| ResourceWarningEnabledModified |
Изменено предупреждение о квоте ресурсов. |
| SSOGroupCredentialsSet |
В службе Secure Store установлены учетные данные группы. |
| SSOUserCredentialsSet |
В службе Secure Store установлены учетные данные пользователя. |
| SearchCenterUrlSet |
Задан URL-адрес центра поиска. |
| SecondaryMySiteOwnerSet |
Пользователь добавил совладельца на свой личный сайт. |
| SecurityCategoryModified |
Пользователь создает, изменяет или удаляет категорию безопасности в веб-приложении Project. |
| SecurityGroupModified |
Пользователь создает, изменяет или удаляет группу безопасности в Веб-приложении Project. |
| SendToConnectionAdded |
Глобальный администратор создает подключение для отправки на странице управления записями в Центре администрирования SharePoint. Подключение для отправки определяет параметры для репозитория документов или центра записей. При создании подключения для отправки организатор контента может отправлять документы в указанное расположение. |
| SendToConnectionRemoved |
Глобальный администратор удаляет подключение для отправки на странице управления записями в Центре администрирования SharePoint. |
| SharedLinkCreated |
Пользователь создает ссылку на общий файл в SharePoint или OneDrive для бизнеса. Эту ссылку можно отправить другим людям, чтобы предоставить им доступ к файлу. Пользователь может создавать ссылки двух типов: ссылку, с помощью которой можно просмотреть и изменить общий файл, или ссылку, которая позволяет только просматривать файл. |
| SharedLinkDisabled |
Пользователь отключает (окончательно) ссылку, созданную для совместного использования файла. |
| SharingInvitationAccepted* |
Пользователь принимает приглашение на совместное использование файла или папки. Это событие регистрируется в журнале, когда пользователь делится файлом с другими лицами. |
| SharingRevoked |
Пользователь отменяет совместное использование файла или папки, к которым ранее предоставил общий доступ другим лицам. Это событие регистрируется в журнале, когда пользователь прекращает совместное использование файла с другими лицами. |
| SharingSet |
Пользователь предоставляет общий доступ к файлу или папке, расположенным в SharePoint или OneDrive для бизнеса, другому лицу в своей организации. |
| SiteAdminChangeRequest |
Пользователь отправляет запрос на добавление себя в качестве администратора семейства веб-сайтов SharePoint. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. |
| SiteCollectionAdminAdded* |
Администратор или владелец семейства веб-сайтов добавляет пользователя в качестве администратора семейства веб-сайтов для сайта SharePoint или OneDrive. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. |
| SiteCollectionCreated |
Глобальный администратор создает семейство веб-сайтов в вашей организации SharePoint. |
| SiteRenamed |
Администратор или владелец сайта переименовывает сайт SharePoint или OneDrive для бизнеса. |
| StatusReportModified |
Пользователь создает, изменяет или удаляет отчет о состоянии в веб-приложении Project. |
| SyncGetChanges |
Пользователь щелкает Синхронизация в области действий в SharePoint или OneDrive для бизнеса, чтобы синхронизировать со своим компьютером все изменения, внесенные в файл в библиотеке документов. |
| SyntexBillingSubscriptionSettingsChanged |
Параметры подписки на выставление счетов Syntex изменились. Это событие активируется по истечении срока действия пробной версии Syntex. |
| TaskStatusAccessed |
Пользователь обращается к состоянию одной или нескольких задач в Веб-приложении Project. |
| TaskStatusApproved |
Пользователь утверждает обновление состояния одной или нескольких задач в Project Web App. |
| TaskStatusRejected |
Пользователь отклоняет обновление состояния одной или нескольких задач в Project Web App. |
| TaskStatusSaved |
Пользователь сохраняет обновление состояния одной или нескольких задач в Веб-приложении Project. |
| TaskStatusSubmitted |
Пользователь отправляет обновление состояния одной или нескольких задач в Project Web App. |
| TimesheetAccessed |
Пользователь обращается к расписанию в веб-приложении Project. |
| TimesheetApproved |
Пользователь утверждает расписание в Веб-приложении Project. |
| TimesheetRejected |
Пользователь отклоняет расписание в Веб-приложении Project. |
| TimesheetSaved |
Пользователь сохраняет расписание в веб-приложении Project. |
| TimesheetSubmitted |
Пользователь отправляет расписание состояния в веб-приложении Project. |
| UnmanagedSyncClientBlocked |
Пользователь пытается установить отношение синхронизации с сайтом SharePoint или OneDrive для бизнеса с компьютера, который не входит в домен вашей организации или входит в домен, который не добавлен в список доменов (так называемый список надежных получателей), который позволяет получить доступ к библиотекам документов в вашей организации. Отношение синхронизации запрещено, поэтому с компьютера пользователя не разрешается синхронизировать, скачивать или передавать файлы в библиотеке документов. Дополнительные сведения об этой функции см. в статье Использование командлетов Windows PowerShell для включения синхронизации OneDrive для доменов, включенных в список надежных получателей. |
| UpdateSSOApplication |
В службе Secure Store обновлено конечное приложение. |
| UserAddedToGroup |
Администратор или владелец сайта добавляет пользователя в группу на сайте SharePoint или OneDrive для бизнеса. При добавлении в группу пользователю предоставляются назначенные ей разрешения. |
| UserRemovedFromGroup |
Администратор или владелец сайта удаляет пользователя из группы на сайте SharePoint или OneDrive для бизнеса. После удаления пользователь лишается разрешений, назначенных группе. |
| WorkflowModified |
Пользователь создает, изменяет или удаляет этапы или этапы корпоративного типа проекта или рабочего процесса в веб-приложении Project. |
Операции с файлами SharePoint
Эту схему используют события SharePoint, связанные с файлами и перечисленные в разделе "Действия с файлами и папками" в разделе Поиск журнала аудита в центре соответствия требованиям.
|
Параметр |
Тип |
Обязательный? |
Описание |
| SiteUrl |
Edm.String |
Да |
URL-адрес сайта, на котором расположены файл или папка, к которым получил доступ пользователь. |
| SourceRelativeUrl |
Edm.String |
Нет |
URL-адрес папки с файлом, к которому получил доступ пользователь. Сочетание значений параметров SiteURL, SourceRelativeURL и SourceFileName совпадает со значением свойства ObjectID , которое является полным именем пути к файлу, к которому обращается пользователь. |
| SourceFileName |
Edm.String |
Да |
Имя файла или папки, к которым получил доступ пользователь. |
| SourceFileExtension |
Edm.String |
Нет |
Расширение файла, к которому получил доступ пользователь. Это свойство пустое, если объект, к которому получен доступ, представляет собой папку. |
| DestinationRelativeUrl |
Edm.String |
Нет |
URL-адрес конечной папки, в которую копируется или перемещается файл. Сочетание значений параметров SiteURL, DestinationRelativeURL и DestinationFileName совпадает со значением свойства ObjectID , которое является полным именем пути к скопированному файлу. Это свойство отображается только для событий FileCopied и FileMoved. |
| DestinationFileName |
Edm.String |
Нет |
Имя скопированного или перемещенного файла. Это свойство отображается только для событий FileCopied и FileMoved. |
| DestinationFileExtension |
Edm.String |
Нет |
Расширение скопированного или перемещенного файла. Это свойство отображается только для событий FileCopied и FileMoved. |
| UserSharedWith |
Edm.String |
Нет |
Пользователь, которому предоставлен общий доступ к ресурсу. |
| SharingType |
Edm.String |
Нет |
Тип разрешения на общий доступ, назначенный пользователю, которому предоставлен доступ к ресурсу. Этот пользователь идентифицируется с помощью параметра UserSharedWith . |
| SourceLabel |
Edm.String |
Нет |
Оригинальная метка файла до ее изменения в результате действий пользователя. |
| DestinationLabel |
Edm.String |
Нет |
Окончательная метка файла после ее изменения в результате действий пользователя. |
| SensitivityLabelOwnerEmail |
Edm.String |
Нет |
Адрес электронной почты владельца метки конфиденциальности. |
| SensitivityLabelId |
Edm.String |
Нет |
Текущий ID метки конфиденциальности файла. |
Операции над списками в SharePoint
Эту схему используют списки и связанные со списками события SharePoint, перечисленные в разделе "Действия SharePoint со списками" в разделе Поиск журнала аудита в центре соответствия требованиям.
|
Параметр |
Тип |
Обязательный? |
Описание |
| ListTitle |
Edm.String |
Нет |
Название списка SharePoint. |
| ListName |
Edm.String |
Нет |
Имя списка SharePoint. |
| ListUrl |
Edm.String |
Нет |
URL-адрес списка относительно содержащего его веб-сайта. |
| ListBaseType |
Edm.String |
Нет |
Получает или задает значение, которое указывает зависящее от реализации значение, определяющее положение дополнительного действия на странице. |
| ListBaseTemplateType |
Edm.String |
Нет |
Тип определения списка, на котором основан список. |
| IsHiddenList |
Edm.Boolean |
Нет |
Этой переменной присваивается значение True, если список SharePoint скрыт. |
| IsDocLib |
Edm.Boolean |
Нет |
Этой переменной присваивается значение True, если список SharePoint имеет тип "библиотека документов". |
Схема общего доступа SharePoint
События SharePoint, связанные с общим доступом к файлам. Они отличаются от событий, связанных с файлами и папками, так как пользователь выполняет действие, которое определенным образом влияет на другого пользователя. Сведения о схеме совместного доступа SharePoint см. в разделе Использование аудита общего доступа в журнале аудита.
|
Параметр |
Тип |
Обязательный? |
Описание |
| TargetUserOrGroupName |
Edm.String |
Нет |
В этом параметре хранится имя участника-пользователя для целевого пользователя или группы, которым предоставлен общий доступ к ресурсу. |
| TargetUserOrGroupType |
Edm.String |
Нет |
Указывает на тип целевого пользователя или группы: участник, гость, группа или партнер. |
| EventData |
XML code |
Нет |
Сообщает дополнительные сведения о выполненном действии предоставления общего доступа (например, добавлении пользователя в группу или предоставлении разрешений на правку). |
| SiteUrl |
Edm.String |
Нет |
URL-адрес сайта, на котором расположены файл или папка, к которым получил доступ пользователь. |
| SourceRelativeUrl |
Edm.String |
Нет |
URL-адрес папки с файлом, к которому получил доступ пользователь. Сочетание значений параметров SiteURL, SourceRelativeURL и SourceFileName совпадает со значением свойства ObjectID , которое является полным именем пути к файлу, к которому обращается пользователь. |
| SourceFileName |
Edm.String |
Нет |
Имя файла или папки, к которым получил доступ пользователь. |
| SourceFileExtension |
Edm.String |
Нет |
Расширение файла, к которому получил доступ пользователь. Это свойство пустое, если объект, к которому получен доступ, представляет собой папку. |
| UniqueSharingId |
Edm.String |
Нет |
Уникальный ID общего доступа, связанный с операцией общего доступа. |
Схема SharePoint
Эту схему используют события SharePoint, перечисленные в разделе "Действия SharePoint со списками" (за исключением событий, связанных с файлами и папками) в разделе Поиск журнала аудита в центре соответствия требованиям.
|
Параметр |
Тип |
Обязательный? |
Описание |
| CustomEvent |
Edm.String |
Нет |
Необязательная строка для настраиваемых событий. |
| EventData |
Edm.String |
Нет |
Необязательные полезные данные для настраиваемых событий. |
| ModifiedProperties |
Collection(ModifiedProperty) |
Нет |
Это свойство включается для действий администратора, таких как добавление пользователя в качестве участника сайта или члена группы администраторов семейства веб-сайтов. Значение включает имя измененного свойства (например, группы администраторов сайта), новое значение измененного свойства (например, пользователя, добавленного в качестве администратора сайта) и предыдущее значение измененного объекта. |
Схема Project
|
Параметр |
Тип |
Обязательный? |
Описание |
| Entity |
Edm.String |
Да |
Элемент ProjectEntity, для которого предназначался аудит. |
| Action |
Edm.String |
Да |
Выполненное действие ProjectAction. |
| OnBehalfOfResId |
Edm.Guid |
Нет |
ИД ресурса, от имени которого выполнено действие. |
Enum: Project Action; Type: Edm.Int32
Действие Project
|
Имя элемента |
Описание |
| Accepted |
Пользователь принял событие или рабочий процесс. |
| Accessed |
Пользователь получил доступ к сущности. |
| Activated |
Пользователь активировал сущность, событие или рабочий процесс. |
| Cancelled |
Пользователь отменил событие или рабочий процесс. |
| CheckedIn |
Пользователь записывает сущность после изменения. |
| CheckedOut |
Пользователь получает сущность для изменения. |
| Copied |
Пользователь скопировал сущность. |
| Created |
Пользователь создал сущность. |
| Deactivated |
Пользователь отключил сущность. |
| Deleted |
Пользователь удалил сущность. |
| Exported |
Пользователь экспортировал сущность. |
| ForceCheckedIn |
Пользователь применил принудительную запись сущности после изменения. |
| Modified |
Пользователь изменил сущность. |
| Published |
Пользователь опубликовал сущность. |
| Redacted |
Пользователь отредактировал сущность. |
| Rejected |
Пользователь отклонил сущность. |
| Restarted |
Пользователь перезапустил событие или рабочий процесс. |
| Saved |
Пользователь сохранил сущность. |
| Sent |
Пользователь отправил сущность. |
| Submitted |
Пользователь отправил сущность для проверки или рабочего процесса. |
Enum: Project Entity; Type: Edm.Int32
Объект Project
|
Имя элемента |
Описание |
| CustomField |
Представляет корпоративное настраиваемое поле. |
| Driver |
Представляет драйвер портфеля. |
| DriverPrioritization |
Представляет приоритеты портфеля. |
| Engagement |
Представляет задействование ресурсов. |
| EnterpriseCalendar |
Представляет корпоративный календарь ресурсов. |
| EnterpriseProjectType |
Представляет тип корпоративного проекта. |
| FiscalPeriod |
Представляет финансовый период. |
| GanttChartFormat |
Представляет формат диаграммы Ганта. |
| GroupingFormat |
Представляет формат группировки представления. |
| LineClassification |
Представляет классификацию строк расписания. |
| LookupTable |
Представляет корпоративную таблицу подстановки. |
| PermissionTemplate |
Представляет шаблон разрешения безопасности. |
| PortfolioAnalysis |
Представляет анализ портфеля. |
| Project |
Представляет проект. |
| QueueJob |
Представляет задание в очереди. |
| QuickLaunch |
Представляет элемент панели быстрого запуска. |
| Reporting |
Представляет конечную точку отчетов. |
| Resource |
Представляет корпоративный ресурс. |
| ResourcePlan |
Представляет план ресурсов, связанный с проектом. |
| SecurityCategory |
Представляет категорию безопасности. |
| SecurityGroup |
Представляет группу безопасности. |
| Setting |
Представляет параметр веб-приложения Project |
| Statusing |
Представляет обновление состояния задачи. |
| StatusReport |
Представляет отчет о состоянии. |
| TimeReportingPeriod |
Представляет период времени для расписания. |
| Timesheet |
Представляет сущность расписания. |
| TimesheetAuditLog |
Представляет журнал аудита расписания. |
| TimesheetManager |
Представляет диспетчер расписания. |
| UserDelegate |
Представляет делегирование пользователя для другого пользователя. |
| View |
Представляет определение представления. |
| WorkflowPhase |
Представляет этап в рабочем процессе. |
| WorkflowStage |
Представляет стадию в рабочем процессе. |
Схема администрирования Exchange
|
Параметры |
Тип |
Обязательный |
Описание |
| ModifiedObjectResolvedName |
Edm.String |
Нет |
Это понятное имя объекта, измененного командлетом. Оно записывается в журнал, только если командлет изменяет объект. |
| Параметры |
Collection(Common.NameValuePair) |
Нет |
Имя и значения всех параметров, которые использовались с командлетом, указанным в свойстве Operations. |
| ModifiedProperties |
Collection(Common.ModifiedProperty) |
Нет |
Это свойство включается для событий администрирования. Оно включает имя и новое значение измененного свойства, а также предыдущее значение измененного объекта. |
| ExternalAccess |
Edm.Boolean |
Да |
Указывает, кто запустил командлет: пользователь в вашей организации, сотрудник центра данных Майкрософт, учетная запись службы центра данных или полномочный администратор. Значение False означает, что командлет был запущен пользователем в вашей организации. Значение True значит, что командлет запустили сотрудник центра данных Майкрософт, учетная запись службы центра данных или полномочный администратор. |
| OriginatingServer |
Edm.String |
Нет |
Имя сервера, с которого выполнен командлет. |
| OrganizationName |
Edm.String |
Нет |
Имя клиента. |
| DeviceId |
Edm.String |
Нет |
Доступно только для зарегистрированного или присоединенного к домену устройства. |
| TokenObjectId |
Edm.String |
Да |
Утверждение oid маркеров Microsoft Entra. |
| TokenTenantId |
Edm.String |
Да |
утверждение tid маркеров Microsoft Entra. |
Схема почтовых ящиков Exchange
|
Параметры |
Тип |
Обязательный |
Описание |
| LogonType |
Self.LogonType |
Нет |
Указывает на тип пользователя, который получил доступ к почтовому ящику и выполнил операцию, зарегистрированную в журнале. |
| InternalLogonType |
Self.LogonType |
Нет |
Зарезервировано для внутреннего использования. |
| MailboxGuid |
Edm.String |
Нет |
GUID почтового ящика Exchange, к которому получен доступ. |
| MailboxOwnerUPN |
Edm.String |
Нет |
Адрес электронной почты пользователя, владеющего почтовым ящиком, к которому получен доступ. |
| MailboxOwnerSid |
Edm.String |
Нет |
ИД безопасности (SID) владельца почтового ящика. |
| MailboxOwnerMasterAccountSid |
Edm.String |
Нет |
ИД безопасности главной учетной записи, принадлежащей владельцу почтового ящика. |
| LogonUserSid |
Edm.String |
Нет |
ИД безопасности пользователя, выполнившего операцию. |
| LogonUserDisplayName |
Edm.String |
Нет |
Понятное имя пользователя, который выполнил операцию. |
| ExternalAccess |
Edm.Boolean |
Да |
Имеет значение true, если домен пользователя, выполнившего вход, отличается от домена владельца почтового ящика. |
| OriginatingServer |
Edm.String |
Нет |
Расположение, из которого выполнена операция. |
| OrganizationName |
Edm.String |
Нет |
Имя клиента. |
| ClientInfoString |
Edm.String |
Нет |
Информация о почтовом клиенте, использованном для выполнения операции (например, версия браузера, версия Outlook и сведения о мобильном устройстве). |
| ClientIPAddress |
Edm.String |
Нет |
IP-адрес устройства, которое использовалось при регистрации операции в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. |
| ClientMachineName |
Edm.String |
Нет |
Имя компьютера, на котором размещен клиент Outlook. |
| ClientProcessName |
Edm.String |
Нет |
Почтовый клиент, который использовался для доступа к почтовому ящику. |
| ClientVersion |
Edm.String |
Нет |
Версия почтового клиента. |
| DeviceId |
Edm.String |
Нет |
Доступно только для зарегистрированного или присоединенного к домену устройства. |
| TokenObjectId |
Edm.String |
Да |
Утверждение oid маркеров Microsoft Entra. |
| TokenTenantId |
Edm.String |
Да |
утверждение tid маркеров Microsoft Entra. |
Enum: LogonType; Type: Edm.Int32
LogonType
|
Значение |
Имя элемента |
Описание |
| 0 |
Owner |
Владелец почтового ящика. |
| 1 |
Admin |
Пользователь с правами администратора почтового ящика другого пользователя. |
| 2 |
Delegated |
Пользователь, которому делегированы права для почтового ящика другого пользователя. |
| 3 |
Transport |
Служба транспорта в центре данных Майкрософт. |
| 4 |
SystemService |
Учетная запись службы в центре данных Майкрософт. |
| 5 |
BestAccess |
Зарезервировано для внутреннего использования. |
| 6 |
DelegatedAdmin |
Полномочный администратор. |
Схема ExchangeMailboxAuditGroupRecord
|
Параметры |
Тип |
Обязательный? |
Описание |
| Folder |
Self.ExchangeFolder |
Нет |
Папка, в которой расположена группа элементов. |
| CrossMailboxOperations |
Edm.Boolean |
Нет |
Указывает, применялась ли операция к нескольким почтовым ящикам. |
| DestMailboxId |
Edm.Guid |
Нет |
Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает GUID целевого почтового ящика. |
| DestMailboxOwnerUPN |
Edm.String |
Нет |
Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает имя участника-пользователя целевого почтового ящика. |
| DestMailboxOwnerSid |
Edm.String |
Нет |
Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает ИД безопасности целевого почтового ящика. |
| DestMailboxOwnerMasterAccountSid |
Edm.String |
Нет |
Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает ИД безопасности (SID) для SID главной учетной записи владельца целевого почтового ящика. |
| DestFolder |
Self.ExchangeFolder |
Нет |
Конечная папка для операций, таких как Move. |
| Folders |
Collection(Self.ExchangeFolder) |
Нет |
Сведения об исходных папках, задействованных при операции (например, в случае выбора папок с последующим их удалением). |
| AffectedItems |
Collection(Self.ExchangeItem) |
Нет |
Сведения о каждом элементе в группе. |
Схема ExchangeMailboxAuditRecord
|
Параметры |
Тип |
Обязательный? |
Описание |
| Item |
Self.ExchangeItem |
Нет |
Представляет элемент, с которым выполнена операция. |
| ModifiedProperties |
Collection(Edm.String) |
Нет |
Подлежит уточнению. |
| SendAsUserSmtp |
Edm.String |
Нет |
SMTP-адрес олицетворяемого пользователя. |
| SendAsUserMailboxGuid |
Edm.Guid |
Нет |
GUID почтового ящика Exchange, к которому получен доступ для отправки электронной почты. |
| SendOnBehalfOfUserSmtp |
Edm.String |
Нет |
SMTP-адрес пользователя, от имени которого отправляется электронная почта. |
| SendOnBehalfOfUserMailboxGuid |
Edm.Guid |
Нет |
GUID почтового ящика Exchange, к которому получен доступ для отправки почты от его имени. |
Сложный тип ExchangeItem
|
Параметры |
Тип |
Обязательный? |
Описание |
| Id |
Edm.String |
Да |
ИД хранилища. |
| Subject |
Edm.String |
Нет |
Строка темы сообщения, к которому получен доступ. |
| ParentFolder |
Edm.ExchangeFolder |
Нет |
Имя папки, в которой расположен элемент. |
| Attachments |
Edm.String |
Нет |
Список имен и размер файлов всех элементов, вложенных в сообщение. |
Сложный тип ExchangeFolder
|
Параметры |
Тип |
Обязательный? |
Описание |
| Id |
Edm.String |
Да |
Идентификатор хранилища объекта папки. |
| Path |
Edm.String |
Нет |
Имя папки почтового ящика, где расположено сообщение, к которому получен доступ. |
Схема проверки подлинности OWA
|
Parameters |
Тип |
Обязательный? |
Описание |
| UniqueTokenIdentifier |
Edm.String |
Нет |
Уникальный идентификатор ресурса. |
| ResourceURL |
Edm.String |
Нет |
URL-адрес ресурса. |
Базовая схема Azure Active Directory
|
Параметры |
Тип |
Обязательный? |
Описание |
| AzureActiveDirectoryEventType |
Self.AzureActiveDirectoryEventType |
Да |
Тип события Microsoft Entra. |
| ExtendedProperties |
Collection(Common.NameValuePair) |
Нет |
Расширенные свойства события Microsoft Entra. |
| ModifiedProperties |
Collection(Common.ModifiedProperty) |
Нет |
Это свойство включено для событий администрирования. Оно включает имя, а также новое и предыдущее значения измененного свойства. |
Enum: AzureActiveDirectoryEventType; Type: Edm.Int32
AzureActiveDirectoryEventType
|
Имя элемента |
Описание |
| AccountLogon |
Событие входа в учетную запись. |
| AzureApplicationAuditEvent |
Событие, связанное с безопасностью приложения Azure. |
Схема входа в учетную запись Azure Active Directory
|
Параметры |
Тип |
Обязательный? |
Описание |
| Application |
Edm.String |
Нет |
Приложение, которое активирует событие входа в учетную запись (например, Office 15). |
| Client |
Edm.String |
Нет |
Сведения о клиентском устройстве, ОС и браузере устройства, которое использовалось для входа в учетную запись. |
| LoginStatus |
Edm.Int32 |
Да |
Значение этого свойства берется непосредственно из параметра OrgIdLogon.LoginStatus. Различные представляющие интерес ошибки входа можно сопоставить с помощью алгоритмов оповещения. |
| UserDomain |
Edm.String |
Да |
Сведения об удостоверении клиента (TII). |
Enum: CredentialType; Type: Edm.Int32
|
Значение |
Имя элемента |
Описание |
| –1 |
Other |
Другой способ проверки подлинности. |
| 0 |
Password |
Учетные данные пользователя — имя пользователя и пароль. |
| 1 |
MobilePhone |
Учетные данные пользователя — мобильный телефон. |
| 2 |
SecretQuestion |
Учетные данные пользователя — секретный вопрос. |
| 3 |
SecurePin |
Учетные данные пользователя — надежный PIN-код. |
| 4 |
SecurePinReset |
Учетные данные пользователя — сброс надежного PIN-кода. |
| 11 |
EasyID |
Учетные данные пользователя — EasyID. |
| 14 |
PasswordIndexCredentialType |
Учетные данные пользователя — PasswordIndexCredentialType. |
| 16 |
Device |
Учетные данные пользователя — устройство. |
| 17 |
ForeignRealmIndex |
Учетные данные пользователя — ForeignRealmIndex. |
Enum: LoginType; Type: Edm.Int32
|
Значение |
Имя элемента |
Описание |
| –1 |
Other |
Другой тип проверки подлинности. |
| 1 |
InitialAuth |
Вход с начальной проверкой подлинности. |
| 2 |
CookieCopy |
Вход с использованием файла cookie. |
| 3 |
SilentReAuth |
Вход с автоматической повторной проверкой подлинности. |
Enum: AuthenticationMethod; Type: Edm.Int32
|
Значение |
Имя элемента |
Описание |
| 0 |
Min |
Способ проверки подлинности — Min. |
| 1 |
Password |
Способ проверки подлинности — пароль. |
| 2 |
Digest |
Способ проверки подлинности — дайджест. |
| 3 |
ProxyAuth |
Способ проверки подлинности — ProxyAuth. |
| 4 |
InfoCard |
Способ проверки подлинности — InfoCard. |
| 5 |
DAToken |
Способ проверки подлинности — DAToken. |
| 6 |
Sha1RememberMyPassword |
Способ проверки подлинности — Sha1RememberMyPassword. |
| 7 |
LMPasswordHash |
Способ проверки подлинности — LMPasswordHash. |
| 8 |
ADFSFederatedToken |
Способ проверки подлинности — ADFSFederatedToken. |
| 9 |
EID |
Способ проверки подлинности — EID. |
| 10 |
DeviceID |
Способ проверки подлинности — DeviceID. |
| 11 |
MD5 |
Способ проверки подлинности — MD5. |
| 12 |
EncProxyPasswordHash |
Способ проверки подлинности — EncProxyPasswordHash. |
| 13 |
LWAFederation |
Способ проверки подлинности — LWAFederation. |
| 14 |
Sha1HashedPassword |
Способ проверки подлинности — Sha1HashedPassword. |
| 15 |
SecurePin |
Способ проверки подлинности — безопасный PIN-код. |
| 16 |
SecurePinReset |
Способ проверки подлинности — безопасный сброс PIN-кода. |
| 17 |
SAML20PostSimpleSign |
Способ проверки подлинности — SAML20PostSimpleSign. |
| 18 |
SAML20Post |
Способ проверки подлинности — SAML20Post. |
| 19 |
OneTimeCode |
Способ проверки подлинности — одноразовый код. |
Схема Azure Active Directory
|
Параметры |
Тип |
Обязательный? |
Описание |
| Actor |
Collection(Self.IdentityTypeValuePair) |
Нет |
Пользователь или субъект-служба, которые выполнили действие. |
| ActorContextId |
Edm.String |
Нет |
GUID организации, в которую входит субъект. |
| ActorIpAddress |
Edm.String |
Нет |
IP-адрес субъекта в формате адреса IPV4 или IPV6. |
| InterSystemsId |
Edm.String |
Нет |
GUID, который отслеживает действия с компонентами в службе Office 365. |
| IntraSystemsId |
Edm.String |
Нет |
GUID, который создается в Azure Active Directory для отслеживания действия. |
| SupportTicketId |
Edm.String |
Нет |
Идентификатор запроса в службу поддержки от пользователя для действий от его имени. |
| Target |
Collection(Self.IdentityTypeValuePair) |
Нет |
Пользователь, с которым выполнено действие (определяется свойством Operation). |
| TargetContextId |
Edm.String |
Нет |
GUID организации, в которую входит целевой пользователь. |
Сложный тип IdentityTypeValuePair
|
Параметры |
Тип |
Обязательный? |
Описание |
| ИД |
Edm.String |
Да |
Значение удостоверения заданного типа. |
| Type |
Self.IdentityType |
Да |
Тип удостоверения. |
Enum: IdentityType; Type: Edm.Int32
IdentityType
|
Имя элемента |
Описание |
| Claim |
Удостоверение представляет собой утверждение в целях авторизации. |
| Name |
Имя субъекта, выполнившего действие аудита, или отображаемое имя целевого удостоверения. |
| Other |
Удостоверение субъекта другого типа (например, ObjectId в GUID), созданное в службе Office 365. |
| PUID |
Субъект, выполнивший действие аудита, или уникальный идентификатор целевого паспорта. |
| SPN |
Удостоверение субъекта-службы, если действие выполнено в службе Office 365. |
| UPN |
Имя участника-пользователя. |
Схема входа в службу маркеров безопасности Azure Active Directory
|
Параметры |
Тип |
Обязательный? |
Описание |
| ApplicationId |
Edm.String |
Нет |
GUID, который представляет приложение, запрашивающее вход. Отображаемое имя можно просмотреть с помощью API Graph Azure Active Directory. |
| Client |
Edm.String |
Нет |
Сведения о клиентском устройстве, предоставляемые браузером, с которого выполнен вход. |
| DeviceProperties |
Collection(Common.NameValuePair) |
Нет |
Это свойство включает различные сведения об устройстве, в том числе: Id, Display name, OS, Browser, IsCompliant, IsCompliantAndManaged, SessionId и DeviceTrustType. Свойство DeviceTrustType может принимать следующие значения:
0 — Microsoft Entra зарегистрировано
1 — Microsoft Entra присоединено
2 . Присоединено гибридное Microsoft Entra |
| ErrorCode |
Edm.String |
Нет |
Для неудачных попыток входа (если значением свойства Operation является UserLoginFailed) это свойство содержит код ошибки Azure Active Directory STS (AADSTS). Описания этих кодов ошибок см. в статье Коды ошибок проверки подлинности и авторизации. Значение 0 указывает на успешный вход. |
| LogonError |
Edm.String |
Нет |
Для неудачных попыток входа это свойство содержит понятное пользователю описание причины неудачного входа. |
Схема защиты от потери данных
События защиты от потери данных доступны для Exchange Online, конечных точек (устройств) и SharePoint Online, а также OneDrive для бизнеса. Обратите внимание, что события защиты от потери данных в Exchange доступны только для событий, выполненных на основе единой политики защиты от потери данных (например, настроенные с помощью Центра безопасности и соответствия требованиям). События защиты от потери данных, основанные на правилах транспорта Exchange, не поддерживаются.
В общей схеме событий защиты от потери данных всегда указываются следующие данные: UserKey="DlpAgent". Есть три типа событий защиты от потери данных, которые хранятся в виде значения свойства Operation общей схемы:
DlpRuleMatch. Указывает на сопоставление правила. Эти события существуют во всех exchange, endpoint(devices) и SharePoint Online и OneDrive для бизнеса. В Exchange они включают сведения о ложных срабатываниях и переопределениях. В SharePoint Online и OneDrive для бизнеса ложные срабатывания и переопределения создают отдельные события.
DlpRuleUndo - они существуют только в SharePoint Online и OneDrive для бизнеса и указывают на то, что ранее примененное действие политики было «отменено» - либо из-за ложного срабатывания / назначения переопределения пользователем, либо из-за того, что документ больше не подлежит политике (либо из-за к изменению политики или к содержанию в doc).
DlpInfo - они существуют только в SharePoint Online и OneDrive для бизнеса и указывают на ложное положительное обозначение, но ни одно действие не было «отменено».
|
Параметры |
Тип |
Обязательный |
Описание |
| SharePointMetaData |
Self.SharePointMetadata |
Нет |
Описывает метаданные документа в SharePoint или OneDrive для бизнеса, содержащего конфиденциальные сведения. |
| ExchangeMetaData |
Self.ExchangeMetadata |
Нет |
Описывает метаданные электронного сообщения, содержащего конфиденциальные сведения. |
| EndpointMetaData |
Сам. EndpointMetadata |
Нет |
Описывает метаданные документа в конечной точке, содержащего конфиденциальные сведения. |
| ExceptionInfo |
Edm.String |
Нет |
Указывает на причины, по которым политика больше не применяется, а также возможные сведения о ложных срабатываниях и переопределениях, обнаруженных пользователем. |
| PolicyDetails |
Collection(Self.PolicyDetails) |
Да |
Сведения об 1 или нескольких политиках, активировавших событие защиты от потери данных. |
| SensitiveInfoDetectionIsIncluded |
Boolean |
Да |
Указывает, содержит ли событие значение типа конфиденциальных данных и окружающий контекст из исходного контента. Для доступа к конфиденциальным данным требуется разрешение "Чтение событий политики защиты от потери данных, в том числе конфиденциальных сведений" в Azure Active Directory. |
Схема обнаружения электронных данных
Схема аудита обнаружения электронных данных предназначена для отслеживания и регистрации действий, связанных с процессами обнаружения электронных данных в организации.
|
Parameters |
Тип |
Обязательный |
Описание |
| CaseId |
Edm.Guid |
Нет |
Идентификатор (GUID) дела обнаружения электронных данных. |
| CaseName |
Edm.String |
Нет |
Имя дела обнаружения электронных данных. |
| Object1Id |
Edm.String |
Нет |
Идентификатор объекта (например, набор для поиска, удержания или проверки), который был создан, доступ к которому был изменен или был изменен. |
| Object1Name |
Edm.String |
Нет |
Имя объекта (например, набор для поиска, удержания или проверки), который был создан, доступ к которому был изменен или был изменен. |
| Object1Type |
Edm.String |
Нет |
Тип объекта eDiscovery, который пользователь создал, удалил или изменил. |
| Object2Id |
Edm.String |
Нет |
Идентификатор объекта (например, набор для поиска, удержания или проверки), который был создан, доступ к которому был изменен или был изменен. |
| Object2Name |
Edm.String |
Нет |
Имя объекта (например, набор для поиска, удержания или проверки), который был создан, доступ к которому был изменен или был изменен. |
| Object2Type |
Edm.String |
Нет |
Тип объекта eDiscovery, который пользователь создал, удалил или изменил. |
| StartTime |
Edm.Date |
Нет |
Дата и время в формате UTC, когда было запущено действие обнаружения электронных данных. |
| EndTime |
Edm.Date |
Нет |
Дата и время в формате UTC, когда было завершено действие обнаружения электронных данных. |
| UserCancelled |
Edm.Boolean |
Нет |
Была ли конкретная активность отменена пользователем. |
| ItemIds |
Collection(Edm.String) |
Нет |
Идентификаторы элементов, связанные с действием. |
| ItemNames |
Collection(Edm.String) |
Нет |
Имена элементов, связанных с действием. |
| DataSources |
Collection(Edm.String) |
Нет |
Список исходных идентификаторов, имен источников и расположений, связанных с действием. |
| QueryId |
Edm.String |
Нет |
Идентификатор запроса, связанного с действием. |
| QueryText |
Edm.String |
Нет |
Текст запроса, связанный с действием, например статистический процесс поиска или добавление в процесс проверки. |
| QueryFiles |
Collection(Edm.String) |
Нет |
Имена входных файлов, используемые для создания запроса. Это зависит от жеста поиска по файлам. |
| Параметры |
Collection(Common.NameValuePair) |
Нет |
Параметры, применяемые к действию обнаружения электронных данных. |
| ExtendedProperties |
Collection(Common.NameValuePair) |
Нет |
Дополнительные свойства, связанные с действием обнаружения электронных данных. |
| ExportName |
Edm.String |
Нет |
Имя экспорта обнаружения электронных данных. |
| JobId |
Edm.String |
Нет |
GUID процесса обнаружения электронных данных. |
| RecordNumber |
Edm.String |
Нет |
Используется, когда запись аудита делится на несколько частей из-за размера. Он указывает последовательность каждой части в общих разбиениях. |
|
Параметры |
Тип |
Обязательный? |
Описание |
| From |
Edm.String |
Да |
Пользователь, который активировал событие. Возможное значение: FileOwner, LastModifier или LastSharer. |
| itemCreationTime |
Edm.Date |
Да |
Метка даты и времени регистрации события в журнале в формате UTC. |
| SiteCollectionGuid |
Edm.Guid |
Да |
GUID семейства веб-сайтов. |
| SiteCollectionUrl |
Edm.String |
Да |
Имя сайта SharePoint. |
| FileName |
Edm.String |
Да |
Имя пути. |
| FileOwner |
Edm.String |
Да |
Владелец документа. |
| FilePathUrl |
Edm.String |
Да |
URL-адрес документа. |
| DocumentLastModifier |
Edm.String |
Да |
Пользователь, который последним изменил документ. |
| DocumentSharer |
Edm.String |
Да |
Пользователь, который последним изменил параметры общего доступа к документу. |
| UniqueId |
Edm.String |
Да |
GUID, определяющий файл. |
| LastModifiedTime |
Edm.DateTime |
Да |
Метка времени последнего изменения документа в формате UTC. |
| IsViewableByExternalUsers |
Edm.Boolean |
Да |
Определяет, доступен ли файл любому внешнему пользователю. |
|
Параметры |
Тип |
Обязательный? |
Описание |
| MessageID |
Edm.String |
Да |
Идентификатор электронного сообщения, активировавшего событие. |
| From |
Edm.String |
Да |
Пользователь, который отправил сообщение. |
| To |
Collection(Edm.String) |
Нет |
Коллекция электронных адресов, указанных в строке "Кому" сообщения. |
| CC |
Collection(Edm.String) |
Нет |
Коллекция электронных адресов, указанных в строке "Копия" сообщения. |
| BCC |
Collection(Edm.String) |
Нет |
Коллекция электронных адресов, указанных в строке "СК" сообщения. |
| Subject |
Edm.String |
Да |
Тема электронного сообщения. |
| Sent |
Edm.DateTime |
Да |
Время отправки сообщения в формате UTC. |
| RecipientCount |
Edm.Int32 |
Да |
Общее количество все получателей в строках "Кому", "Копия" и "СК" сообщения. |
|
Parameters |
Тип |
Обязательный? |
Описание |
| SensitiveInformation |
Collection(Self.SensitiveInformation) |
Нет |
Сведения о типе обнаруженных конфиденциальных сведений. |
| EnforcementMode |
Edm.String |
Да |
Укажите, задано ли для правила защиты от потери данных значение 1/2/3/4/5, отображающее audit/warn(block with override)/warn и bypass/block/allow (аудит без оповещений) соответственно. |
| FileExtension |
Edm.String |
Нет |
Расширение файла документа, содержащего конфиденциальную информацию. |
| FileType |
Edm.String |
Нет |
Тип файла документа, содержащего конфиденциальную информацию. |
| DeviceName |
Edm.String |
Нет |
Имя устройства, на котором было обнаружено соответствие правилу защиты от потери данных. |
Сложный тип PolicyDetails
|
Параметры |
Тип |
Обязательный? |
Описание |
| PolicyId |
Edm.Guid |
Да |
GUID политики защиты от потери данных для этого события. |
| PolicyName |
Edm.String |
Да |
Понятное имя политики защиты от потери данных для этого события. |
| Rules |
Collection(Self.Rules) |
Да |
Сведения о правилах в политике, сопоставленных с этим событием. |
Сложный тип Rules
|
Параметры |
Тип |
Обязательный? |
Описание |
| RuleId |
Edm.Guid |
Да |
GUID правила защиты от потери данных для этого события. |
| RuleName |
Edm.String |
Да |
Понятное имя правила защиты от потери данных для этого события. |
| Actions |
Collection(Edm.String) |
Нет |
Список действий, выполненных в результате события RuleMatch защиты от потери данных. |
| OverriddenActions |
Collection(Edm.String) |
Нет |
Список ранее выполненных действий, которые отменены в результате события DLPRuleUndo. |
| Severity |
Edm.String |
Нет |
Серьезность (низкая, средняя или высокая) сопоставленного правила. |
| RuleMode |
Edm.String |
Да |
Указывает, какое действие назначено для правила защиты от потери данных: "Принудительно", "Аудит и уведомление" или только "Аудит". |
| ConditionsMatched |
Self.ConditionsMatched |
Нет |
Сведения об условиях правила, сопоставленных с этим событием. |
Сложный тип ConditionsMatched
|
Параметры |
Тип |
Обязательный? |
Описание |
| SensitiveInformation |
Collection(Self.SensitiveInformation) |
Нет |
Сведения о типе обнаруженных конфиденциальных сведений. |
| DocumentProperties |
Collection(NameValuePair) |
Нет |
Сведения о свойствах документа, активировавших соответствие правилу. |
| OtherConditions |
Collection(NameValuePair) |
Нет |
Список пар "ключ-значение", описывающих другие сопоставленные условия. |
|
Параметры |
Тип |
Обязательный? |
Описание |
| Confidence |
Edm.Int |
Да |
Общий доверительный уровень всех сопоставлений шаблонов для типа конфиденциальной информации. |
| Count |
Edm.Int |
Да |
Общее количество обнаруженных экземпляров конфиденциальных сведений. |
| Location |
Edm.String |
Нет |
|
| SensitiveType |
Edm.Guid |
Да |
GUID, определяющий тип обнаруженных конфиденциальных данных. |
| SensitiveInformationDetections |
Self.SensitiveInformationDetections |
Нет |
Массив объектов, которые содержат конфиденциальные данные, с сопоставленным значением и его контекстом. |
SensitiveInformationDetailed
ClassificationAttributes |
Collection(SensitiveInformationDetailed
ConfidenceLevelResult) |
Да |
Сведения о количестве типов конфиденциальной информации, обнаруженных для каждого из трех уровней доверия (высокий, средний и низкий), и если он соответствует правилу защиты от потери данных. |
| SensitiveInformationTypeName |
Edm.String |
Нет |
Имя типа конфиденциальной информации. |
| UniqueCount |
Edm.Int32 |
Да |
Количество обнаруженных уникальных экземпляров конфиденциальных сведений. |
|
Параметры |
Тип |
Обязательный? |
Описание |
| Confidence |
Edm.int32 |
Да |
Доверительный уровень шаблона, который был обнаружен. |
| Count |
Edm.Int32 |
Да |
Количество конфиденциальных экземпляров, обнаруженных для определенного уровня достоверности. |
| IsMatch |
Edm.Boolean |
Да |
Указывает, соответствует ли данное количество доверительному уровню обнаруженного типа конфиденциальной информации в правиле DLP. |
Чувствительные к DLP данные доступны только в API feed активности пользователям, которым предоставлены разрешения «Чтение конфиденциальных данных DLP».
|
Параметры |
Тип |
Обязательный? |
Описание |
| DetectedValues |
Collection(Common.NameValuePair) |
Да |
Массив обнаруженных конфиденциальных сведений. Сведения содержат пары ключевых значений со значением Value = совпадающим значением (например, Значение кредита карта) и Context = отрывок из исходного содержимого, содержащего совпадающее значение. |
| ResultsTruncated |
Edm.Boolean |
Да |
Указывает, усекались ли журналы из-за большого количества результатов. |
Сложный тип ExceptionInfo
|
Параметры |
Тип |
Обязательный? |
Описание |
| Reason |
Edm.String |
Нет |
Этот параметр указывает одну из 3 причин, по которой правило больше не применяется к событию DLPRuleUndo: Override (переопределение), Document Change (изменение документа) или Policy Change (изменение политики). |
| FalsePositive |
Edm.Boolean |
Нет |
Указывает, обозначил ли пользователь это событие как ложное срабатывание. |
| Justification |
Edm.String |
Нет |
Здесь записано указанное пользователем обоснование, если он решил переопределить политику. |
| Rules |
Collection(Edm.Guid) |
Нет |
Коллекция идентификаторов GUID для каждого правила, которое определено в качестве ложного срабатывании или переопределения либо для которого отменено действие. |
Схема Центра безопасности и соответствия требованиям
|
Параметры |
Тип |
Обязательный |
Описание |
| StartTime |
Edm.Date |
Нет |
Дата и время выполнения командлета. |
| ClientRequestId |
Edm.String |
Нет |
GUID, с помощью которого этот командлет можно сопоставить с операциями, выполняемыми при помощи интерфейса Центра безопасности и соответствия требованиям. Эти сведения использует только служба поддержки Майкрософт. |
| CmdletVersion |
Edm.String |
Нет |
Версия сборки командлета на момент его выполнения. |
| EffectiveOrganization |
Edm.String |
Нет |
GUID организации, на которую повлиял командлет. (Это устаревший параметр, который вскоре будет удален.) |
| UserServicePlan |
Edm.String |
Нет |
План обслуживания Exchange Online Protection, назначенный пользователю, который выполнил командлет. |
| ClientApplication |
Edm.String |
Нет |
Если командлет был выполнен приложением, в отличие от удаленного PowerShell, это поле содержит имя этого приложения. |
| Параметры |
Edm.String |
Нет |
Имена и значения параметров, которые использовались с командлетом и не содержат личных сведений. |
| NonPiiParameters |
Edm.String |
Нет |
Имена и значения параметров, которые использовались с командлетом и содержат личные сведения. (Это устаревшее поле, которое вскоре будет удалено. Его содержимое будет объединено с полем Parameters.) |
Схема оповещений о безопасности и соответствии требованиям
Сигналы оповещений:
Параметры UserId и UserKey этих событий всегда относятся к элементу SecurityComplianceAlerts. Существует три типа событий оповещений, хранящиеся в виде значения свойства Operation общей схемы:
AlertTriggered. Создается новое оповещение по причине соответствия политике.
AlertEntityGenerated. Новая сущность добавляется в оповещение. Это событие применяется только к оповещениям, создаваемым на основе политик оповещений в Центре безопасности и соответствия требованиям. Каждое созданное оповещение можно связать с одним или несколькими такими событиями. Например, политика оповещений настроена на срабатывание оповещения, если любой пользователь удаляет более 100 файлов в течение 5 минут. Если два пользователя превышают пороговое значение за то же время, возникает два события AlertEntityGenerated, но только одно событие AlertTriggered.
AlertUpdated — обновлены метаданные оповещения. Это событие записывается в журнал при изменении состояния оповещения (например, c состояния "Активно" на "Разрешено"), когда кто-то добавляет комментарий к оповещению.
|
Параметры |
Тип |
Обязательный |
Описание |
| AlertId |
Edm.Guid |
Да |
GUID оповещения. |
| AlertType |
Self.String |
Да |
Тип оповещения. Типы оповещений:- Системные
- Пользовательские
|
| Name |
Edm.String |
Да |
Имя оповещения. |
| PolicyId |
Edm.Guid |
Нет |
GUID политики, вызвавшей оповещение. |
| Status |
Edm.String |
Нет |
Состояние оповещения. Состояния:Активное - Изучается
- Устранено
- Закрыто
|
| Severity |
Edm.String |
Нет |
Степень серьезности оповещения. Степени серьезности: |
| Category |
Edm.String |
Нет |
Категория оповещения. Категории:- AccessGovernance
- DataGovernance
- DataLossPrevention
- InsiderRiskManagement
- MailFlow
- ThreatManagement
- Другое
|
| Source |
Edm.String |
Нет |
Источник оповещения. Источники:- Безопасность и соответствие требованиям Office 365
- Cloud App Security
|
| Comments |
Edm.String |
Нет |
Примечания, оставленные пользователями, которые просмотрели оповещение. Это "Новое оповещение" по умолчанию. |
| Data |
Edm.String |
Нет |
Большой двоичный объект с подробными данными оповещения или сущности оповещения. |
| AlertEntityId |
Edm.String |
Нет |
Идентификатор для сущности оповещения. Этот параметр применяется только для событий AlertEntityGenerated. |
| EntityType |
Edm.String |
Нет |
Тип оповещения или сущности оповещения. Типы сущностей:- User
- Recipients
- Sender
- MalwareFamily
Этот параметр применяется только для событий AlertEntityGenerated. |
Схема Yammer
Эта схема используется в событиях Yammer, перечисленных в статье Поиск в журнале аудита в Центре безопасности и соответствия требованиям.
|
Параметры |
Тип |
Обязательный |
Описание |
| ActorUserId |
Edm.String |
Нет |
Адрес электронной почты пользователя, который выполнил операцию. |
| ActorYammerUserId |
Edm.Int64 |
Нет |
Идентификатор пользователя, который выполнил операцию. |
| DataExportType |
Edm.String |
Нет |
Возвращает значение data, если экспортированные данные включают сообщения, заметки, файлы, темы, пользователей и группы. Возвращает значение user, если экспортированные данные содержат только пользователей. |
| FileId |
Edm.Int64 |
Нет |
Идентификатор файла, с которым выполнена операция. |
| FileName |
Edm.String |
Нет |
Имя файла, с которым выполнена операция. Пустое значение, если не касается операции. |
| GroupName |
Edm.String |
Нет |
Имя группы, с которой выполнена операция. Пустое значение, если не касается операции. |
| IsSoftDelete |
Edm.Boolean |
Нет |
Возвращает значение true, если для политики хранения данных в сети задано значение Soft Delete (обратимое удаление). Возвращает значение false, если для политики хранения данных в сети установлено значение Hard Delete (необратимое удаление). |
| MessageId |
Edm.Int64 |
Нет |
Идентификатор сообщения, с которым выполнена операция. |
| ModifiedProperties |
Collection(ModifiedProperty) |
Нет |
Включает имя измененного свойства, новое значение измененного объекта и предыдущее значение измененного объекта. |
| YammerNetworkId |
Edm.Int64 |
Нет |
Сетевой идентификатор пользователя, который выполнил операцию. |
| TargetObjectId |
Edm.String |
Нет |
Entra Id целевого пользователя в операции. |
| TargetUserId |
Edm.String |
Нет |
Электронный адрес целевого пользователя, с которым выполнена операция. Пустое значение, если не касается операции. |
| TargetYammerUserId |
Edm.Int64 |
Нет |
Идентификатор целевого пользователя, с которым выполнена операция. |
| ThreadId |
Edm.Int64 |
Нет |
Идентификатор потока message в операции. |
| VersionId |
Edm.Int64 |
Нет |
Идентификатор версии файла, с которым выполнена операция. |
Базовая схема безопасности центра обработки данных
|
Параметры |
Тип |
Обязательный? |
Описание |
| DataCenterSecurityEventType |
Self.DataCenterSecurityEventType |
Да |
Тип события командлета в защищенном хранилище. |
Enum: DataCenterSecurityEventType; Type: Edm.Int32
DataCenterSecurityEventType
|
Имя элемента |
Описание |
| DataCenterSecurityCmdletAuditEvent |
Значение перечисления для события, связанного с типом аудита командлета. |
Схема командлетов для обеспечения безопасности центра обработки данных
|
Параметры |
Тип |
Обязательный? |
Описание |
| StartTime |
Edm.Date |
Да |
Время начала выполнения командлета. |
| EffectiveOrganization |
Edm.String |
Да |
Имя клиента, для которого предназначалось повышение прав или командлет. |
| ElevationTime |
Edm.Date |
Да |
Время начала повышения прав. |
| ElevationApprover |
Edm.String |
Да |
Имя менеджера Майкрософт. |
| ElevationApprovedTime |
Edm.Date |
Нет |
Метка времени, когда утверждено повышение прав. |
| ElevationRequestId |
Edm.Guid |
Да |
Уникальный идентификатор запроса на повышение прав. |
| ElevationRole |
Edm.String |
Нет |
Роль, для которой запрошено повышение прав. |
| ElevationDuration |
Edm.Int32 |
Да |
Период, в течение которого было активным повышение прав. |
| GenericInfo |
Edm.String |
Нет |
Используется для комментариев и других общих сведений. |
Схема Microsoft Teams
|
Параметры |
Тип |
Обязательный? |
Описание |
| Action |
Edm.String |
Нет |
Для отправленных событий канала действие, предпринятое приглашенным или владельцем канала для общего доступ с приглашением команды. |
| AddOnGuid |
Edm.Guid |
Нет |
Уникальный идентификатор надстройки, создавшей событие. |
| AddOnName |
Edm.String |
Нет |
Имя надстройки, создавшей событие. |
| AddOnType |
Self.AddOnType |
Нет |
Тип надстройки, создавшей это событие. |
| ChannelGuid |
Edm.Guid |
Нет |
Уникальный идентификатор канала, для которого выполняется аудит. |
| ChannelName |
Edm.String |
Нет |
Имя канала, для которого выполняется аудит. |
| ChannelType |
Edm.String |
Нет |
Тип проверяемого канала (стандартный или закрытый). |
| ExtraProperties |
Collection(Self.KeyValuePair) |
Нет |
Список дополнительных свойств. |
| HostedContents |
Collection(Self.HostedContent) |
Нет |
Коллекция размещенного содержимого сообщений чата или канала. |
| Приглашенный |
Edm.String |
Нет |
Для отправленных событий канала UPN владельца команды приглашенного, который принимает или отклоняет приглашение на общий доступ с приглашением команды. |
| Members |
Collection(Self.MicrosoftTeamsMember) |
Нет |
Список пользователей в группе. |
| MessageId |
Edm.String |
Нет |
Идентификатор сообщения чата или канала. |
| MessageURLs |
Edm.String |
Нет |
Присутствует для любого URL-адреса, отправленного в сообщениях Teams. |
| Сообщения |
Collection(Self.Message) |
Нет |
Коллекция сообщений чата или канала. |
| MessageSizeInBytes |
Edm.Int64 |
Нет |
Размер сообщения чата или канала в байтах с кодированием UTF-16. |
| Имя |
Edm.String |
Нет |
Присутствует только для событий параметров. Имя измененного параметра. |
| NewValue |
Edm.String |
Нет |
Присутствует только для событий параметров. Новое значение параметра. |
| OldValue |
Edm.String |
Нет |
Присутствует только для событий параметров. Старое значение параметра. |
| SubscriptionId |
Edm.String |
Нет |
Уникальный идентификатор подписки на уведомления об изменениях Microsoft Graph. |
| TabType |
Edm.String |
Нет |
Присутствует только для событий вкладок. Тип вкладки, создавшей событие. |
| TeamGuid |
Edm.Guid |
Нет |
Уникальный идентификатор группы, для которой выполняется аудит. |
| TeamName |
Edm.String |
Нет |
Имя группы, для которой выполняется аудит. |
Сложный тип MicrosoftTeamsMember
|
Параметры |
Тип |
Обязательный? |
Описание |
| UPN |
Edm.String |
Нет |
Имя участника-пользователя. |
| Role |
Self.MemberRoleType |
Нет |
Роль пользователя в группе. |
| DisplayName |
Edm.String |
Нет |
Отображаемое имя пользователя. |
Enum: MemberRoleType; Type: Edm.Int32
MemberRoleType
|
Значение |
Имя элемента |
Описание |
| 0 |
Member |
Пользователь, который входит в группу. |
| 1 |
Owner |
Владелец группы. |
| 2 |
Guest |
Пользователь, который не входит в группу. |
Сложный тип KeyValuePair
|
Parameters |
Тип |
Обязательный? |
Описание |
| Key |
Edm.String |
Нет |
Ключ в паре "ключ — значение". |
| Value |
Edm.String |
Нет |
Значение в паре "ключ — значение". |
Enum: AddOnType; Type: Edm.Int32
AddOnType
|
Значение |
Имя элемента |
Описание |
| 1 |
Bot |
Программа-робот Microsoft Teams. |
| 2 |
Connector |
Соединитель Microsoft Teams. |
| 3 |
Tab |
Вкладка Microsoft Teams. |
Сложный тип HostedContent
|
Параметры |
Тип |
Обязательный? |
Описание |
| Id |
Edm.String |
Да |
Уникальный идентификатор размещенного содержимого сообщения. |
| SizeInBytes |
Edm.Int64 |
Нет |
Размер размещенного содержимого сообщения в байтах. |
Сложный тип сообщения
|
Параметры |
Тип |
Обязательный? |
Описание |
| AADGroupId |
Edm.String |
Нет |
Уникальный идентификатор группы в Azure Active Directory, к которой относится сообщение. |
| Id |
Edm.String |
Да |
Уникальный идентификатор сообщения чата или канала. |
| ChannelGuid |
Edm.String |
Нет |
Уникальный идентификатор канала, к которому принадлежит сообщение. |
| ChannelName |
Edm.String |
Нет |
Название канала, к которому относится сообщение. |
| ChannelType |
Edm.String |
Нет |
Тип канала, к которому относится сообщение. |
| ChatName |
Edm.String |
Нет |
Имя чата, к которому относится сообщение. |
| ChatThreadId |
Edm.String |
Нет |
Уникальный идентификатор чата, к которому относится сообщение. |
| ParentMessageId |
Edm.String |
Нет |
Уникальный идентификатор родительского сообщения чата или канала. |
| SizeInBytes |
Edm.Int64 |
Нет |
Размер сообщения в байтах с кодированием UTF-16. |
| TeamGuid |
Edm.String |
Нет |
Уникальный идентификатор команды, к которой относится сообщение. |
| TeamName |
Edm.String |
Нет |
Имя команды, к которой относится сообщение. |
| Версия |
Edm.String |
Нет |
Версия сообщения чата или канала. |
Схема Microsoft Defender для Office 365 с анализом угроз и реагированием на них
События Microsoft Defender для Office 365 и исследования угроз с реагированием на них доступны для клиентов Office 365, у которых есть подписка на Defender для Office 365 (план 1), Defender для Office 365 (план 2) или E5. Каждое событие в веб-канале Defender для Office 365 соответствует следующим действиям, которые были расценены как содержащие угрозу:
События, связанные с электронными сообщениями
|
Параметры |
Тип |
Обязательный? |
Описание |
| AttachmentData |
Collection(Self.AttachmentData) |
Нет |
Данные о вложениях в сообщение, активировавшее событие. |
| DetectionType |
Edm.String |
Да |
Тип обнаружения (например, В тексте — обнаружены во время доставки; Отложенный — обнаружены после доставки; ZAP — сообщения, удаленные с помощью функции автоматическая защита). Как правило, события для типа обнаружения ZAP предшествуют сообщению с типом обнаружения Отложенный. |
| DetectionMethod |
Edm.String |
Да |
Метод или технология, используемая Defender для Office 365 для обнаружения. |
| InternetMessageId |
Edm.String |
Да |
Идентификатор интернет-сообщения. |
| NetworkMessageId |
Edm.String |
Да |
Идентификатор сетевого сообщения Exchange Online. |
| P1Sender |
Edm.String |
Да |
Обратный путь к отправителю сообщения. |
| P2Sender |
Edm.String |
Да |
Отправитель исходного сообщения. |
| Политика |
Self.Policy |
Да |
Тип политики фильтрации (например, защита от нежелательной почты или защита от фишинга) и связанный тип действия (например, Нежелательное сообщение с высокой степенью уверенности, Нежелательное сообщение или Фишинг), соответствующие сообщению электронной почты. |
| Политика |
Self.PolicyAction |
Да |
Действие, настроенное в политике фильтрации (например, Переместить в папку нежелательной почты или Поместить на карантин), соответствующее сообщению электронной почты. |
| P2Sender |
Edm.String |
Да |
Отправитель исходного сообщения. |
| Получатели |
Collection(Edm.String) |
Да |
Массив получателей сообщения. |
| SenderIp |
Edm.String |
Да |
IP-адрес, с которого отправлено сообщение Office 365. IP-адрес отображается в формате адреса IPv4 или IPv6. |
| Subject |
Edm.String |
Да |
Строка темы сообщения. |
| Verdict |
Edm.String |
Да |
Заключение о сообщении. |
| MessageTime |
Edm.Date |
Да |
Дата и время указаны в соответствии со всемирным координированным временем (UTC) и отражают момент получения или отправки электронного сообщения. |
| EventDeepLink |
Edm.String |
Да |
Глубокая ссылка на событие электронной почты в проводнике или в отчете в реальном времени в Центр безопасности и соответствия требованиям Office 365. |
| Действие доставки |
Edm.String |
Да |
Исходное действие доставки сообщения электронной почты. |
| Исходное расположение доставки |
Edm.String |
Да |
Исходное расположение доставки сообщения электронной почты. |
| Последнее расположение доставки |
Edm.String |
Да |
Последнее расположение доставки сообщения электронной почты во время события. |
| Направление |
Edm.String |
Да |
Определяет, было ли сообщение электронной почты входящим, исходящим или сообщением внутри организации. |
| ThreatsAndDetectionTech |
Edm.String |
Да |
Угрозы и соответствующие технологии обнаружения. В этом поле указываются все угрозы в сообщении электронной почты, включая последнее добавление решения о спаме. Например, ["Фишинг: [спуфинг DMARC]","Спам: [репутация вредоносного URL-адреса]"]. Ниже описаны различные технологии обнаружения угроз. |
| AdditionalActionsAndResults |
Collection(Edm.String) |
Нет |
Дополнительные действия, выполненные с электронной почтой, например автоматическая очистка или ручное исправление. Также включает соответствующие результаты. |
| Connectors |
Edm.String |
Нет |
Имена и GUID соединителей, связанных с электронной почтой. |
| AuthDetails |
Collection(Self.AuthDetails) |
Нет |
Проверки подлинности, проведенные для электронной почты. Также включает значения для SPF, DKIM, DMARC и CompAuth. |
| SystemOverrides |
Collection(Self.SystemOverrides) |
Нет |
Переопределения, применимые к электронной почте. Это могут быть системные переопределения или переопределения пользователей. |
| Доверительный уровень фишинга |
Edm.String |
Нет |
Указывает доверительный уровень, связанный с решением о фишинге. Возможные значения: "Обычный" или "Высокий". |
Примечание.
Рекомендуется использовать новое поле ThreatsAndDetectionTech, так как в нем указывается несколько решений и обновленные технологии обнаружения. Это поле также соответствует значениям, которые вы видели в других интерфейсах, таких как "Обозреватель угроз" и "Расширенная охота".
Технологии обнаружения
| Имя |
Описание |
| Расширенный фильтр |
Фишинговые сигналы на основе машинного обучения. |
| Подсистема защиты от вредоносных программ |
Обнаружение из подсистемы защиты от вредоносных программ. |
| Кампания |
Сообщения, идентифицированные как часть кампании. |
| Репутация домена |
Анализ на основе репутации домена. |
| Отключение файла |
Во время анализа обнаружено, что вложенные файлы являются небезопасными. |
| Репутация отключения файла |
Вложенный файл помечен как небезопасный из-за репутации предыдущего отключения. |
| Репутация файла |
Вложенные файлы помечены как небезопасные из-за плохой репутации. |
| Сопоставление отпечатков |
Сообщение помечено как небезопасное из-за предыдущих сообщений. |
| Общий фильтр |
Фишинговые сигналы на основе правил. |
| Олицетворение фирменной символики |
Тип вложенного файла. |
| Олицетворение домена |
Олицетворение доменов, которые определяет клиент или которыми он владеет. |
| Олицетворение пользователя |
Олицетворение пользователей, определенное администратором или с помощью аналитики почтовых ящиков. |
| Олицетворение на основе аналитики почтовых ящиков |
Олицетворение на основе аналитики почтовых ящиков. |
| Обнаружение с помощью смешанного анализа |
Решение по этому сообщению принято с использованием нескольких фильтров. |
| Спуфинг DMARC |
Сбой проверки подлинности DMARC для сообщений. |
| Спуфинг внешнего домена |
Отправитель пытается подделать другой домен. |
| Спуфинг внутри организации |
Отправитель пытается подделать домен получателя. |
| Отключение URL-адресов |
Сообщение было признано небезопасным из-за предыдущего отключения вредоносных URL-адресов. |
| Репутация отключения URL-адресов |
Сообщение было признано небезопасным из-за отключения вредоносных URL-адресов. |
| Репутация вредоносного URL-адреса |
Сообщение было признано небезопасным из-за вредоносного URL-адреса. |
Сложный тип AttachmentData
AttachmentData
|
Параметры |
Тип |
Обязательный? |
Описание |
| FileName |
Edm.String |
Да |
Имя вложенного файла. |
| FileType |
Edm.String |
Да |
Тип вложенного файла. |
| FileVerdict |
Self.FileVerdict |
Да |
Заключение о вредоносности файла. |
| MalwareFamily |
Edm.String |
Нет |
Тип вредоносности файла. |
| SHA256 |
Edm.String |
Да |
Хэш файла SHA256. |
Примечание.
В семействе Malware вы сможете увидеть точное имя MalwareFamily (например, HTML/Phish.VS! MSR) или вредоносные полезные данные в виде статической строки. Полезные данные вредоносной программы по-прежнему следует рассматривать как вредоносные сообщения электронной почты, если конкретное имя не определено.
Сложный тип SystemOverrides
SystemOverrides
|
Параметры |
Тип |
Обязательный? |
Описание |
| Details |
Edm.String |
Нет |
Сведения о конкретном примененном переопределении (например, ETR или надежный отправитель). |
| FinalOverride |
Edm.String |
Нет |
Указывает переопределение, повлиявшее на доставку в случае нескольких переопределений. |
| Result |
Edm.String |
Нет |
Указывает, было ли сообщение разрешено или заблокировано в зависимости от переопределения. |
| Source |
Edm.String |
Нет |
Указывает, было ли переопределение настроено пользователем или клиентом. |
Сложный тип AuthDetails
AuthDetails
|
Параметры |
Тип |
Обязательный? |
Описание |
| Имя |
Edm.String |
Нет |
Имя конкретной проверки подлинности, например DKIM или DMARC. |
| Value |
Edm.String |
Нет |
Значение, связанное с конкретной проверкой подлинности, например True или False. |
Enum: FileVerdict; Type: Edm.Int32
FileVerdict
|
Значение |
Имя элемента |
Описание |
| 0 |
Good |
Угрозы не обнаружены. |
| 1 |
Bad |
Во вложении обнаружена вредоносная программа. |
| –1 |
Error |
Ошибка при сканировании или анализе. |
| –2 |
Timeout |
Превышено время ожидания при сканировании или анализе. |
| –3 |
Pending |
Сканирование или анализ не завершены. |
Enum: Policy; Type: Edm.Int32
Тип политики и тип действия
|
Значение |
Имя элемента |
Описание |
| 1 |
Anti-spam, HSPM |
Действие "Нежелательное сообщение с высокой степенью уверенности" (HSPM) в политике защиты от нежелательной почты. |
| 2 |
Anti-spam, SPM |
Действие "Нежелательное сообщение" (SPM) в политике защиты от нежелательной почты. |
| 3 |
Anti-spam, Bulk |
Групповое действие в политике защиты от нежелательной почты. |
| 4 |
Anti-spam, PHSH |
Действие "Фишинг" (PHSH) в политике защиты от нежелательной почты. |
| 5 |
Anti-phish, DIMP |
Действие подмены домена (DIMP) в политике защиты от фишинга. |
| 6 |
Anti-phish, UIMP |
Действие подмены пользователя (DIMP) в политике защиты от фишинга. |
| 7 |
Anti-phish, SPOOF |
Действие подделки в политике защиты от фишинга. |
| 8 |
Anti-phish, GIMP |
Действие аналитики почтового ящика в политике защиты от фишинга. |
| 9 |
Anti-malware, AMP |
Действие в политике защиты от вредоносных программ. |
| 10 |
Safe attachment, SAP |
Действие в политике безопасных вложений в Defender для Office 365. |
| 11 |
Exchange transport rule, ETR |
Действие политики в правиле транспорта Exchange. |
| 12 |
Anti-malware, ZAPM |
Действие в политике защиты от вредоносных программ, применяемое для автоматической очистки (ZAP). |
| 13 |
Anti-phish, ZAPP |
Действие в политике защиты от фишинга, применяемое для ZAP. |
| 14 |
Anti-phish, ZAPS |
Действие в политике защиты от нежелательной почты, применяемое для ZAP. |
| 15 |
Защита от нежелательной почты, фишинговое сообщение с высокой вероятностью (HPHISH) |
Действие политики "Фишинг с высокой вероятностью" в политике защиты от нежелательной почты. |
| 17 |
Защита от нежелательной почты, исходящая нежелательная почта (OSPM) |
Действие политики фильтрации исходящей нежелательной почты в политике защиты от нежелательной почты. |
Enum: PolicyAction; Type: Edm.Int32
Действие политики
|
Значение |
Имя элемента |
Описание |
| 0 |
MoveToJMF |
Действие политики состоит в перемещении в папку нежелательной почты. |
| 1 |
AddXHeader |
Действие политики состоит в добавлении X-заголовка к сообщению электронной почты. |
| 2 |
ModifySubject |
Действие политики состоит в изменении темы сообщения электронной почты с использованием сведений, указанных в политике фильтрации. |
| 3 |
Redirect |
Действие политики состоит в переадресации сообщения электронной почты на адрес электронной почты, указанный в политике фильтрации. |
| 4 |
Delete |
Действие политики состоит в удалении (отбрасывании) сообщения электронной почты. |
| 5 |
Quarantine |
Действие политики состоит в помещении сообщения электронной почты на карантин. |
| 6 |
NoAction |
Настройка политики не предполагает действий с сообщением электронной почты. |
| 7 |
BccMessage |
Действие политики состоит в отправке скрытой копии сообщения электронной почты на адрес электронной почты, указанный в политике фильтрации. |
| 8 |
ReplaceAttachment |
Действие политики состоит в замене вложения в сообщении электронной почты как указано в политике фильтрации. |
События выбора URL-адреса
|
Параметры |
Тип |
Обязательный? |
Описание |
| UserId |
Edm.String |
Да |
Идентификатор (например, электронный адрес) пользователя, который щелкнул URL-адрес. |
| AppName |
Edm.String |
Да |
Служба Office 365, из которой щелкнули URL-адрес (например, "Почта"). |
| URLClickAction |
Self.URLClickAction |
Да |
Действие щелчка для URL-адреса на основе политик организации для безопасных ссылок в Defender для Office 365. |
| SourceId |
Edm.String |
Да |
Идентификатор службы Office 365, с использованием которого было выполнено нажатие URL-адреса (например, идентификатор для службы "Почта" называется "идентификатором сетевого сообщения Exchange Online"). |
| TimeOfClick |
Edm.Date |
Да |
Дата и время щелчка URL-адреса в формате UTC. |
| URL |
Edm.String |
Да |
URL-адрес, который щелкнул пользователь. |
| UserIp |
Edm.String |
Да |
IP-адрес пользователя, который щелкнул URL-адрес. IP-адрес отображается в формате адреса IPv4 или IPv6. |
Enum: URLClickAction; Type: Edm.Int32
URLClickAction
События файлов
|
Параметры |
Тип |
Обязательный? |
Описание |
| FileData |
Self.FileData |
Да |
Данные о файле, запускающем событие. |
| SourceWorkload |
Self.SourceWorkload |
Да |
Рабочая нагрузка или служба, где был найден файл (например, SharePoint Online, OneDrive для бизнеса или Microsoft Teams) |
| DetectionMethod |
Edm.String |
Да |
Метод или технология, используемая Microsoft Defender для Office 365 для обнаружения. |
| LastModifiedDate |
Edm.Date |
Да |
Дата и время в формате UTC, когда файл был создан или изменен в последний раз. |
| LastModifiedBy |
Edm.String |
Да |
Идентификатор (например, адрес электронной почты) для пользователя, который создал или выполнил последнее изменение файла. |
| EventDeepLink |
Edm.String |
Да |
Глубокая ссылка на файл события в проводнике или отчетах, подготавливаемых в режиме реального времени в Центре безопасности и соответствия требованиям. |
Сложный тип FileData
FileData
|
Параметры |
Тип |
Обязательный? |
Описание |
| Documentid |
Edm.String |
Да |
Уникальный идентификатор для файла в SharePoint, OneDrive или Microsoft Teams. |
| FileName |
Edm.String |
Да |
Имя файла, запускающего событие. |
| FilePath |
Edm.String |
Да |
Путь (расположение) файла в SharePoint, OneDrive или Microsoft Teams. |
| FileVerdict |
Self.FileVerdict |
Да |
Заключение о вредоносности файла. |
| MalwareFamily |
Edm.String |
Нет |
Тип вредоносности файла. |
| SHA256 |
Edm.String |
Да |
Хэш файла SHA256. |
| FileSize |
Edm.String |
Да |
Размер файла в байтах. |
Enum: SourceWorkload; Type: Edm.Int32
SourceWorkload
|
Значение |
Имя элемента |
| 0 |
SharePoint Online |
| 1 |
OneDrive для бизнеса |
| 2 |
Microsoft Teams |
Схема sim-карты атаки
| Параметры |
Тип |
Обязательный? |
Описание |
| Идентификатор пакетной службы |
Edm.String |
Да |
Уникальный идентификатор для группы записей, которые обрабатываются вместе. |
| Идентификатор кампании |
Edm.String |
Да |
Уникальный идентификатор для кампании по обучению имитации атак. |
| UserDisplayName |
Edm.String |
Нет |
Отображаемое имя пользователя, участвующего в кампании по обучению имитации атак. |
| AttackTechnique |
Edm.String |
Нет |
Метод атаки, используемый в симуляции. |
| CampaignType |
Edm.String |
Нет |
Тип кампании имитации атак. К различным типам относятся кампания моделирования, обучающие кампании, автоматизация моделирования. |
| TimeData |
Edm.Date |
Нет |
Время запуска кампании. |
| EndTimeData |
Edm.Date |
Нет |
Время окончания кампании. |
| AttackSimEvent |
Self.AttackSimEventType |
Да |
Тип события (действие пользователя или состояние доставки сообщений). |
| ExtendedProperties |
Collection(Common.NameValuePair) |
Да |
Дополнительные свойства, связанные с записью аудита. |
Перечисление: AttackSimEventType — Тип: Edm.Int32
| Значение |
Имя члена |
Описание |
| 1 |
MessageDelivered |
Сообщение успешно доставлено получателю. |
| 2 |
MessageFailed |
Не удается доставить сообщение. |
| 6 |
Ввод учетных данных |
Пользователь ввел учетные данные в имитации фишинга для таких методов, как сбор учетных данных, ссылка во вложении. |
| 7 |
PermissionGranted |
Пользователь предоставил разрешение в имитации фишинга для таких методов, как предоставление согласия Oauth. |
| 8 |
LinkClicked |
Пользователь щелкнул URL-адрес имитации фишинга. |
| 10 |
AttachmentOpened |
Вложение, открытое пользователем для таких методов, как вложение вредоносных программ, ссылка во вложении. |
| 12 |
MessageRead |
Сообщение, открытое и прочитанное получателем. |
| 13 |
MessageReplied |
Получатель ответил на сообщение. |
| 14 |
MessageForwarded |
Сообщение, переадресованное другому пользователю. |
| 15 |
MessageReported |
Сообщение, отправленное получателем как фишинговое. |
| 16 |
MessageDeleted |
Сообщение удалено получателем. |
| 17 |
OutOfOffice |
Автоматические ответы в Outlook включены для получателя. |
| 18 |
PositiveReinforcementMessageDelivered |
Сообщение о положительном подкреплении успешно доставлено получателю. |
Схема Администратор sim-карты атаки
| Параметры |
Тип |
Обязательный? |
Описание |
| Идентификатор пакетной службы |
Edm.String |
Да |
Уникальный идентификатор для группы записей, которые обрабатываются вместе. |
| Идентификатор кампании |
Edm.String |
Да |
Уникальный идентификатор для кампании по обучению имитации атак. |
| AttackTechnique |
Edm.String |
Нет |
Метод атаки, используемый в симуляции. |
| CampaignType |
Edm.String |
Нет |
Тип кампании имитации атак. К различным типам относятся кампания моделирования, обучающие кампании, автоматизация моделирования. |
| TimeData |
Edm.Date |
Да |
Время запуска кампании. |
| EndTimeData |
Edm.Date |
Да |
Время окончания кампании. |
| AttackSimAdminEvent |
Self.AttackSimAdminEventType |
Да |
Тип события администратора sim-карты атаки. |
| ExtendedProperties |
Collection(Common.NameValuePair) |
Да |
Дополнительные свойства, связанные с записью аудита. |
Перечисление: AttackSimAdminEventType — Тип: Edm.Int32
| Значение |
Имя члена |
Описание |
| 0 |
CampaignLaunched |
При запуске кампании по обучению имитации атак. Различные типы кампаний — симуляция, обучающие кампании. |
| 1 |
CampaignCompleted |
Когда была завершена кампания по обучению имитации атак. |
| 2 |
CampaignReportDownloaded |
Администратор скачал отчет о кампании. |
| 3 |
CampaignReportViewed |
Администратор просмотре отчета о кампании. |
| 4 |
CampaignCancelled |
Когда кампания по обучению имитации атак была отменена. |
| 5 |
CampaignScheduled |
Когда была запланирована кампания по обучению имитации атак. |
| 6 |
CampaignDeleted |
При удалении кампании по обучению имитации атак. |
| 7 |
SimulationExcluded |
Когда имитация была исключена из отчетов. |
| 8 |
AutomationSubmitted |
При отправке автоматизации включает в себя моделирование и автоматизацию полезных данных. |
| 9 |
AutomationTurnOn |
При включении автоматизации включает в себя имитацию и автоматизацию полезных данных. |
| 10 |
AutomationTurnOff |
При отключении автоматизации включает в себя имитацию и автоматизацию полезных данных. |
| 11 |
AutomationCompleted |
После завершения автоматизации моделирования. |
| 12 |
AutomationDeleted |
При удалении автоматизации включает в себя имитацию и автоматизацию полезных данных. |
Схема обучения пользователей
| Параметры |
Тип |
Обязательный? |
Описание |
| Идентификатор пакетной службы |
Edm.String |
Да |
Уникальный идентификатор для группы записей, которые обрабатываются вместе. |
| Идентификатор кампании |
Edm.String |
Да |
Уникальный идентификатор для кампании по обучению имитации атак. |
| Идентификатор курса |
Edm.String |
Да |
Уникальный идентификатор учебного курса. |
| UserDisplayName |
Edm.String |
Нет |
Отображаемое имя пользователя, участвующего в имитации атаки. |
| CampaignType |
Edm.String |
Да |
Тип кампании имитации атак. К различным типам относятся кампания моделирования, обучающие кампании, автоматизация моделирования. |
| TimeData |
Edm.Date |
Да |
Время запуска кампании. |
| EndTimeData |
Edm.Date |
Да |
Время окончания кампании. |
| UserTrainingEvent |
Self.UserTrainingEventType |
Да |
Тип события обучения пользователя. |
| ExtendedProperties |
Collection(Common.NameValuePair) |
Да |
Дополнительные свойства, связанные с записью аудита. |
Перечисление: UserTrainingEventType — Тип: Edm.Int32
| Значение |
Имя члена |
Описание |
| 1 |
TrainingAssigned |
Обучение, назначенное пользователю. |
| 2 |
TrainingUpdated |
Обучение обновлено для пользователей. |
| 3 |
TrainingCompleted |
Пользователь завершил обучение. |
| 4 |
TrainingPreviouslyAssigned |
Ранее было назначено обучение пользователю. |
| 5 |
TrainingNotCompleted |
Пользователь не завершил назначенное обучение. |
Схема отправки
События отправки доступны для всех клиентов Office 365, так как они предоставляются в рамках системы безопасности. Сюда относятся организации, использующие Exchange Online Protection и Microsoft Defender для Office 365. Каждое событие в веб-канале отправки соответствует ложным срабатываниям или ложноотрицательным результатам, отправленным как:
-
Отправка администратором. Сообщения, файлы или URL-адреса, отправленные в корпорацию Майкрософт для анализа.
-
Элемент, о котором уведомил пользователь. Сообщения, о которых конечные пользователи уведомили администратора или корпорацию Майкрософт с целью проверки.
События отправки
|
Параметры |
Тип |
Обязательный? |
Описание |
| AdminSubmissionRegistered |
Edm.String |
Нет |
Отправка администратором зарегистрирована и ожидает обработки. |
| AdminSubmissionDeliveryCheck |
Edm.String |
Нет |
Система отправки администратором проверила политику электронной почты. |
| AdminSubmissionSubmitting |
Edm.String |
Нет |
Система отправки администратора отправляет сообщение электронной почты. |
| AdminSubmissionSubmitted |
Edm.String |
Нет |
Система отправки администратором отправила сообщение электронной почты. |
| AdminSubmissionTriage |
Edm.String |
Нет |
Отправка администратором рассматривается средством оценки. |
| AdminSubmissionTimeout |
Edm.String |
Нет |
Время ожидания отправки администратором истекло без получения результатов. |
| UserSubmission |
Edm.String |
Нет |
Об отправке впервые сообщил конечный пользователь. |
| UserSubmissionTriage |
Edm.String |
Нет |
Отправка пользователем рассматривается средством оценки. |
| CustomSubmission |
Edm.String |
Нет |
Сообщение, о котором уведомил пользователь, было отправлено в пользовательский почтовый ящик организации, как установлено в параметрах сообщений, о которых уведомляют пользователи. |
| AttackSimUserSubmission |
Edm.String |
Нет |
Сообщение, о котором уведомил пользователь, на самом деле было сообщением учебной симуляции фишинга. |
| AdminSubmissionTablAllow |
Edm.String |
Нет |
Во время отправки было создано разрешение для немедленного действия с похожими сообщениями во время повторной проверки. |
| SubmissionNotification |
Edm.String |
Нет |
Отзыв администратора отправлен конечному пользователю. |
События автоматизированного анализа угроз и реагирования на них в Office 365
События автоматического исследования и реагирования (AIR) в Office 365 доступны для пользователей Office 365 с подпиской, включающей Microsoft Defender для Office 365 (план 2) или Office 365 E5. События анализа регистрируются в журнале на основе изменения в состоянии анализа. Например, если администратор выполняет действие, изменяющее состояние анализа с "Ожидание выполнения действия" на "Завершено", событие записывается в журнал.
В настоящее время в журнал записываются только события автоматизированного анализа угроз. (События анализа, созданного вручную, ожидаются в ближайшее время.) В журнал записываются следующие значения состояния:
- Исследование начато
- Угрозы не найдены
- Прервано системой
- Ожидание выполнения действия
- Обнаруженные угрозы
- Исправлено
- Не выполнено
- Прервано механизмом регулирования
- Прервано пользователем
- Работает
Основная схема анализа
| Имя |
Тип |
Описание |
| InvestigationId |
Edm.String |
Идентификатор исследования или идентификатор GUID. |
| InvestigationName |
Edm.String |
Имя исследования. |
| InvestigationType |
Edm.String |
Тип анализа. Принимается одно из следующих значений:
— Сообщения, о которых уведомили пользователи
— Вредоносные программы, попавшие в автоматическую очистку
— Фишинговые сообщения, попавшие в автоматическую очистку
— Изменение решения для URL-адреса(В настоящее время ручной анализ недоступен, но ожидается в ближайшее время.) |
| LastUpdateTimeUtc |
Edm.Date |
Время последнего обновления для исследования в формате UTC. |
| StartTimeUtc |
Edm.Date |
Время начала исследования. |
| Статус |
Edm.String |
Состояние анализа: выполняется, ожидание выполнения действия и т. д. |
| DeeplinkURL |
Edm.String |
URL-адрес прямой ссылки на исследование в Центре соответствия требованиям Office 365 безопасности &. |
| Действия |
Коллекция (Edm.String) |
Коллекция действий, рекомендуемых исследованием. |
| Data |
Edm.String |
Строка данных с дополнительными сведениями об объектах анализа и сведениями об оповещениях, связанных с анализом. Объекты доступны в отдельном узле в составе большого двоичного объекта. |
Действия
| Поле |
Тип |
Описание |
| ИД |
Edm.String |
Идентификатор действия |
| ActionType |
Edm.String |
Тип действия, например исправление электронной почты. |
| ActionStatus |
Edm.String |
Значения:
— Ожидание
— Выполняется
— Ожидание ресурса
— Завершено
— Сбой |
| ApprovedBy |
Edm.String |
Значение null, если утверждено автоматически; в противном случае — имя пользователя или идентификатор (ожидается в ближайшее время) |
| TimestampUtc |
Edm.DateTime |
Метка времени изменения состояния действия. |
| ActionId |
Edm.String |
Уникальный идентификатор действия. |
| InvestigationId |
Edm.String |
Уникальный идентификатор для исследования. |
| RelatedAlertIds |
Collection(Edm.String) |
Оповещения, связанные с исследованием. |
| StartTimeUtc |
Edm.DateTime |
Метка времени создания действия. |
| EndTimeUtc |
Edm.DateTime |
Метка времени обновления конечного состояния действия. |
| Идентификаторы ресурсов |
Edm.String |
Состоит из идентификатора клиента Azure Active Directory. |
| Объекты |
Collection(Edm.String) |
Список одной или нескольких затронутых сущностей по действию. |
| Идентификаторы соответствующих оповещений |
Edm.String |
Оповещение, связанное с исследованием. |
Объекты
MailMessage (электронная почта)
| Поле |
Тип |
Описание |
| Type |
Edm.String |
"mail-message" |
| Files |
Коллекция (Self.File) |
Сведения о файлах вложений этого сообщения. |
| Recipient |
Edm.String |
Получатель этого почтового сообщения. |
| Urls |
Коллекция(Self.URL) |
URL-адреса, содержащиеся в этом почтовом сообщении. |
| Sender |
Edm.String |
Электронный адрес отправителя. |
| SenderIP |
Edm.String |
IP-адрес отправителя. |
| ReceivedDate |
Edm.DateTime |
Дата получения этого сообщения. |
| NetworkMessageId |
Edm.Guid |
Идентификатор сетевого сообщения. |
| InternetMessageId |
Edm.String |
Идентификатор сообщения в Интернете для этого почтового сообщения. |
| Subject |
Edm.String |
Тема этого почтового сообщения. |
IP
| Поле |
Тип |
Описание |
| Type |
Edm.String |
"ip" |
| Address |
Edm.String |
IP-адрес в виде строки, например 127.0.0.1. |
URL
| Поле |
Тип |
Описание |
| Type |
Edm.String |
"url" |
| Url |
Edm.String |
Полный URL-адрес, на который указывает сущность. |
Mailbox (также аналогичен пользователю)
| Поле |
Тип |
Описание |
| Type |
Edm.String |
"mailbox" |
| MailboxPrimaryAddress |
Edm.String |
Основной адрес почтового ящика. |
| DisplayName |
Edm.String |
Отображаемое имя почтового ящика. |
| Upn |
Edm.String |
Имя участника-пользователя почтового ящика. |
File
| Поле |
Тип |
Описание |
| Type |
Edm.String |
"file" |
| Имя |
Edm.String |
Имя файла без пути. |
| FileHashes |
Коллекция (Edm.String) |
Хэши файлов, связанные с файлом. |
FileHash
| Поле |
Тип |
Описание |
| Type |
Edm.String |
"filehash" |
| Algorithm |
Edm.String |
Тип алгоритма хэширования. Может принимать одно из следующих значений:
— Неизвестно
— MD5
— SHA1
— SHA256
— SHA256AC |
| Value |
Edm.String |
Хэш-значение. |
MailCluster
| Поле |
Тип |
Описание |
| Type |
Edm.String |
"MailCluster"
Определяет тип обсуждаемой сущности. |
| NetworkMessageIds |
Коллекция (Edm.String) |
Список идентификаторов почтовых сообщений, входящих в почтовый кластер. |
| CountByDeliveryStatus |
Коллекции (Edm.String) |
Количество почтовых сообщений по строковом представлению DeliveryStatus. |
| CountByThreatType |
Коллекции (Edm.String) |
Количество почтовых сообщений по представлению строки ThreatType. |
| Threats |
Коллекции (Edm.String) |
Угрозы почтовых сообщений, входящих в почтовый кластер. Угрозы включают такие значения, как фишинг и вредоносные программы. |
| Query |
Edm.String |
Запрос, используемый для идентификации сообщений почтового кластера. |
| QueryTime |
Edm.DateTime |
Время запроса. |
| MailCount |
Edm.int |
Количество почтовых сообщений, входящих в почтовый кластер. |
| Source |
Строка |
Источник почтового кластера; значение источника кластера. |
Схема гигиенических событий
Гигиенические события связаны с защитой от спама. Эти события связаны с пользователями, которым запрещено отправлять электронную почту. Дополнительные сведения см. в указанных ниже статьях.
|
Параметры |
Тип |
Обязательный? |
Описание |
| Аудит |
Edm.String |
Нет |
Системная информация, связанная с гигиеническим событием. |
| Событие |
Edm.String |
Нет |
Тип гигиенического события. Значения для этого параметра перечислены или исключены. |
| EventId |
Edm.Int64 |
Нет |
Идентификатор типа гигиенического события. |
| EventValue |
Edm.String |
Нет |
Пользователь, который был затронут. |
| Reason |
Edm.String |
Нет |
Подробности о гигиеническом мероприятии. |
Схема Power BI
Эта схема используется в событиях Power BI, перечисленных в статье Поиск в журнале аудита в Центре защиты Office 365.
|
Параметры |
Тип |
Обязательный? |
Описание |
| AppName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Имя приложения, в котором возникло событие. |
| DashboardName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Имя информационной панели, в которой возникло событие. |
| DataClassification |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Классификация данных (при наличии) для информационной панели, в которой возникло событие. |
| DatasetName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Имя набора данных, в котором возникло событие. |
| MembershipInformation |
Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Сведения об участниках группы. |
| OrgAppPermission |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Список разрешений для приложения организации (всей организации, определенных пользователей или определенных групп). |
| ReportName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Имя отчета, в котором возникло событие. |
| SharingInformation |
Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Сведения о пользователе, которому отправлено приглашение к совместному использованию. |
| SwitchState |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Сведения о состоянии различных параметров уровня клиента. |
| WorkSpaceName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Имя рабочей области, в которой возникло событие. |
|
Параметры |
Тип |
Обязательный? |
Описание |
| MemberEmail |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Адрес электронной почты группы. |
| Status |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
В настоящее время не заполняется. |
|
Параметры |
Тип |
Обязательный? |
Описание |
| RecipientEmail |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Электронный адрес получателя приглашения к совместному использованию. |
| RecipientName |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Имя получателя приглашения к совместному использованию. |
| ResharePermission |
Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Нет |
Разрешение, предоставляемое получателю. |
Схема Dynamics 365
Записи аудита для событий, относящихся к приложениям на основе моделей в Dynamics 365, используют как базовую схему, так и схему операций объектов. Дополнительные сведения см. в статье о Включение и использование ведения журнала действий.
Базовая схема Dynamics 365
|
Параметры |
Тип |
Обязательный? |
Описание |
| CrmOrganizationUniqueName |
Edm.String |
Да |
Уникальное название организации. |
| InstanceUrl |
Edm.String |
Да |
URL-адрес экземпляра. |
| ItemUrl |
Edm.String |
Нет |
URL-адрес записи, создавшей журнал. |
| ItemType |
Edm.String |
Нет |
Имя объекта. |
| UserAgent |
Edm.String |
Нет |
Уникальный идентификатор GUID пользователя в организации. |
| Поля |
Collection(Common.NameValuePair) |
Нет |
Объект JSON, содержащий пары "ключ-значение" свойств, которые были созданы или обновлены. |
Схема операции объекта Dynamics 365
События объектов из приложений Dynamics 365 на основе моделей используют эту схему для дополнения базовой схемы Dynamics 365. Эта схема содержит сведения о операции объекта, инициировавшей событие, для которого выполнен аудит.
|
Параметры |
Тип |
Обязательный? |
Описание |
| EntityId |
Edm.Guid |
Нет |
Уникальный идентификатор объекта. |
| EntityName |
Edm.String |
Да |
Имя объекта в организации. Примеры объектов: contact или authentication. |
| Сообщение |
Edm.String |
Да |
Этот параметр содержит операцию, которая была выполнена в связи с объектом. Например, если был создан новый контакт, значение свойства Message — , Create а соответствующее значение свойства EntityName — contact. |
| Запрос |
Edm.String |
Нет |
Параметры запроса фильтра, использованные при выполнении операции FetchXML. |
| PrimaryFieldValue |
Edm.String |
Нет |
Указывает значение для атрибута, являющегося основным полем объекта. |
Схема службы "Рабочая аналитика"
Эта схема используется в событиях службы "Рабочая аналитика", перечисленных в статье Поиск в журнале аудита в Центре безопасности и соответствия требованиям Office 365.
|
Параметры |
Тип |
Обязательный? |
Описание |
| WpaUserRole |
Edm.String |
Нет |
Роль пользователя, выполнившего действие, в службе "Рабочая аналитика". |
| ModifiedProperties |
Коллекция (Common.ModifiedProperty) |
Нет |
Это свойство включает имя, а также новое и предыдущее значения измененного свойства. |
| OperationDetails |
Коллекция (Common.NameValuePair) |
Нет |
Список расширенных свойств для измененного параметра. Каждое свойство будет включать значения Name и Value. |
Схема карантина
Эта схема используется в событиях карантина, перечисленных в статье Поиск в журнале аудита в Центре безопасности и соответствия требованиям Office 365. Дополнительные сведения о карантине см. в разделе Сообщения электронной почты на карантине в Office 365.
|
Параметры |
Тип |
Обязательный? |
Описание |
| RequestType |
Self.RequestType |
Нет |
Тип карантинного запроса, выполненного пользователем. |
| RequestSource |
Self.RequestSource |
Нет |
Источником карантинного запроса может быть центр безопасности и соответствия требованиям (SCC), командлет или ссылка URL. |
| NetworkMessageId |
Edm.String |
Нет |
Идентификатор сетевого сообщения для находящегося в карантине почтового сообщения |
| ReleaseTo |
Edm.String |
Нет |
Получатель сообщения электронной почты. |
Enum: RequestType - Type: Edm.Int32
|
Value (Значение) |
Имя элемента |
Описание |
| 0 |
Предварительная версия |
Это запрос пользователя на предварительный просмотр сообщения электронной почты, которое признано потенциально опасным. |
| 1 |
Удалить |
Это запрос пользователя на удаление сообщения электронной почты, которое признано потенциально опасным. |
| 2 |
Выпуск |
Это запрос пользователя на освобождение сообщения электронной почты, которое признано потенциально опасным. |
| 3 |
Экспорт |
Это запрос пользователя на экспорт сообщения электронной почты, которое признано потенциально опасным. |
| 4 |
ViewHeader |
Это запрос пользователя на просмотр заголовка сообщения электронной почты, которое признано потенциально опасным. |
| 5 |
Запрос на разблокирование |
Это запрос пользователя на разблокирование сообщения электронной почты, которое признано потенциально опасным. |
Enum: RequestSource - Type: Edm.Int32
|
Value (Значение) |
Имя элемента |
Описание |
| 0 |
SCC |
Центр безопасности и соответствия требованиям (SCC) — это источник, из которого может исходить запрос пользователя на предварительный просмотр, удаление, освобождение, экспорт или просмотр заголовка потенциально опасных сообщений электронной почты. |
| 1 |
Командлет |
Командлет — это источник, из которого может исходить запрос пользователя на предварительный просмотр, удаление, освобождение, экспорт или просмотр заголовка потенциально опасных сообщений электронной почты. |
| 2 |
Ссылка URL |
Это источник, из которого может исходить запрос пользователя на предварительный просмотр, удаление, освобождение, экспорт или просмотр заголовка потенциально опасных сообщений электронной почты. |
Эта схема используется в событиях службы Microsoft Forms, перечисленных в статье Поиск в журнале аудита в Центре безопасности и соответствия требованиям Office 365.
|
Параметры |
Тип |
Обязательный? |
Описание |
| FormsUserTypes |
Collection(Self.FormsUserTypes) |
Да |
Роль пользователя, выполнившего действие. Значения этого параметра — "Администратор", "Владелец", "Ответчик" или "Совместное редактирование". |
| SourceApp |
Edm.String |
Да |
Указывает, относится ли действие к веб-сайту Forms или к другому приложению. |
| FormName |
Edm.String |
Нет |
Название текущей формы. |
| FormId |
Edm.String |
Нет |
Идентификатор целевой формы. |
| FormTypes |
Collection(Self.FormTypes) |
Нет |
Указывает на то, является ли это формой, тестом или опросом. |
| ActivityParameters |
Edm.String |
Нет |
Строка JSON, содержащая параметры действия. Дополнительные сведения см. в статье Поиск журнала аудита в Центре безопасности и соответствия требованиям Office 365. |
|
Значение |
Тип пользователя формы |
Описание |
| 0 |
Администратор |
Администратор —это лицо, имеющее доступ к форме. |
| 1 |
Владелец |
Пользователь, являющийся владельцем формы. |
| 2 |
Ответчик |
Пользователь, отправивший ответ в форму. |
| 3 |
Совместное редактирование |
Пользователь, который использует ссылку для совместной работы, предоставленную владельцем формы для входа и редактирования формы. |
|
Значение |
Типы форм |
Описание |
| 0 |
Форма |
Формы, созданные при помощи параметра "Новая форма". |
| 1 |
Тест |
Тесты, созданные при помощи параметра "Новый тест". Тест — это особый тип форм, включающий дополнительные функции, такие как оценки, автоматическое и ручное оценивание и комментирование. |
| 2 |
Опрос |
Опросы, созданные при помощи параметра "Новый опрос". Опрос — это особый тип форм, включающий дополнительные функции, такие как интеграция CMS и поддержка правил Flow. |
Схема меток MIP
События в схеме меток защиты информации Microsoft Purview запускаются, когда Microsoft 365 обнаруживает сообщение электронной почты, обработанное агентами в транспортном конвейере, к которому применена метка конфиденциальности. Метка конфиденциальности может применяться вручную или автоматически и может применяться внутри или за пределами транспортного конвейера. Метки конфиденциальности могут автоматически применяться к сообщениям электронной почты с помощью политик автоматического применения меток.
Цель этой схемы аудита заключается в представлении сводки всех действий с электронной почтой, включающих метки конфиденциальности. Другими словами, для каждого сообщения электронной почты с примененной меткой, отправляемого или получаемого пользователями в организации, должно регистрироваться действие аудита, независимо от способа и времени применения метки конфиденциальности. Дополнительная информация о метках аудита:
|
Параметры |
Тип |
Обязательный? |
Описание |
| Sender |
Edm.String |
Нет |
Адрес электронной почты в поле отправителя сообщения электронной почты. |
| Receivers |
Collection(Edm.String) |
Нет |
Все адреса электронной почты в полях "Кому", "Копия" и "СК" сообщения электронной почты. |
| ItemName |
Edm.String |
Нет |
Строка в поле темы сообщения электронной почты. |
| LabelId |
Edm.Guid |
Нет |
GUID метки конфиденциальности, примененной к сообщению электронной почты. |
| LabelName |
Edm.String |
Нет |
Имя метки конфиденциальности, примененной к сообщению электронной почты. |
| LabelAction |
Edm.String |
Нет |
Действия, указываемые меткой конфиденциальности, примененной к сообщению электронной почты до его поступления в канал транспортировки почты. |
| LabelAppliedDateTime |
Edm.Date |
Нет |
Дата применения метки конфиденциальности к сообщению электронной почты. |
| ApplicationMode |
Edm.String |
Нет |
Указывает способ применения метки конфиденциальности к сообщению электронной почты. Значение Privileged указывает, что метка была применена вручную пользователем. Значение Standard указывает, что метка была автоматически применена процессом присвоения меток на стороне клиента или службы. |
Схема событий портала зашифрованных сообщений
События для схемы портала зашифрованных сообщений инициируются, когда служба "Шифрование сообщений Purview" обнаруживает получение внешнего доступа к зашифрованному сообщению электронной почты через портал. Почта может шифроваться вручную с помощью метки конфиденциальности или шаблона RMS либо автоматически с помощью правила транспорта, политики защиты от потери данных или автоматического добавления меток.
Целью этой схемы аудита является представить все действия на портале, связанные с получением внешнего доступа к зашифрованной почте. Другими словами, попытки входа на портал и любые действия, связанные с доступом к зашифрованной почте, должны фиксироваться. Это касается почты, отправляемой или получаемой пользователями организации, когда к почте применено шифрование, независимо от того, когда и как было применено шифрование. Дополнительные сведения см. в разделе Сведения о журналах портала зашифрованных сообщений.
|
Параметры |
Тип |
Обязательный? |
Описание |
| MessageId |
Edm.String |
Нет |
Идентификатор сообщения. |
| Recipient |
Edm.String |
Нет |
Адрес электронной почты получателя. |
| Sender |
Edm.String |
Нет |
Адрес электронной почты отправителя. |
| AuthenticationMethod |
Self.AuthenticationMethod |
Нет |
Способ проверки подлинности при доступе к сообщению, например OTP, Yahoo, Gmail, Майкрософт. |
| AuthenticationStatus |
Self.AuthenticationStatus |
Нет |
0 — успешно, 1 — ошибка. |
| OperationStatus |
Self.OperationStatus |
Нет |
0 — успешно, 1 — ошибка. |
| AttachmentName |
Edm.String |
Нет |
Название вложения. |
| OperationProperties |
Collection(Common.NameValuePair) |
Нет |
Дополнительные свойства, например количество отправленных одноразовых секретных кодов, тема сообщения электронной почты и т. д. |
Схема Exchange с соответствием требованиям к обмену данными
Эту схему используют события соответствия требованиям к обмену данными, перечисленные в журнале аудита Office 365. Она включает записи аудита для операции SupervisoryReviewOLAudit, которая формируется, когда модели защиты от спама выявляют оскорбительные выражения в сообщении электронной почты с точностью совпадения >= 99,5 %.
|
Параметры |
Тип |
Обязательный? |
Описание |
| ExchangeDetails |
ExchangeDetails |
Нет |
Свойства сообщения электронной почты, которое инициировало событие SupervisoryReviewOLAudit. |
Enum: ExchangeDetails - Type: ExchangeDetails
ExchangeDetails
|
Имя элемента |
Тип |
Описание |
| NetworkMessageId |
Edm.Guid |
Идентификатор сетевого сообщения для сообщения электронной почты. |
| InternetMessageId |
Edm.String |
Идентификатор сообщения Интернета для сообщения электронной почты. |
| AttachmentData |
Collection(AttachmentDetails) |
Сведения о файлах, вложенных в сообщение электронной почты. |
| Получатели |
Collection(Edm.String) |
Адреса электронной почты в полях "Кому", "Копия" и "СК" сообщения электронной почты. |
| Subject |
Edm.String |
Текст в поле "Тема" сообщения электронной почты. |
| MessageTime |
Edm.Date |
Дата и время отправки сообщения электронной почты. |
| From |
Edm.String |
Адрес электронной почты в поле "От" сообщения электронной почты. |
| Направление |
Edm.String |
Состояние происхождения сообщения электронной почты. |
Enum: AttachmentDetails - Type: Edm.Int32
AttachmentDetails
|
Имя элемента |
Тип |
Описание |
| FileName |
Edm.String |
Имя файла, вложенного в сообщение электронной почты. |
| FileType |
Edm.String |
Расширение файла, вложенного в сообщение электронной почты. |
| SHA256 |
Edm.String |
Хэш SHA-256 файла, вложенного в сообщение электронной почты. |
Схема отчетов
Эта схема используется в событиях отчетов, перечисленных в статье Поиск в журнале аудита в Центре безопасности и соответствия требованиям Office 365.
|
Параметры |
Тип |
Обязательный? |
Описание |
| ModifiedProperties |
Коллекция (Common.ModifiedProperty) |
Нет |
Это свойство включает имя, а также новое и предыдущее значения измененного свойства. |
Схема соединителя соответствия
События в схеме соединителя соответствия инициируются, когда элементы, импортируемые соединителем данных, пропускаются или не импортируются в почтовые ящики пользователей. Дополнительную информацию о соединителях данных см. в статье Сведения о соединителях для сторонних данных.
|
Параметры |
Тип |
Обязательный? |
Описание |
| JobId |
Edm.String |
Нет |
Это уникальный идентификатор соединителя данных. |
| TaskId |
Edm.String |
Нет |
Уникальный идентификатор экземпляра соединителя периодических данных. Соединители данных импортируют данные с периодическими интервалами. |
| JobType |
Edm.String |
Нет |
Имя соединителя данных. |
| ItemId |
Edm.String |
Нет |
Уникальный идентификатор импортируемого элемента (например, сообщения электронной почты). |
| ItemSize |
Edm.Int64 |
Нет |
Размер импортируемого элемента. |
| SourceUserId |
Edm.String |
Нет |
Уникальный идентификатор пользователя из стороннего источника данных. Например, для соединителя данных Slack это свойство указывает идентификатор пользователя в рабочей области Slack. |
| FailureType |
Self.FailureType |
Нет |
Указывает тип сбоя импорта данных. Например, значение incorrectusermapping указывает, что элемент не был импортирован, так как не удалось найти сопоставление пользователей между сторонним источником данных и Microsoft 365. |
| ResultMessage |
Edm.String |
Нет |
Указывает тип сбоя, например Дублирующееся сообщение. |
| IsRetry |
Edm.Boolean |
Нет |
Указывает, повторяется ли попытка импорта элемента соединителем данных. |
| Вложения |
Collection.Attachment |
Нет |
Список вложений, полученных из стороннего источника данных. |
Перечисление: FailureType — тип: Edm.Int32
|
Value (Значение) |
Имя элемента |
| 0 |
По умолчанию |
| 1 |
MailboxWrite |
Сложный тип вложения
|
Parameters |
Тип |
Обязательный? |
Описание |
| FileName |
Edm.String |
Нет |
Имя вложения. |
| Details |
Edm.String |
Нет |
Другие сведения о вложении. |
Схема SystemSync
События в схеме SystemSync активируются, когда данные, принятые через SystemSync, экспортируются через Data Lake или к ним предоставляется доступ через другие службы.
DataLakeExportOperationAuditRecord
|
Parameters |
Тип |
Обязательный? |
Описание |
| DataStoreType |
DataStoreType |
Да |
Указывает, из какого хранилища данных были загружены данные. Все возможные значения см. в описании DataStoreType. |
| UserAction |
DataLakeUserAction |
Да |
Указывает, какое действие пользователь выполнил в хранилище данных. Все возможные значения см. в разделе DataLakeUserAction. |
| ExportTriggeredAt |
Edm.DateTimeOffset |
Да |
Указывает, когда был запущен экспорт данных. |
| NameOfDownloadedZipFile |
Edm.String |
Нет |
Имя сжатого файла, скачанного администратором из Data Lake. |
DataShareOperationAuditRecord
|
Parameters |
Тип |
Обязательный? |
Описание |
| Приглашение |
DataShareInvitationType |
Нет |
Сведения о приглашении, отправленном получателю Data Share. |
Сложный тип DataShareInvitationType
|
Parameters |
Тип |
Обязательный? |
Описание |
| ShareId |
Edm.Guid |
Да |
Назначенный системой идентификатор для Data Share. |
| Приглашенные |
Collection(Edm.Guid) |
Да |
Список администраторов, которым было отправлено приглашение. |
| InviteeTenantId |
Edm.Guid |
Да |
Целевой клиент, для которого предназначено приглашение. |
| ShareName |
Edm.String |
Да |
Назначенное системой имя для Data Share. |
| SyncFrequency |
Self.SyncFrequency |
Да |
Частота синхронизации данных с целевой учетной записью хранения после установки общей папки. Дополнительные возможные значения см. ниже. |
| SyncStartTime |
Edm.DateTimeOffset |
Да |
Дата и время первой синхронизации. |
Перечисление: SyncFrequency - Тип: Edm.Int32
|
Value (Значение) |
Имя элемента |
Описание |
| 0 |
Каждый час |
Указывает, что данные будут синхронизироваться каждый час. |
| 1 |
Ежедневно |
Указывает, что данные будут синхронизироваться один раз в день. |
Перечисление: DataStoreType - Тип: Edm.Int32
|
Value (Значение) |
Имя элемента |
Описание |
| 0 |
CanonicalStore |
Указывает, что данные будут загружены из канонического хранилища. |
| 1 |
StagingStore |
Указывает, что данные будут загружены из промежуточного хранилища. |
Перечисление: DataLakeUserAction - Тип: Edm.Int32
|
Value (Значение) |
Имя элемента |
Описание |
| 0 |
TriggerExport |
Администратор инициирует экспорт из Data Lake. |
| 1 |
DownloadZipFile |
Пользователь администратора скачивает экспортированные данные. |
Сложный тип MicrosoftGraphDataConnectOperation
|
Параметры |
Тип |
Обязательный? |
Описание |
| ApplicationId |
Edm.Guid |
Да |
Идентификация приложения. |
| ApplicationName |
Edm.String |
Да |
Имя приложения. |
| PipelineName |
Edm.String |
Да |
Имя конвейера. |
| PipelineRunId |
Edm.Guid |
Нет |
Идентификация запуска этого конвейера. |
| CopyActivityRunId |
Edm.Guid |
Нет |
Идентификация действия копирования ADF. |
| RunStartTime |
Edm.Date |
Да |
Дата и время извлечения. |
| RunEndTime |
Edm.Date |
Да |
Дата и время извлечения. |
| DatasetName |
Edm.String |
Да |
Имя извлекаемого набора данных. |
| DatasetColumns |
Edm.String |
Да |
Набор извлекаемых выбранных столбцов. |
| ScopeList |
Edm.String |
Да |
Область извлечения. |
| ScopeCountRequested |
Edm.Int64 |
Нет |
Число запрашиваемых областей для этого извлечения. |
| ScopeCountDelivered |
Edm.Int64 |
Нет |
Число доставленных областей для этого извлечения. |
| UndeliveredScope |
Edm.String |
Нет |
Недоставленная область извлечения. |
| RowCount |
Edm.Int64 |
Нет |
Количество извлекаемых строк. |
| Статус |
Edm.String |
Да |
Состояние извлечения. |
| Reason |
Edm.String |
Нет |
Сообщение об ошибке в случае сбоя. |
AipDiscover
В следующей таблице содержатся сведения, связанные с событиями проверки azure Information Protection (AIP).
| Событие |
Описание |
| ApplicationId |
ID приложения, которое выполняет операцию. |
| ApplicationName |
Понятное имя приложения, выполняющего операцию. Outlook (для электронной почты), OWA (для электронной почты), Word (для файла), Excel (для файла), PowerPoint (для файла). |
| ClientIP |
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. IP-адрес отображается в формате адреса IPv4 или IPv6. |
| CreationTime |
Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита. |
| DataState |
Описывает состояние данных. |
| DeviceName |
Устройство, на котором произошло действие. |
| Id |
GUID текущей записи. |
| IsProtected |
Защищено ли: True или False |
| Расположение |
Расположение документа относительно устройства пользователя. Возможные значения: unknown, localMedia, removableMedia, fileshare и cloud. |
| ObjectId |
Полный путь к файлу (URL-адрес). Для действий SharePoint и OneDrive для бизнеса этот параметр указывает на полное имя пути к файлу или папке, к которым получает доступ пользователь. |
| Operation |
Описывает тип доступа. |
| OrganizationId |
GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается. |
| Платформа |
Платформа устройств (Win, OSX, Android, iOS) |
| ProcessName |
Соответствующее имя процесса, например. Outlook, msip.app, WinWord. |
| ProductVersion |
Версия клиента AIP. |
| ProtectionOwner |
Владелец Rights Management в формате имени участника-пользователя. |
| ProtectionType |
Тип защиты может быть шаблонным или нерегламентированным. |
| RecordType |
Тип операции, указанный в записи. Сведения о типах записей в журнале аудита см. в таблице AuditLogRecordType. Полный обновленный список и полное описание Log RecordType см. в записи блога о действиях журнала аудита соответствия требованиям Microsoft 365 с помощью API управления O365. Здесь перечислены только соответствующие типы записей MIP. |
| Scope |
Создано ли это событие в размещенной службе Office 365 или на локальном сервере? Возможные значения: online и onprem. Обратите внимание, что сейчас данные о событиях отправляются с локального сервера в Office 365 только SharePoint. |
| SensitiveInfoTypeData |
Хранит тип данных типа Конфиденциальные сведения. |
| SensitivityLabelId |
Идентификатор GUID текущей метки конфиденциальности MIP. Используйте cmdlt Get-Label, чтобы получить полные значения GUID. |
| TemplateId |
Параметр TemplateID для получения определенного шаблона. Командлет Get-AipServiceTemplate получает все существующие или выбранные шаблоны защиты из azure Information Protection. |
| UserId |
Имя участника-пользователя (имя участника-пользователя) пользователя, выполнившего действие (указанное в свойстве Operation), в результате которого запись регистрируется; например, my_name@my_domain_name. Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
| UserKey |
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange. |
| UserType |
Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType.
0 = regular
1 = Reserved
2 = Администратор
3 = DcAdmin
4 = Systeml
5 = Application
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy |
| Версия |
Идентификатор версии файла, с которым выполнена операция. |
| Workload |
Хранит службу Office 365, в которой произошло действие. |
AipSensitivityLabelAction
В следующей таблице содержатся сведения, связанные с событиями меток конфиденциальности AIP.
| Событие |
Описание |
| ApplicationId |
Соответствует идентификатору приложения Microsoft Entra. |
| ApplicationName |
Понятное имя приложения, выполняющего операцию. |
| CreationDate |
Дата и время в формате UTC в формате ISO8601, когда пользователь выполнил действие. |
| DataState |
Указывает состояние данных. |
| DeviceName |
Имя устройства пользователя. |
| Удостоверение |
Удостоверение пользователя или службы, для проверки подлинности. |
| IsProtected |
Защищено ли: True или False |
| IsProtectedBefore |
Было ли содержимое защищено перед изменением: True/False |
| IsValid |
Логический |
| Расположение |
Расположение документа относительно устройства пользователя. Возможные значения: unknown, localMedia, removableMedia, fileshare и cloud. |
| ObjectState |
Указывает состояние объекта . |
| Operation |
Тип операции для журнала аудита. Имя действия пользователя или администратора. Описание наиболее распространенных операций и действий:
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened. |
| Удостоверение |
Удостоверение пользователя или службы, для проверки подлинности. |
| PSComputerName |
Имя компьютера |
| PSShowComputerName |
Значение False для документированных, отредактированных в Office 365. |
| Платформа |
Платформа устройств (Win, OSX, Android, iOS). |
| ProcessName |
Процесс, в котором размещается пакет SDK для MIP. |
| ProductVersion |
Версия клиента Information Protection Azure, выполнивного действие аудита. |
| ProtectionType |
Тип защиты может быть шаблонным или нерегламентированным. |
| RecordType |
Показывает значение действия метки. Тип операции, указанный записью. Дополнительные сведения см. в полном списке типов записей. |
| RunspaceId |
Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки. |
| SensitiveInfoTypeData |
Хранит тип данных типа конфиденциальной информации |
| TemplateId |
Параметр TemplateID для получения определенного шаблона. Командлет Get-AipServiceTemplate получает все существующие или выбранные шаблоны защиты из azure Information Protection. |
| UserId |
Имя участника-пользователя (UPN) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name.
Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. |
AipProtectionAction
| Событие |
Описание |
| PSComputerName |
Имя компьютера |
| RunspaceId |
Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки. |
| PSShowComputerName |
Значение false для документированного, измененного в Office 365. |
| RecordType |
Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP. Дополнительные сведения см. в полном списке типов записей. |
| CreationTime |
Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита. |
| UserId |
Имя участника-пользователя (UPN) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи. Например, my_name@my_domain_name.
Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
| Operation |
Тип операции для журнала аудита. Название действия пользователя или администратора. Описание наиболее распространенных операций и действий.
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened. |
| Удостоверение |
Удостоверение пользователя или службы, для проверки подлинности. |
| ObjectState |
Состояние объекта после текущего события. |
| ApplicationId |
Приложение, в котором произошло действие и отображается в GUID. |
| ApplicationName |
Понятное имя приложения, выполняющего операцию. Outlook (для электронной почты), OWA (для электронной почты), Word (для файла), Excel (для файла), PowerPoint (для файла). |
| ProcessName |
Имя процесса приложения Office. |
| Платформа |
Платформа, на которой произошло действие. Например, Windows. |
| DeviceName |
Устройство, на которое было записано событие. |
| ProductVersion |
Версия клиента Information Protection Azure, выполнивного действие аудита. |
| UserId |
Имя участника-пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name.
Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
| ClientIP |
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. IP-адрес отображается в формате адреса IPv4 или IPv6. |
| Id |
GUID текущей записи. |
| RecordType |
Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP. |
| CreationTime |
Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита. |
| Operation |
Название действия пользователя или администратора. Описание основных операций и действий см. в статье Поиск в журнале аудита в центре защиты Office 365. |
| OrganizationId |
GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается. |
| UserType |
Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType.
0 = regular
1 = Reserved
2 = Администратор
3 = DcAdmin
4 = Systeml
5 = Application
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy |
| UserKey |
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange. |
| Workload |
Хранит службу Office 365, в которой произошло действие. |
| Версия |
Версия клиента Information Protection Azure, выполнивного действие аудита |
| Scope |
Указывает область. |
AipFileDeleted
| Событие |
Описание |
| PSComputerName |
Имя компьютера |
| RunspaceId |
Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки. |
| PSShowComputerName |
Значение false для документированного, измененного в Office 365. |
| RecordType |
Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP. Дополнительные сведения см. в полном списке типов записей. |
| CreationTime |
Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита. |
| UserId |
Имя участника-пользователя (UPN) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи. Например, my_name@my_domain_name.
Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
| Operation |
Тип операции для журнала аудита. Название действия пользователя или администратора. Описание наиболее распространенных операций и действий.
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened. |
| Удостоверение |
Удостоверение пользователя или службы, для проверки подлинности. |
| ObjectState |
Состояние объекта после текущего события. |
| ApplicationId |
Приложение, в котором произошло действие и отображается в GUID. |
| ApplicationName |
Понятное имя приложения, выполняющего операцию. Outlook (для электронной почты), OWA (для электронной почты), Word (для файла), Excel (для файла), PowerPoint (для файла). |
| ProcessName |
Имя процесса приложения Office. |
| Платформа |
Платформа, на которой произошло действие. Например, Windows. |
| DeviceName |
Устройство, на которое было записано событие. |
| ProductVersion |
Версия клиента Information Protection Azure, выполнивного действие аудита. |
| UserId |
Имя участника-пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name.
Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
| ClientIP |
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. IP-адрес отображается в формате адреса IPv4 или IPv6. |
| Id |
GUID текущей записи. |
| RecordType |
Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP. |
| CreationTime |
Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита. |
| Operation |
Название действия пользователя или администратора. Описание основных операций и действий см. в статье Поиск в журнале аудита в центре защиты Office 365. |
| OrganizationId |
GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается. |
| UserType |
Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType.
0 = regular
1 = Reserved
2 = Администратор
3 = DcAdmin
4 = Systeml
5 = Application
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy |
| UserKey |
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange. |
| Workload |
Хранит службу Office 365, в которой произошло действие. |
| Версия |
Версия клиента Information Protection Azure, выполнивного действие аудита |
| Scope |
Указывает область. |
AipHeartBeat
В следующей таблице содержатся сведения, связанные с событиями пульса AIP.
| Событие |
Описание |
| ApplicationId |
Соответствует идентификатору приложения Microsoft Entra. |
| ApplicationName |
Понятное имя приложения, выполняющего операцию. |
| CreationDate |
Дата и время в формате UTC в формате ISO8601, когда пользователь выполнил действие. |
| DataState |
Указывает состояние данных. |
| DeviceName |
Имя устройства пользователя. |
| Удостоверение |
Удостоверение пользователя или службы, для проверки подлинности. |
| IsProtected |
Защищено ли: True или False |
| IsProtectedBefore |
Было ли содержимое защищено перед изменением: True/False |
| IsValid |
Логический |
| Расположение |
Расположение документа относительно устройства пользователя. Возможные значения: unknown, localMedia, removableMedia, fileshare и cloud. |
| ObjectState |
Указывает состояние объекта . |
| Operation |
Тип операции для журнала аудита. Название действия пользователя или администратора. |
| PSComputerName |
Имя компьютера |
| PSShowComputerName |
Значение False для документированных, отредактированных в Office 365. |
| Платформа |
Платформа устройств (Win, OSX, Android, iOS). |
| ProcessName |
Процесс, в котором размещается пакет SDK для MIP. |
| ProductVersion |
Версия клиента Information Protection Azure, выполнивного действие аудита. |
| ProtectionType |
Тип защиты может быть шаблонным или нерегламентированным. |
| RecordType |
Показывает значение действия метки. Тип операции, указанный записью. Дополнительные сведения см. в полном списке типов записей. |
| RunspaceId |
Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки. |
| SensitiveInfoTypeData |
Хранит тип данных типа конфиденциальной информации. |
| TemplateId |
Параметр TemplateID для получения определенного шаблона. Командлет Get-AipServiceTemplate получает все существующие или выбранные шаблоны защиты из azure Information Protection. |
| UserId |
Имя участника-пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name. Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита. |
| UserType |
Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType.
0 = regular
1 = Reserved
2 = Администратор
3 = DcAdmin
4 = Systeml
5 = Application
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy |
| UserKey |
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange. |
Сложный тип MicrosoftGraphDataConnectConsent
|
Parameters |
Тип |
Обязательный? |
Описание |
| ApplicationId |
Edm.Guid |
Да |
Идентификация приложения. |
| ApplicationVersion |
Edm.String |
Да |
Версия приложения. |
| AppRegistrationTenantId |
Edm.Guid |
Да |
Идентификатор клиента регистрации приложения. |
| Утверждающий |
Edm.String |
Да |
Имя участника-пользователя утверждающего. |
| ApprovalUpdatedDateInUTC |
Edm.Date |
Да |
Время обновления в формате UTC. |
| ApprovalExpiryDateInUTC |
Edm.Date |
Да |
Время окончания срока действия в формате UTC. |
| ApprovalValidDays |
Edm.Int32 |
Да |
Количество дней с момента обновления, для которого утверждение будет действительным. |
| DestinationSinks |
Edm.String |
Да |
Приемники назначения. |
| DestinationTenantId |
Edm.Guid |
Да |
Идентификатор целевого клиента. |
| Reason |
Edm.String |
Нет |
Причина, указанная администратором, выполнившим операцию. |
| Состояние |
Edm.String |
Да |
Состояние согласия. |
| Наборы данных |
CollectionSelf. MGDCDataset |
Да |
Сведения о наборах данных, на которые было предоставлено согласие в рамках этой операции. |
Сложный тип MGDCDataset
|
Parameters |
Тип |
Обязательный? |
Описание |
| DatasetName |
Edm.String |
Да |
Имя набора данных в операции согласия. |
| DatasetColumns |
Edm.String |
Да |
Список столбцов для набора данных в операции согласия. |
| DenyGroups |
Edm.String |
Нет |
Список запрещенных групп для набора данных в операции согласия. |
| Scope |
Edm.String |
Да |
Типы область для набора данных в операции согласия. Возможные значения: All, List и FilterUri. |
| ScopeFiltersUris |
Edm.String |
Нет |
URI фильтра область для набора данных в операции согласия. |
| ScopeList |
Edm.String |
Нет |
Список групп область для набора данных в операции согласия. |
| PrivacyPolicyType |
Edm.String |
Да |
Типы политики конфиденциальности для набора данных в операции согласия. Возможные значения: None и DenyList. |
схема Viva Glint
Записи аудита для событий, связанных с Viva Glint использовать эту схему (в дополнение к общей схеме). Дополнительные сведения о том, как найти журналы аудита на портале соответствия требованиям, см. в разделе Поиск в журнале аудита в Центре соответствия требованиям безопасности &. Дополнительные сведения о записи событий и действий, связанных с Viva Glint, см. в разделе Действия журнала аудита.
| Параметры |
Тип |
Обязательный? |
Описание |
| ClientUUID |
Edm.String |
Y |
UUID клиента экземпляра Viva Glint. |
| ImportType |
Edm.String |
N |
Тип источника импорта данных. |
| DataDSRControl |
Edm.String |
N |
Этот элемент управления на платформе определяет, удаляются ли данные опроса при удалении пользователя с Viva Glint платформы. |
| ОтменитьEmployeeIds |
Edm.String |
N |
Этот элемент управления на платформе на платформе Viva Glint указывает, не учитываются ли идентификаторы сотрудников, ранее удаляемых сотрудников. |
| JobName |
Edm.String |
N |
Имя выполняемого задания приложения данных Glint. |
| ExtendedCompletionDate |
Edm.Date |
N |
Новая дата продления закрытого цикла обследования. |
| FeedBackComponentName |
Edm.String |
N |
Имя определенного компонента в программе обратной связи 360. |
схема Viva Goals
Записи аудита для событий, связанных с Viva Goals использовать эту схему (в дополнение к общей схеме). Дополнительные сведения о том, как найти журналы аудита на портале соответствия требованиям, см. в разделе Поиск в журнале аудита в Центре соответствия требованиям безопасности &. Дополнительные сведения о записи событий и действий, связанных с Viva Goals, см. в разделе Действия журнала аудита.
|
Parameters |
Тип |
Обязательный? |
Описание |
| Detail (Сведения) |
Edm.String |
Нет |
Описание события или действия, которое произошло в Viva Goals. |
| Username |
Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
|
Нет |
Имя пользователя, который переназначил событие. |
| UserRole |
Edm.String |
Нет |
Роль пользователя, который споткнул это событие в Viva Goals. Это будет упоминание, если пользователь является администратором организации или владельцем. |
| OrganizationName |
Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true" |
Нет |
Имя организации в Viva Goals, где было активировано событие. |
| OrganizationOwner |
Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true" |
Нет |
Владелец организации в Viva Goals, где произошло событие. |
| ОрганизацияАдминии |
Collection(Edm.String)
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true" |
Нет |
Администраторы организации в Viva Goals, где произошло событие. В организации может быть один или несколько администраторов. |
| UserAgent |
Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true" |
Нет |
Агент пользователя (сведения о браузере) пользователя, который споткнул событие. UserAgent может не присутствовать в случае сгенерированного системой события. |
| ModifiedFields |
Collection(Common.NameValuePair) |
Нет |
Список атрибутов, которые были изменены вместе с новыми и старыми значениями, выходными в виде JSON. |
| ItemDetails |
Collection(Common.NameValuePair) |
Нет |
Дополнительные свойства объекта, который был изменен. |
схема Планировщик (Майкрософт)
Планировщик (Майкрософт) перезаписывает определение ObjectId и ResultStatus в общей схеме. Определение ObjectId Планировщик (Майкрософт) привязано к типу записей каждого Планировщик (Майкрософт) и будет проиллюстрировано отдельно.
ResultStatus Планировщик (Майкрософт) определяется следующим образом.
Перечисление: ResultStatus — Тип: Edm.Int32
ResultStatus
|
Значение |
Имя элемента |
Описание |
| 1 |
Успешно |
Запрос пользователя выполнен успешно. |
| 2 |
Неудача |
Сбой запроса пользователя по причинам, отличным от авторизации. |
| 3 |
AuthorizationFailure |
Пользователь, запрошенный, завершился сбоем из-за сбоя авторизации. |
Планировщик (Майкрософт) расширяет общую схему следующими типами записей.
Тип записи PlannerPlan
|
Properties |
Тип |
Описание |
| ObjectId |
Edm.String |
Идентификатор запрошенного плана. |
| ContainerType |
Сам. ContainerType |
Тип контейнера, связанного с планом. |
| ContainerId |
Edm.String |
Идентификатор контейнера, связанного с планом. |
| SharedWithContainerId |
Edm.String |
Идентификатор контейнера с общим доступом к плану. |
| SharedWithContainerType |
Сам. ContainerType |
Тип контейнера с общим доступом к плану. |
| SharedWithContainerAccessLevel |
Сам. PlanAccessLevel |
Уровень доступа, предоставленный контейнеру с общим доступом к плану. |
Перечисление: ContainerType — Type Edm.Int32
ContainerType
|
Значение |
Имя элемента |
Описание |
| 0 |
Invalid |
Используется, когда запрошенный план не найден. |
| 2 |
Группа |
План связан с группой M365. |
| 3 |
TeamsConversation |
План связан с беседой Teams. |
| 4 |
OfficeDocument |
План связан с документом Office. |
| 5 |
Список |
План связан с группой реестра. |
| 6 |
Project |
План создается из Microsoft Project. |
Перечисление: PlanAccessLevel — тип Edm.Int32
PlanAccessLevel
|
Значение |
Имя элемента |
Описание |
| 1 |
ReadAccess |
Доступ к плану чтения. |
| 2 |
ReadWriteAccess |
Доступ к чтению и записи в plan. |
| 3 |
FullAccess |
Доступ к чтению, записи и настройке плана. |
Тип записи PlannerCopyPlan
|
Properties |
Тип |
Описание |
| ObjectId |
Edm.String |
Идентификатор копируемого плана. |
| OriginalPlanId |
Edm.String |
Идентификатор копируемого плана. То же, что и ObjectId. |
| OriginalContainerType |
Сам. ContainerType |
Тип контейнера, связанного с исходным планом. |
| OriginalContainerId |
Edm.String |
Идентификатор контейнера, связанного с исходным планом. |
| NewPlanId |
Edm.String |
Идентификатор нового плана. Значение NULL при сбое операции. |
| NewContainerType |
Сам. ContainerType |
Тип контейнера, связанного с новым планом. |
| NewContainerId |
Edm.String |
Идентификатор контейнера, связанного с новым планом. |
Тип записи PlannerTask
|
Properties |
Тип |
Описание |
| ObjectId |
Edm.String |
Идентификатор запрошенной задачи. |
| PlanId |
Edm.String |
Идентификатор плана, содержащего задачу. |
Тип записи PlannerRoster
|
Properties |
Тип |
Описание |
| ObjectId |
Edm.String |
Идентификатор запрошенного списка. |
| MemberIds |
Edm.String |
Разделенная запятыми строка идентификаторов элементов, измененная на список. |
Тип записи PlannerPlanList
|
Properties |
Тип |
Описание |
| ObjectId |
Edm.String |
Представление запроса представления для списка планов. |
| PlanList |
Edm.String |
Строка, разделенная запятыми, запрашиваемых идентификаторов планов. |
Тип записи PlannerTaskList
|
Properties |
Тип |
Описание |
| ObjectId |
Edm.String |
Представление запроса представления для списка задач. |
| PlanList |
Edm.String |
Строка, разделенная запятыми, запрашиваемых идентификаторов задач. |
Тип записи PlannerTenantSettings
|
Properties |
Тип |
Описание |
| ObjectId |
Edm.String |
Исходные параметры клиента в ФОРМАТЕ JSON. |
| TenantSettings |
Edm.String |
Новые параметры клиента в ФОРМАТЕ JSON. |
Тип записи PlannerRosterSensitivityLabel
|
Properties |
Тип |
Описание |
| ObjectId |
Edm.String |
Идентификатор метки конфиденциальности. Значение NULL при удалении метки конфиденциальности. |
| Список |
Edm.String |
Идентификатор списка, в котором изменяется метка конфиденциальности. |
| AssignmentMethod |
Сам. SensitivityLabelAssignmentMethod |
Метод назначения метки конфиденциальности. |
Перечисление: SensitivityLabelAssignmentMethod — тип Edm.Int32
SensitivityLabelAssignmentMethod
|
Значение |
Имя элемента |
Описание |
| 0 |
Стандартный |
Метка конфиденциальности применяется автоматически, но не допускается переопределение назначения привилегированных меток. |
| 1 |
Привилегированный |
Метка конфиденциальности применяется вручную пользователем или администратором. |
| 2 |
Auto |
Метка конфиденциальности применяется автоматически и может переопределять назначение привилегированной метки. |
Схема Microsoft Project в Интернете
Microsoft Project для Интернета расширяет общую схему следующими типами записей.
Тип записи ProjectForThewebProject
|
Properties |
Тип |
Обязательный? |
Описание |
| ProjectId |
Edm.Guid |
Нет |
Идентификатор проверяемого проекта. |
| AdditionalInfo |
CollectionSelf. AdditionalInfo |
Нет |
Дополнительные сведения. |
Тип записи ProjectForThewebTask
|
Properties |
Тип |
Обязательный? |
Описание |
| ProjectId |
Edm.Guid |
Да |
Идентификатор проверяемого проекта. |
| TaskId |
Edm.Guid |
Да |
Идентификатор проверяемой задачи. |
| AdditionalInfo |
CollectionSelf. AdditionalInfo |
Нет |
Дополнительные сведения. |
Тип записи ProjectForThewebRoadmap
|
Properties |
Тип |
Обязательный? |
Описание |
| Идентификатор дорожной карты |
Edm.Guid |
Да |
Идентификатор проверяемой дорожной карты. |
| AdditionalInfo |
CollectionSelf. AdditionalInfo |
Нет |
Дополнительные сведения. |
Тип записи ProjectForThewebRoadmapItem
|
Properties |
Тип |
Обязательный? |
Описание |
| RoadmapItemId |
Edm.Guid |
Да |
Идентификатор проверяемого элемента дорожной карты. |
| AdditionalInfo |
CollectionSelf. AdditionalInfo |
Нет |
Дополнительные сведения. |
Complex Type AdditionalInfo
|
Parameters |
Тип |
Обязательный? |
Описание |
| EnvironmentName |
Edm.String |
Нет |
Идентификатор среды, в которой было выполнено действие. |
Тип записи ProjectForThewebProjectSetting
|
Properties |
Тип |
Обязательный? |
Описание |
| ProjectEnabled |
Edm.Boolean |
Да |
Значение, заданное для Project в Интернете (1 = включено, 0 отключено). |
Тип записи ProjectForThewebRoadampSetting
|
Properties |
Тип |
Обязательный? |
Описание |
| Дорожная картаEnabled |
Edm.Boolean |
Да |
Значение, заданное для дорожной карты (1 = включено, 0 отключено). |
Тип записи ProjectForThewebAssignedToMeSetting
|
Properties |
Тип |
Обязательный? |
Описание |
| AssignedToMeEnabled |
Edm.Boolean |
Да |
Значение, заданное для AssignedToMe (1 = включено, 0 отключено). |
Схема Viva Pulse
Записи аудита для событий, связанных с Viva Pulse, используют эту схему (в дополнение к общей схеме). Дополнительные сведения о том, как найти журналы аудита на портале соответствия требованиям, см. в разделе Поиск в журнале аудита в Центре соответствия требованиям безопасности &. Дополнительные сведения о записи событий и действий, связанных с Viva Pulse, см. в разделе Действия журнала аудита.
|
Parameters |
Тип |
Обязательный? |
Описание |
| EventName |
Edm.String |
Нет |
Описание события или действия, которое произошло в Viva Pulse. |
| PulseId |
Edm.String |
Нет |
Идентификатор пульсового обследования. |
| EventDetails |
Collection(Common.NameValuePair) |
Нет |
Дополнительные свойства события. |
Некоторые события VivaPulse записывают различные свойства в EventDetails. Каждое свойство, записанное в EventDetail, описано в таблице.
|
EventName |
PropertName |
Описание |
| PulseReportShare |
Recipients |
Список идентификаторов получателей, которым предоставлен общий доступ к опросу пульса. |
| PulseCreate |
Recipients |
Список идентификаторов пользователей, которые являются участниками опроса spcified pulse. |
| PulseInvite |
Recipients |
Список идентификаторов пользователей, которые дополнительно приглашены на пульс. |
| PulseTenantSettingsUpdate |
TenantSettingName |
Изменено имя параметров. |
| PulseSubmit |
Неприменимо |
Это событие не записывает свойства в EventDetails. |
| PulseExtendDeadline |
Неприменимо |
Это событие не записывает свойства в EventDetails. |
| PulseCancel |
Неприменимо |
Это событие не записывает свойства в EventDetails. |
| PulseCreateDraft |
Неприменимо |
Это событие не записывает свойства в EventDetails. |
| PulseDeleteDraft |
Неприменимо |
Это событие не записывает свойства в EventDetails. |
| PulseDeleteUserData |
Неприменимо |
Это событие не записывает свойства в EventDetails. |
| PulseQuestionDeleted |
Неприменимо |
Это событие не записывает свойства в EventDetails. |
| PulseDataExport |
ExportType,ExportCompletedDate |
ExportType указывает, является ли экспорт данных экспортом на уровне Администратор или на уровне автора. ExportCompletedDate указывает, когда экспорт данных был завершен. |
| PulseConfidentialConversationStarted |
Неприменимо |
Это событие не записывает свойства в EventDetails. |
| PulseConfidentialConversationResponded |
Неприменимо |
Это событие не записывает свойства в EventDetails. |
| PulseConfidentialConversationMessageDeleted |
Неприменимо |
Это событие не записывает свойства в EventDetails. |
Схема диспетчера соответствия требованиям
В записях аудита для событий, связанных с Диспетчером соответствия требованиям Microsoft Purview, используется эта схема (в дополнение к общей схеме). Дополнительные сведения о том, как найти журналы аудита на портале соответствия требованиям, см. в разделе Поиск в журнале аудита в Центре соответствия требованиям безопасности &. Дополнительные сведения о записи событий и действий, связанных с диспетчером соответствия требованиям, см. в разделе Действия журнала аудита.
|
Parameters |
Тип |
Обязательный? |
Описание |
| Details |
Collection(SettingsChange) |
Нет |
Описание события, которое произошло для диспетчера соответствия требованиям Microsoft Purview. |
Значения, принятые параметрамиИзменение свойств в разделе Сведения о различных операциях, описаны в таблице ниже.
|
Операция |
PropertyName |
Описание |
| Все операции |
Имя |
Имя параметра, участвующего в операции диспетчера соответствия требованиям. |
| Все операции |
NewValue |
Новое значение для новых параметров. |
| Все операции |
OriginalValue |
Исходное значение для нового параметра. |
Примечание.
- Для изменения роли имя будет типом роли.
- Запись аудита будет отражать изменения в событии, например, когда пользователю назначена роль или отозвана роль.
- Исходное и новое значение будут содержать сообщения электронной почты пользователя, для которого была изменена роль.
- Если роль не изменяется, этот тип роли не будет присутствовать в записи аудита.
Схема политики резервного копирования
|
Parameters |
Тип |
Обязательный? |
Описание |
| PolicyID |
Edm.String |
Да |
Идентификатор политики. |
| EditMethodology |
Edm.String |
Нет |
Как была создана или изменена политика. |
| CountOfArtifactsBeingAdded |
Edm.Int32 |
Нет |
Количество добавляемых артефактов. |
| CountOfArtifactsBeingRemoved |
Edm.Int32 |
Нет |
Количество удаляемых артефактов. |
| ServiceType |
Edm.String |
Нет |
Будь то политика SharePoint, Exchange или OneDriveForBusiness. |
Восстановление схемы задачи
|
Parameters |
Тип |
Обязательный? |
Описание |
| TaskID |
Edm.String |
Да |
Идентификатор задачи восстановления. |
| CreationMethodology |
Edm.String |
Нет |
Как была создана или изменена задача восстановления. |
| CountOfArtifactsBeingAdded |
Edm.Int32 |
Нет |
Количество добавляемых артефактов. |
| CountOfArtifactsBeingRemoved |
Edm.Int32 |
Нет |
Количество удаляемых артефактов. |
| ServiceType |
Edm.String |
Нет |
Будь то политика SharePoint, Exchange или OneDriveForBusiness. |
Схема элемента восстановления
|
Parameters |
Тип |
Обязательный? |
Описание |
| RestoreTime |
Edm.DateTime |
Да |
Время восстановления элемента. |
| RestoreLocationType |
Edm.String |
Да |
Тип расположения, в которое восстанавливается элемент. |
| RestoreLocation |
Edm.String |
Нет |
Расположение, в которое восстанавливается элемент. |
| TaskID |
Edm.String |
Да |
Идентификатор задачи восстановления. |
| BackupItemID |
Edm.String |
Да |
Идентификатор восстанавливаемого элемента резервной копии. |
| ProtectionUnitID |
Edm.String |
Да |
Идентификатор единицы защиты восстанавливаемого элемента. |
| SuccessStatus |
Edm.String |
Нет |
Была ли операция восстановления успешной. |
| BackupItemType |
Edm.String |
Да |
Указывает, является ли элемент резервной копии сайтом, учетной записью или почтовым ящиком. |
| ServiceType |
Edm.String |
Нет |
Будь то политика SharePoint, Exchange или OneDriveForBusiness. |
Схема элемента резервного копирования
|
Parameters |
Тип |
Обязательный? |
Описание |
| PolicyID |
Edm.String |
Да |
Идентификатор политики политики, в который добавляется элемент. |
| ItemID |
Edm.String |
Да |
Идентификатор элемента резервной копии. |
| ProtectionUnitID |
Edm.String |
Да |
Идентификатор единицы защиты элемента, для которого создается резервная копия. |
| ResultStatus |
Edm.String |
Нет |
Была ли операция восстановления успешной. |
| BackupItemType |
Edm.String |
Да |
Указывает, является ли элемент резервной копии сайтом, учетной записью или почтовым ящиком. |
| EditMethodology |
Edm.String |
Нет |
Способ добавления элемента резервной копии. |
| ServiceType |
Edm.String |
Нет |
Будь то политика SharePoint, Exchange или OneDriveForBusiness. |
Схема службы "Облачная политика"
Записи аудита для событий, связанных со службой облачной политики , расширяют общую схему следующим образом:
PolicyConfigChangeAuditRecord
|
Parameters |
Тип |
Обязательный? |
Описание |
| ConfigId |
Edm.String |
Нет |
Идентификатор конфигурации политики |
| ConfigName |
Edm.String |
Нет |
Заданное имя конфигурации политики |
| Описание |
Edm.String |
Нет |
Описание, предоставленное для настройки политики |
| ConfigScope |
Сам. CPSScope |
Нет |
Область настройки политики |
| Группы |
Collection(Common.NameValuePair) |
Нет |
Список настроенных групп |
| Priority |
Edm.Int32 |
Нет |
Значение приоритета конфигурации политики |
| Политики |
Collection(Self.Политика) |
Нет |
Список настроенных параметров политики |
| Приоритеты |
Collection(Self.PrioritySetting) |
Нет |
Список конфигураций политик и их значений приоритета |
Перечисление: CPSScope — Тип: Edm.Int32
|
Значение |
Имя элемента |
Описание |
| 1 |
Tenant |
Конфигурация политики ограничена всеми пользователями в клиенте. |
| 2 |
Анонимный |
Конфигурация политики ограничена анонимными пользователями. |
| 3 |
Пользователь |
Конфигурация политики ограничена пользователями в настроенных Microsoft Entra группах. |
Политика сложных типов
|
Parameters |
Тип |
Обязательный? |
Описание |
| PolicyId |
Edm.String |
Нет |
Идентификатор параметра политики |
| PolicyName |
Edm.String |
Нет |
Название параметра политики |
| Value |
Edm.String |
Нет |
Настроенное значение параметра политики |
| Параметры |
Collection(Self.Параметр) |
Нет |
Настроенный параметр |
Сложный тип
|
Parameters |
Тип |
Обязательный? |
Описание |
| SettingId |
Edm.String |
Нет |
Идентификатор параметра |
| SettingName |
Edm.String |
Нет |
Имя параметра |
| Value |
Edm.String |
Нет |
Настроенное значение параметра |
Сложный тип PrioritySetting
|
Parameters |
Тип |
Обязательный? |
Описание |
| ConfigId |
Edm.String |
Нет |
Идентификатор конфигурации политики |
| ConfigName |
Edm.String |
Нет |
Заданное имя конфигурации политики |
| Value |
Edm.String |
Нет |
Настроенный приоритет конфигурации политики |
Схема конфигурации профиля обновления облака
События, связанные с конфигурацией профиля облачного обновления , расширяют общую схему следующими типами записей.
CloudUpdateProfileConfigAuditRecord
|
Parameters |
Тип |
Обязательный? |
Описание |
| ProfileName |
Edm.String |
Да |
Имя профиля |
| ProfileState |
Сам. ProfileState |
Нет |
Состояние профиля |
| Deadline |
Edm.Int32 |
Нет |
Настроенный крайний срок |
| UpdateValidationState |
Сам. UpdateValidationState |
Нет |
Состояние проверки обновлений |
| Волны |
Collection(Self.Волна) |
Нет |
Коллекция, содержащая настроенные волны |
| WaveDelay |
Edm.Int32 |
Нет |
Установка задержки между волнами |
Перечисление: ProfileState — Тип: Edm.Int32
|
Значение |
Имя элемента |
Описание |
| 1 |
Включена |
Профиль включен и активен. |
| 2 |
Отключена |
Профиль отключен. |
| 3 |
Приостановлено |
Профиль включен, но в приостановленном состоянии. |
Перечисление: UpdateValidationState — Тип: Edm.Int32
|
Значение |
Имя элемента |
Описание |
| 1 |
Включена |
Проверка обновлений включена. |
| 2 |
Отключена |
Проверка обновлений отключена. |
Сложный тип волны
|
Parameters |
Тип |
Обязательный? |
Описание |
| Имя |
Edm.String |
Нет |
Имя волны |
| Тип |
Сам. WaveType |
Нет |
Волна, заданная администратором, или автоматический перехват всех волн |
| Группы |
Collection(Common.NameValuePair) |
Нет |
Коллекция групп, настроенных для этой волны |
Перечисление: WaveType - Тип: Edm.Int32
|
Значение |
Имя элемента |
Описание |
| 1 |
Группы |
Волна была настроена администратором с помощью групп. |
| 2 |
Остальныеустройства |
Автоматически создается волна, которая включает все устройства в область профиля, которые не охвачены предыдущими волнами. |
Схема конфигурации клиента обновления облака
События, связанные с конфигурацией клиента Cloud Update , расширяют общую схему следующими типами записей.
CloudUpdateTenantConfigAuditRecord
|
Parameters |
Тип |
Обязательный? |
Описание |
| ProfileExclusionWindows |
Collection(Self.ExclusionWindow) |
Нет |
Коллекция настроенных окон исключения |
| Список исключений |
Collection(Common.NameValuePair) |
Нет |
Коллекция настроенных исключений |
| ТАК |
Edm.String |
Нет |
Ключ ассоциации клиента |
Исключение сложного типаWindow
|
Parameters |
Тип |
Обязательный? |
Описание |
| Имя |
Edm.String |
Нет |
Заданное имя окна исключения |
| StartDate |
Edm.Date |
Нет |
Дата начала окна исключения |
| EndDate |
Edm.Date |
Нет |
Дата окончания окон исключения |
| Группы |
Collection(Common.NameValuePair) |
Нет |
Коллекция групп, на которые распространяется окно исключения |
Схема устройства для обновления облака
События, связанные с устройством Cloud Update , расширяют общую схему следующими типами записей.
CloudUpdateDeviceConfigAuditRecord
|
Parameters |
Тип |
Обязательный? |
Описание |
| RollbackDevices |
Сам. Откат |
Нет |
Откаты активируются |
| ChannelChangeDevices |
Сам. ChannelChange |
Нет |
Изменения канала активируются |
Откат сложного типа
|
Parameters |
Тип |
Обязательный? |
Описание |
| RollbackType |
Сам. RollbackType |
Нет |
Тип отката |
| RollbackBuildNumber |
Edm.String |
Нет |
Целевой номер сборки для отката |
| Устройства |
Collection(Edm.String) |
Нет |
Коллекция устройств, предназначенных для отката |
Перечисление: RollbackType — Тип: Edm.Int32
|
Значение |
Имя элемента |
Описание |
| 1 |
SpecificDevices |
Откат предназначен для определенного подмножества устройств. |
| 2 |
ВсеУстройства |
Откат предназначен для всех устройств в область профиля. |
Сложный тип ChannelChange
|
Parameters |
Тип |
Обязательный? |
Описание |
| ChannelChange |
Сам. Канал |
Нет |
Целевой канал обновления |
| Устройства |
Collection(Edm.String) |
Нет |
Коллекция целевых устройств |
| Группы |
Collection(Common.NameValuePair) |
Нет |
Коллекция целевых групп |
Перечисление: Channel — Тип: Edm.Int32
|
Значение |
Имя элемента |
Описание |
| 1 |
MonthlyEnterpriseChannel |
Ежемесячный канал (корпоративный) |
| 2 |
CurrentChannel |
Актуальный канал |
Схема обнаружения рисков AAD
Записи аудита для событий, связанных с обнаружением рисков AAD, используют эту схему (в дополнение к общей схеме). Дополнительные сведения о том, как найти журналы аудита на портале соответствия требованиям, см. в разделе Поиск в журнале аудита в Центре соответствия требованиям безопасности &. Дополнительные сведения о записи событий и действий, связанных с обнаружением рисков AAD, см. в разделе Действия журнала аудита.
|
Parameters |
Тип |
Обязательный? |
Описание |
| Действие |
Edm.String |
Нет |
Тип действия, для которого был обнаружен риск. |
| ActivityDateTime |
Edm.Date |
Нет |
Дата и время в формате UTC, когда произошло рискованное действие. |
| AdditionalInfo |
Edm.String |
Нет |
Дополнительные сведения об обнаруженном риске в формате JSON. |
| CorrelationId |
Edm.String |
Нет |
Идентификатор, который может использоваться для корреляции действий входа, связанных с обнаружением риска. |
| DetectedDateTime |
Edm.Date |
Нет |
Дата и время в формате UTC, когда был обнаружен риск. |
| DetectionTimingType |
Edm.String |
Нет |
Указывает тип времени обнаруженного риска. Возможные значения: в режиме реального времени или в автономном режиме. |
| LastUpdatedDateTime |
Edm.Date |
Нет |
Дата и время в формате UTC, когда последнее обновление обнаружения рисков. |
| Расположение |
Сам. LocationType |
Нет |
Сведения о расположении, из которого было обнаружено действие входа. |
| RequestId |
Edm.String |
Нет |
Указывает идентификатор запроса действия входа, для которого был обнаружен риск. Если обнаружение рисков не связано с вхожением, это свойство имеет значение NULL. |
| RiskDetail |
Edm.String |
Нет |
Сведения об обнаружении риска. |
| RiskEventType |
Edm.String |
Нет |
Тип события, для которого был обнаружен риск. |
| RiskId |
Edm.String |
Нет |
Уникальный идентификатор для обнаружения рисков. |
| RiskLevel |
Edm.String |
Нет |
Уровень обнаруженного риска. |
| RiskState |
Edm.String |
Нет |
Состояние риска пользователя, подверженного риску, или входа, связанного с обнаружением риска. |
| Source |
Edm.String |
Нет |
Источник обнаруженного риска. |
| TokenIssuerType |
Edm.String |
Нет |
Тип издателя маркера для входа, связанного с обнаружением риска. |
| UserDisplayName |
Edm.String |
Нет |
Имя участника-пользователя (UPN) пользователя, для которого обнаружен риск. |
Сложный тип LocationType
|
Parameters |
Тип |
Обязательный? |
Описание |
| Город |
Edm.String |
Нет |
Город, в котором был выполнен вход. |
| CountryOrRegion |
Edm.String |
Нет |
Страна или регион, в которых был выполнен вход. |
| GeoCoordinates |
Сам. GeoCoordinatesType |
Нет |
Географические координаты расположения, в котором был выполнен вход. |
| Состояние |
Edm.String |
Нет |
Состояние, в котором выполнен вход. |
Сложный тип GeoCoordinatesType
|
Parameters |
Тип |
Обязательный? |
Описание |
| Altitude |
Edm.String |
Нет |
Высота расположения, где был выполнен вход. |
| Latitude |
Edm.String |
Нет |
Широта расположения, в котором выполнен вход. |
| Longitude |
Edm.String |
Нет |
Долгота расположения, в котором был выполнен вход. |
Схема WebContentFiltering
В записях аудита событий, связанных с Microsoft Edge WebContentFiltering, используется эта схема (в дополнение к общей схеме). Дополнительные сведения о том, как найти журналы аудита на портале соответствия требованиям, см. в разделе Поиск в журнале аудита в Центре соответствия требованиям безопасности &.
|
Parameters |
Тип |
Обязательный? |
Описание |
| URLPath |
Edm.String |
Да |
URL-адрес, который был просмотрена. |
| DomainURL |
Edm.String |
Да |
URL-адрес домена, который был просмотрован. |
| Category |
Edm.String |
Да |
Категория url-адреса для просмотра. |