Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O esquema da API de Atividade de Gestão de Office 365 é fornecido como um serviço de dados em duas camadas:
Esquema comum. A interface para acessar os principais conceitos de auditoria do Office 365, como Tipo de registro, Hora de criação, Tipo de usuário e Ação, além de fornecer dimensões principais (como ID de usuário), especificações do local (como endereço IP do cliente) e propriedades específicas do serviço (como ID de objeto). Ele estabelece exibições uniformes e consistentes para os usuários extraírem todos os dados de auditoria do Office 365 em algumas exibições de nível superior com os parâmetros apropriados e fornece um esquema fixo para todas as fontes de dados, o que reduz significativamente o custo do aprendizado. O esquema comum é obtido a partir de dados de produtos pertencentes a cada equipa de produto, como o Exchange, SharePoint, Azure Active Directory, Viva Engage e OneDrive. O campo ID de objeto pode ser estendido por equipes de produtos do Microsoft 365 para adicionar propriedades específicas do serviço.
Esquema específico do serviço. Criado com base no esquema Comum para fornecer um conjunto de atributos específicos do serviço do Microsoft 365; por exemplo, esquema do SharePoint, esquema do OneDrive e esquema de administrador do Exchange.
Esquemas da API de Gerenciamento do Office 365
Este artigo fornece detalhes sobre o esquema Comum, bem como esquemas específicos do serviço. A tabela a seguir descreve os esquemas disponíveis.
| Nome do esquema | Descrição |
|---|---|
| Esquema Comum | O modo de exibição para extrair o Tipo de registro, ID de usuário, IP do cliente, Tipo de usuário e Ação junto com as dimensões principais, como propriedades do usuário (como UserID), propriedades do local (como IP do cliente) e propriedades específicas do serviço (como ID de objeto). |
| Esquema copilot | Os eventos incluem como e quando interagir com o Copilot, no qual o serviço do Microsoft 365 ocorreu, e referências aos ficheiros armazenados no Microsoft 365 que foram acedidos durante a interação. |
| Esquema Base do SharePoint | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria do SharePoint. |
| Operações de Arquivos do SharePoint | Estende o esquema Base do SharePoint com as propriedades específicas do acesso e manipulação de arquivos no SharePoint. |
| Listar Operações do Sharepoint | Expande o esquema base do SharePoint com as propriedades específicas das interações com listas e itens de lista no SharePoint. |
| Esquema de compartilhamento do SharePoint | Estende o esquema Base do SharePoint com as propriedades específicas do compartilhamento de arquivos. |
| Esquema do SharePoint | Estende o esquema Base do SharePoint com as propriedades específicas do SharePoint, mas não está relacionado ao acesso e manipulação de arquivos. |
| Esquema do Project | Estende o esquema Base do SharePoint com as propriedades específicas do Project. |
| Esquema de administração do Exchange | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria do Exchange. |
| Esquema de caixa de correio do Exchange | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria da caixa de correio do Exchange. |
| Esquema de Autenticação OWA | Expande o esquema Comum com as propriedades específicas dos dados da Autenticação OWA. |
| esquema base do Microsoft Entra ID | Expande o esquema Comum com as propriedades específicas de todos os dados de auditoria Microsoft Entra. |
| Microsoft Entra esquema de início de sessão da conta | Expande o esquema base Microsoft Entra ID com as propriedades específicas de todos os eventos de início de sessão Microsoft Entra. |
| Microsoft Entra ID esquema de Início de Sessão STS Seguro | Expande o esquema base Microsoft Entra ID com as propriedades específicas de todos os eventos de início de sessão do Serviço de Token Seguro (STS) Microsoft Entra ID. |
| Microsoft Entra esquema | Expande o esquema Comum com as propriedades específicas de todos os dados de auditoria Microsoft Entra. |
| Esquema DLP | Estende o esquema Comum com as propriedades específicas de Eventos de Prevenção Contra Perda de Dados. |
| Esquema do Centro de Conformidade e Segurança | Expande o esquema Comum com as propriedades específicas de todos os eventos do Centro de Conformidade do & de Segurança. |
| Esquema de Alertas de Conformidade e Segurança | Estende o esquema Comum com as propriedades específicas de todos os alertas de conformidade e segurança do Office 365. |
| Viva Engage esquema | Expande o esquema Comum com as propriedades específicas de todos os eventos Viva Engage. |
| Esquema Base de Segurança do Data Center | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria de segurança do data center. |
| Esquema Cmdlet de Segurança do Data Center | Estende o esquema Base de Segurança do Data Center com as propriedades específicas de todos os dados de auditoria do cmdlet de segurança do datacenter. |
| Esquema do Microsoft Teams | Estende o esquema Comum com as propriedades específicas de todos os eventos do Microsoft Teams. |
| Microsoft Defender para Office 365 e esquema de Investigação e Resposta a Ameaças | Estende o esquema Comum com as propriedades específicas do Defender para Office 365 e investigação de ameaças e dados de resposta. |
| Esquema de envio | Estende o Esquema Comum com as propriedades específicas para envios de usuário e administrador no Microsoft Defender para Office 365. |
| Eventos automatizados de investigação e resposta no Microsoft Defender para Office 365 Plano 2 | Estende o esquema Comum com as propriedades específicas para os eventos de investigação e resposta (AIR) automatizados do Office 365. Para ver um exemplo, veja o blogue Tech Community: Improve the Effectiveness of your SOC with Microsoft Defender para Office 365 and the Office 365 Management API (Melhorar a Eficácia do SOC com Microsoft Defender para Office 365 e a API de Gestão de Office 365). |
| Esquema de eventos de higiene | Expande o esquema Comum com as propriedades específicas dos eventos nas funcionalidades de segurança incorporadas para todas as caixas de correio na nuvem e Microsoft Defender para Office 365. |
| Esquema do Power BI | Estende o esquema Comum com as propriedades específicas de todos os eventos do Power BI. |
| Esquema do Dynamics 365 | Estende o esquema Comum com as propriedades específicas dos eventos do Dynamics 365. |
| Esquema de Informações Viva | Expande o esquema Comum com as propriedades específicas de todos os eventos Microsoft Viva Insights. |
| Esquema de quarentena | Estende o esquema Comum com as propriedades específicas de todos os eventos de quarentena. |
| Esquema do Microsoft Forms | Estende o esquema Comum com as propriedades específicas a todos os eventos do Microsoft Forms. |
| Esquema de rótulos MIP | Estende o esquema comum com as propriedades específicas a rótulos de sensibilidade aplicados manualmente ou automaticamente às mensagens de email. |
| Esquema de eventos do portal de mensagens criptografadas | Estende o esquema Comum com as propriedades específicas do portal de mensagens criptografadas acessadas por destinatários externos. |
| Esquema de conformidade de comunicações do Exchange | Estende o esquema comum com as propriedades específicas para o modelo de linguagem ofensiva de conformidade de comunicações. |
| Esquema de relatórios | Estende o esquema Comum com as propriedades específicas de todos os eventos de quarentena. |
| Esquema do conector de conformidade | Estende o esquema Comum com as propriedades específicas para importar dados que não são da Microsoft usando conectores de dados. |
| Esquema SystemSync | Estende o esquema Comum com as propriedades específicas dos dados ingeridos por meio do SystemSync. |
| Viva Goals esquema | Expande o esquema Comum com as propriedades específicas de todos os eventos Viva Goals. |
| Microsoft Planner esquema | Expande o esquema Comum com as propriedades específicas para Microsoft Planner eventos. |
| Esquema do Microsoft Project para a Web | Expande o esquema Comum com as propriedades específicas dos eventos do Microsoft Project para a Web. |
| Esquema Viva Pulse | Expande o esquema Comum com as propriedades específicas de todos os eventos viva Pulse. |
| Esquema do Gestor de Conformidade | Expande o esquema Comum com as propriedades específicas dos eventos do Gestor de Conformidade. |
| Esquema de Política de Cópia de Segurança | Expande o esquema Comum com as propriedades específicas para políticas de Backup do Microsoft 365. |
| Restaurar Esquema de tarefas | Expande o esquema Comum com as propriedades específicas para Backup do Microsoft 365 Tarefas de Restauro. |
| Esquema de Item de Cópia de Segurança | Expande o esquema Comum com as propriedades específicas para Backup do Microsoft 365 artefactos. |
| Restaurar esquema de Item | Expande o esquema comum com as propriedades específicas para Backup do Microsoft 365 Restaurar Itens. |
| Esquema do serviço de Política de Cloud | Expande o esquema Comum com as propriedades específicas de todos os dados de auditoria do serviço da Política de Cloud. |
| Esquema de configuração do perfil do Cloud Update | Expande o esquema Comum com as propriedades específicas dos dados de auditoria de configuração do perfil do Cloud Update. |
| Esquema de configuração do inquilino do Cloud Update | Expande o esquema Comum com as propriedades específicas dos dados de auditoria de configuração do inquilino do Cloud Update. |
| Esquema de configuração de dispositivos do Cloud Update | Expande o esquema Comum com as propriedades específicas dos dados de auditoria de configuração do dispositivo do Cloud Update. |
| Microsoft Entra esquema de Deteção de Riscos | Expande o esquema Comum com as propriedades específicas para Microsoft Entra eventos de Deteção de Risco. |
| Esquema Microsoft Edge WebContentFiltering | Expande o esquema Comum com as propriedades específicas dos eventos Microsoft Edge WebContentFiltering. |
| Microsoft 365 Copilot esquema de pedido agendado | Expande o esquema Comum com as propriedades específicas para Microsoft 365 Copilot dados de auditoria de pedidos agendados. |
| Microsoft Places Directory schema (Esquema do diretório do Microsoft Places) | Expande o esquema Comum com as propriedades específicas para Microsoft Places dados de auditoria do Diretório. |
Esquema Comum
EntityType Name: AuditRecord
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Combination GUIDEdm.Guid | Sim | Identificador exclusivo de um registro de auditoria. |
| RecordType | Self.AuditLogRecordType | Sim | O tipo de operação indicado pelo registro. Confira a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria. |
| CreationTime | Edm.Date | Sim | A data e hora na Hora Universal Coordenada (UTC) em que o registo de auditoria foi gerado. |
| Operation | Edm.String | Sim | O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, consulte Pesquisar o registo de auditoria. Para a atividade de administração do Exchange, essa propriedade identifica o nome do cmdlet que foi executado. Para eventos Dlp, as opções podem ser "DlpRuleMatch", "DlpRuleUndo" ou "DlpInfo", que são descritas em "Esquema DLP" abaixo. |
| OrganizationId | Edm.Guid | Sim | O GUID do locatário do Office 365 da sua organização. Este valor é sempre o mesmo para a sua organização, independentemente do serviço de Office 365 em que ocorre. |
| UserType | Self.UserType | Sim | O tipo de usuário que executou a operação. Confira a tabela UserType para detalhes sobre os tipos de usuários. |
| UserKey | Edm.String | Sim | Uma ID alternativa para o usuário identificado na propriedade UserId. Esta propriedade é preenchida com o ID exclusivo do passaporte (PUID) para eventos realizados por utilizadores no SharePoint, OneDrive e Exchange. |
| Workload | Edm.String | Sim | O serviço do Office 365 em que a atividade ocorreu. |
| ResultStatus | Edm.String | Não | Indica se a ação (especificada na propriedade Operation) foi bem-sucedida ou não. Os valores possíveis são Succeeded, PartiallySucceeded ou Failed. Para a atividade de administração do Exchange, o valor é Verdadeiro ou Falso. Importante: diferentes cargas de trabalho podem substituir o valor da propriedade ResultStatus. Por exemplo, para Microsoft Entra ID eventos de início de sessão STS, um valor com Êxito para ResultStatus indica apenas que a operação HTTP foi bem-sucedida; não significa que o início de sessão foi bem-sucedido. Para determinar se o início de sessão real foi ou não bem-sucedido, veja a propriedade LogonError no Microsoft Entra ID esquema de Início de Sessão STS. Se o início de sessão tiver falhado, o valor desta propriedade contém o motivo da tentativa de início de sessão falhada. |
| ObjectId | Edm.string | Não | Para a atividade do SharePoint e do OneDrive, o nome completo do caminho do ficheiro ou pasta acedido pelo utilizador. Para o log de auditoria do administrador do Exchange, o nome do objeto que foi modificado pelo cmdlet. Para o serviço Cloud Policy, o ID de objeto da configuração da política. Para a atividade TrainableClassifier, o ID do modelo criado, publicado, atualizado ou eliminado pelo utilizador. |
| UserId | Edm.string | Sim | O UPN (User Principal Name) do usuário que executou a ação (especificado na propriedade Operation) que resultou no registro sendo registrado; por exemplo, my_name@my_domain_name.
Nota: também estão incluídos registos de atividade efetuada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM). No SharePoint, outro valor apresentado na propriedade UserId é app@sharepoint. Este valor indica que o "utilizador" que efetuou a atividade era uma aplicação que tem as permissões necessárias no SharePoint para efetuar ações em toda a organização (como procurar num site do SharePoint ou numa conta do OneDrive) em nome de um utilizador, administrador ou serviço. |
| ClientIP | Edm.String | Sim | O endereço IPv4 ou IPv6 do dispositivo que foi utilizado quando a atividade foi registada. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para Microsoft Entra ID eventos relacionados, o endereço IP não é registado e o valor da propriedade ClientIP é null. |
| Escopo | Self.AuditLogScope | Não | Evento criado por uma das seguintes origens:
|
| AppAccessContext | CollectionSelf.AppAccessContext | Não | O contexto do aplicativo para o usuário ou principal de serviço que executou a ação. |
AgentAdminActivity
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AgentID | Edm.String | Sim | Identificador exclusivo do Agente |
| AgentName | Edm.String | Sim | O nome do Agente |
| AgentType | Edm.Int32 | Sim | O tipo do Agente – Microsoft (1P), Externo (3P), Partilhado por utilizadores (Partilhado), Compilado pela sua organização (Externo). |
| UserAssignments | Coleção (Edm.Guid) | Não | Coleção de GUID de Utilizadores e Grupos associados à atividade do agente. |
| ForAllUsers | Edm.Boolean | Sim | Se a atividade associada ao agente foi ou não capturada para toda a organização. Verdadeiro quando se aplica a todos os utilizadores na organização. Falso quando se aplica a utilizadores/grupos específicos. |
AgentSettingsAdminActivity
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Propriedade | Edm.String | Sim | O nome da definição ao nível do inquilino que foi atualizado pelo administrador. |
| RemovedIdentities | Collection(Edm.Guid) | Não | Coleção de GUID de Utilizadores ou Grupos que foram removidos. |
| AddedIdentities | Collection(Edm.Guid) | Não | Coleção de GUID de Utilizadores ou Grupos que foram adicionados. |
| NewValue | Edm.String | Sim | O novo valor da definição. |
| ForAllUsers | Edm.Boolean | Sim | Valor booleano que indica se a definição ao nível do inquilino afetou todos os utilizadores. |
| OldValue | Edm.String | Sim | O valor antigo ou a nova definição. |
Enumeração: AuditLogRecordType - Tipo: Edm.Int32
AuditLogRecordType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | ExchangeAdmin | Eventos do log de auditoria do administrador do Exchange. |
| 2 | ExchangeItem | Eventos de um log de auditoria de caixa de correio do Exchange para ações executadas em um único item, como criar ou receber uma mensagem de email. |
| 3 | ExchangeItemGroup | Eventos de um log de auditoria de caixa de correio do Exchange para ações que podem ser executadas em vários itens, como mover ou excluir uma ou mais mensagens de email. |
| 4 | SharePoint | Eventos do SharePoint. |
| 6 | SharePointFileOperation | Eventos de operação de arquivos do SharePoint. |
| 7 | OneDrive | Eventos do OneDrive. |
| 8 | AzureActiveDirectory | Microsoft Entra ID eventos. |
| 9 | AzureActiveDirectoryAccountLogon | Microsoft Entra ID eventos de início de sessão OrgId (preterido). |
| 10 | DataCenterSecurityCmdlet | Eventos de cmdlet de segurança do Data Center. |
| 11 | ComplianceDLPSharePoint | Eventos de proteção contra perda de dados (DLP) no SharePoint e no OneDrive. |
| 13 | ComplianceDLPExchange | Eventos de Proteção contra a Perda de Dados (DLP), quando configurados via Política DLP Unificada. Não há suporte para eventos de DLP com base em Regras de Transporte do Exchange. |
| 14 | SharePointSharingOperation | Eventos de compartilhamento do SharePoint. |
| 15 | AzureActiveDirectoryStsLogon | Eventos de início de sessão do Serviço de Tokens Seguros (STS) no Microsoft Entra ID. |
| 16 | SkypeForBusinessPSTNUsage | Eventos da Rede Telefônica Pública Comutada (PSTN) do Skype for Business. |
| 17 | SkypeForBusinessUsersBlocked | Eventos de usuário bloqueados do Skype for Business. |
| 18 | SecurityComplianceCenterEOPCmdlet | Administração ações nas funcionalidades de segurança incorporadas para todas as caixas de correio na nuvem a partir do portal do Microsoft Defender. |
| 19 | ExchangeAggregatedOperation | Eventos de auditoria de caixa de correio do Exchange agregado. |
| 20 | PowerBIAudit | Eventos do Power BI. |
| 21 | CRM | Eventos do Dynamics 365. |
| 22 | Viva Engage | Viva Engage eventos. |
| 23 | SkypeForBusinessCmdlets | Eventos do Skype for Business. |
| 24 | Descoberta | Eventos para atividades de Deteção de Dados Eletrónicos realizadas através da execução de pesquisas de conteúdos e gestão de casos de Deteção de Dados Eletrónicos no portal do Microsoft Purview. |
| 25 | MicrosoftTeams | Eventos do Microsoft Teams. |
| 28 | ThreatIntelligence | Eventos de phishing e software maligno das funcionalidades de segurança incorporadas para todas as caixas de correio na nuvem e Microsoft Defender para Office 365. |
| 29 | MailSubmission | Eventos de submissão das funcionalidades de segurança incorporadas para todas as caixas de correio na nuvem e Microsoft Defender para Office 365. |
| 30 | MicrosoftFlow | Eventos do Microsoft Power Automate (anteriormente chamado de Microsoft Flow). |
| 31 | AeD | Eventos de Descoberta Eletrônica Avançada. |
| 32 | MicrosoftStream | Eventos do Microsoft Stream. |
| 33 | ComplianceDLPSharePointClassification | Eventos relacionados à classificação DLP no SharePoint. |
| 34 | ThreatFinder | Eventos relacionados à campanha do Microsoft Defender para Office 365. |
| 35 | Project | Eventos do Microsoft Project. |
| 36 | SharePointListOperation | Eventos da Lista do SharePoint. |
| 37 | SharePointCommentOperation | Eventos de comentário do Microsoft Office SharePoint Online. |
| 38 | DataGovernance | Eventos relacionados com políticas de retenção e etiquetas de retenção no portal do Microsoft Purview. |
| 39 | Kaizala | Eventos do Kaizala. |
| 40 | SecurityComplianceAlerts | Sinais de alerta de conformidade e segurança. |
| 41 | ThreatIntelligenceUrl | Eventos de anulação de bloqueios e de tempo de bloqueio de links seguros a partir do Microsoft Defender para Office 365 |
| 42 | SecurityComplianceInsights | Eventos relacionados com informações e relatórios no portal do Microsoft Defender. |
| 43 | MIPLabel | Eventos relacionados à detecção no pipeline de transporte de mensagens de email que foram marcadas (manual ou automaticamente) com rótulos de confidencialidade. |
| 44 | VivaInsights | Eventos do Viva Insights. |
| 45 | PowerAppsApp | Eventos dos Aplicativos de Energia. |
| 46 | PowerAppsPlan | Eventos de plano de assinatura para Power Apps. |
| 47 | ThreatIntelligenceAtpContent | Eventos de phishing e software maligno para ficheiros no SharePoint, OneDrive e Microsoft Teams a partir de Microsoft Defender para Office 365. |
| 48 | LabelContentExplorer | Eventos relacionados ao explorador de conteúdo de classificação de dados. |
| 49 | TeamsHealthcare | Eventos relacionados com a aplicação Pacientes no Microsoft Teams for Healthcare. |
| 50 | ExchangeItemAggregated | Eventos relacionados à ação de auditoria da caixa de correio MailItemsAccessed. |
| 51 | HygieneEvent | Eventos relacionados à proteção contra spam de saída. |
| 52 | DataInsightsRestApiAudit | Informações sobre os dados de eventos da API REST. |
| 53 | InformationBarrierPolicyApplication | Eventos relacionados à aplicação de políticas de barreira de informação. |
| 54 | SharePointListItemOperation | Eventos de item de lista do SharePoint. |
| 55 | SharePointContentTypeOperation | Eventos do tipo de conteúdo de lista do SharePoint. |
| 56 | SharePointFieldOperation | Eventos de campo de lista do SharePoint. |
| 57 | MicrosoftTeamsAdmin | Eventos de administração do Teams. |
| 58 | HRSignal | Eventos relacionados a sinais de dados de RH que dão suporte à solução de gerenciamento de risco interno. |
| 59 | MicrosoftTeamsDevice | Eventos de dispositivo do Teams. |
| 60 | MicrosoftTeamsAnalytics | Eventos de análise do Teams. |
| 61 | InformationWorkerProtection | Eventos relacionados a alertas de usuários comprometidos. |
| 62 | Campanha | Eventos de campanha por email do Microsoft Defender para Office 365. |
| 63 | DLPEndpoint | Eventos Endpoint DLP. |
| 64 | AirInvestigation | Eventos de resposta automática de incidente (AIR). |
| 65 | Quarentena | Eventos de quarentena. |
| 66 | MicrosoftForms | Eventos do Microsoft Forms. |
| 67 | ApplicationAudit | Eventos de auditoria de aplicativos. |
| 68 | ComplianceSupervisionExchange | Eventos controlados pelo modelo de linguagem ofensivo de conformidade de comunicações. |
| 69 | CustomerKeyServiceEncryption | Eventos relacionados ao serviço de criptografia de chave do cliente. |
| 70 | OfficeNative | Eventos relacionados a rótulos de confidencialidade aplicados a documentos do Office. |
| 71 | MipAutoLabelSharePointItem | Eventos de rotulagem automática no Microsoft Office SharePoint Online. |
| 72 | MipAutoLabelSharePointPolicyLocation | Eventos de política de rotulagem automática no Microsoft Office SharePoint Online. |
| 73 | MicrosoftTeamsShifts | Eventos de Turnos do Teams. |
| 75 | MipAutoLabelExchangeItem | Eventos de rotulagem automática no Exchange. |
| 76 | CortanaBriefing | Resumo dos eventos por email. |
| 78 | WDATPAlerts | Eventos relacionados a alertas gerados pelo Windows Defender para Endpoint. |
| 79 | PowerAppsResource | Eventos relacionados com Conectores do Microsoft Power Platform (Pré-visualização). |
| 82 | SensitivityLabelPolicyMatch | Eventos gerados quando o arquivo rotulado com um rótulo de confidencialidade é aberto ou renomeado. |
| 83 | SensitivityLabelAction | Evento gerado quando rótulos de sensibilidade são aplicados, atualizados ou removidos de um arquivo. |
| 84 | SensitivityLabeledFileAction | Eventos gerados quando um arquivo rotulado com um rótulo de confidencialidade é aberto ou renomeado. |
| 85 | AttackSim | Eventos relacionados com atividades de utilizadores na Formação do & de Simulação de Ataques no Microsoft Defender para Office 365. |
| 86 | AirManualInvestigation | Eventos relacionados a investigações manuais em investigação e resposta automatizada (AIR). |
| 87 | SecurityComplianceRBAC | Eventos do RBAC de segurança e conformidade. |
| 88 | UserTraining | Eventos relacionados com a formação de utilizadores na Formação & de Simulação de Ataques no Microsoft Defender para Office 365. |
| 89 | AirAdminActionInvestigation | Eventos relacionados com ações de administrador na investigação e resposta automatizadas (AIR). |
| 90 | MSTIC | Eventos de inteligência de ameaças no Microsoft Defender para Office 365. |
| 91 | PhysicalBadgingSignal | Eventos relacionados a sinais físicos de identificação que são compatíveis com a solução de gerenciamento de risco interno. |
| 92 | TeamsEasyApprovals | Eventos relacionados com Aprovações Fáceis do Teams |
| 93 | AipDiscover | Eventos do scanner do AIP |
| 94 | AipSensitivityLabelAction | Eventos de etiqueta de confidencialidade do AIP |
| 95 | AipProtectionAction | Eventos de proteção do AIP |
| 96 | AipFileDeleted | Eventos de eliminação de ficheiros do AIP |
| 97 | AipHeartBeat | Eventos de heartbeat do AIP |
| 98 | MCASAlerts | Eventos correspondentes a alertas acionados pelo Microsoft Cloud App Security. |
| 99 | OnPremisesFileShareScannerDlp | Eventos relacionados à verificação de dados confidenciais em compartilhamentos de arquivos. |
| 100 | OnPremisesSharePointScannerDlp | Eventos relacionados à verificação de dados confidenciais no Microsoft Office SharePoint Online. |
| 101 | ExchangeSearch | Eventos relacionados ao uso do Outlook na Web (OWA) para pesquisar itens da caixa de correio. |
| 102 | SharePointSearch | Eventos relacionados à pesquisa no site inicial do Microsoft Office SharePoint Online de uma organização. |
| 103 | PrivacyInsights | Eventos de informações de privacidade. |
| 105 | MyAnalyticsSettings | Eventos do MyAnalytics. |
| 106 | SecurityComplianceUserChange | Eventos relacionados à modificação ou exclusão de um usuário. |
| 107 | ComplianceDLPExchangeClassification | Eventos de classificação do Exchange DLP. |
| 109 | MipExactDataMatch | Eventos de classificação Exact Data Match (EDM). |
| 113 | MS365DCustomDetection | Eventos relacionados a ações de detecção personalizadas no Microsoft 365 Defender. |
| 147 | CoreReportingSettings | Relatórios de eventos de configurações. |
| 148 | ComplianceConnector | Eventos relacionados com a importação de dados que não sejam da Microsoft através de conectores de dados no portal do Microsoft Purview. |
| 154 | OMEPortal | Logs de eventos do portal de mensagens criptografados gerados por destinatários externos. |
| 157 | MipLabelAnalyticsAuditRecord | Eventos de Análise de Etiquetas do MIP. |
| 164 | ScorePlatformGenericAuditRecord | Registo de Auditoria Genérico utilizado para Conectores de Dados. |
| 174 | DataShareOperation | Eventos relacionados ao compartilhamento de dados ingeridos por meio do SystemSync. |
| 181 | EduDataLakeDownloadOperation | Eventos relacionados à exportação de dados ingeridos do SystemSync do data lake. |
| 183 | MicrosoftGraphDataConnectOperation | Eventos relacionados a extrações feitas pelo Microsoft Graph Data Connect. |
| 186 | PowerPagesSite | Atividades relacionadas com o site do Power Pages. |
| 187 | PowerPlatformAdminDlp | Eventos relacionados com o DLP do Microsoft Power Platform (Pré-visualização). |
| 188 | PlannerPlan | Microsoft Planner planear eventos. |
| 189 | PlannerCopyPlan | Microsoft Planner copiar eventos do plano. |
| 190 | PlannerTask | Microsoft Planner eventos de tarefas. |
| 191 | PlannerRoster | Microsoft Planner eventos de lista e de associação à lista. |
| 192 | PlannerPlanList | Microsoft Planner listar eventos. |
| 193 | PlannerTaskList | Microsoft Planner eventos de lista de tarefas. |
| 194 | PlannerTenantSettings | Microsoft Planner eventos de definições de inquilino. |
| 195 | ProjectForThewebProject | Eventos de projeto do Microsoft Project para a Web. |
| 196 | ProjectForThewebTask | Eventos de tarefas do Microsoft Project para a Web. |
| 197 | ProjectForThewebRoadmap | Eventos de mapa de objetivos do Microsoft Project para a Web. |
| 198 | ProjectForThewebRoadmapItem | Eventos de itens de mapa de objetivos do Microsoft Project para a Web. |
| 199 | ProjectForThewebProjectSettings | Eventos de definições de inquilino do projeto do Microsoft Project para a Web. |
| 200 | ProjectForThewebRoadmapSettings | Eventos de definições de inquilino do mapa de objetivos do Microsoft Project para a Web. |
| 202 | MicrosoftTodoAudit | Eventos de Auditoria do Microsoft To Do. |
| 206 | MicrosoftTeamsSensitivityLabelAction | Eventos da Etiqueta de Confidencialidade do Microsoft Teams. |
| 216 | Viva Goals | Viva Goals eventos. |
| 217 | MicrosoftGraphDataConnectConsent | Eventos para ações de consentimento realizadas por administradores de inquilinos para aplicações do Microsoft Graph Data Connect. |
| 218 | AttackSimAdmin | Eventos relacionados com atividades de administrador na Formação de & de Simulação de Ataques no Microsoft Defender para Office 365. |
| 230 | TeamsUpdates | Eventos de Aplicações do Teams Atualizações. |
| 231 | PlannerRosterSensitivityLabel | Microsoft Planner eventos de etiqueta de confidencialidade da lista. |
| 235 | MicrosoftDefenderForIdentityAudit | Microsoft Defender para Identidade eventos de auditoria. |
| 237 | DefenderExpertsforXDRAdmin | Microsoft Defender Eventos de ação de Administrador de Especialistas. |
| 251 | VfamCreatePolicy | A política de Gestão de Acesso Viva cria eventos. |
| 252 | VfamUpdatePolicy | Eventos de atualização da política de Gestão de Acesso Viva. |
| 253 | VfamDeletePolicy | Eventos de eliminação da política de Gestão de Acesso Viva. |
| 256 | PowerPlatformAdministratorActivity | Eventos de atividade do Administrador do Power Platform. |
| 257 | Windows365CustomerLockbox | Eventos de auditoria do Windows365 Customer Lockbox. |
| 261 | CopilotInteraction | Eventos de interação copilot. |
| 265 | VivaLearning | Atividades de utilizador no Viva Learning. |
| 266 | VivaLearningAdmin | Administração atividades no Viva Learning. |
| 269 | PeopleAdminSettings | Auditar eventos para definições de People Administração. |
| 275 | OWAAuth | Token de Acesso para Eventos emitidos com êxito pelo Recurso. |
| 277 | SharePointESignature | Eventos de auditoria do SharePoint eSignature. |
| 278 | Dynamics365BusinessCentral | Eventos de auditoria para Dynamics 365 Business Central. |
| 279 | MeshWorlds | Auditar eventos do Mesh. |
| 280 | VivaPulseResponse | Eventos de resposta do inquérito Viva Pulse. |
| 281 | VivaPulseOrganizador | Eventos do organizador do inquérito Viva Pulse. |
| 282 | VivaPulseAdmin | Eventos de administração do Viva Pulse. |
| 283 | VivaPulseReport | O Viva Pulse reporta eventos relacionados. |
| 284 | AIAppInteraction | Auditar eventos para interações do utilizador com aplicações de IA de terceiros (não microsoft e não personalizadas). |
| 285 | ComplianceDLMExchange | Eventos ComplianceDLMExchange. |
| 286 | ComplianceDLMSharePoint | Eventos ComplianceDLMSharePoint. |
| 287 | ProjectForThewebAssignedToMeSettings | O Microsoft Project para a Web atribuído a eventos de definições de inquilino. |
| 288 | CloudPolicyService | Eventos do serviço Cloud Policy. |
| 291 | SensitiveInfoDiscovered | Eventos da classificação A Pedido do Purview para dispositivos de Ponto Final. |
| 292 | InsiderRiskScopedUserInsights | Eventos relacionados com informações de utilizador no âmbito na Gestão de Riscos Internos. |
| 293 | MicrosoftTeamsRetentionLabelAction | Auditar eventos para etiquetas de retenção no Microsoft Teams. |
| 294 | AadRiskDetection | Eventos de auditoria da Deteção de Riscos no Microsoft Entra (anteriormente denominado Azure Active Directory). |
| 295 | Pesquisa de Auditoria | Auditar eventos para um administrador que interage com a Pesquisa na Auditoria do Purview. |
| 296 | AuditRetentionPolicy | Eventos de auditoria para um administrador que interage com Políticas de Retenção na Auditoria do Purview. |
| 297 | AuditConfig | Eventos de auditoria para um administrador que interage com as definições de configuração relacionadas com a Auditoria do Purview. |
| 298 | BackupPolicy | Eventos relacionados com políticas de Backup do Microsoft 365. |
| 299 | RestoreTask | Eventos relacionados com Backup do Microsoft 365 Tarefas de Restauro. |
| 300 | RestoreItem | Eventos relacionados com artefactos com cópia de segurança com Backup do Microsoft 365. |
| 301 | BackupItem | Eventos relacionados com itens que estão a ser restaurados com Backup do Microsoft 365. |
| 302 | URBACAssignment | Eventos relacionados com atribuições RBAC unificadas. |
| 303 | URBACRole | Eventos relacionados com funções RBAC unificadas. |
| 304 | URBACEnableState | Eventos relacionados com a ativação do estado RBAC unificado. |
| 306 | PurviewInsiderRiskCases | Eventos relacionados com casos de Risco Interno do Purview. |
| 307 | PurviewInsiderRiskAlerts | Eventos relacionados com alertas de Risco Interno do Purview. |
| 308 | InsiderRiskScopedUsers | Eventos relacionados com utilizadores no âmbito do Risco Interno do Purview. |
| 310 | CreateCopilotPlugin | Eventos de auditoria para a criação do plug-in Copilot. |
| 311 | UpdateCopilotPlugin | Auditar eventos para atualizar um plug-in copilot. |
| 312 | DeleteCopilotPlugin | Auditar eventos para eliminar um plug-in copilot. |
| 313 | EnableCopilotPlugin | Eventos de auditoria para ativar um plug-in Copilot. |
| 314 | DisableCopilotPlugin | Auditar eventos para desativar um plug-in copilot. |
| 315 | CreateCopilotWorkspace | Auditar eventos para criar uma área de trabalho copilot. |
| 316 | UpdateCopilotWorkspace | Auditar eventos para atualizar uma área de trabalho copilot. |
| 317 | DeleteCopilotWorkspace | Auditar eventos para eliminar uma área de trabalho copilot. |
| 318 | EnableCopilotWorkspace | Auditar eventos para ativar uma área de trabalho copilot. |
| 319 | DisableCopilotWorkspace | Auditar eventos para desativar uma área de trabalho copilot. |
| 320 | CreateCopilotPromptBook | Auditar eventos para criar um promptbook copilot. |
| 321 | UpdateCopilotPromptBook | Auditar eventos para atualizar um promptbook do Copilot. |
| 322 | DeleteCopilotPromptBook | Auditar eventos para eliminar um promptbook do Copilot. |
| 323 | EnableCopilotPromptBook | Auditar eventos para ativar um promptbook copilot. |
| 324 | DisableCopilotPromptBook | Auditar eventos para desativar um promptbook do Copilot. |
| 325 | UpdateCopilotSettings | Evento de auditoria para atualizar as definições de utilizador ou inquilino relacionadas com o Copilot. |
| 328 | ConnectedAIAppInteraction | Auditar eventos relacionados com interações do utilizador com aplicações de IA de terceiros (não desenvolvidas pela Microsoft) que são implementadas no inquilino da Microsoft da organização. |
| 329 | PrivaPrivacyConsentOperation | Auditar eventos relacionados com o Consentimento no Microsoft Priva. |
| 330 | PrivaPrivacyAssessmentOperation | Auditar eventos relacionados com Avaliações no Microsoft Priva. |
| 331 | DataCatalogAccessRequests | Eventos de auditoria relacionados com Catálogo de Dados pedidos de acesso. |
| 332 | ComplianceSettingsChange | As definições de Conformidade do Microsoft Purview alteram os eventos. |
| 333 | DataSecurityInvestigation | Eventos de Investigações de Segurança de Dados no Microsoft Purview. |
| 334 | TeamCopilotInteraction | Auditar eventos para interações do utilizador com o Facilitador e atividades realizadas pelo Facilitador no Microsoft Teams. |
| 335 | IRMActivityAuditTrail | Eventos da Gestão de Riscos Internos do Purview. |
| 336 | SharePointContentSecurityPolicy | Eventos da Política de Segurança de Conteúdos no SharePoint. |
| 337 | CloudUpdateProfileConfig | Eventos da configuração do perfil do Cloud Update. |
| 338 | CloudUpdateTenantConfig | Eventos da configuração do inquilino do Cloud Update. |
| 339 | CloudUpdateDeviceConfig | Eventos da configuração de dispositivos geridos do Cloud Update. |
| 341 | DeviceDiscoverySettingsExclusion | Eventos relacionados com Exclusões nas definições de Deteção de Dispositivos. |
| 342 | DeviceDiscoverySettingsAuthenticatedScans | Eventos relacionados com Análises Autenticadas nas definições de Deteção de Dispositivos. |
| 344 | DeviceDiscoverySettings | Eventos relacionados com definições na Deteção de Dispositivos. |
| 345 | USXWorkspaceOnboarding | Eventos relacionados com a inclusão de áreas de trabalho no Microsoft Defender USX. |
| 346 | VivaGlintAdvancedConfiguration | Eventos relacionados com a Configuração Avançada no Viva Glint. |
| 347 | VivaGlintPulseProgram | Eventos relacionados com o Programa Pulse no Viva Glint. |
| 348 | VivaGlintPulseProgramRespondentRate | Eventos relacionados com a Taxa de Participantes do Programa Pulse no Viva Glint. |
| 349 | VivaGlintQuestion | Eventos relacionados com Perguntas no Viva Glint. |
| 350 | VivaGlintRole | Eventos relacionados com Funções no Viva Glint. |
| 351 | VivaGlintRubicon | Eventos relacionados com Rubicon em Viva Glint. |
| 352 | VivaGlintSupportAccess | Eventos relacionados com o Acesso de Suporte no Viva Glint. |
| 353 | VivaGlintSystem | Eventos relacionados com atividades do sistema no Viva Glint. |
| 354 | VivaGlintUser | Eventos relacionados com atividades de utilizador no Viva Glint. |
| 355 | VivaGlintUserGroup | Eventos relacionados com atividades de grupos de utilizadores no Viva Glint. |
| 356 | VivaGlintFeedbackProgram | Eventos relacionados com Programas de Comentários no Viva Glint. |
| 357 | FabricAudit | Eventos relacionados com o Microsoft Fabric. |
| 358 | TrainableClassifier | Eventos da Classificação de Dados do Purview. |
| 359 | WebContentFiltering | Eventos do Microsoft Edge WebContentFiltering. |
| 360 | NoisyAlertPolicy | Eventos relacionados com Políticas de Alerta Ruidoso no Microsoft Defender. |
| 361 | DataScanClassification | Eventos da classificação A Pedido do Purview para SharePoint e OneDrive. |
| 362 | AIInteractionsExport | Eventos relacionados com a exportação de interações de IA. |
| 363 | Microsoft365CopilotScheduledPrompt | Eventos de Microsoft 365 Copilot pedido agendado. |
| 364 | PlacesDirectory | Eventos do diretório Microsoft Places. |
| 365 | SentinelNotebookOnLake | Eventos da execução de blocos de notas no Sentinel data lake. |
| 366 | SentinelJob | Eventos de operações em trabalhos no Sentinel data lake. |
| 367 | SentinelKQLOnLake | Eventos da execução do KQL no Sentinel data lake. |
| 368 | SentinelLakeOnboarding | Eventos da inclusão para Sentinel data lake. |
| 369 | SentinelLakeDataOnboarding | Dados a carregar eventos para Sentinel data lake. |
| 370 | SentinelAITool | Eventos de operações na ferramenta de IA no Microsoft Sentinel |
| 371 | SentinelGraph | Eventos relacionados com o Graph no Microsoft Sentinel. |
| 372 | CrossTenantAccessPolicy | Eventos de Políticas de Acesso Entre Inquilinos. |
| 373 | OutlookCopilotAutomation | Eventos relacionados com a automatização de back-end (sem uma interação explícita do utilizador) no Microsoft Outlook impulsionados por Agentes, Copilot ou outros cenários de IA. |
| 374 | VivaEngageNetworkAssociation | Eventos relacionados com a Associação de Rede no Viva Engage. |
| 375 | AppAdminActivity | Eventos relacionados com a atividade de administrador de aplicações. |
| 376 | AppSettingsAdminActivity | Eventos relacionados com a atividade de administração das definições da aplicação. |
| 377 | UniversalPrintPrintJob | Auditar eventos relacionados com Tarefas de Impressão na Impressão Universal da Microsoft. |
| 378 | VivaAmplifyOutlookSensitivityLabel | Eventos relacionados com Etiquetas de Confidencialidade do Outlook no Viva Amplify. |
| 379 | AIInteractionsSubscription | Eventos relacionados com subscrições de interação de IA. |
| 380 | AIInteractionsChangeNotification | Eventos relacionados com notificações de alteração de interação de IA. |
| 381 | FilteringMailMetadataExtended | Eventos relacionados com a filtragem de metadados de correio. |
| 382 | OfficeRestrictedModeAction | Auditar eventos relacionados com atividades realizadas no Modo Restrito do Office. |
| 383 | CopilotForSecurityTrigger | Eventos relacionados com acionadores para agentes Security Copilot. |
| 384 | CopilotAgentManagement | Eventos relacionados com atividades de administrador para agentes Microsoft Copilot. |
| 385 | P4AIAssessmentFabricScannerRecord | Eventos relacionados com o Purview para o Analisador de Recursos de Infraestrutura de Avaliação de IA. |
| 386 | PlannerGoal | Microsoft Planner eventos de objetivo. |
| 387 | PlannerGoalList | Microsoft Planner eventos de lista de objetivos. |
| 401 | PlannerChatMessage | Microsoft Planner eventos de mensagens de chat. |
| 402 | PlannerChatMessageList | Microsoft Planner eventos de lista de mensagens de chat. |
| 414 | VivaEngageSegment | Viva Engage eventos de segmentação. |
| 422 | VivaEngageEvents | Eventos relacionados com Viva Engage eventos alojados. |
| 427 | UniversalPrintManagement | Auditar eventos relacionados com eventos de Gestão na Impressão Universal da Microsoft. |
| 430 | PurviewPostureAgent | Eventos do Agente de Postura de Segurança de Dados. |
Enumeração: User Type - Tipo: Edm.Int32
User Type
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Regular | Um utilizador normal sem permissões de administrador. |
| 1 | Reserved | Um valor reservado, não para utilização. |
| 2 | Admin | Um administrador na sua organização do Microsoft 365. |
| 3 | DCAdmin | Uma conta de sistema de datacenter ou administrador de datacenter da Microsoft. |
| 4 | System | Um evento de auditoria acionado pela lógica do lado do servidor. Por exemplo, serviços do Windows ou processos em segundo plano. |
| 5 | Application | Um evento de auditoria acionado por uma aplicação Microsoft Entra. |
| 6 | ServicePrincipal | Uma entidade de serviço. |
| 7 | CustomPolicy | Um cliente criou ou geriu uma política. |
| 8 | SystemPolicy | Uma política de sistema ou gerida pela Microsoft. |
| 9 | PartnerTechnician | O utilizador de um inquilino parceiro a trabalhar em nome do inquilino do cliente (em cenários GDAP). |
| 10 | Guest | Um utilizador convidado ou anónimo. |
Observação
** Para Microsoft Entra eventos relacionados, o valor de um administrador não é utilizado num registo de auditoria. Os registos de auditoria das atividades realizadas pelos administradores indicam que um utilizador normal (por exemplo, UserType: 0) realizou a atividade. A propriedade UserID identifica a pessoa (utilizador ou administrador normal) que realizou esta atividade.
Enumeração: AuditLogScope - Tipo: Edm.Int32
AuditLogScope
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Online | Este evento foi criado por um serviço do Microsoft 365. |
| 1 | Onprem | Este evento foi criado por um servidor local. |
Tipo complexo AppAccessContext
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AADSessionId | Edm.String | Não | O Microsoft Entra SessionId do início de sessão Entra que foi efetuado pela aplicação em nome do utilizador. |
| APIId | Edm.String | Não | O Id para o caminho da API que é usado para acessar o recurso; por exemplo, acesso por meio da API do Microsoft Graph. |
| ClientAppId | Edm.String | Não | O ID da aplicação Microsoft Entra que efetuou o acesso em nome do utilizador. |
| ClientAppName | Edm.String | Não | O nome da aplicação Microsoft Entra que efetuou o acesso em nome do utilizador. |
| CorrelationId | Edm.String | Não | Um identificador que pode ser usado para correlacionar as ações de um usuário específico entre Microsoft 365 serviços. |
| UniqueTokenId | Edm.String | Não | UniqueTokenId é definido se o token de Microsoft Entra estiver disponível para o pedido. É um identificador exclusivo por-token que diferencia maiúsculas de minúsculas. |
| IssuedAtTime | Edm.Date | Não | "Emitido Em" é definido se o token de Microsoft Entra estiver disponível para o pedido e indicar quando ocorreu a autenticação para este token de Microsoft Entra. |
Esquema base do SharePoint
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Site | Edm.Guid | Não | O GUID do site onde o arquivo ou pasta acessado pelo usuário está localizado. |
| ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | Não | O tipo de objeto que foi acessado ou modificado. Confira a tabela ItemType para obter detalhes sobre os tipos de objetos. |
| EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | Não | Identifica que um evento ocorreu no SharePoint. Valores possíveis são SharePoint ou ObjectModel. |
| SourceName | Edm.String | Não | A entidade que acionou a operação auditada. Valores possíveis são SharePoint ou ObjectModel. |
| UserAgent | Edm.String | Não | Informações sobre o cliente ou navegador do usuário. Esta informação é fornecida pelo cliente ou navegador. |
| MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre as operações de sincronização do dispositivo. Essas informações são relatadas somente se estiverem presentes na solicitação. |
| MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre as operações de sincronização do dispositivo. Essas informações são relatadas somente se estiverem presentes na solicitação. |
| ListItemUniqueId | Edm.Guid | Não | O GUID de um item de lista exclusivamente identificável. Esta informação está presente apenas se for aplicável. |
| ListId | Edm.Guid | Não | O GUID da lista. Esta informação está presente apenas se for aplicável. |
| ApplicationId | Edm.String | Não | O ID do aplicativo que está executando a operação. |
| ApplicationDisplayName | Edm.String | Não | O nome de exibição do aplicativo que está executando a operação. |
| IsWorkflow | Edm.Boolean | Não | Isso está definido como True se os Fluxos de Trabalho do SharePoint dispararem o evento auditado. |
Enumeração: ItemType - Tipo: Edm.Int32
ItemType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Invalid | O item não consiste em nenhum dos outros tipos de itens (listados nesta tabela). |
| 1 | File | O item é um arquivo. |
| 5 | Folder | O item é uma pasta. |
| 6 | web | O item é uma Web. |
| 7 | Site | O item é um site. |
| 8 | Tenant | O item é um locatário. |
| 9 | DocumentLibrary | O item é uma biblioteca de documentos. |
| 11 | Page | O item é uma página. |
Enumeração: EventSource - Tipo: Edm.Int32
EventSource
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | SharePoint | A origem do evento é o SharePoint. |
| 1 | ObjectModel | A origem do evento é o ObjectModel. |
Enumeração: SharePointAuditOperation - Tipo: Edm.Int32
| Nome do membro | Descrição |
|---|---|
| AccessInvitationAccepted | O destinatário de um convite para exibir ou editar um arquivo compartilhado (ou pasta) acessou o arquivo compartilhado clicando no link do convite. |
| AccessInvitationCreated | O utilizador envia um convite a outra pessoa (dentro ou fora da organização) para ver ou editar um ficheiro ou pasta partilhado num site do SharePoint ou do OneDrive. Os detalhes da entrada do evento identificam o nome do arquivo que foi compartilhado, o usuário ao qual o convite foi enviado e o tipo de permissão de compartilhamento selecionado pela pessoa que enviou o convite. |
| AccessInvitationExpired | Um convite enviado a um usuário externo expira. Por padrão, um convite enviado a um usuário fora de sua organização expira após sete dias se o convite não for aceito. |
| AccessInvitationRevoked | O administrador do site ou proprietário de um site ou documento no SharePoint ou oneDrive retira um convite que foi enviado a um utilizador fora da sua organização. Um convite pode ser retirado somente antes de ser aceito. |
| AccessInvitationUpdated | O utilizador que criou e enviou um convite a outra pessoa para ver ou editar um ficheiro ou pasta partilhado num site do SharePoint ou do OneDrive reenvia o convite. |
| AccessRequestApproved | O administrador do site ou proprietário de um site ou documento no SharePoint ou oneDrive aprova um pedido de utilizador para aceder ao site ou documento. |
| AccessRequestCreated | O utilizador pede acesso a um site ou documento no SharePoint ou oneDrive ao qual não tem permissão para aceder. |
| AccessRequestRejected | O administrador do site ou proprietário de um site ou documento no SharePoint recusa uma solicitação do usuário para acessar o site ou documento. |
| ActivationEnabled | Os usuários podem habilitar modelos de formulário para navegador que não contenham código de formulário, exijam confiança total, permitam a renderização em um dispositivo móvel ou usem uma conexão de dados gerenciada por um administrador de servidor. |
| AdministratorAddedToTermStore | Administrador do repositório de termos adicionado. |
| AdministratorDeletedFromTermStore | Administrador do repositório de termos excluído. |
| AllowGroupCreationSet | O administrador ou proprietário do site adiciona um nível de permissão a um site do SharePoint ou do OneDrive que permite a um utilizador atribuir essa permissão para criar um grupo para esse site. |
| AppCatalogCreated | Catálogo de aplicativos criado para disponibilizar aplicativos de negócios personalizados para o seu ambiente do SharePoint. |
| AuditPolicyRemoved | Política de Ciclo de Vida do Documento removida para um conjunto de sites. |
| AuditPolicyUpdate | Política de Ciclo de Vida do Documento atualizada para um conjunto de sites. |
| AzureStreamingEnabledSet | Um proprietário de portal de vídeo permitiu o streaming de vídeo do Azure. |
| CollaborationTypeModified | O tipo de colaboração permitido em sites (por exemplo, intranet, extranet ou público) foi modificado. |
| ConnectedSiteSettingModified | O utilizador criou, modificou ou eliminou a ligação entre um projeto e um site de projeto ou o utilizador modifica a definição de sincronização na ligação no Project Web App. |
| ContainerTypeCreated | Foi criado um tipo de contentor do SharePoint Embedded. |
| ContainerTypeDeleted | Foi eliminado um tipo de contentor do SharePoint Embedded. |
| ContainerTypeOwnersUpdated | Os proprietários de um tipo de contentor do SharePoint Embedded foram atualizados. |
| ContainerTypeUpdated | Foi atualizado um tipo de contentor do SharePoint Embedded. |
| CreateSSOApplication | Aplicativo de destino criado no Serviço de Repositório Seguro. |
| CustomFieldOrLookupTableCreated | O utilizador criou um campo personalizado ou uma tabela/item de referência no Project Web App. |
| CustomFieldOrLookupTableDeleted | O utilizador eliminou um campo personalizado ou uma tabela/item de referência no Project Web App. |
| CustomFieldOrLookupTableModified | O utilizador modificou um campo personalizado ou uma tabela/item de referência no Project Web App. |
| CustomizeExemptUsers | O administrador global personalizou a lista de agentes do usuário isentos no Centro de administração do SharePoint. Você pode especificar quais agentes de usuário devem ficar isentos de receber uma página da Web inteira para indexar. Esta configuração significa que quando um agente de utilizador excluído encontra um formulário do InfoPath, o formulário é devolvido como um ficheiro XML em vez de uma página Web inteira. Este resultado torna a indexação de formulários do InfoPath mais rápida. |
| DefaultLanguageChangedInTermStore* | Configuração de idioma alterada no repositório de terminologia. |
| DelegateModified | O utilizador criou ou modificou um delegado de segurança no Project Web App. |
| DelegateRemoved | O utilizador eliminou um delegado de segurança no Project Web App. |
| DeleteSSOApplication | Um aplicativo SSO foi excluído. |
| eDiscoveryHoldApplied | Um Bloqueio In-loco foi colocado em uma fonte de conteúdo. Os Bloqueios In-loco são gerenciados usando um conjunto de sites de Descoberta Eletrônica (como o Centro de Descoberta Eletrônica) no SharePoint. |
| eDiscoveryHoldRemoved | Um Bloqueio In-loco foi removido de uma fonte de conteúdo. Os Bloqueios In-loco são gerenciados usando um conjunto de sites de Descoberta Eletrônica (como o Centro de Descoberta Eletrônica) no SharePoint. |
| eDiscoverySearchPerformed | Uma pesquisa de Descoberta Eletrônica foi realizada usando um conjunto de sites de Descoberta Eletrônica no SharePoint. |
| EngagementAccepted | O utilizador aceita uma atribuição de recursos no Project Web App. |
| EngagementModified | O utilizador modifica uma atribuição de recursos no Project Web App. |
| EngagementRejected | O utilizador rejeita uma atribuição de recursos no Project Web App. |
| EnterpriseCalendarModified | O utilizador copia, modifica ou elimina um calendário empresarial no Project Web App. |
| EntityDeleted | O utilizador elimina uma folha de horas no Project Web App. |
| EntityForceCheckedIn | O utilizador força uma marcar num calendário, campo personalizado ou tabela de referência no Project Web App. |
| ExemptUserAgentSet | O administrador global adiciona um agente do usuário à lista de agentes do usuário isentos no Centro de administração do SharePoint. |
| FeatureActivated | O administrador do site ativa uma funcionalidade de coleção de sites. |
| FeatureDeactivated | O administrador do site desativa uma funcionalidade de coleção de sites. |
| FileAccessed | A conta de utilizador ou sistema acede a um ficheiro num site do SharePoint ou do OneDrive. Contas do sistema também podem gerar eventos FileAccessed. |
| FileCheckOutDiscarded | O utilizador elimina um ficheiro com saída dada. Isso significa que quaisquer alterações feitas no arquivo quando ele passou por check-out serão descartadas e não serão salvas na versão do documento na biblioteca de documentos. |
| FileCheckedIn | O utilizador verifica num documento que deu saída a partir de uma biblioteca de documentos do SharePoint ou do OneDrive. |
| FileCheckedOut | O utilizador dá saída de um documento localizado numa biblioteca de documentos do SharePoint ou do OneDrive. Os usuários podem fazer check-out e alterações nos documentos que foram compartilhados com eles. |
| FileCopied | O utilizador copia um documento de um site do SharePoint ou do OneDrive. O arquivo copiado pode ser salvo em outra pasta no site. |
| FileDeleted | O utilizador elimina um documento de um site do SharePoint ou do OneDrive. |
| FileDeletedFirstStageRecycleBin | O utilizador elimina um ficheiro da reciclagem num site do SharePoint ou do OneDrive. |
| FileDeletedSecondStageRecycleBin | O utilizador elimina um ficheiro da reciclagem de segunda fase num site do SharePoint ou do OneDrive. |
| FileDownloaded | O utilizador transfere um documento a partir de um site do SharePoint ou do OneDrive. |
| FileFetched | Este evento foi substituído pelo evento FileAccessed e foi descontinuado. |
| FileModified | A conta de utilizador ou sistema modifica o conteúdo ou as propriedades de um documento localizado num site do SharePoint ou do OneDrive. |
| FileMoved | O utilizador move um documento da localização atual num site do SharePoint ou do OneDrive para uma nova localização. |
| FilePreviewed | O utilizador pré-visualiza um documento num site do SharePoint ou do OneDrive. |
| FileRecycled | O utilizador move um documento para a Reciclagem do SharePoint ou do OneDrive. |
| FileRenamed | O utilizador muda o nome de um documento num site do SharePoint ou do OneDrive. |
| FileRestored | O utilizador restaura um documento a partir da reciclagem de um site do SharePoint ou do OneDrive. |
| FileSyncDownloadedFull | O utilizador transfere um ficheiro para o respetivo computador a partir de uma biblioteca de documentos do SharePoint ou do OneDrive com Sincronização do OneDrive aplicação (OneDrive.exe). |
| FileSyncDownloadedPartial | Este evento foi preterido juntamente com a aplicação Sincronização do OneDrive antiga (Groove.exe). |
| FileSyncUploadedFull | O utilizador carrega um novo ficheiro ou alterações a um ficheiro na biblioteca de documentos do SharePoint ou no OneDrive com Sincronização do OneDrive aplicação (OneDrive.exe). |
| FileSyncUploadedPartial | Este evento foi preterido juntamente com a aplicação Sincronização do OneDrive antiga (Groove.exe). |
| FileUploaded | O utilizador carrega um documento para uma pasta num site do SharePoint ou do OneDrive. |
| FileViewed | Este evento foi substituído pelo evento FileAccessed e foi descontinuado. |
| FolderCopied | O utilizador copia uma pasta de um site do SharePoint ou do OneDrive para outra localização no SharePoint ou no OneDrive. |
| FolderCreated | O utilizador cria uma pasta num site do SharePoint ou do OneDrive. |
| FolderDeleted | O utilizador elimina uma pasta de um site do SharePoint ou do OneDrive. |
| FolderDeletedFirstStageRecycleBin | O utilizador elimina uma pasta da reciclagem num site do SharePoint ou do OneDrive. |
| FolderDeletedSecondStageRecycleBin | O utilizador elimina uma pasta da reciclagem de segunda fase num site do SharePoint ou do OneDrive. |
| FolderModified | O utilizador modifica uma pasta num site do SharePoint ou do OneDrive. Este evento inclui alterações de metadados da pasta, como tags e propriedades. |
| FolderMoved | O utilizador move uma pasta a partir de um site do SharePoint ou do OneDrive. |
| FolderRecycled | O utilizador move uma pasta para a Reciclagem do SharePoint ou do OneDrive. |
| FolderRenamed | O utilizador muda o nome de uma pasta num site do SharePoint ou do OneDrive. |
| FolderRestored | O utilizador restaura uma pasta a partir da Reciclagem num site do SharePoint ou do OneDrive. |
| GroupAdded | O administrador ou proprietário do site cria um grupo para um site do SharePoint ou do OneDrive ou executa uma tarefa que resulta na criação de um grupo. Por exemplo, quando um utilizador cria uma ligação pela primeira vez para partilhar um ficheiro, é adicionado um grupo de sistema ao site do OneDrive do utilizador. Esse evento também pode ser o resultado de um usuário ter criado um link com permissões de edição para um arquivo compartilhado. |
| GroupRemoved | O utilizador elimina um grupo de um site do SharePoint ou do OneDrive. |
| GroupUpdated | O administrador ou proprietário do site altera as definições de um grupo para um site do SharePoint ou do OneDrive. Isso pode incluir a alteração do nome do grupo, quem pode visualizar ou editar os membros do grupo e como as solicitações de associação são tratadas. |
| LanguageAddedToTermStore | Idioma adicionado ao repositório de terminologia. |
| LanguageRemovedFromTermStore | Idioma removido do repositório de terminologia. |
| LegacyWorkflowEnabledSet | O proprietário ou administrador do site adiciona o tipo de conteúdo da Tarefa de Fluxo de Trabalho do SharePoint ao site. Os administradores globais também podem ativar fluxos de trabalho para toda a organização no centro de administração do SharePoint. |
| LookAndFeelModified | O utilizador modifica uma iniciação rápida, formatos de gráfico Gantt ou formatos de grupo. Ou o utilizador cria, modifica ou elimina uma vista no Project Web App. |
| ManagedSyncClientAllowed | O utilizador estabelece com êxito uma relação de sincronização com um site do SharePoint ou do OneDrive. A relação de sincronização é bem-sucedida porque o computador do usuário é membro de um domínio que foi adicionado à lista de domínios (chamada de Lista de Destinatários Confiáveis) que pode acessar bibliotecas de documentos em sua organização. Para obter mais informações, consulte Introdução ao Shell de Gerenciamento do SharePoint Online para ativar Sincronização do OneDrive para domínios que estão na lista de destinatários seguros. |
| MaxQuotaModified | A cota máxima de um site foi modificada. |
| MaxResourceUsageModified | O uso máximo permitido de recursos para um site foi modificado. |
| MySitePublicEnabledSet | O sinalizador que permite aos usuários ter MySites públicos foi definido pelo Administrador de serviços do SharePoint. |
| NewsFeedEnabledSet | O administrador ou proprietário do site ativa feeds RSS para um site do SharePoint ou do OneDrive. Os administradores globais podem ativar RSS feeds para toda a organização no centro de administração do SharePoint. |
| ODBNextUXSettings | A nova IU para o OneDrive foi ativada. |
| OfficeOnDemandSet | O administrador do site habilita o Office on Demand, que permite aos usuários acessar a versão mais recente dos aplicativos da área de trabalho do Office. O Office on Demand está habilitado no Centro de administração do SharePoint e exige uma assinatura do Office 365 que inclua aplicativos completos do Office instalados. |
| PageViewed | O utilizador vê uma página num site do SharePoint ou num site do OneDrive. Isso não inclui a exibição de arquivos da biblioteca de documentos de um site do SharePoint ou do site One Drive for Business em um navegador. |
| PeopleResultsScopeSet | O administrador do site cria ou altera a fonte de resultados para Pesquisas de Pessoas em um site do SharePoint. |
| PermissionSyncSettingModified | O utilizador modifica as definições de sincronização de permissões do projeto no Project Web App. |
| PermissionTemplateModified | O utilizador cria, modifica ou elimina um modelo de permissões no Project Web App. |
| PortfolioDataAccessed | O utilizador acede a conteúdos de portefólio (biblioteca de controladores, atribuição de prioridades de fatores, análises de portefólio) no Project Web App. |
| PortfolioDataModified | O utilizador cria, modifica ou elimina dados de portefólio (biblioteca de controladores, atribuição de prioridades de fatores, análises de portefólio) no Project Web App. |
| PreviewModeEnabledSet | O administrador do site habilita a visualização do documento para um site do SharePoint. |
| ProjectAccessed | O utilizador acede ao conteúdo do projeto no Project Web App. |
| ProjectCheckedIn | O utilizador verifica num projeto que deu saída a partir de uma aplicação Web do Project. |
| ProjectCheckedOut | O utilizador dá saída de um projeto localizado numa aplicação Web do Project. Os usuários podem fazer check-out e fazer alterações em projetos para os quais têm permissão para abrir. |
| ProjectCreated | O utilizador cria um projeto no Project Web App. |
| ProjectDeleted | O utilizador elimina um projeto no Project Web App. |
| ProjectForceCheckedIn | O utilizador força uma marcar num projeto no Project Web App. |
| ProjectModified | O utilizador modifica um projeto no Project Web App. |
| ProjectPublished | O utilizador publica um projeto no Project Web App. |
| ProjectWorkflowRestarted | O utilizador reinicia um fluxo de trabalho no Project Web App. |
| PWASettingsAccessed | O utilizador acede às definições do Project Web App através do CSOM. |
| PWASettingsModified | O utilizador modifica a configuração de uma aplicação Web do Project. |
| QueueJobStateModified | O utilizador cancela ou reinicia uma tarefa de fila no Project Web App. |
| QuotaWarningEnabledModified | Aviso de cota de armazenamento modificada. |
| RenderingEnabled | Os modelos de formulário preparados para browser são compostos pelos serviços de formulários do InfoPath. |
| ReportingAccessed | O utilizador acedeu ao ponto final de relatórios no Project Web App. |
| ReportingSettingModified | O utilizador modifica a configuração de relatórios no Project Web App. |
| ResourceAccessed | O utilizador acede a um conteúdo de recurso empresarial no Project Web App. |
| ResourceCheckedIn | O utilizador verifica num recurso empresarial que deu saída do Project Web App. |
| ResourceCheckedOut | O utilizador dá saída de um recurso empresarial localizado no Project Web App. |
| ResourceCreated | O utilizador cria um recurso empresarial no Project Web App. |
| ResourceDeleted | O utilizador elimina um recurso empresarial no Project Web App. |
| ResourceForceCheckedIn | O utilizador força uma marcar de um recurso empresarial no Project Web App. |
| ResourceModified | O utilizador modifica um recurso empresarial no Project Web App. |
| ResourcePlanCheckedInOrOut | O utilizador dá entrada ou saída de um plano de recursos no Project Web App. |
| ResourcePlanModified | O utilizador modifica um plano de recursos no Project Web App. |
| ResourcePlanPublished | O utilizador publica um plano de recursos no Project Web App. |
| ResourceRedacted | O utilizador redigi um recurso empresarial ao remover todas as informações pessoais no Project Web App. |
| ResourceWarningEnabledModified | Aviso de cota de recursos modificada. |
| SSOGroupCredentialsSet | Credenciais de grupo definidas no Serviço de Repositório Seguro. |
| SSOUserCredentialsSet | Credenciais de usuário definidas no Serviço de Repositório Seguro. |
| SearchCenterUrlSet | Conjunto de URLs do Centro de Pesquisa. |
| SecondaryMySiteOwnerSet | Um usuário adicionou um proprietário secundário ao seu MySite. |
| SecurityCategoryModified | O utilizador cria, modifica ou elimina uma categoria de segurança no Project Web App. |
| SecurityGroupModified | O utilizador cria, modifica ou elimina um grupo de segurança no Project Web App. |
| SendToConnectionAdded | O administrador global cria uma nova conexão Enviar para na página Gerenciamento de registros no Centro de administração do SharePoint. Uma conexão Enviar para especifica configurações para um repositório de documentos ou um centro de registros. Quando você cria uma conexão Enviar para, um Organizador de Conteúdo pode enviar documentos à localização especificada. |
| SendToConnectionRemoved | O administrador global exclui uma conexão Enviar para na página Gerenciamento de registros no Centro de administração do SharePoint. |
| SharedLinkCreated | O utilizador cria uma ligação para um ficheiro partilhado no SharePoint ou no OneDrive. Este link pode ser enviado para outras pessoas para dar acesso ao arquivo. Um usuário pode criar dois tipos de links: um link que permite ao usuário visualizar e editar o arquivo compartilhado, ou um link que permite ao usuário apenas visualizar o arquivo. |
| SharedLinkDisabled | O usuário desabilita (permanentemente) um link que foi criado para compartilhar um arquivo. |
| SharingInvitationAccepted * | O usuário aceita um convite para compartilhar um arquivo ou uma pasta. Esse evento é registrado quando um usuário compartilha um arquivo com outros usuários. |
| SharingRevoked | O utilizador anule a partilha de um ficheiro ou pasta que foi partilhado anteriormente com outros utilizadores. Esse evento é registrado quando um usuário deixa de compartilhar um arquivo com outros usuários. |
| SharingSet | O utilizador partilha um ficheiro ou pasta localizado no SharePoint ou no OneDrive com outro utilizador dentro da organização. |
| SiteAdminChangeRequest | O usuário solicita ser adicionado como um administrador do conjunto de sites de um conjunto de sites do SharePoint. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. |
| SiteCollectionAdminAdded* | O administrador ou proprietário da coleção de sites adiciona uma pessoa como administrador de coleções de sites para um site do SharePoint ou do OneDrive. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. |
| SiteCollectionCreated | O administrador global cria um novo conjunto de sites em sua organização do SharePoint. |
| SitePermanentlyDeleted | Um administrador global ou do SharePoint elimina permanentemente um site dos Sites Eliminados do Centro de Administração do SharePoint. |
| SiteRenamed | O administrador ou proprietário do site muda o nome de um site do SharePoint ou do OneDrive |
| SiteRestored | Um administrador global ou do SharePoint restaura um site a partir do SharePoint Administração Center Deleted Sites. |
| StatusReportModified | O utilizador cria, modifica ou elimina um relatório de status no Project Web App. |
| SyncGetChanges | O utilizador clica em Sincronizar no tabuleiro de ações no SharePoint ou no OneDrive para sincronizar quaisquer alterações ao ficheiro numa biblioteca de documentos com o respetivo computador. |
| SyntexBillingSubscriptionSettingsChanged | As definições da subscrição de Faturação do Syntex foram alteradas. Este evento é acionado quando uma versão de avaliação do Syntex expira. |
| TaskStatusAccessed | O utilizador acede ao status de uma ou mais tarefas no Project Web App. |
| TaskStatusApproved | O utilizador aprova uma atualização status de uma ou mais tarefas no Project Web App. |
| TaskStatusRejected | O utilizador rejeita uma atualização status de uma ou mais tarefas no Project Web App. |
| TaskStatusSaved | O utilizador guarda uma atualização status de uma ou mais tarefas no Project Web App. |
| TaskStatusSubmitted | O utilizador submete uma atualização status de uma ou mais tarefas no Project Web App. |
| TenantWideThemeCreated | Um administrador do SharePoint, administrador global ou gestor de marcas cria um tema personalizado que se aplica a todos os sites do SharePoint na sua organização. |
| TenantWideThemeDeleted | Um administrador do SharePoint, administrador global ou gestor de marcas elimina um tema personalizado que se aplica a todos os sites do SharePoint na sua organização. |
| TenantWideThemeUpdated | Um administrador do SharePoint, administrador global ou gestor de marcas atualiza um tema personalizado que se aplica a todos os sites do SharePoint na sua organização. |
| TimesheetAccessed | O utilizador acede a uma folha de horas no Project Web App. |
| TimesheetApproved | O utilizador aprova a folha de horas no Project Web App. |
| TimesheetRejected | O utilizador rejeita uma folha de horas no Project Web App. |
| TimesheetSaved | O utilizador guarda uma folha de horas no Project Web App. |
| TimesheetSubmitted | O utilizador submete uma folha de horas status no Project Web App. |
| UnmanagedSyncClientBlocked | O utilizador tenta estabelecer uma relação de sincronização com um site do SharePoint ou do OneDrive a partir de um computador que não seja membro do domínio da sua organização ou que seja membro de um domínio que não tenha sido adicionado à lista de domínios (denominada lista de destinatários seguros) que podem aceder a bibliotecas de documentos na sua organização. A relação de sincronização não é permitida e o computador do usuário é impedido de sincronizar, fazer download ou fazer upload de arquivos em uma biblioteca de documentos. |
| UpdateDisableSiteBranding | Um administrador global ou do SharePoint ativa ou desativa a imagem corporativa do site. |
| UpdateSSOApplication | Aplicativo de destino atualizado no Serviço de Repositório Seguro. |
| UserAddedToGroup | O administrador ou proprietário do site adiciona uma pessoa a um grupo num site do SharePoint ou do OneDrive. Adicionar uma pessoa a um grupo concede ao usuário as permissões que foram atribuídas ao grupo. |
| UserRemovedFromGroup | O administrador ou proprietário do site remove uma pessoa de um grupo num site do SharePoint ou do OneDrive. Depois que a pessoa é removida, ela não recebe mais as permissões que foram atribuídas ao grupo. |
| WebThemeApplied | Um administrador global ou do SharePoint ou um proprietário do site aplica um tema Web. |
| WorkflowModified | O utilizador cria, modifica ou elimina fases ou fases de Tipo de Projeto Empresarial ou Fluxo de Trabalho no Project Web App. |
Operações de arquivos do SharePoint
Os eventos de ficheiros e páginas devolvidos nas pesquisas de registos de auditoria utilizam este esquema.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| SiteUrl | Edm.String | Sim | A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. |
| SourceRelativeUrl | Edm.String | Não | O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores dos parâmetros SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro acedido pelo utilizador. |
| SourceFileName | Edm.String | Sim | O nome do arquivo ou pasta acessado pelo usuário. |
| SourceFileExtension | Edm.String | Não | A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. |
| DestinationRelativeUrl | Edm.String | Não | A URL da pasta de destino em que um arquivo é copiado ou movido. A combinação dos valores dos parâmetros SiteURL, DestinationRelativeURL e DestinationFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro que foi copiado. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved. |
| DestinationFileName | Edm.String | Não | O nome do arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved. |
| DestinationFileExtension | Edm.String | Não | A extensão de um arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved. |
| UserSharedWith | Edm.String | Não | O usuário com o qual um recurso foi compartilhado. |
| SharingType | Edm.String | Não | O tipo de permissões de compartilhamento que foram designadas ao usuário com o qual o recurso foi compartilhado. Este utilizador é identificado pelo parâmetro UserSharedWith . |
| SourceLabel | Edm.String | Não | O rótulo original do arquivo antes de ser alterado por uma ação do usuário. |
| DestinationLabel | Edm.String | Não | O rótulo final do arquivo depois que ele é alterado por uma ação do usuário. |
| SensitivityLabelOwnerEmail | Edm.String | Não | O endereço de email do proprietário do rótulo de confidencialidade. |
| SensitivityLabelId | Edm.String | Não | A ID do rótulo de confidencialidade atual do arquivo. |
Listar Operações do SharePoint
Os eventos de lista do SharePoint devolvidos nas pesquisas de registos de auditoria utilizam este esquema.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ListTitle | Edm.String | Não | O título da lista de SharePoint. |
| ListName | Edm.String | Não | O nome da lista do SharePoint. |
| ListUrl | Edm.String | Não | O URL da lista em relação ao site que o contém. |
| ListBaseType | Edm.String | Não | Especifica o tipo base para uma lista. |
| ListBaseTemplateType | Edm.String | Não | O tipo de definição de lista no qual a lista se baseia. |
| IsHiddenList | Edm.Boolean | Não | Esse valor será definido para True se a lista do SharePoint estiver oculta. |
| IsDocLib | Edm.Boolean | Não | Este valor está definido como True se a lista do SharePoint for do tipo Biblioteca de Documentos. |
Esquema de compartilhamento do SharePoint
Os eventos de pedidos de partilha e acesso devolvidos nas pesquisas de registos de auditoria utilizam este esquema.
Os eventos do SharePoint relacionados ao compartilhamento de arquivos. Eles são diferentes dos eventos relacionados a arquivos e pastas em que um usuário está realizando uma ação que afeta outro usuário. Para obter informações sobre o esquema de compartilhamento do SharePoint, consulte Usar a auditoria de compartilhamento no log de auditoria .
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| TargetUserOrGroupName | Edm.String | Não | Armazena o UPN ou o nome do usuário ou grupo de destino com o qual um recurso foi compartilhado. |
| TargetUserOrGroupType | Edm.String | Não | Identifica se o usuário ou grupo de destino é um Membro, Convidado, Grupo ou Parceiro. |
| EventData | Código XML | Não | Transmite informações de acompanhamento sobre a ação de compartilhamento que ocorreu, como adicionar um usuário a um grupo ou conceder permissões de edição. |
| SiteUrl | Edm.String | Não | A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. |
| SourceRelativeUrl | Edm.String | Não | O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores dos parâmetros SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro acedido pelo utilizador. |
| SourceFileName | Edm.String | Não | O nome do arquivo ou pasta acessado pelo usuário. |
| SourceFileExtension | Edm.String | Não | A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. |
| UniqueSharingId | Edm.String | Não | O ID de compartilhamento exclusivo associado à operação de compartilhamento. |
Esquema do SharePoint
Os eventos do SharePoint (excluindo os eventos de ficheiros e pastas) devolvidos nas pesquisas de registos de auditoria utilizam este esquema.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| CustomEvent | Edm.String | Não | Cadeia de caracteres opcional para eventos personalizados. |
| EventData | Edm.String | Não | Carga opcional para eventos personalizados. |
| ModifiedProperties | Collection(ModifiedProperty) | Não | A propriedade está incluída para eventos de administrador, como adicionar um usuário como membro de um site ou grupo de administradores de um conjunto de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo Administrador do Site), o novo valor da propriedade modificada (como o usuário que foi adicionado como administrador do site) e o valor anterior do objeto modificado. |
Esquema do Project
Os eventos do Microsoft Project para a Web devolvidos nas pesquisas de registos de auditoria utilizam estes esquemas.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Entity | Edm.String | Sim | ProjectEntity da auditoria. |
| Action | Edm.String | Sim | ProjectAction tomada. |
| OnBehalfOfResId | Edm.Guid | Não | A ID do recurso em nome da qual a ação foi tomada. |
Enumeração: Project Action - Tipo: Edm.Int32
Ação do projeto
| Nome do membro | Descrição |
|---|---|
| Accepted | O usuário aceitou um evento ou fluxo de trabalho. |
| Accessed | O usuário acessou uma entidade. |
| Activated | O usuário ativou uma entidade, evento ou fluxo de trabalho. |
| Cancelled | O usuário cancelou um evento ou fluxo de trabalho. |
| CheckedIn | O usuário fez check-in em uma entidade. |
| CheckedOut | O usuário fez check-out em uma entidade. |
| Copied | O usuário copiou uma entidade. |
| Created | O usuário criou uma entidade. |
| Deactivated | O usuário desativou uma entidade. |
| Deleted | O usuário excluiu uma entidade. |
| Exported | O usuário exportou uma entidade. |
| ForceCheckedIn | O usuário fez com que uma entidade fosse obrigada a fazer check-in. |
| Modified | O usuário modificou uma entidade. |
| Published | O usuário publicou uma entidade. |
| Redacted | O usuário redigiu uma entidade. |
| Rejected | O usuário rejeitou uma entidade. |
| Restarted | O usuário reiniciou um evento ou fluxo de trabalho. |
| Saved | O usuário salvou uma entidade. |
| Sent | O usuário enviou uma entidade. |
| Submitted | O usuário enviou uma entidade para revisão ou fluxo de trabalho. |
Enumeração: Project Entity - Tipo: Edm.Int32
Entidade do projeto.
| Nome do membro | Descrição |
|---|---|
| CustomField | Representa um campo personalizado da empresa. |
| Driver | Representa um indicador de portfólio. |
| DriverPrioritization | Representa uma priorização de portfólio. |
| Engagement | Representa um compromisso de recurso. |
| EnterpriseCalendar | Representa um calendário de recursos empresariais. |
| EnterpriseProjectType | Representa um tipo de projeto corporativo. |
| FiscalPeriod | Representa um período fiscal. |
| GanttChartFormat | Representa um formato de gráfico Gantt. |
| GroupingFormat | Representa um formato de agrupamento de visualizações. |
| LineClassification | Representa uma classificação de linha de quadro de horários. |
| LookupTable | Representa uma tabela de pesquisa corporativa. |
| PermissionTemplate | Representa um modelo de permissão de segurança. |
| PortfolioAnalysis | Representa uma análise de portfólio. |
| Project | Representa um projeto. |
| QueueJob | Representa um trabalho em fila. |
| QuickLaunch | Representa um item de inicialização rápida. |
| Reporting | Representa o ponto de extremidade de relatório. |
| Resource | Representa um recurso da empresa. |
| ResourcePlan | Representa um plano de recursos associado a um projeto. |
| SecurityCategory | Representa uma categoria de segurança. |
| SecurityGroup | Representa um grupo de segurança. |
| Setting | Representa uma definição do Project Web App. |
| Statusing | Representa uma atualização de status da tarefa. |
| StatusReport | Representa um relatório de status. |
| TimeReportingPeriod | Representa um período de tempo para uma folha de horas. |
| Timesheet | Representa uma entidade de quadro de horários. |
| TimesheetAuditLog | Representa um log de auditoria do quadro de horários. |
| TimesheetManager | Representa o gerente de um quadro de horários. |
| UserDelegate | Representa uma delegação de usuário para outro usuário. |
| View | Representa uma definição de exibição. |
| WorkflowPhase | Representa uma fase em um fluxo de trabalho. |
| WorkflowStage | Representa um estágio em um fluxo de trabalho. |
Esquema de administração do Exchange
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| ModifiedObjectResolvedName | Edm.String | Não | Esse é o nome amigável do objeto que foi modificado pelo cmdlet. Ele é registrado somente se o cmdlet modificar o objeto. |
| Parâmetros | Collection(Common.NameValuePair) | Não | O nome e o valor de todos os parâmetros que foram usados com o cmdlet identificado na propriedade Operations. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Não | A propriedade está incluída para eventos de administrador. A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior do objeto modificado. |
| ExternalAccess | Edm.Boolean | Sim | Especifica se o cmdlet foi executado por um usuário em sua organização, pela equipe de datacenters da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém em sua organização. O valor Verdadeiro indica que o cmdlet foi executado pela equipe do datacenter, por uma conta de serviço do datacenter ou por um administrador delegado. |
| OriginatingServer | Edm.String | Não | O nome do servidor do qual o cmdlet foi executado. |
| OrganizationName | Edm.String | Não | O nome do locatário. |
| DeviceId | Edm.String | Não | Disponível apenas para dispositivos registados/associados a um domínio. |
| TokenObjectId | Edm.String | Sim | afirmação oid dos tokens de Microsoft Entra. |
| TokenTenantId | Edm.String | Sim | afirmação de tid dos tokens de Microsoft Entra. |
Esquema de caixa de correio do Exchange
Os eventos da caixa de correio do Exchange devolvidos nas pesquisas de registos de auditoria utilizam estes esquemas.
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| LogonType | Self.LogonType | Sim | Indica o tipo de usuário que acessou a caixa de correio e executou a operação que foi registrada. |
| InternalLogonType | Self.LogonType | Sim | Reservado para uso interno. |
| MailboxGuid | Edm.String | Não | O GUID do Exchange da caixa de correio que foi acessada. |
| MailboxOwnerUPN | Edm.String | Não | O endereço de email da pessoa que possui a caixa de correio que foi acessada. |
| MailboxOwnerSid | Edm.String | Não | O SID do proprietário da caixa de correio. |
| MailboxOwnerMasterAccountSid | Edm.String | Não | SID da conta principal da conta do proprietário da caixa de correio. |
| LogonUserSid | Edm.String | Não | O SID do usuário que executou a operação. |
| LogonUserDisplayName | Edm.String | Não | O nome amigável do usuário que executou a operação. |
| ExternalAccess | Edm.Boolean | Sim | Isso se aplica se o domínio do usuário de logon for diferente do domínio do proprietário da caixa de correio. |
| OriginatingServer | Edm.String | Não | De onde a operação se originou. |
| OrganizationName | Edm.String | Não | O nome do locatário. |
| ClientInfoString | Edm.String | Não | Informações sobre o cliente de email que foi usado para executar a operação, como uma versão do navegador, versão do Outlook e informações do dispositivo móvel. |
| ClientIPAddress | Edm.String | Não | O endereço IP do dispositivo que foi usado quando a operação foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| ClientMachineName | Edm.String | Não | O nome da computador que hospeda o cliente do Outlook. |
| ClientProcessName | Edm.String | Não | O cliente de email que foi usado para acessar a caixa de correio. |
| ClientVersion | Edm.String | Não | A versão do cliente de e-mail. |
| SessionId | Edm.String | Não | Identificador exclusivo da sessão. Ajuda a diferenciar as ações do atacante vs. as atividades diárias do utilizador na mesma conta (útil para contas comprometidas) |
| AppId | Edm.String | Não | Identificador da Aplicação |
| ClientAppId | Edm.String | Não | Identificador original do chamador (serviço/protocolo) do pedido. |
| HostAppId | Edm.String | Não | O identificador de serviço/protocolo em execução. |
| OperationProperties | Collection(Common.NameValuePair) | Não | Coleção de propriedades específicas da operação. |
| ClientRequestId | Edm.String | Não | Identificador do pedido de cliente. |
| ExternalUserTenantId | Edm.String | Não | Identificador de inquilino para utilizadores externos. |
| ActorIP | Edm.String | Não | Endereço IP do ator que está a executar a operação. |
| ActorInfoString | Edm.String | Não | Nome da instância da cloud (por exemplo, Público, GCC, GCC-H) |
| DeviceId | Edm.String | Não | Disponível apenas para dispositivos registados/associados a um domínio. |
| CloudInstanceName | Edm.String | Não | Nome da instância da cloud (por exemplo, Público, GCC, GCC-H) |
| TokenObjectId | Edm.String | Não | afirmação oid dos tokens de Microsoft Entra. |
| TokenTenantId | Edm.String | Não | afirmação de tid dos tokens de Microsoft Entra. |
| AuthType | Edm.String | Não | Especifica o esquema de autenticação utilizado pelo cliente para aceder ao serviço. |
| TokenType | Edm.String | Não | Indica o tipo de token apresentado durante a autenticação, fornecendo contexto sobre a função e o âmbito do token. |
Enumeração: LogonType - Tipo: Edm.Int32
LogonType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Owner | O proprietário da caixa de correio. |
| 1 | Admin | Uma pessoa com privilégios administrativos para a caixa de correio de uma pessoa. |
| 2 | Delegated | Uma pessoa com privilégios de delegado para a caixa de correio de uma pessoa. |
| 3 | Transport | Um serviço de transporte no datacenter da Microsoft. |
| 4 | SystemService | Uma conta de serviço no datacenter da Microsoft. |
| 5 | BestAccess | Reservado para uso interno. |
| 6 | DelegatedAdmin | Um administrador delegado. |
Esquema ExchangeMailboxAuditGroupRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Folder | Self.ExchangeFolder | Não | A pasta onde um grupo de itens está localizado. |
| CrossMailboxOperations | Edm.Boolean | Não | Indica se a operação envolveu mais de uma caixa de correio. |
| DestMailboxId | Edm.Guid | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o GUID da caixa de correio de destino. |
| DestMailboxOwnerUPN | Edm.String | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o UPN do proprietário da caixa de correio de destino. |
| DestMailboxOwnerSid | Edm.String | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o SID da caixa de correio de destino. |
| DestMailboxOwnerMasterAccountSid | Edm.String | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o SID do SID da conta principal do proprietário da caixa de correio de destino. |
| DestFolder | Self.ExchangeFolder | Não | A pasta de destino, para operações como Mover. |
| Folders | Collection(Self.ExchangeFolder) | Não | Informações sobre as pastas de origem envolvidas em uma operação; por exemplo, se as pastas forem selecionadas e excluídas. |
| AffectedItems | Collection(Self.ExchangeItem) | Não | Informações sobre cada item no grupo. |
| Teams | Self.TeamsData | Não | Dados relacionados com o Microsoft Teams para operações de grupo. |
Esquema ExchangeMailboxAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Item | Self.ExchangeItem | Não | Representa o item no qual a operação foi executada |
| ModifiedProperties | Collection(Edm.String) | Não | Propriedades modificadas. |
| MbxLoginLocalQueueADLookupInfo | Eu próprio. LocalQueueADLookupInfo | Não | Contém detalhes de pesquisa do Active Directory para o contexto de início de sessão da caixa de correio. |
| SendAsUserSmtp | Edm.String | Não | Endereço SMTP do usuário que está sendo representado. |
| SendAsUserMailboxGuid | Edm.Guid | Não | O GUID do Exchange da caixa de correio que foi acessada para enviar email. |
| SendOnBehalfOfUserSmtp | Edm.String | Não | O endereço SMTP do usuário em nome de quem o email é enviado. |
| SendOnBehalfOfUserMailboxGuid | Edm.Guid | Não | O GUID do Exchange da caixa de correio que foi acessada para enviar emails. |
| ContactEmail1EmailAddress | Edm.String | Não | Primeiro endereço de e-mail para informações de contacto. |
| ContactEmail1DisplayName | Edm.String | Não | Nome a apresentar para o primeiro e-mail de contacto. |
| ContactEmail2EmailAddress | Edm.String | Não | Segundo endereço de e-mail para informações de contacto. |
| ContactEmail2DisplayName | Edm.String | Não | Nome a apresentar para o segundo e-mail de contacto. |
| ContactEmail3EmailAddress | Edm.String | Não | Terceiro endereço de e-mail para informações de contacto. |
| ContactEmail3DisplayName | Edm.String | Não | Nome a apresentar para o terceiro e-mail de contacto. |
| AttachmentId | Edm.String | Não | Identificador do anexo de e-mail. |
| AttachmentSizeInBytes | Edm.Int64 | Não | Tamanho do anexo em bytes. |
| SaveToSentItems | Edm.Boolean | Não | Sinalizador que indica se o item deve ser guardado na pasta de itens enviados. |
| Teams | Self.TeamsData | Não | Dados relacionados com o Microsoft Teams. |
Esquema ExchangeAggregatedMailboxAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| OperationCount | Edm.Int32 | Não | O número total de operações executadas no conjunto agregado de itens. |
| Folders | Coleção(Self.ExchangeAggregatedFolder) | Não | Uma coleção de objetos de pasta agregados envolvidos na operação. |
| Mensagens | Coleção(Self.ExchangeAggregatedMessage) | Não | Uma coleção de objetos de mensagens agregados envolvidos na operação. |
Esquema ExchangeAggregatedOperationRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| OperationCount | Edm.Int32 | Não | O número total de operações incluídas agregadas neste registo. |
| AggregateDurationInSeconds | Edm.Int32 | Não | Duração combinada de todas as operações agregadas em segundos. |
Tipo complexo ExchangeItem
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Sim | A ID do repositório. |
| Subject | Edm.String | Não | A linha de assunto da mensagem que foi acessada. |
| ParentFolder | Self.ExchangeFolder | Não | O nome da pasta onde o item está localizado. |
| ParentMessage | Eu próprio. ExchangeMessage | Não | Mensagem principal se este item estiver aninhado. |
| Attachments | Edm.String | Não | Uma lista dos nomes e tamanho de arquivo de todos os itens anexados à mensagem. |
| ImmutableId | Edm.String | Não | Um identificador permanente e inalterado para o item. |
| InternetMessageId | Edm.String | Não | Identificador de mensagens da Internet. |
| ComplianceLabel | Edm.String | Não | Etiqueta de conformidade aplicada ao item. |
| IsRecord | Edm.Boolean | Não | Sinalizador a indicar se o item é um registo. |
| IsPriorityCleanup | Edm.Boolean | Não | Sinalizador para processamento de limpeza prioritário |
| Sizeinbytes | Edm.Int64 | Não | Tamanho do item do Exchange em bytes. |
| Confidencialidade | Edm.String | Não | Indica o nível de confidencialidade do item (por exemplo, Normal, Pessoal, Privado, Confidencial). |
Tipo complexo LocalQueueADLookupInfo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Puid | Edm.String | Não | Identificador exclusivo do Passport (Puid) para uma conta Microsoft ou objeto de utilizador. |
| OrgIdPuid | Edm.String | Não | PUID do identificador da organização. |
| Smtp | Edm.String | Não | Endereço SMTP para pesquisa do AD. |
| SearchScope | Edm.String | Não | Âmbito de pesquisa do Active Directory |
| ConsumerMailbox | Edm.String | Não | Sinalizador a indicar se se trata de uma caixa de correio de consumidor. |
Tipo complexo EmailAddress
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Endereço | Edm.String | Não | Email endereço associado ao utilizador. |
| Nome | Edm.String | Não | Nome a apresentar para o endereço de e-mail. |
Tipo complexo ExchangeFolder
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Sim | A ID do repositório do objeto da pasta. |
| Path | Edm.String | Não | O nome da pasta da caixa de correio em que a mensagem que foi acessada está localizada. |
| Nome | Edm.String | Não | Nome da Pasta |
| MemberSid | Edm.String | Não | Identificador de segurança de membro |
| MemberRights | Edm.String | Não | Direitos de Acesso na pasta |
| MemberUpn | Edm.String | Não | Nome principal de utilizador membro |
Tipo complexo do ExchangeMessage
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Sim | Identificador exclusivo da Mensagem. |
| Path | Edm.String | Não | O caminho onde a mensagem está localizada |
Tipo complexo ExchangeFolderItem
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Não | Um guid que identifica o item de pasta no Exchange. |
| ImmutableId | Edm.String | Não | Identificador imutável para cada item de pasta do Exchange. |
| InternetMessageId | Edm.String | Não | Identificador de mensagens da Internet para cada item de pasta. |
| CreationTime | Edm.Date | Não | Hora em que o Registo/item foi criado. |
| Assunto | Edm.String | Não | Assunto do registo/item. |
| Sizeinbytes | Edm.Int64 | Não | Tamanho do registo/item em bytes. |
| Confidencialidade | Edm.String | Não | Etiquetas de confidencialidade do registo/item. |
| ClientRequestId | Edm.String | Não | Um identificador exclusivo para o pedido de cliente que acionou a operação. |
| Teams | Self.TeamsData | Não | Dados relacionados com o Microsoft Teams |
Tipo complexo exchangeMessageItem
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Não | Um guid que identifica o Item de Mensagem do Exchange. |
| Sizeinbytes | Edm.Int64 | Não | O tamanho da mensagem em bytes, incluindo quaisquer anexos. |
Tipo complexo ExchangeAggregatedFolder
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Sim | O guid da pasta agregada. |
| Path | Edm.String | Não | O caminho da pasta agregada. |
| FolderItems | Coleção(Self.ExchangeFolderItem) | Não | A coleção de itens de pastas do Exchange. |
ExchangeAggregatedMessage tipo complexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Sim | O guid do contentor de mensagens agregado. |
| Path | Edm.String | Não | O caminho da mensagem agregada. |
| MessageItems | Coleção(Self.ExchangeMessageItem) | Não | A coleção de itens de mensagens de troca. |
Esquema de Autenticação OWA
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| UniqueTokenIdentifier | Edm.String | Não | Um identificador exclusivo para o recurso. |
| ResourceURL | Edm.String | Não | O URL do recurso. |
Esquema Base do Azure Active Directory
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | Sim | O tipo de evento Microsoft Entra. |
| ExtendedProperties | Collection(Common.NameValuePair) | Não | As propriedades expandidas do evento Microsoft Entra. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Não | Esta propriedade está incluída para eventos de administrador. A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada. |
Enumeração: AzureActiveDirectoryEventType - Tipo: Edm.Int32
AzureActiveDirectoryEventType
| Nome do membro | Descrição |
|---|---|
| AccountLogon | O evento de logon da conta. |
| AzureApplicationAuditEvent | O evento de segurança do aplicativo do Azure. |
Esquema de Logon da Conta do Azure Active Directory
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Application | Edm.String | Não | O aplicativo que dispara o evento de login da conta, como o Office 15. |
| Client | Edm.String | Não | Detalhes sobre o dispositivo cliente, o SO do dispositivo e o navegador do dispositivo que foi usado para o evento de logon da conta. |
| LoginStatus | Edm.Int32 | Sim | Esta propriedade é diretamente do OrgIdLogon.LoginStatus. O mapeamento de várias falhas interessantes de logon pode ser feito por meio do alerta de algoritmos. |
| UserDomain | Edm.String | Sim | Informações de Identidade do Locatário (TII, Tenant Identity Information). |
Enumeração: CredentialType - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| -1 | Other | Outra autenticação. |
| 0 | Password | A credencial do usuário é o nome de usuário e a senha. |
| 1 | MobilePhone | A credencial do usuários é o telefone celular. |
| 2 | SecretQuestion | A credencial do usuário é a pergunta secreta. |
| 3 | SecurePin | A credencial do usuário é um PIN seguro. |
| 4 | SecurePinReset | A credencial do usuário é a redefinição do PIN seguro. |
| 11 | EasyID | A credencial do usuário é EasyID. |
| 14 | PasswordIndexCredentialType | A credencial do usuário é PasswordIndexCredentialType. |
| 16 | Device | A credencial do usuário é um dispositivo. |
| 17 | ForeignRealmIndex | A credencial do usuário é ForeignRealmIndex. |
Enumeração: LoginType - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| -1 | Other | Outro tipo de i. |
| 1 | InitialAuth | Login com autenticação inicial. |
| 2 | CookieCopy | Login com cookies. |
| 3 | SilentReAuth | Logon com reautenticação silenciosa. |
Enumeração: AuthenticationMethod - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Min | O método de autenticação é um Min. |
| 1 | Password | O método de autenticação é uma senha. |
| 2 | Digest | O método de autenticação é um resumo. |
| 3 | ProxyAuth | O método de autenticação é um ProxyAuth. |
| 4 | InfoCard | O método de autenticação é um InfoCard. |
| 5 | DAToken | O método de autenticação é um DAToken. |
| 6 | Sha1RememberMyPassword | O método de autenticação é um Sha1RememberMyPassword. |
| 7 | LMPasswordHash | O método de autenticação é um LMPasswordHash. |
| 8 | ADFSFederatedToken | O método de autenticação é um ADFSFederatedToken. |
| 9 | EID | O método de autenticação é um EID. |
| 10 | DeviceID | O método de autenticação é um DeviceID. |
| 11 | MD5 | O método de autenticação é MD5. |
| 12 | EncProxyPasswordHash | O método de autenticação é um EncProxyPasswordHash. |
| 13 | LWAFederation | O método de autenticação é um LWAFederation. |
| 14 | Sha1HashedPassword | O método de autenticação é um Sha1HashedPassword. |
| 15 | SecurePin | O método de autenticação é um Pin seguro. |
| 16 | SecurePinReset | O método de autenticação é uma redefinição de um Pin seguro. |
| 17 | SAML20PostSimpleSign | O método de autenticação é um SAML20PostSimpleSign. |
| 18 | SAML20Post | O método de autenticação é um SAML20Post. |
| 19 | OneTimeCode | O método de autenticação é um código único. |
Esquema do Azure Active Directory
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Actor | Collection(Self.IdentityTypeValuePair) | Não | O usuário ou a entidade de serviço que executou a ação. |
| ActorContextId | Edm.String | Não | O GUID da organização à qual o ator pertence. |
| ActorIpAddress | Edm.String | Não | O endereço IP do ator no formato de endereço IPV4 ou IPV6. |
| InterSystemsId | Edm.String | Não | O GUID que controla as ações entre componentes dentro do serviço do Office 365. |
| IntraSystemsId | Edm.String | Não | O GUID gerado pelo Azure Active Directory para acompanhar a ação. |
| SupportTicketId | Edm.String | Não | O ID do ticket de suporte ao cliente para a ação em situações de "agir em nome de". |
| Target | Collection(Self.IdentityTypeValuePair) | Não | O usuário em que a ação (identificada pela propriedade Operation) foi executada. |
| TargetContextId | Edm.String | Não | O GUID da organização à qual o usuário de destino pertence. |
Tipo complexo IdentityTypeValuePair
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ID | Edm.String | Sim | O valor da identidade de acordo com o tipo. |
| Type | Self.IdentityType | Sim | O tipo da identidade. |
Enumeração: IdentityType - Tipo: Edm.Int32
IdentityType
| Nome do membro | Descrição |
|---|---|
| Claim | A identidade é uma declaração para fins de autorização. |
| Name | O ator de ação de auditoria ou o nome de exibição da identidade de destino. |
| Other | A identidade do ator é outro tipo, como o ObjectId no GUID gerado pelo serviço do Office 365. |
| PUID | O ator da ação de auditoria ou a ID exclusiva do passaporte de destino (PUID). |
| SPN | A identidade de uma entidade de segurança de serviço, se a ação for executada pelo serviço do Office 365. |
| UPN | O nome da entidade de segurança do usuário. |
Esquema de logon do Serviço de Token Seguro (STS) do Active Directory do Azure
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ApplicationId | Edm.String | Não | O GUID que representa o aplicativo que está solicitando o logon. O nome de exibição pode ser pesquisado por meio da API de gráfico do Azure Active Directory. |
| Client | Edm.String | Não | Informações do dispositivo cliente, fornecidas pelo navegador que executa o logon. |
| DeviceProperties | Collection(Common.NameValuePair) | Não | Esta propriedade inclui vários detalhes do dispositivo, incluindo Id, Nome do Display, OS, Browser, IsCompliant, IsCompliantAndManaged, SessionId e DeviceTrustType. A propriedade DeviceTrustType pode ter os seguintes valores: 0 - Microsoft Entra registado 1 - Microsoft Entra aderido 2 - Associação a Microsoft Entra híbrida |
| ErrorCode | Edm.String | Não | Para logons com falha (em que o valor da propriedade Operation é UserLoginFailed), essa propriedade contém o código de erro STS do Azure Active Directory (AADSTS). Para obter descrições desses códigos de erro, confira Códigos de erro de autenticação e autorização. Um valor de 0 indica um logon bem-sucedido. |
| LogonError | Edm.String | Não | Para logons com falha, esta propriedade contém uma descrição legível pelo usuário do motivo do logon com falha. |
Esquema DLP
Os eventos de prevenção de perda de dados (DLP) no Microsoft Purview estão disponíveis para Exchange Online, Ponto Final (dispositivos) e SharePoint e OneDrive.
Os eventos DLP têm UserKey="DlpAgent" sempre no esquema comum. Existem três tipos DlpEvents que estão armazenados como o valor da propriedade Operation do esquema comum:
- DlpRuleMatch: indica que foi correspondida uma regra. Estes eventos existem em todos os Exchange, Endpoint(dispositivos) e SharePoint e OneDrive. Para o Exchange, inclui informações de falsos positivos e de substituição. Para o SharePoint e o OneDrive, os falsos positivos e substituições geram eventos separados.
-
DlpRuleUndo: apenas no SharePoint e no OneDrive. Indica que uma ação de política aplicada anteriormente foi "anulada" devido a:
- Designação de substituição/positivo AFalse por utilizador.
- O documento já não está sujeito à política (devido a alteração de política ou alteração de conteúdo no documento).
- DlpInfo: apenas no SharePoint e no OneDrive. Indica uma designação falsamente positiva, mas nenhuma ação foi "anulada".
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| SharePointMetaData | Self.SharePointMetadata | Não | Descreve metadados sobre o documento no SharePoint ou no OneDrive que continha as informações confidenciais. |
| ExchangeMetaData | Self.ExchangeMetadata | Não | Descreve os metadados sobre a mensagem de email que continha as informações confidenciais. |
| EndpointMetaData | Eu próprio. EndpointMetadata | Não | Descreve metadados sobre o documento no ponto final que continha as informações confidenciais |
| ExceptionInfo | Edm.String | Não | Identifica os motivos pelos quais uma política não se aplica mais e/ou qualquer informação sobre falso positivos e/ou substituição observada pelo usuário final. |
| PolicyDetails | Collection(Self.PolicyDetails) | Sim | Informações sobre uma ou mais políticas que dispararam o evento de DLP. |
| SensitiveInfoDetectionIsIncluded | Boolean | Sim | Indica se o evento contém o valor do tipo de dados confidenciais e o contexto adjacente do conteúdo de origem. O acesso a dados confidenciais exige a permissão "Ler eventos de política DLP, incluindo detalhes confidenciais" no Azure Active Directory. |
Esquema de Deteção de Dados Eletrónicos
O esquema de auditoria de Deteção de Dados Eletrónicos foi concebido para capturar e registar atividades relacionadas com processos de Deteção de Dados Eletrónicos na organização.
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| CaseId | Edm.Guid | Não | A identidade (GUID) do caso de Deteção de Dados Eletrónicos. |
| CaseName | Edm.String | Não | O nome do caso de Deteção de Dados Eletrónicos. |
| Object1Id | Edm.String | Não | O ID do objeto (por exemplo, uma pesquisa, suspensão ou conjunto de revisão) que foi criado, acedido ou alterado. |
| Object1Name | Edm.String | Não | O nome do objeto (por exemplo, uma pesquisa, suspensão ou conjunto de revisão) que foi criado, acedido ou alterado. |
| Object1Type | Edm.String | Não | O tipo de objeto de Deteção de Dados Eletrónicos que o utilizador criou, eliminou ou modificou. |
| Object2Id | Edm.String | Não | O ID do objeto (por exemplo, uma pesquisa, suspensão ou conjunto de revisão) que foi criado, acedido ou alterado. |
| Object2Name | Edm.String | Não | O nome do objeto (por exemplo, uma pesquisa, suspensão ou conjunto de revisão) que foi criado, acedido ou alterado. |
| Object2Type | Edm.String | Não | O tipo de objeto de Deteção de Dados Eletrónicos que o utilizador criou, eliminou ou modificou. |
| StartTime | Edm.Date | Não | A data e hora na Hora Universal Coordenada (UTC) em que a atividade de Deteção de Dados Eletrónicos foi iniciada. |
| EndTime | Edm.Date | Não | A data e hora na Hora Universal Coordenada (UTC) em que a atividade de Deteção de Dados Eletrónicos foi terminada. |
| UserCancelled | Edm.Boolean | Não | Se a atividade específica foi cancelada pelo utilizador. |
| ItemIds | Collection(Edm.String) | Não | IDs de itens associados à atividade. |
| Nomes de Item | Collection(Edm.String) | Não | Nomes de itens associados à atividade. |
| DataSources | Collection(Edm.String) | Não | Uma lista de IDs de origem, nomes de origem e localizações associados à atividade. |
| QueryId | Edm.String | Não | O ID da consulta associada à atividade. |
| QueryText | Edm.String | Não | O texto de consulta associado à atividade, como um processo de estatística de pesquisa ou adicionar para rever o processo. |
| QueryFiles | Collection(Edm.String) | Não | Nomes de ficheiro de entrada utilizados para gerar a consulta. Isto é específico para a pesquisa por gesto de ficheiro. |
| Configurações | Collection(Common.NameValuePair) | Não | Definições aplicadas à atividade de Deteção de Dados Eletrónicos. |
| ExtendedProperties | Collection(Common.NameValuePair) | Não | Propriedades adicionais relacionadas com a atividade de Deteção de Dados Eletrónicos. |
| ExportName | Edm.String | Não | Nome da exportação da Deteção de Dados Eletrónicos. |
| JobId | Edm.String | Não | O GUID do processo de Deteção de Dados Eletrónicos. |
| NúmeroDoRegião | Edm.String | Não | Utilizado quando um registo de auditoria é dividido em várias partes devido ao tamanho. Indica a sequência de cada parte dentro do total de divisões. |
Tipo complexo SharePointMetadata
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| De | Edm.String | Sim | O usuário que disparou o evento. Os valores são FileOwner, LastModifier ou LastSharer. |
| itemCreationTime | Edm.Date | Sim | Carimbo de data/hora em UTC de quando o evento foi registado. |
| SiteCollectionGuid | Edm.Guid | Sim | O GUID do conjunto de sites. |
| SiteCollectionUrl | Edm.String | Sim | Nome do site do SharePoint. |
| FileName | Edm.String | Sim | Nome do caminho. |
| FileOwner | Edm.String | Sim | O proprietário do documento. |
| FilePathUrl | Edm.String | Sim | A URL do documento. |
| DocumentLastModifier | Edm.String | Sim | O usuário que modificou o documento pela última vez. |
| DocumentSharer | Edm.String | Sim | O usuário que modificou pela última vez o compartilhamento do documento. |
| UniqueId | Edm.String | Sim | Uma GUID que identifica o arquivo. |
| LastModifiedTime | Edm.DateTime | Sim | Carimbo de data/hora em UTC de quando o documento foi modificado pela última vez. |
| IsViewableByExternalUsers | Edm.Boolean | Sim | Determina se o arquivo é acessível para qualquer usuário externo. |
Tipo complexo ExchangeMetadata
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| MessageID | Edm.String | Sim | A ID da mensagem do email que disparou o evento. |
| From | Edm.String | Sim | O usuário que enviou o email. |
| To | Collection(Edm.String) | Não | Uma coleção de endereços de email que estavam na linha Para da mensagem. |
| CC | Collection(Edm.String) | Não | Uma coleção de endereços de email que estavam na linha CC da mensagem. |
| BCC | Collection(Edm.String) | Não | Uma coleção de endereços de email que estavam na linha BCC da mensagem. |
| Subject | Edm.String | Sim | Assunto da mensagem de email. |
| Sent | Edm.DateTime | Sim | O horário em UTC de quando o email foi enviado. |
| RecipientCount | Edm.Int32 | Sim | O número total de todos os destinatários nas linhas TO, CC e BCC da mensagem. |
Tipo complexo EndpointMetadata
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | Não | As informações sobre o tipo de informações confidenciais detectadas. |
| EnforcementMode | Edm.String | Sim | Indique se a Regra DLP está definida como 03/01/2/4/5 que ilustra auditoria/aviso(bloco com substituição)/avisar e ignorar/bloquear/permitir(auditoria sem alertas), respetivamente. |
| FileExtension | Edm.String | Não | A extensão de ficheiro do documento que continha as informações confidenciais. |
| FileType | Edm.String | Não | O tipo de ficheiro do documento que continha as informações confidenciais. |
| DeviceName | Edm.String | Não | O nome do dispositivo no qual a correspondência da regra DLP foi detetada. |
Tipo complexo PolicyDetails
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| PolicyId | Edm.Guid | Sim | O GUID da política DLP para este evento. |
| PolicyName | Edm.String | Sim | O nome amigável da política DLP para este evento. |
| Rules | Collection(Self.Rules) | Sim | As informações sobre as regras da política que foram atendidas para este evento. |
Tipo complexo Rules
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RuleId | Edm.Guid | Sim | O GUID da regra DLP para este evento. |
| RuleName | Edm.String | Sim | O nome amigável da regra DLP para este evento. |
| Actions | Collection(Edm.String) | Não | Uma lista de ações tomadas como resultado de um evento DLP RuleMatch. |
| OverriddenActions | Collection(Edm.String) | Não | Uma lista de ações realizadas anteriormente que foram desfeitas como resultado de um evento DLPRuleUndo. |
| Severity | Edm.String | Não | A gravidade (Baixa, Média e Alta) da conformidade com a regra. |
| RuleMode | Edm.String | Sim | Indique se a regra DLP foi definida como Enforce, Audit with Notify ou somente Audit. |
| ConditionsMatched | Self.ConditionsMatched | Não | Os detalhes sobre quais condições da regra foram atendidas para este evento. |
Tipo complexo ConditionsMatched
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | Não | As informações sobre o tipo de informações confidenciais detectadas. |
| DocumentProperties | Collection(NameValuePair) | Não | As informações sobre as propriedades do documento que dispararam uma correspondência de regra. |
| OtherConditions | Collection(NameValuePair) | Não | Uma lista de pares de valores chave que descrevem quaisquer outras condições que foram correspondidas. |
Tipo complexo SensitiveInformation
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Confidence | Edm.Int | Sim | A confiança agregada de todos os padrões corresponde ao Tipo de Informação Confidencial. |
| Count | Edm.Int | Sim | O número total de instâncias confidenciais detectadas. |
| Local | Edm.String | Não | |
| SensitiveType | Edm.Guid | Sim | Um guid que identifica o tipo de dados confidenciais detectados. |
| SensitiveInformationDetections | Self.SensitiveInformationDetections | Não | Uma matriz de objetos que contêm dados de informações confidenciais com os seguintes detalhes: valor correspondente e contexto do valor correspondente. |
| SensitiveInformationDetailed ClassificationAttributes |
Collection(SensitiveInformationDetailed ConfidenceLevelResult) |
Sim | Informações sobre a contagem de tipos de informações confidenciais detetados para cada um dos três níveis de confiança (Alto, Médio e Baixo) e que correspondem ou não à regra DLP. |
| SensitiveInformationTypeName | Edm.String | Não | O nome do tipo de informação confidencial. |
| UniqueCount | Edm.Int32 | Sim | A contagem exclusiva de instâncias confidenciais detectadas. |
Tipo complexo SensitiveInformationDetailedClassificationAttributes
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Confidence | Edm.int32 | Sim | O nível de confiança do padrão que foi detectado. |
| Contar | Edm.Int32 | Sim | O número de instâncias confidenciais detetadas para um determinado nível de confiança. |
| IsMatch | Edm.Boolean | Sim | Indica se a contagem fornecida e o nível de confiança do tipo confidencial detectado resulta em uma correspondência de regra de DLP. |
Tipo complexo SensitiveInformationDetections
Os dados confidenciais de DLP só estão disponíveis na API do feed de atividades para usuários que receberam permissões para "Ler dados confidenciais de DLP".
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ValoresDetectados | Coleção(Common.NameValuePair) | Sim | Uma matriz de informações confidenciais que foram detectadas. As informações contêm pares chave-valor com Valor = valor correspondente (por exemplo, Valor de card de crédito) e Context = um excerto do conteúdo de origem que contém o valor correspondente. |
| ResultsTruncated | Edm.Boolean | Sim | Indica se os logs foram truncados devido ao grande número de resultados. |
Tipo complexo ExceptionInfo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Reason | Edm.String | Não | Para um evento DLPRuleUndo, isso indica por que a regra não se aplica mais, o que pode ocorrer devido a um dos três motivos: substituição, alteração de documento ou alteração de política |
| FalsePositive | Edm.Boolean | Não | Indica se o usuário designou esse evento como falso positivo. |
| Justification | Edm.String | Não | Se o usuário tiver optado por substituir a política, qualquer justificativa especificada pelo usuário será capturada aqui. |
| Rules | Collection(Edm.Guid) | Não | Uma coleção de GUIDs para cada regra que foi designada como um falso positivo ou substituição, ou para a qual uma ação foi anulada. |
Esquema do Centro de Conformidade e Segurança
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| StartTime | Edm.Date | Não | A data e hora em que o cmdlet foi executado. |
| ClientRequestId | Edm.String | Não | Um GUID que pode ser utilizado para correlacionar este cmdlet com as operações do portal. Estas informações são utilizadas apenas pelo suporte da Microsoft. |
| CmdletVersion | Edm.String | Não | A versão de criação do cmdlet quando foi executado. |
| EffectiveOrganization | Edm.String | Não | O GUID da organização afetada pelo cmdlet. (Preterido: este parâmetro acabará por deixar de aparecer.) |
| UserServicePlan | Edm.String | Não | O plano de serviço atribuído ao utilizador que executou o cmdlet. |
| ClientApplication | Edm.String | Não | Se o cmdlet tiver sido executado por uma aplicação, ao contrário do PowerShell remoto, este campo contém o nome da aplicação. |
| Parâmetros | Edm.String | Não | O nome e o valor dos parâmetros que foram utilizados com o cmdlet que não incluem dados pessoais. |
| NonPiiParameters | Edm.String | Não | O nome e o valor dos parâmetros que foram utilizados com o cmdlet que incluem dados pessoais. (Preterido: este campo deixará eventualmente de aparecer e o respetivo conteúdo será intercalado com o campo Parâmetros.) |
Esquema de Alertas de Conformidade e Segurança
Os sinais de alerta incluem:
- Todos os alertas gerados pelas políticas de Alerta no portal do Microsoft Defender.
- Alertas relacionados com o Microsoft 365 gerados no Microsoft Defender para Aplicativos de Nuvem.
O UserId e o UserKey desses eventos são sempre SecurityComplianceAlerts. Existem três tipos de alertas de eventos que estão armazenados como o valor da propriedade Operation do esquema comum:
- AlertTriggered: é gerado um novo alerta devido a uma correspondência de política.
- AlertEntityGenerated: é adicionada uma nova entidade a um alerta. Este evento só é aplicável a alertas gerados com base em Políticas de alerta no portal do Microsoft Defender. Cada alerta gerado pode ser associado a um ou vários desses eventos. Por exemplo, uma política de alerta é definida para disparar um alerta se um usuário exclui mais de 100 arquivos em cinco minutos. Se dois utilizadores excederem o limiar ao mesmo tempo, existem dois eventos AlertEntityGenerated, mas apenas um evento AlertTriggered.
- AlertUpdated: foi efetuada uma atualização aos metadados de um alerta. Este evento é registado quando o status de um alerta é alterado (por exemplo, de Ativo para Resolvido) e quando alguém adiciona um comentário ao alerta.
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| AlertId | Edm.Guid | Sim | O GUID do alerta. |
| AlertType | Self.String | Sim | Tipo do alerta. Os tipos de alertas incluem:
|
| Name | Edm.String | Sim | Nome do alerta. |
| PolicyId | Edm.Guid | Não | O GUID da política que disparou o alerta. |
| Status | Edm.String | Não | Status do alerta. Os status incluem:
|
| Severity | Edm.String | Não | Gravidade do alerta. Os níveis de gravidade incluem:
|
| Categoria | Edm.String | Não | Categoria do alerta. As categorias incluem:
|
| Source | Edm.String | Não | Fonte do alerta. As fontes incluem:
|
| Comments | Edm.String | Não | Comentários realizados pelos usuários que visualizaram o alerta. Por padrão, é "Novo alerta". |
| Data | Edm.String | Não | O BLOB de dados de detalhes do alerta ou da entidade de alerta. |
| AlertEntityId | Edm.String | Não | O identificador da entidade de alerta. Esse parâmetro só é aplicável em eventos AlertEntityGenerated. |
| EntityType | Edm.String | Não | Tipo de entidade ou entidade de alerta. Os tipos de entidades incluem:
Este parâmetro aplica-se apenas a eventos AlertEntityGenerated. |
Viva Engage esquema
Viva Engage eventos devolvidos nas pesquisas de registos de auditoria utilizam este esquema.
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| ActorUserId | Edm.String | Não | Email do usuário que executou a operação. |
| ActorYammerUserId | Edm.Int64 | Não | ID do usuário que executou a operação. |
| DataExportType | Edm.String | Não | Retorna "dados" se a exportação de dados incluir mensagens, notas, arquivos, tópicos, usuários e grupos; retorna "usuário" se a exportação de dados incluir apenas usuários. |
| FileId | Edm.Int64 | Não | ID do arquivo na operação. |
| FileName | Edm.String | Não | Nome do arquivo na operação. Aparece em branco se não for relevante para a operação. |
| GroupName | Edm.String | Não | Nome do grupo na operação. Aparece em branco se não for relevante para a operação. |
| IsSoftDelete | Edm.Boolean | Não | Retorna "true" se a política de retenção de dados da rede estiver definida como exclusão reversível; retorna "false" se a política de retenção de dados da rede estiver definida como Exclusão Irreversível. |
| MeetingId | Edm.String | Não | O ID da reunião do evento/equipas na operação. |
| MessageId | Edm.Int64 | Não | ID da mensagem na operação. |
| ModifiedProperties | Collection(ModifiedProperty) | Não | Inclui o nome da propriedade que foi modificada, o novo valor do objeto modificado e o valor anterior do objeto modificado. |
| YammerNetworkId | Edm.Int64 | Não | ID da rede do usuário que executou a operação. |
| TargetObjectId | Edm.String | Não | Entra ID do utilizador de destino na operação. |
| TargetUserId | Edm.String | Não | Email do usuário de destino na operação. Aparece em branco se não for relevante para a operação. |
| TargetYammerUserId | Edm.Int64 | Não | ID do usuário de destino na operação. |
| ThreadId | Edm.Int64 | Não | ID do tópico Mensagem na operação. |
| VersionId | Edm.Int64 | Não | ID da versão do arquivo na operação. |
Esquema Base de Segurança do Data Center
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| DataCenterSecurityEventType | Self.DataCenterSecurityEventType | Sim | O tipo de evento cmdlet na caixa de bloqueio. |
Enumeração: DataCenterSecurityEventType: - Tipo: Edm.Int32
DataCenterSecurityEventType
| Nome do membro | Descrição |
|---|---|
| DataCenterSecurityCmdletAuditEvent | Esse é o valor de enumeração para o evento de tipo de auditoria de cmdlet. |
Esquema Cmdlet de Segurança do Data Center
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| StartTime | Edm.Date | Sim | O horário de início da execução do cmdlet. |
| EffectiveOrganization | Edm.String | Sim | O nome do locatário para o qual a elevação/cmdlet foi direcionado. |
| ElevationTime | Edm.Date | Sim | O horário de início da elevação. |
| ElevationApprover | Edm.String | Sim | O nome de um gerente da Microsoft. |
| ElevationApprovedTime | Edm.Date | Não | O carimbo de data/hora para quando a elevação foi aprovada. |
| ElevationRequestId | Edm.Guid | Sim | Um identificador exclusivo para a solicitação de elevação. |
| ElevationRole | Edm.String | Não | A função da elevação. |
| ElevationDuration | Edm.Int32 | Sim | A duração para a qual a elevação estava ativa. |
| GenericInfo | Edm.String | Não | Usada para comentários e outras informações genéricas. |
Esquema do Microsoft Teams
Os eventos do Microsoft Teams devolvidos nas pesquisas de registos de auditoria utilizam estes esquemas.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Action | Edm.String | Não | Para eventos de canal compartilhado, a ação realizada pelo convidado ou pelo proprietário do canal para um compartilhamento com convite de equipe. |
| AddOnGuid | Edm.Guid | Não | O identificador exclusivo do complemento que gerou esse evento. |
| AddOnName | Edm.String | Não | O nome do complemento que gerou esse evento. |
| AddOnType | Self.AddOnType | Não | O tipo de complemento que gerou esse evento. |
| ChannelGuid | Edm.Guid | Não | Um identificador exclusivo para o canal que está sendo auditado. |
| ChannelName | Edm.String | Não | O nome do canal que está sendo auditado. |
| ChannelType | Edm.String | Não | O tipo de canal que está sendo auditado (padrão/particular). |
| ExtraProperties | Coleção (Self. KeyValuePair) | Não | Uma lista de propriedades adicionais. |
| HostedContents | Coleção (Self.HostedContent) | Não | Uma coleção de conteúdo hospedado por mensagem de chat ou canal. |
| Convidado | Edm.String | Não | Para eventos de canal compartilhado, o UPN do proprietário da equipe convidada que aceita ou recusa o convite para um compartilhamento com convite de equipe. |
| Members | Collection(Self.MicrosoftTeamsMember) | Não | Uma lista de usuários dentro de uma equipe. |
| MessageId | Edm.String | Não | Um identificador para uma mensagem de bate-papo ou canal. |
| MessageURLs | Edm.String | Não | Presente para qualquer URL enviado nas mensagens do Teams. |
| Mensagens | Coleção (Self.Message) | Não | Uma coleção de mensagens de chat ou canal. |
| MessageSizeInBytes | Edm.Int64 | Não | O tamanho de uma mensagem de chat ou canal em bytes com codificação UTF-16. |
| Nome | Edm.String | Não | Só apresenta para eventos de configurações. Nome da configuração que foi alterada. |
| NewValue | Edm.String | Não | Só apresenta para eventos de configurações. Novo valor da configuração. |
| OldValue | Edm.String | Não | Só apresenta para eventos de configurações. Valor antigo da configuração. |
| SubscriptionId | Edm.String | Não | Um identificador exclusivo de uma assinatura de notificação de alteração do Microsoft Graph. |
| TabType | Edm.String | Não | Só apresenta para eventos de tabulação. O tipo de guia que gerou esse evento. |
| TeamGuid | Edm.Guid | Não | Um identificador exclusivo para a equipe que está sendo auditada. |
| TeamName | Edm.String | Não | O nome da equipe que está sendo auditada. |
Tipo complexo MicrosoftTeamsMember
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| UPN | Edm.String | Não | O nome da entidade de segurança do usuário. |
| Role | Self.MemberRoleType | Não | A função de usuário dentro da equipe. |
| DisplayName | Edm.String | Não | O nome de exibição do usuário. |
Enumeração: MemberRoleType - Tipo: Edm.Int32
MemberRoleType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Member | Um usuário que é um membro da equipe. |
| 1 | Owner | Um usuário que é o proprietário da equipe. |
| 2 | Guest | Um usuário que não é um membro da equipe. |
KeyValuePair tipo complexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Chave | Edm.String | Não | A chave do par de valor-chave. |
| Valor | Edm.String | Não | O valor do par de valor-chave. |
Enumeração: AddOnType - Tipo: Edm.Int32
AddOnType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | Bot | Um bot do Microsoft Teams. |
| 2 | Connector | Um conector do Microsoft Teams. |
| 3 | Tab | Uma guia do Microsoft Teams. |
Tipo complexo HostedContent
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Sim | Um identificador exclusivo do conteúdo hospedado da mensagem. |
| Sizeinbytes | Edm.Int64 | Não | O tamanho do conteúdo hospedado da mensagem em bytes. |
Tipo complexo de mensagem
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AADGroupId | Edm.String | Não | Um identificador exclusivo do grupo no Azure Active Directory ao qual a mensagem pertence. |
| Id | Edm.String | Sim | Um identificador exclusivo da mensagem de chat ou canal. |
| ChannelGuid | Edm.String | Não | Um identificador exclusivo do canal a que pertence a mensagem. |
| ChannelName | Edm.String | Não | O nome do canal ao qual a mensagem pertence. |
| ChannelType | Edm.String | Não | O tipo do canal ao qual a mensagem pertence. |
| Nome do Chat | Edm.String | Não | O nome do chat ao qual a mensagem pertence. |
| ChatThreadId | Edm.String | Não | Um identificador exclusivo do chat ao qual a mensagem pertence. |
| ParentMessageId | Edm.String | Não | Um identificador exclusivo da mensagem do canal ou chat pai. |
| Sizeinbytes | Edm.Int64 | Não | O tamanho da mensagem em bytes com codificação UTF-16. |
| TeamGuid | Edm.String | Não | Um identificador exclusivo da equipe à qual a mensagem pertence. |
| TeamName | Edm.String | Não | O nome da equipe à qual a mensagem pertence. |
| Versão | Edm.String | Não | A versão do chat ou mensagem do canal. |
Microsoft Defender para Office 365 e esquema de investigação e resposta de ameaças
Microsoft Defender para Office 365 eventos estão disponíveis para clientes do Microsoft 365 que tenham o Defender para Office 365, incluído ou como uma subscrição de suplemento. Por exemplo, Microsoft 365 Business Premium inclui o Defender para Office 365 Plano 1 e Microsoft 365 A5/E5/G5 inclui o Defender para Office 365 Plano 2.
Os eventos de Investigação e Resposta a Ameaças só estão disponíveis para clientes com o Defender para Office 365 Plano 2.
Cada evento no feed do Defender para Office 365 corresponde às seguintes funcionalidades:
- As mensagens de e-mail entregues foram detetadas e executadas através da remoção automática (ZAP) de zero horas.
- URLs detetados no momento do clique por Ligações Seguras.
- Files detetados por Anexos Seguros para o SharePoint, OneDrive e Microsoft Teams.
- Alertas que desencadearam investigações automatizadas (apenas no Defender para Office 365 Plano 2).
- Treinamento de simulação de ataque eventos (apenas no Defender para Office 365 Plano 2).
Eventos de mensagens de email
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AttachmentData | Collection(Self.AttachmentData) | Não | Os dados sobre anexos na mensagem de email que acionaram o evento. |
| Tipo de detecção | Edm.String | Sim | O tipo de detecção. Por exemplo,
Os eventos com o tipo de deteção ZAP são normalmente precedidos por uma mensagem com um tipo de deteção Atrasado . |
| DetectionMethod | Edm.String | Sim | O método ou tecnologia de deteção utilizado pelo Defender para Office 365. |
| InternetMessageId | Edm.String | Sim | A ID da mensagem da Internet. |
| NetworkMessageId | Edm.String | Sim | A ID da mensagem de rede do Exchange Online. |
| P1Sender | Edm.String | Sim | O endereço MAIL FROM utilizado na transmissão SMTP da mensagem de e-mail entre servidores de e-mail (também conhecido como endereço 5321.MailFrom , remetente P1 ou remetente de envelope). |
| P2Sender | Edm.String | Sim | O endereço De (também conhecido como o 5322.From endereço ou remetente P2) que é mostrado nos clientes de e-mail. |
| Política | Self.Policy | Sim | O tipo de política de ameaças (por exemplo, Anti-spam ou Anti-phish) e o tipo de ação relacionada (por exemplo, Spam de Alta Confiança, Spam ou Phish) relevantes para a mensagem de e-mail. |
| Política | Self.PolicyAction | Sim | A ação configurada na política de ameaças (por exemplo, Mover para a pasta E-mail de Lixo ou Quarentena) é relevante para a mensagem de e-mail. |
| Destinatários | Collection(Edm.String) | Sim | Uma matriz de destinatários da mensagem de email. |
| SenderIp | Edm.String | Sim | O endereço IPv4 ou IPv6 que submeteu a mensagem. |
| Assunto | Edm.String | Sim | A linha de assunto da mensagem. |
| Verdict | Edm.String | Sim | A conclusão da mensagem. |
| MessageTime | Edm.Date | Sim | Data e hora em UTC (Tempo Universal Coordenado), na qual a mensagem de email foi recebida ou enviada. |
| EventDeepLink | Edm.String | Sim | Ligação avançada para o evento de e-mail em Explorer de Ameaças ou Deteções em tempo real. |
| Ação de Entrega | Edm.String | Sim | A ação de entrega original na mensagem. |
| Local de Entrega original | Edm.String | Sim | O local de entrega original da mensagem. |
| Local de Entrega mais recente | Edm.String | Sim | O local de entrega mais recente da mensagem no momento do evento. |
| Directionality | Edm.String | Sim | Identifica se uma mensagem foi de entrada, de saída ou de dentro da organização. |
| ThreatsAndDetectionTech | Edm.String | Sim | As ameaças e as tecnologias de detecção correspondentes. Este campo expõe todas as ameaças em uma mensagem, incluindo a adição mais recente no veredicto de spam. Por exemplo, ["Phish: [Spoof DMARC]","Spam: [URL malicious reputation]"]. As diferentes tecnologias de deteção e ameaça de deteção são descritas em Tecnologias de deteção. |
| AdditionalActionsAndResults | Collection(Edm.String) | Não | As ações adicionais realizadas no email, como ZAP ou Correção Manual. Também inclui os resultados correspondentes. |
| Conectores | Edm.String | Não | Os nomes e GUIDs dos conectores associados ao email. |
| AuthDetails | Collection(Self.AuthDetails) | Não | As verificações de autenticação feitas para o email. Também inclui os valores de SPF, DKIM, DMARC e CompAuth. |
| SystemOverrides | Collection(Self.SystemOverrides) | Não | Substituições que são aplicáveis ao email. Estas podem ser anulações do sistema ou do usuário. |
| Nível de Confiança de Phishing | Edm.String | Não | Indica o nível de confiança associado ao veredicto de Phishing. Pode ser Normal ou Alto. |
Observação
Recomendamos o uso do novo campo ThreatsAndDetectionTech porque ele mostra vários veredictos e as tecnologias de detecção atualizadas. Este campo também se alinha com os valores que vê noutras experiências, como a Explorer de Ameaças e a Investigação Avançada.
Tecnologias de detecção
| Nome | Descrição |
|---|---|
| Filtro avançado | Modelos de machine learning para detetar phishing e spam. |
| Proteção antimalware | Deteção de antimalware baseado em assinaturas. |
| Em massa | Deteção de publicidade/marketing e tipos de mensagens semelhantes com os respetivos níveis relativos de reclamação em massa (BCL). |
| Campanha | Mensagens identificadas e agrupadas como parte de uma campanha de software maligno ou phishing. |
| Reputação do domínio | A mensagem foi enviada a partir de um domínio que foi identificado como domínio de spam ou phishing, com base em sinais internos ou externos. |
| Detonação de arquivo | Os Anexos Seguros detetaram um anexo malicioso durante a detonação num sandbox. |
| Reputação da detonação de arquivo | Anexos de ficheiros anteriormente detetados por Anexos Seguros durante a detonação. |
| Reputação de arquivos | A mensagem contém um ficheiro que foi identificado anteriormente como malicioso por outras origens. |
| Correspondência de impressão digital | A mensagem assemelha-se a uma mensagem maliciosa ou de spam detetada anteriormente. |
| Filtro geral | Sinais de phishing ou spam com base na heurística dos analistas. |
| Marca de usurpação de identidade | Sender impersonation of well-known brands. |
| Domínio de usurpação de identidade | Representação de domínios do remetente que possui ou especificou para proteção em políticas anti-phishing. |
| Usuário de usurpação de identidade | Representação de remetentes protegidos que especificou em políticas anti-phishing. |
| Reputação de IP | A mensagem foi enviada a partir de um IP que foi identificado como potencialmente malicioso. |
| Análise de conteúdo LLM | Análise dos modelos de linguagem grandes criados para fins da Microsoft para detetar e-mails prejudiciais. |
| Bombardeamento de correio | Um ataque denial of service distribuído (DDoS) que normalmente subscreve destinatários a um grande número de newsletters e serviços legítimos. O volume resultante de e-mails recebidos em poucos minutos pretende sobrecarregar a caixa de correio e os sistemas de segurança de e-mail do destinatário e funciona como um precursor de software maligno, ransomware ou exfiltração de dados. |
| Usurpação de identidade da inteligência de caixa de correio | O remetente detetou como representando um endereço no mapa do remetente pessoal do utilizador. |
| Detecção de análise mista | Vários filtros contribuíram para o veredicto desta mensagem. |
| DMARC falso | A mensagem falhou na autenticação DMARC. |
| Domínio externo falso | As informações de spoof detetaram spoofing de e-mail de um domínio externo à sua organização. |
| Falsificação dentro da organização | As informações de spoof detetaram spoofing de e-mail de um utilizador ou domínio interno para a sua organização. |
| Detonação de URL | As Ligações Seguras detetaram um URL malicioso na mensagem durante a detonação num sandbox. |
| Reputação da detonação de URL | URLs detetados anteriormente pelas Ligações Seguras durante a detonação. |
| Reputação mal-intencionada de URL | A mensagem contém um URL que foi anteriormente identificado como malicioso ou spam por outras origens. |
Tipo complexo AttachmentData
AttachmentData
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| FileName | Edm.String | Sim | O nome do arquivo do anexo. |
| FileType | Edm.String | Sim | O tipo de arquivo do anexo. |
| FileVerdict | Self.FileVerdict | Sim | O veredicto de malware do arquivo. |
| MalwareFamily | Edm.String | Não | A família de malware do arquivo. |
| SHA256 | Edm.String | Sim | O hash SHA256 do arquivo. |
Observação
Na família Malware, verá o nome exato MalwareFamily (por exemplo, HTML/Phish.VS! MSR) ou Payload Malicioso como uma cadeia estática. Uma carga maliciosa ainda deve ser tratada como email malicioso quando um nome específico não é identificado.
Tipo complexo SystemOverrides
SystemOverrides
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Detalhes | Edm.String | Não | Os detalhes sobre a substituição específica (como ETR ou Remetente seguro) que foi aplicada. |
| FinalOverride | Edm.String | Não | Indica a substituição que afetou a entrega no caso de várias substituições. |
| Resultado | Edm.String | Não | Indica se o email foi definido como permitido ou bloqueado com base na substituição. |
| Source | Edm.String | Não | Indica se a substituição foi configurada pelo usuário ou pelo locatário. |
Tipo complexo AuthDetails
AuthDetails
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Nome | Edm.String | Não | O nome da verificação de autenticação específica, como DKIM ou DMARC. |
| Valor | Edm.String | Não | O valor associado à verificação de autenticação específica, como Verdadeiro ou Falso. |
Enumeração: FileVerdict - Tipo: Edm.Int32
FileVerdict
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Good | Nenhuma ameaça detectada. |
| 1 | Bad | Malware encontrado no anexo. |
| -1 | Error | Erro de varredura/análise. |
| -2 | Timeout | Tempo limite de varredura/análise. |
| -3 | Pending | Varredura/análise não concluída. |
Enumeração: Policy - Tipo: Edm.Int32
Tipo de política e tipo de ação
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | Anti-spam, HSPM | Ação Spam de Alta Confiança (HSPM) na política antisspam. |
| 2 | Anti-spam, SPM | Ação spam (SPM) na política antisspam. |
| 3 | Anti-spam, em massa | Ação em massa na política anti-spam. |
| 4 | Anti-spam, PHSH | Ação Phish (PHSH) na política antiss spam. |
| 5 | Anti-phishing, DIMP | Ação de Representação de Domínio (DIMP) na política anti-phishing. |
| 6 | Anti-phishing, UIMP | Ação de Representação do Utilizador (UIMP) na política anti-phishing. |
| 7 | Anti-phishing, SPOOF | Ação spoof na política anti-phishing. |
| 8 | Anti-phishing, GIMP | Ação de inteligência da caixa de correio na política anti-phishing. |
| 9 | Antimalware, AMP | Ação de política de software maligno na política antimalware. |
| 10 | Anexo seguro, SAP | Ação de política na política Anexos Seguros. |
| 11 | Regra de transporte do Exchange, ETR | Ação de política na regra de fluxo de correio do Exchange (também conhecida como regra de transporte). |
| 12 | Antimalware, ZAPM | Ação de política de software maligno na política antimalware aplicada à remoção automática de zero horas (ZAP). |
| 13 | Anti-phishing, ZAPP | Ação de política de phishing na política anti-phishing aplicada ao ZAP. |
| 14 | Anti-phishing, ZAPS | Ação de política de spam na política antisspam aplicada ao ZAP. |
| 15 | Antispam, email de phishing de alta confiança (HPHISH) | Ação de política Phish de alta confiança na política antiss spam. |
| 17 | Antispam, política de spam de saída (OSPM) | Ação de política na política de spam de saída. |
Enumeração: PolicyAction - Tipo: Edm.Int32
Ação de política
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | MoveToJMF | A ação de política consiste em mover a mensagem para a pasta Email de Lixo. |
| 1 | AddXHeader | A ação de política consiste em adicionar um cabeçalho X à mensagem de e-mail. |
| 2 | ModifySubject | A ação de política consiste em modificar o assunto na mensagem de e-mail com informações especificadas pela política de ameaças. |
| 3 | Redirecionamento | A ação de política consiste em redirecionar a mensagem de e-mail para o endereço de e-mail especificado pela política de ameaças. |
| 4 | Excluir | A ação de política é excluir (descartar) a mensagem de email. |
| 5 | Quarentena | A ação de política é colocar a mensagem de email em quarentena. |
| 6 | NoAction | A política está configurada para não executar nenhuma ação na mensagem de email. |
| 7 | BccMessage | A ação de política consiste em Bcc a mensagem de e-mail para o endereço de e-mail especificado pela política de ameaças. |
| 8 | ReplaceAttachment | A ação de política consiste em substituir o anexo na mensagem de e-mail, conforme especificado pela política de ameaças. |
Eventos de momento do clique da URL
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| UserId | Edm.String | Sim | Identificador (por exemplo, endereço de e-mail) do utilizador que clicou no URL. |
| AppName | Edm.String | Sim | O serviço do Office 365 em que a URL foi clicada (por exemplo, o Email). |
| URLClickAction | Automaticamente. URLClickAction | Sim | Clique na ação para o URL com base nas políticas da organização para Ligações Seguras. |
| SourceId | Edm.String | Sim | Identificador do serviço Office 365 a partir do qual o URL foi clicado (por exemplo, para e-mail, este valor é o Exchange Online ID da Mensagem de Rede). |
| TimeOfClick | Edm.Date | Sim | A data e hora no Tempo Universal Coordenado (UTC) de quando o usuário clicou na URL. |
| URL | Edm.String | Sim | URL clicada pelo usuário. |
| UserIp | Edm.String | Sim | O endereço IPv4 ou IPv6 do utilizador que clicou no URL. |
Enumeração: URLClickAction – Tipo: Edm.Int32
URLClickAction
| Valor | Nome do membro | Descrição |
|---|---|---|
| 2 | Blockpage | O utilizador impediu-o de navegar para o URL através de Ligações Seguras. |
| 3 | PendingDetonationPage | O utilizador apresentou a página de detonação pendente por Ligações Seguras. |
| 4 | BlockPageOverride | O utilizador impediu-o de navegar para o URL por Ligações Seguras, mas o utilizador ultrapassou o bloco para navegar para o URL. |
| 5 | PendingDetonationPageOverride | O utilizador apresentou a página de detonação por Ligações Seguras, mas o utilizador substituiu a página para navegar para o URL. |
Eventos de arquivo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| FileData | Self.FileData | Sim | Dados sobre o arquivo que disparou o evento. |
| SourceWorkload | Self.SourceWorkload | Sim | Carga de trabalho ou serviço onde o ficheiro foi encontrado (por exemplo, SharePoint, OneDrive ou Microsoft Teams) |
| DetectionMethod | Edm.String | Sim | O método ou tecnologia usada pelo Microsoft Defender para Office 365 para a detecção. |
| LastModifiedDate | Edm.Date | Sim | Data e hora em UTC (Tempo Universal Coordenado), na qual o arquivo foi criado ou modificado pela última vez. |
| LastModifiedBy | Edm.String | Sim | O identificador (por exemplo, um endereço de email) do usuário que criou ou modificou pela última vez o arquivo. |
| EventDeepLink | Edm.String | Sim | Ligação avançada para o evento de ficheiro em Deteções de ameaças Explorer ou em tempo real. |
Tipo complexo FileData
FileData
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| DocumentId | Edm.String | Sim | O identificador exclusivo do arquivo nas plataformas SharePoint, OneDrive ou Microsoft Teams. |
| FileName | Edm.String | Sim | Nome do arquivo que disparou o evento. |
| FilePath | Edm.String | Sim | Caminho (local) do arquivo no SharePoint, OneDrive ou Microsoft Teams. |
| FileVerdict | Self.FileVerdict | Sim | O veredicto de malware do arquivo. |
| MalwareFamily | Edm.String | Não | A família de malware do arquivo. |
| SHA256 | Edm.String | Sim | O hash SHA256 do arquivo. |
| FileSize | Edm.String | Sim | Tamanho do arquivo em bytes. |
Enumeração: SourceWorkload – Tipo: Edm.Int32
SourceWorkload
| Valor | Nome do membro |
|---|---|
| 0 | SharePoint |
| 1 | OneDrive |
| 2 | Microsoft Teams |
Esquema do Sim de Ataque no Microsoft Defender para Office 365 Plano 2
Treinamento de simulação de ataque eventos estão disponíveis para clientes do Microsoft 365 que tenham o Defender para Office 365 Plano 2, incluído ou como uma subscrição de suplemento. Por exemplo, Microsoft 365 A5/E5/G5 inclui o Defender para Office 365 Plano 2.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Batch ID | Edm.String | Sim | Um identificador exclusivo para um grupo de registos que são processados em conjunto. |
| ID da Campanha | Edm.String | Sim | Um identificador exclusivo para a campanha de formação de simulação de ataques. |
| NomeParaExibiçãoDoUsuário | Edm.String | Não | O nome a apresentar do utilizador envolvido na campanha de formação de simulação de ataques. |
| AttackTechnique | Edm.String | Não | A técnica de ataque utilizada na simulação. |
| CampaignType | Edm.String | Não | O tipo de campanha de simulação de ataques. Os diferentes tipos são campanha de simulação, campanha de formação, automatização de simulação. |
| TimeData | Edm.Date | Não | Hora de lançamento da campanha. |
| EndTimeData | Edm.Date | Não | Hora de fim da campanha. |
| AttackSimevent | Self.AttackSimeventType | Sim | Tipo de evento (atividade do utilizador ou estado de entrega de mensagens). |
| ExtendedProperties | Collection(Common.NameValuePair) | Sim | Propriedades adicionais associadas ao registo de auditoria. |
Enumeração: AttackSimEventType - Tipo: Edm.Int32
| Valor | Nome do Membro | Descrição |
|---|---|---|
| 1 | MessageDelivered | Mensagem entregue ao destinatário com êxito. |
| 2 | Falha na Mensagem | Falha na entrega da mensagem. |
| 6 | CredentialEntered | O utilizador introduziu credenciais na simulação de phish para técnicas como a Recolha de Credenciais, Ligação no anexo. |
| 7 | PermissionGranted | O utilizador concedeu permissão na simulação phish para a técnica, como a concessão de consentimento Oauth. |
| 8 | LinkClicked | O utilizador clicou no URL de simulação de phish. |
| 10 | AnexoAbrido | Anexo aberto pelo utilizador para técnicas como Anexo de software maligno, Ligação no anexo. |
| 12 | MessageRead | Mensagem aberta e lida pelo destinatário. |
| 13 | MensagemReplicar | O destinatário respondeu à mensagem. |
| 14 | MessageForwarded | Mensagem reencaminhada para outro utilizador. |
| 15 | MessageReported | Mensagem comunicada como phish pelo destinatário. |
| 16 | MessageDeleted | Mensagem eliminada pelo destinatário. |
| 17 | OutOfOffice | Respostas automáticas no Outlook ativadas para o destinatário. |
| 18 | PositiveReinforcementMessageDelivered | Mensagem de reforço positiva entregue com êxito ao destinatário. |
Esquema de Administração sim de ataque no Microsoft Defender para Office 365 Plano 2
Treinamento de simulação de ataque eventos de administrador estão disponíveis para clientes do Microsoft 365 que tenham o Defender para Office 365 Plano 2, incluído ou como uma subscrição de suplemento. Por exemplo, Microsoft 365 A5/E5/G5 inclui o Defender para Office 365 Plano 2.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Batch ID | Edm.String | Sim | Um identificador exclusivo para um grupo de registos que são processados em conjunto. |
| ID da Campanha | Edm.String | Sim | Um identificador exclusivo para uma campanha de formação de simulação de ataques. |
| AttackTechnique | Edm.String | Não | A técnica de ataque utilizada numa simulação. |
| CampaignType | Edm.String | Não | O tipo de campanha de simulação de ataques. Os diferentes tipos são campanha de simulação, campanha de formação, automatização de simulação. |
| TimeData | Edm.Date | Sim | Hora de lançamento da campanha. |
| EndTimeData | Edm.Date | Sim | Hora de fim da campanha. |
| AttackSimAdminEvent | Self.AttackSimAdmineventType | Sim | O tipo de evento de administrador do sim de ataque. |
| ExtendedProperties | Collection(Common.NameValuePair) | Sim | Propriedades adicionais associadas ao registo de auditoria. |
Enumeração: AttackSimAdminEventType - Tipo: Edm.Int32
| Valor | Nome do Membro | Descrição |
|---|---|---|
| 0 | CampaignLaunched | Quando foi iniciada uma campanha de formação de simulação de ataques. Os diferentes tipos de campanhas são a simulação, a campanha de formação. |
| 1 | CampaignCompleted | Quando uma campanha de formação de simulação de ataques foi concluída. |
| 2 | CampaignReportDownloaded | Administração transferiu um relatório de campanha. |
| 3 | CampaignReportViewed | Administração visualizado um relatório de campanha. |
| 4 | CampaignCancelled | Quando uma campanha de formação de simulação de ataques foi cancelada. |
| 5 | CampaignScheduled | Quando foi agendada uma campanha de formação de simulação de ataques. |
| 6 | CampaignDeleted | Quando uma campanha de formação de simulação de ataques foi eliminada. |
| 7 | SimulationExcluded | Quando uma simulação foi excluída dos relatórios. |
| 8 | AutomationSubmitted | Quando uma automatização foi submetida, inclui automatização de simulação e payload. |
| 9 | AutomationTurnOn | Quando uma automatização foi ativada, inclui automatização de simulação e payload. |
| 10 | AutomationTurnOff | Quando uma automatização foi desativada, inclui automatização de simulação e payload. |
| 11 | AutomationCompleted | Quando uma automatização de simulação foi concluída. |
| 12 | AutomationDeleted | Quando uma automatização foi eliminada, inclui simulação e automatização de payload. |
Esquema de Preparação de Utilizadores
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Batch ID | Edm.String | Sim | Um identificador exclusivo para um grupo de registos que são processados em conjunto. |
| ID da Campanha | Edm.String | Sim | Um identificador exclusivo para uma campanha de formação de simulação de ataques. |
| ID do Curso | Edm.String | Sim | Um identificador exclusivo para um curso de formação. |
| NomeParaExibiçãoDoUsuário | Edm.String | Não | O nome a apresentar do utilizador envolvido na simulação de ataque. |
| CampaignType | Edm.String | Sim | O tipo de campanha de simulação de ataques. Os diferentes tipos são campanha de simulação, campanha de formação, automatização de simulação. |
| TimeData | Edm.Date | Sim | Hora de lançamento da campanha. |
| EndTimeData | Edm.Date | Sim | Hora de fim da campanha. |
| UserTrainingEvent | Self.UserTrainingEventType | Sim | O tipo de evento de preparação de utilizadores. |
| ExtendedProperties | Collection(Common.NameValuePair) | Sim | Propriedades adicionais associadas ao registo de auditoria. |
Enumeração: UserTrainingEventType - Tipo: Edm.Int32
| Valor | Nome do Membro | Descrição |
|---|---|---|
| 1 | TrainingAssigned | Formação atribuída ao utilizador. |
| 2 | TrainingUpdated | Formação atualizada para o utilizador. |
| 3 | TrainingCompleted | O utilizador concluiu a formação. |
| 4 | TrainingPreviouslyAssigned | Formação atribuída anteriormente ao utilizador. |
| 5 | TrainingNotCompleted | O utilizador não concluiu a preparação atribuída. |
Esquema de envio
Os eventos para submeter falsos positivos ou falsos negativos à Microsoft para análise estão disponíveis em todas as organizações com caixas de correio no Exchange Online. Cada evento no feed de submissão corresponde a falsos positivos ou falsos negativos que foram submetidos por:
- Administradores: mensagens, ficheiros ou URLs submetidos à Microsoft para análise.
- Utilizadores: mensagens comunicadas pelos utilizadores aos administradores ou à Microsoft para revisão.
Eventos de envio
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AdminSubmissionRegistered | Edm.String | Não | O envio do administrador está registrado e está pendente para processamento. |
| AdminSubmissionDeliveryCheck | Edm.String | Não | O sistema de envio do administrador verificou a política do email. |
| AdminSubmissionSubmitting | Edm.String | Não | O sistema de envio do administrador está enviando o email. |
| AdminSubmissionSubmitted | Edm.String | Não | O sistema de envio do administrador enviou o email. |
| AdminSubmissionTriage | Edm.String | Não | Administração submissão triagemda pelo classificador. |
| AdminSubmissionTimeout | Edm.String | Não | Administração o tempo limite da submissão foi excedido sem resultados. |
| UserSubmission | Edm.String | Não | O envio foi relatado pela primeira vez por um usuário final. |
| UserSubmissionTriage | Edm.String | Não | O envio do usuário é classificado pelo avaliador. |
| CustomSubmission | Edm.String | Não | A mensagem relatada por um usuário foi enviada à caixa de correio personalizada da organização, conforme definido nas configurações de mensagens de relatório do usuário. |
| AttackSimUserSubmission | Edm.String | Não | A mensagem relatada pelo usuário era, na verdade, uma mensagem de treinamento de simulação de phishing. |
| AdminSubmissionTablAllow | Edm.String | Não | Foi criada uma entrada de permissão na Lista de Permissões/Bloqueios de Inquilinos no momento da submissão para tomar imediatamente medidas em mensagens semelhantes enquanto está a ser recanizado. |
| SubmissionNotification | Edm.String | Não | Os comentários da administração são enviados para o usuário final. |
Eventos automatizados de investigação e resposta no Microsoft Defender para Office 365 Plano 2
Os eventos automatizados de investigação e resposta (AIR) estão disponíveis para clientes do Microsoft 365 que tenham o Defender para Office 365 Plano 2, incluído ou como uma subscrição de suplemento. Por exemplo, Microsoft 365 A5/E5/G5 inclui o Defender para Office 365 Plano 2.
Os eventos de investigação são registrados com base em uma alteração no status de investigação. Por exemplo, quando um administrador efetua uma ação que altera a status de uma investigação de Ações Pendentes para Concluída, é registado um evento.
No momento, somente investigações automatizadas são registradas. São registados os seguintes valores de status:
- Investigação Iniciada
- Nenhuma ameaça encontrada
- Encerrado pelo sistema
- Ação Pendente
- Ameaça Encontrada
- Remediado
- Falhou
- Encerrado pela limitação
- Encerrado Pelo Usuário
- Em execução
Esquema de investigação principal
| Nome | Tipo | Descrição |
|---|---|---|
| InvestigationId | Edm.String | ID/GUID da Investigação. |
| InvestigationName | Edm.String | Nome da investigação. |
| InvestigationType | Edm.String | Tipo da investigação. Pode ter um dos seguintes valores:
(Atualmente, as investigações manuais não estão disponíveis.) |
| LastUpdateTimeUtc | Edm.Date | Hora UTC da última atualização para uma investigação. |
| StartTimeUtc | Edm.Date | Hora de início de uma investigação. |
| Status | Edm.String | Estado de investigação, Execução, Ações Pendentes, etc. |
| DeeplinkURL | Edm.String | URL de ligação avançada para uma investigação no portal do Microsoft Defender. |
| Ações | Coleção (Edm.String) | Coleção de ações recomendadas por uma investigação. |
| Data | Edm.String | Cadeia de dados que contém mais detalhes sobre entidades de investigação e informações sobre alertas relacionados à investigação. As entidades estão disponíveis em um nó separado no blob de dados. |
Ações
| Campo | Tipo | Descrição |
|---|---|---|
| ID | Edm.String | ID da ação |
| ActionType | Edm.String | O tipo de ação, como remediação de e-mail. |
| ActionStatus | Edm.String | Os valores incluem:
|
| ApprovedBy | Edm.String | Nulo se for aprovado automaticamente; caso contrário, o nome de usuário/ID (isso será lançado em breve) |
| TimestampUtc | Edm.DateTime | O carimbo de data/hora da ação status ser alterado. |
| ActionId | Edm.String | Identificador exclusivo para a ação. |
| InvestigationId | Edm.String | Identificador exclusivo para investigação. |
| RelatedAlertIds | Collection(Edm.String) | Alertas relacionados com uma investigação. |
| StartTimeUtc | Edm.DateTime | Carimbo de data/hora da criação da ação. |
| EndTimeUtc | Edm.DateTime | Carimbo de data/hora da atualização final da ação status. |
| Identificadores de recursos | Edm.String | Consiste na ID de locatário do Azure Active Directory. |
| Entidades | Collection(Edm.String) | Lista de uma ou mais entidades afetadas por ação. |
| IDs de Alertas Relacionados | Edm.String | Alerta relacionado com uma investigação. |
Entidades
MailMessage
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | "mail-message" |
| Arquivos | Coleção (Self.File) | Detalhes sobre os ficheiros dos anexos desta mensagem. |
| Destinatário | Edm.String | O destinatário desta mensagem de correio. |
| URLs | Collection(Self.URL) | Os URLs contidos nesta mensagem de correio. |
| Remetente | Edm.String | O endereço de e-mail do remetente. |
| SenderIp | Edm.String | O endereço IP do remetente. |
| ReceivedDate | Edm.DateTime | A data de receção desta mensagem. |
| NetworkMessageId | Edm.Guid | O ID da mensagem de rede desta mensagem de correio. |
| InternetMessageId | Edm.String | O ID da mensagem da Internet desta mensagem de correio. |
| Assunto | Edm.String | O assunto desta mensagem de correio. |
IP
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | "ip" |
| Endereço | Edm.String | O endereço IP como uma cadeia, como 127.0.0.1. |
URL
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | "url" |
| Url | Edm.String | O URL completo para o qual uma entidade aponta. |
Caixa de correio (também equivalente ao usuário)
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | “Caixa de correio” |
| MailboxPrimaryAddress | Edm.String | O endereço principal da caixa de correio. |
| DisplayName | Edm.String | O nome a apresentar da caixa de correio. |
| UPN | Edm.String | O UPN da caixa de correio. |
Arquivo
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | “Arquivo” |
| Nome | Edm.String | O nome do ficheiro sem caminho. |
| FileHashes | Coleção (Edm.String) | Os hashes de ficheiro associados ao ficheiro. |
FileHash
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | "filehash" |
| Algoritmo | Edm.String | O tipo de algoritmo hash, que pode ser um destes valores:
|
| Valor | Edm.String | O valor hash. |
MailCluster
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | "MailCluster" Determina o tipo de entidade que está a ser discutida. |
| NetworkMessageIds | Coleção (Edm.String) | Lista dos IDs de mensagens de correio que fazem parte do cluster de correio. |
| CountByDeliveryStatus | Coleções (Edm.String) | Contagem de mensagens de correio por representação da cadeia DeliveryStatus. |
| CountByThreatType | Coleções (Edm.String) | Contagem de mensagens de correio por representação da cadeia ThreatType. |
| Ameaças | Coleções (Edm.String) | As ameaças de mensagens de email que fazem parte do cluster de emails. As ameaças incluem valores como Phish e Malware. |
| Consulta | Edm.String | A consulta que foi utilizada para identificar as mensagens do cluster de correio. |
| QueryTime | Edm.DateTime | O tempo de consulta. |
| MailCount | Edm.int | O número de mensagens de correio que fazem parte do cluster de correio. |
| Origem | Cadeia de Caracteres | A origem do cluster de email; o valor da origem do cluster. |
Esquema de eventos de higiene
Os eventos de higiene estão relacionados à proteção contra spam de saída. Esses eventos estão relacionados a usuários impedidos de enviar email. Para saber mais, confira os seguintes artigos:
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Auditoria | Edm.String | Não | Informações do sistema relacionadas ao evento de higiene. |
| Evento | Edm.String | Não | O tipo de evento de higiene. Os valores para este parâmetro são Listado ou Removido. |
| EventId | Edm.Int64 | Não | O ID do tipo de evento de higiene. |
| EventValue | Edm.String | Não | O usuário que foi impactado. |
| Reason | Edm.String | Não | Detalhes sobre o evento de higiene. |
Esquema do Power BI
Os eventos do Power BI listados em Procurar no registo de auditoria utilizam este esquema.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do aplicativo em que o evento ocorreu. |
| DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do painel onde o evento ocorreu. |
| DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | As classificação dos dados, se houver, do painel onde o evento ocorreu. |
| DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do conjunto de dados onde o evento ocorreu. |
| MembershipInformation | Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações de associação sobre o grupo. |
| OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Lista de permissões de um aplicativo organizacional (toda a organização, usuários específicos ou grupos específicos). |
| NomeDoRelatório | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do relatório em que o evento ocorreu. |
| SharingInformation | Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre a pessoa para quem é enviado um convite de compartilhamento. |
| SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre o estado das várias opções de nível do locatário. |
| WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do espaço de trabalho em que o evento ocorreu. |
Tipo de complexo MembershipInformationType
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O endereço de email do grupo. |
| Status | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Não está preenchido no momento. |
SharingInformationType tipo complexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O endereço de email do destinatário de um convite de compartilhamento. |
| RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do destinatário de um convite de compartilhamento. |
| ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | A permissão sendo concedida ao destinatário. |
Esquema do Dynamics 365
Os registros de auditoria para eventos relacionados aos aplicativos controlados por modelos no Dynamics 365 usam um esquema de operações de entidade e base. Para obter mais informações, consulte Ativar e usar o Log de Atividade.
Esquema base do Dynamics 365
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| CrmOrganizationUniqueName | Edm.String | Sim | O nome exclusivo da organização. |
| InstanceUrl | Edm.String | Sim | A URL da instância. |
| ItemUrl | Edm.String | Não | A URL do registro que emite o log. |
| ItemType | Edm.String | Não | O nome da entidade. |
| UserAgent | Edm.String | Não | O identificador exclusivo da GUID de usuário na organização. |
| Campos | Collection(Common.NameValuePair) | Não | Um objeto JSON que contém os pares da propriedade chave-valor criados ou atualizados. |
Esquema de operações de entidade do Dynamics 365
Eventos de entidade de aplicativos controlados por modelos no Dynamics 365 use este esquema para criar o esquema base do Dynamics 365. Esse esquema inclui informações sobre a operação de entidade que disparou o evento auditado.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| EntityId | Edm.Guid | Não | Identificador exclusivo da entidade. |
| EntityName | Edm.String | Sim | O nome da entidade na organização. Exemplos de entidades incluem contact ou authentication. |
| Mensagem | Edm.String | Sim | Esse parâmetro contém a operação que foi realizada em relação à entidade. Por exemplo, se tiver sido criado um novo contacto, o valor da propriedade Mensagem é Create e o valor correspondente da propriedade EntityName é contact. |
| Consulta | Edm.String | Não | Os parâmetros da consulta de filtro que foi usada durante a execução da operação FetchXML. |
| PrimaryFieldValue | Edm.String | Não | Indica o valor do atributo que é o campo principal da entidade. |
Esquema de Informações Viva
Os eventos do Viva Insights devolvidos nas pesquisas de registos de auditoria utilizam este esquema.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| WpaUserRole | Edm.String | Não | A função Informações Viva do utilizador que efetuou a ação. |
| ModifiedProperties | Coleção (Common.ModifiedProperty) | Não | Essa propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada. |
| OperationDetails | Coleção (Common.NameValuePair) | Não | Uma lista de propriedades estendidas para a configuração que foi alterada. Cada propriedade tem um Nome e Valor. |
Esquema de quarentena
Os eventos de quarentena devolvidos nas pesquisas de registos de auditoria utilizam este esquema. Para obter mais informações sobre a quarentena, veja Mensagens de e-mail em quarentena em organizações na cloud.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RequestType | Self.RequestType | Não | O tipo de solicitação de quarentena executada por um usuário. |
| RequestSource | Self.RequestSource | Não | O pedido de quarentena provém do portal Microsoft Defender, de um cmdlet ou de um URLlink. |
| NetworkMessageId | Edm.String | Não | A ID da mensagem de rede da mensagem de email em quarentena. |
| ReleaseTo | Edm.String | Não | O destinatário da mensagem de email. |
Enum: RequestType - Type: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Visualização | Pedido do utilizador para pré-visualizar uma mensagem de e-mail identificada como prejudicial. |
| 1 | Excluir | Pedido do utilizador para eliminar uma mensagem de e-mail identificada como prejudicial. |
| 2 | Liberar | Pedido do utilizador para lançar uma mensagem de e-mail identificada como prejudicial. |
| 3 | Exportar | Pedido do utilizador para exportar uma mensagem de e-mail identificada como prejudicial. |
| 4 | ViewHeader | Pedido do utilizador para ver o cabeçalho de uma mensagem de e-mail identificada como prejudicial. |
| 5 | Solicitação de liberação | Pedido do utilizador para lançar uma mensagem de e-mail identificada como prejudicial. |
Enum: RequestSource - Type: Edm.Int32
A origem de um pedido de utilizador para pré-visualizar, eliminar, libertar, exportar ou ver o cabeçalho de uma mensagem de e-mail potencialmente prejudicial.
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | SCC | O portal Microsoft Defender. |
| 1 | Cmdlet | Um cmdlet. |
| 2 | URLlink | Uma ligação. |
Esquema do Microsoft Forms
Microsoft Forms eventos devolvidos nas pesquisas de registos de auditoria utilizam este esquema.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| FormsUserTypes | Coleção (Self.FormsUserTypes) | Sim | O papel do usuário que executou a ação. Os valores desse parâmetro são Administrador, Proprietário, Responder ou Coautoria. |
| SourceApp | Edm.String | Sim | Indica se a ação é do site do Forms ou de outro aplicativo. |
| FormName | Edm.String | Não | Nome do formulário atual. |
| FormId | Edm.String | Não | A ID do formulário de destino. |
| FormTypes | Coleção (Self.FormTypes) | Não | Indica se isso é um Formulário, Quiz ou Pesquisa. |
| ActivityParameters | Edm.String | Não | Cadeia de caracteres JSON contendo parâmetros de atividade. Para obter mais informações, veja Microsoft Forms atividades. |
Enum: FormsUserTypes - Tipo: Edm.Int32
FormsUserTypes
| Valor | Tipo de Usuário do Formulário | Descrição |
|---|---|---|
| 0 | Administrador | Um administrador que tem acesso ao formulário. |
| 1 | Proprietário | Um usuário que é o proprietário do formulário. |
| 2 | Respondente | Um usuário que enviou uma resposta a um formulário. |
| 3 | Co-autor | Um usuário que usou um link de colaboração fornecido pelo proprietário do formulário para fazer logon e editar um formulário. |
Enum: FormTypes - Tipo: Edm.Int32
FormTypes
| Valor | Tipos de Formulário | Descrição |
|---|---|---|
| 0 | Formulário | Formulários criados com a opção Novo Formulário. |
| 1 | Quiz | Quizzes criados com a Nova Opção de Quiz. Um quiz é um tipo especial de formulário que inclui recursos adicionais como valores de ponto, classificações automáticas e manuais e comentários. |
| 2 | Pesquisa | Pesquisas criadas com a opção Nova Pesquisa. Uma pesquisa é um tipo especial de formulário que inclui recursos adicionais como a integração e o suporte a CMS para regras de Fluxo. |
Esquema de rótulos MIP
Os eventos no esquema de rótulo da Proteção de Informações do Microsoft Purview são disparados quando o Microsoft 365 detecta uma mensagem de email processada por agentes no pipeline de Transporte que tem um rótulo de confidencialidade aplicado a ele. A etiqueta de confidencialidade pode ter sido aplicada manual ou automaticamente e pode ter sido aplicada dentro ou fora do pipeline de Transporte. Os rótulos de confidencialidade podem ser aplicados automaticamente às mensagens de email por meio da aplicação automática de políticas de rótulo.
O propósito desse esquema de auditoria é representar a soma de toda a atividade de email que envolve rótulos de confidencialidade. Em outras palavras, deve haver uma atividade de auditoria redirecionada para cada mensagem de email que será enviada para ou a partir de usuários na organização que tenha um rótulo de confidencialidade aplicado a ele, independentemente de quando ou como o rótulo de sensibilidade tenha sido aplicado. Para obter mais informações sobre rótulos de confidencialidade, confira:
- Saiba mais sobre rótulos de confidencialidade
- Aplicar um rótulo de confidencialidade automaticamente ao conteúdo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Remetente | Edm.String | Não | O endereço de email no campo De da mensagem de email. |
| Receptores | Collection(Edm.String) | Não | Todos os endereços de email nos campos Para, CC e Cco da mensagem de email. |
| ItemName | Edm.String | Não | A cadeia de caracteres no campo Assunto da mensagem de email. |
| LabelID | Edm.Guid | Não | O GUID da etiqueta de confidencialidade aplicada à mensagem de e-mail. |
| LabelName | Edm.String | Não | O nome do rótulo de sensibilidade aplicado à mensagem de email. |
| Labelaction | Edm.String | Não | As ações especificadas pelo rótulo de confidencialidade que foram aplicados à mensagem de email antes da mensagem entrar no pipeline de transporte de email. |
| LabelAppliedDateTime | Edm.Date | Não | A data em que o rótulo de confidencialidade foi aplicado à mensagem de email. |
| Applicationmode | Edm.String | Não | Especifica como o rótulo de confidencialidade foi aplicado à mensagem de email. O valor Privilegiado indica que o rótulo foi aplicado manualmente por um usuário. O valor Padrão indica que o rótulo foi aplicado automaticamente por um processo de rotulagem do lado do cliente ou do serviço. |
Esquema de eventos do portal de mensagens criptografadas
Os eventos para o esquema do portal de mensagens encriptadas são acionados quando a Encriptação de Mensagens do Purview deteta que uma mensagem de e-mail encriptada é acedida através do portal por um destinatário externo. O correio pode ter sido encriptado manualmente com uma etiqueta de confidencialidade ou um modelo RMS, ou automaticamente por uma regra de transporte, uma política de Prevenção de Perda de Dados ou uma política de etiquetagem automática.
A intenção desse esquema de auditoria é representar a soma de todas as atividades do portal que envolvem o acesso ao email criptografado por destinatários externos. Em outras palavras, deve haver uma atividade de auditoria registrada para um destinatário que tente entrar no portal e para as atividades relacionadas ao acesso ao email criptografado. Isso inclui emails enviados para ou de usuários na organização quando tem criptografia aplicada a ele, independentemente de quando ou como a criptografia foi aplicada. Para obter mais informações, confira Saiba mais sobre os logs do portal de mensagens criptografadas.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| MessageId | Edm.String | Não | A ID da mensagem. |
| Destinatário | Edm.String | Não | Endereço de e-mail do destinatário. |
| Remetente | Edm.String | Não | Endereço de e-mail do remetente. |
| AuthenticationMethod | Self.AuthenticationMethod | Não | Método de autenticação ao acessar a mensagem, ou seja, OTP, Yahoo, Gmail, Microsoft. |
| AuthenticationStatus | Self.AuthenticationStatus | Não | 0: Êxito, 1: Falha. |
| OperationStatus | Self.OperationStatus | Não | 0: Êxito, 1: Falha. |
| AttachmentName | Edm.String | Não | Nome do anexo. |
| OperationProperties | Collection(Common.NameValuePair) | Não | Propriedades adicionais, ou seja, número de senha OTP enviada, assunto do email etc. |
Esquema de conformidade de comunicações do Exchange
Os eventos de conformidade de comunicação listados no log de auditoria do Office 365 usam esse esquema. Isso inclui registros de auditoria para a operação SupervisoryReviewOLAudit gerados quando o conteúdo da mensagem de email contém uma linguagem ofensiva identificada por modelos antispam com uma precisão de correspondência de >= 99,5%.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ExchangeDetails | ExchangeDetails | Não | Propriedades da mensagem de email que disparou o evento SupervisoryReviewOLAudit. |
Enum: ExchangeDetails - Type: ExchangeDetails
ExchangeDetails
| Nome do membro | Tipo | Descrição |
|---|---|---|
| NetworkMessageId | Edm.Guid | A ID de mensagem da rede da mensagem de email. |
| InternetMessageId | Edm.String | A ID de mensagem da internet da mensagem de email. |
| AttachmentData | Collection(AttachmentDetails) | Informações sobre arquivos anexados à mensagem de emails. |
| Destinatários | Collection(Edm.String) | Todos os endereços de email nos campos Para, CC e Cco da mensagem de email. |
| Assunto | Edm.String | O texto no campo Assunto da mensagem de email. |
| MessageTime | Edm.Date | A data e a hora em que a mensagem foi enviada. |
| De | Edm.String | O endereço de email no campo De da mensagem de email. |
| Directionality | Edm.String | O status da origem da mensagem de email. |
Enum: AttachmentDetails - Type: Edm.Int32
AttachmentDetails
| Nome do membro | Tipo | Descrição |
|---|---|---|
| FileName | Edm.String | O nome do arquivo anexado à mensagem de email. |
| FileType | Edm.String | A extensão de arquivo do arquivo anexado à mensagem de email. |
| SHA256 | Edm.String | O hash SHA-256 do arquivo anexado à mensagem de email. |
Esquema de relatórios
Os eventos de relatórios devolvidos nas pesquisas de registos de auditoria utilizam este esquema.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ModifiedProperties | Coleção (Common.ModifiedProperty) | Não | Essa propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada. |
Esquema do conector de conformidade
Os eventos no esquema do conector de conformidade são disparados quando itens importados por um conector de dados são ignorados ou não podem ser importados para caixas de correio do usuário. Para obter mais informações sobre conectores de dados, consulte Saiba mais sobre os conectores de dados de terceiros.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| JobId | Edm.String | Não | Esse é um identificador exclusivo do conector de dados. |
| TaskId | Edm.String | Não | Identificador exclusivo da instância periódica do conector de dados. Os conectores de dados importam dados em intervalos periódicos. |
| JobType | Edm.String | Não | O nome do conector de dados. |
| ItemId | Edm.String | Não | Identificador exclusivo do item (por exemplo, uma mensagem de email) que está sendo importado. |
| ItemSize | Edm.Int64 | Não | O tamanho do item que está sendo importado. |
| SourceUserId | Edm.String | Não | O identificador exclusivo do usuário da fonte de dados de terceiros. Por exemplo, para um conector de dados do Slack, essa propriedade especifica a ID de usuário no espaço de trabalho do Slack. |
| FailureType | Self.FailureType | Não | Indica o tipo de falha de importação de dados. Por exemplo, o valor incorrectusermapping indica que o item não foi importado porque não foi encontrado nenhum mapeamento de usuário entre a fonte de dados de terceiros e o Microsoft 365. |
| ResultMessage | Edm.String | Não | Indica o tipo de falha, como Duplicar mensagem. |
| IsRetry | Edm.Boolean | Não | Indica se o conector de dados repetiu a importação do item. |
| Anexos | Coleção.Anexo | Não | Uma lista de anexos recebidos da fonte de dados de terceiros. |
Enumeração: FailureType - Tipo: Edm.Int32
| Valor | Nome do membro |
|---|---|
| 0 | Padrão |
| 1 | MailboxWrite |
Tipo complexo de anexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| FileName | Edm.String | Não | O nome do anexo. |
| Detalhes | Edm.String | Não | Outros detalhes sobre o anexo. |
Esquema SystemSync
Os eventos no esquema SystemSync são disparados quando os dados ingeridos do SystemSync são exportados por meio do Data Lake ou compartilhados por meio de outros serviços.
DataLakeExportOperationAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| DataStoreType | DataStoreType | Sim | Indica de qual repositório os dados foram baixados. Consulte DataStoreType para obter todos os valores possíveis. |
| UserAction | DataLakeUserAction | Sim | Indica qual ação o usuário executou no repositório de dados. Consulte DataLakeUserAction para obter todos os valores possíveis. |
| ExportTriggeredAt | Edm.DateTimeOffset | Sim | Indica quando a exportação de dados foi disparada. |
| NameOfDownloadedZipFile | Edm.String | Não | O nome do arquivo compactado que o administrador baixou do Data Lake. |
DataShareOperationAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Convite | DataShareInvitationType | Não | Detalhes do convite enviado ao destinatário do Data Share. |
Tipo complexo DataShareInvitationType
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ShareId | Edm.Guid | Sim | Identificador atribuído pelo sistema para o Data Share. |
| Convidados | Collection(Edm.Guid) | Sim | Lista de usuários administradores para os quais o convite foi enviado. |
| InviteeTenantId | Edm.Guid | Sim | O locatário de destino ao qual o convite se destina. |
| ShareName | Edm.String | Sim | Nome atribuído pelo sistema para o Data Share. |
| SyncFrequency | Self.SyncFrequency | Sim | Frequência na qual os dados são sincronizados com a conta de armazenamento de destino depois que o compartilhamento é estabelecido. Consulte SyncFrequency para obter os valores possíveis. |
| SyncStartTime | Edm.DateTimeOffset | Sim | Data e hora da primeira sincronização. |
Enumeração: SyncFrequency – Tipo: Edm.Int32:
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | A cada hora | Indica que os dados são sincronizados a cada hora. |
| 1 | Diariamente | Indica que os dados são sincronizados uma vez por dia. |
Enumeração: DataStoreType - Tipo: Edm.Int32:
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | CanonicalStore | Indica que os dados são transferidos a partir do Arquivo canónico. |
| 1 | StagingStore | Indica que os dados são transferidos a partir do Arquivo de teste. |
Enumeração: DataLakeUserAction – Tipo: Edm.Int32:
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | TriggerExport | O usuário administrador disparou a exportação do Data Lake. |
| 1 | DownloadZipFile | O usuário administrador baixou os dados exportados. |
Tipo complexo MicrosoftGraphDataConnectOperation
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ApplicationId | Edm.Guid | Sim | A identificação do aplicativo. |
| ApplicationName | Edm.String | Sim | O nome do aplicativo. |
| PipelineName | Edm.String | Sim | Nome do pipeline dinâmico. |
| PipelineRunId | Edm.Guid | Não | A identificação dessa execução de pipeline. |
| CopyActivityRunId | Edm.Guid | Não | A identificação da atividade de cópia do ADF. |
| RunStartTime | Edm.Date | Sim | Data e hora da extração. |
| RunEndTime | Edm.Date | Sim | Data e hora da extração. |
| DatasetName | Edm.String | Sim | O nome do conjunto de dados que está sendo extraído. |
| DatasetColumns | Edm.String | Sim | O conjunto de colunas selecionadas que estão sendo extraídas. |
| Lista de Escopos | Edm.String | Sim | O escopo da extração. |
| ScopeCountRequested | Edm.Int64 | Não | A contagem de escopos solicitada para esta extração. |
| ScopeCountDelivered | Edm.Int64 | Não | A contagem de escopo entregue para esta extração. |
| UndeliveredScope | Edm.String | Não | O escopo não entregue da extração. |
| RowCount | Edm.Int64 | Não | O número de linhas extraídas. |
| Status | Edm.String | Sim | O status de extração. |
| Reason | Edm.String | Não | A mensagem de erro em caso de falha. |
AipDiscover
A tabela seguinte contém informações relacionadas com Azure Proteção de Informações eventos do scanner (AIP).
| Evento | Descrição |
|---|---|
| ApplicationId | O ID do aplicativo que está executando a operação. |
| ApplicationName | Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro). |
| ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para Azure eventos relacionados com o Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| CreationTime | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado. |
| DataState | Descreve o estado dos dados. |
| DeviceName | O dispositivo no qual a atividade ocorreu. |
| Id | GUID do registo atual. |
| IsProtected | Se protegido: Verdadeiro/Falso |
| Local | A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, amovívelMedia, fileshare e cloud. |
| ObjectId | Caminho completo do ficheiro (URL). Para a atividade do SharePoint e do OneDrive, o nome completo do caminho do ficheiro ou pasta acedido pelo utilizador. |
| Operação | Descreve o tipo de acesso. |
| OrganizationId | O GUID do locatário do Office 365 da sua organização. Este valor é sempre o mesmo para a sua organização, independentemente do serviço de Office 365 em que ocorre. |
| Plataforma | Plataforma de dispositivos (Win, OSX, Android, iOS) |
| ProcessName | O nome do processo relevante. Por exemplo, Outlook, msip.app ou WinWord. |
| ProductVersion | Versão do cliente AIP. |
| ProtectionOwner | Proprietário do Rights Management no formato UPN. |
| ProtectionType | O tipo de proteção pode ser modelo ou ad-hoc. |
| RecordType | O tipo de operação indicado pelo registro. Confira a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria. Para obter uma lista atualizada completa e uma descrição completa do RecordType de Registo, veja a mensagem de blogue Atividades de registo de auditoria de Conformidade do Microsoft 365 através da API de Gestão de Office 365. Aqui, listamos apenas os tipos de Registo MIP relevantes. |
| Escopo | Evento criado por uma das seguintes origens:
|
| SensitiveInfoTypeData | Armazena o tipo de dados dos dados do tipo Informações Confidenciais. |
| SensitivityLabelId | O GUID da etiqueta de confidencialidade MIP atual. Utilize Get-Label para obter os valores completos do GUID. |
| TemplateId | Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações. |
| UserId | O UPN (User Principal Name) do usuário que executou a ação (especificado na propriedade Operation) que resultou no registro sendo registrado; por exemplo, my_name@my_domain_name.
Nota: também estão incluídos registos de atividade efetuada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM). No SharePoint, outro valor apresentado na propriedade UserId é app@sharepoint. Este valor indica que o "utilizador" que efetuou a atividade era uma aplicação que tem as permissões necessárias no SharePoint para efetuar ações em toda a organização (como procurar num site do SharePoint ou numa conta do OneDrive) em nome de um utilizador, administrador ou serviço. |
| UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Esta propriedade é preenchida com o ID exclusivo do passaporte (PUID) para eventos realizados por utilizadores no SharePoint, OneDrive e Exchange. |
| UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Sistema 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| Versão | ID da versão do arquivo na operação. |
| Workload | Armazena o serviço Office 365 onde ocorreu a atividade. |
AipSensitivityLabelAction
A tabela seguinte contém informações relacionadas com eventos de etiqueta de confidencialidade do AIP.
| Evento | Descrição |
|---|---|
| ApplicationId | Corresponde ao ID da Aplicação Microsoft Entra. |
| ApplicationName | Nome amigável da aplicação que executa a operação. |
| CreationDate | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o utilizador efetuou a atividade. |
| DataState | Especifica o estado dos dados. |
| DeviceName | O nome do dispositivo do utilizador. |
| Identidade | A identidade do utilizador ou serviço a autenticar. |
| IsProtected | Se protegido: Verdadeiro/Falso |
| IsProtectedBefore | Se o conteúdo foi protegido antes da alteração: Verdadeiro/Falso |
| IsValid | Booliano |
| Local | A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, amovívelMedia, fileshare e cloud. |
| ObjectState | Especifica o estado do objeto. |
| Operação | O tipo de operação para o registo de auditoria. O nome da atividade de utilizador ou administrador. Para obter uma descrição das operações/atividades mais comuns: SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identidade | A identidade do utilizador ou serviço a autenticar. |
| PSComputerName | Nome do Computador |
| PSShowComputerName | O valor é Falso para documentos editados no Office 365. |
| Plataforma | Plataforma de dispositivos (Win, OSX, Android, iOS). |
| ProcessName | Processo que aloja o SDK MIP. |
| ProductVersion | Versão do cliente Azure Proteção de Informações que efetuou a ação de auditoria. |
| ProtectionType | O tipo de proteção pode ser modelo ou ad-hoc. |
| RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Para obter mais informações, veja a lista completa de tipos de registo. |
| RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos. |
| SensitiveInfoTypeData | Armazena o tipo de dados dos Dados do Tipo de Informações Confidenciais |
| TemplateId | Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações. |
| UserId | O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Nota: também estão incluídos registos de atividade efetuada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM). No SharePoint, outro valor apresentado na propriedade UserId é app@sharepoint. Este valor indica que o "utilizador" que efetuou a atividade era uma aplicação que tem as permissões necessárias no SharePoint para efetuar ações em toda a organização (como procurar num site do SharePoint ou numa conta do OneDrive) em nome de um utilizador, administrador ou serviço. |
AipProtectionAction
| Evento | Descrição |
|---|---|
| PSComputerName | Nome do computador |
| RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos. |
| PSShowComputerName | O valor é falso para um documento editado no Office 365. |
| RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. Para obter mais informações, veja a lista completa de tipos de registo. |
| CreationTime | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado. |
| UserId | O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo. Por exemplo, my_name@my_domain_name. Nota: também estão incluídos registos de atividade efetuada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM). No SharePoint, outro valor apresentado na propriedade UserId é app@sharepoint. Este valor indica que o "utilizador" que efetuou a atividade era uma aplicação que tem as permissões necessárias no SharePoint para efetuar ações em toda a organização (como procurar num site do SharePoint ou numa conta do OneDrive) em nome de um utilizador, administrador ou serviço. |
| Operação | O tipo de operação para o registo de auditoria. O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identidade | A identidade do utilizador ou serviço a autenticar. |
| ObjectState | Estado do Objeto após o evento atual. |
| ApplicationId | A aplicação onde a atividade ocorreu e foi apresentada no GUID. |
| ApplicationName | Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro). |
| ProcessName | Nome do processo da aplicação do Office. |
| Plataforma | A plataforma na qual a atividade ocorreu. Por exemplo, Windows. |
| DeviceName | Dispositivo em que o evento foi gravado. |
| ProductVersion | Versão do cliente Azure Proteção de Informações que efetuou a ação de auditoria. |
| UserId | O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Nota: também estão incluídos registos de atividade efetuada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM). No SharePoint, outro valor apresentado na propriedade UserId é app@sharepoint. Tal indica que o "utilizador" que efetuou a atividade era uma aplicação que tem as permissões necessárias no SharePoint para efetuar ações em toda a organização (como procurar num site do SharePoint ou numa conta do OneDrive) em nome de um utilizador, administrador ou serviço. |
| ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para Azure eventos relacionados com o Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| Id | GUID do registo atual. |
| RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. |
| CreationTime | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado. |
| Operação | O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, consulte Pesquisar o registo de auditoria. |
| OrganizationId | O GUID do locatário do Office 365 da sua organização. Este valor é sempre o mesmo para a sua organização, independentemente do serviço de Office 365 em que ocorre. |
| UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Sistema 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Esta propriedade é preenchida com o ID exclusivo do passaporte (PUID) para eventos realizados por utilizadores no SharePoint, OneDrive e Exchange. |
| Workload | Armazena o serviço Office 365 onde ocorreu a atividade. |
| Versão | Versão do cliente Azure Proteção de Informações que realizou a ação de auditoria |
| Escopo | Especifica o âmbito. |
AipFileDeleted
| Evento | Descrição |
|---|---|
| PSComputerName | Nome do computador |
| RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos. |
| PSShowComputerName | O valor é falso para um documento editado no Office 365. |
| RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. Para obter mais informações, veja a lista completa de tipos de registo. |
| CreationTime | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado. |
| UserId | O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo. Por exemplo, my_name@my_domain_name. Nota: também estão incluídos registos de atividade efetuada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM). No SharePoint, outro valor apresentado na propriedade UserId é app@sharepoint. Este valor indica que o "utilizador" que efetuou a atividade era uma aplicação que tem as permissões necessárias no SharePoint para efetuar ações em toda a organização (como procurar num site do SharePoint ou numa conta do OneDrive) em nome de um utilizador, administrador ou serviço. |
| Operação | O tipo de operação para o registo de auditoria. O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identidade | A identidade do utilizador ou serviço a autenticar. |
| ObjectState | Estado do Objeto após o evento atual. |
| ApplicationId | A aplicação onde a atividade ocorreu e foi apresentada no GUID. |
| ApplicationName | Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro). |
| ProcessName | Nome do processo da aplicação do Office. |
| Plataforma | A plataforma na qual a atividade ocorreu. Por exemplo, Windows. |
| DeviceName | Dispositivo em que o evento foi gravado. |
| ProductVersion | Versão do cliente Azure Proteção de Informações que efetuou a ação de auditoria. |
| UserId | O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Nota: também estão incluídos registos de atividade efetuada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM). No SharePoint, outro valor apresentado na propriedade UserId é app@sharepoint. Este valor indica que o "utilizador" que efetuou a atividade era uma aplicação que tem as permissões necessárias no SharePoint para efetuar ações em toda a organização (como procurar num site do SharePoint ou numa conta do OneDrive) em nome de um utilizador, administrador ou serviço.. |
| ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para Azure eventos relacionados com o Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| Id | GUID do registo atual. |
| RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. |
| CreationTime | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado. |
| Operação | O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, consulte Pesquisar o registo de auditoria. |
| OrganizationId | O GUID do locatário do Office 365 da sua organização. Este valor é sempre o mesmo para a sua organização, independentemente do serviço de Office 365 em que ocorre. |
| UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Sistema 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Esta propriedade é preenchida com o ID exclusivo do passaporte (PUID) para eventos realizados por utilizadores no SharePoint, OneDrive e Exchange. |
| Workload | Armazena o serviço Office 365 onde ocorreu a atividade. |
| Versão | Versão do cliente Azure Proteção de Informações que realizou a ação de auditoria |
| Escopo | Especifica o âmbito. |
AipHeartBeat
A tabela seguinte contém informações relacionadas com eventos de heartbeat do AIP.
| Evento | Descrição |
|---|---|
| ApplicationId | Corresponde ao ID da Aplicação Microsoft Entra. |
| ApplicationName | Nome amigável da aplicação que executa a operação. |
| CreationDate | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o utilizador efetuou a atividade. |
| DataState | Especifica o estado dos dados. |
| DeviceName | O nome do dispositivo do utilizador. |
| Identidade | A identidade do utilizador ou serviço a autenticar. |
| IsProtected | Se protegido: Verdadeiro/Falso |
| IsProtectedBefore | Se o conteúdo foi protegido antes da alteração: Verdadeiro/Falso |
| IsValid | Booliano |
| Local | A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, amovívelMedia, fileshare e cloud. |
| ObjectState | Especifica o estado do objeto. |
| Operação | O tipo de operação para o registo de auditoria. O nome do usuário ou atividade administrativa. |
| PSComputerName | Nome do Computador |
| PSShowComputerName | O valor é Falso para documentos editados no Office 365. |
| Plataforma | Plataforma de dispositivos (Win, OSX, Android, iOS). |
| ProcessName | Processo que aloja o SDK MIP. |
| ProductVersion | Versão do cliente Azure Proteção de Informações que efetuou a ação de auditoria. |
| ProtectionType | O tipo de proteção pode ser modelo ou ad-hoc. |
| RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Para obter mais informações, veja a lista completa de tipos de registo. |
| RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos. |
| SensitiveInfoTypeData | Armazena o tipo de dados dos Dados do Tipo de Informações Confidenciais. |
| TemplateId | Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações. |
| UserId | O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name.
Nota: também estão incluídos registos de atividade efetuada por contas de sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM). No SharePoint, outro valor apresentado na propriedade UserId é app@sharepoint. Este valor indica que o "utilizador" que efetuou a atividade era uma aplicação que tem as permissões necessárias no SharePoint para efetuar ações em toda a organização (como procurar num site do SharePoint ou numa conta do OneDrive) em nome de um utilizador, administrador ou serviço. |
| UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Sistema 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Esta propriedade é preenchida com o ID exclusivo do passaporte (PUID) para eventos realizados por utilizadores no SharePoint, OneDrive e Exchange. |
Tipo complexo MicrosoftGraphDataConnectConsent
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ApplicationId | Edm.Guid | Sim | A identificação do aplicativo. |
| ApplicationVersion | Edm.String | Sim | A versão da aplicação. |
| AppRegistrationTenantId | Edm.Guid | Sim | O ID do inquilino do registo de aplicações. |
| Aprovador | Edm.String | Sim | O nome principal de utilizador do aprovador. |
| ApprovalUpdatedDateInUTC | Edm.Date | Sim | A data e hora da atualização em UTC. |
| ApprovalExpiryDateInUTC | Edm.Date | Sim | A data de expiração em UTC. |
| ApprovalValidDays | Edm.Int32 | Sim | O número de dias a contar da atualização para a qual a aprovação é válida. |
| DestinationSinks | Edm.String | Sim | O destino afunda. |
| DestinationTenantId | Edm.Guid | Sim | O ID do inquilino de destino. |
| Reason | Edm.String | Não | O motivo fornecido pelo administrador que efetuou a operação. |
| Estado | Edm.String | Sim | O estado de consentimento. |
| Conjuntos de dados | Coleção Própria. MGDCDataset | Sim | Detalhes sobre os conjuntos de dados que foram consentidos como parte desta operação. |
Tipo Complexo MGDCDataset
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| DatasetName | Edm.String | Sim | O nome do conjunto de dados na operação de consentimento. |
| DatasetColumns | Edm.String | Sim | A lista de colunas do conjunto de dados na operação de consentimento. |
| DenyGroups | Edm.String | Não | A lista de grupos de negação do conjunto de dados na operação de consentimento. |
| Escopo | Edm.String | Sim | Os tipos de âmbito do conjunto de dados na operação de consentimento. Os valores possíveis são Todos, Lista e FilterUri. |
| ScopeFiltersUris | Edm.String | Não | O URI do filtro de âmbito para o conjunto de dados na operação de consentimento. |
| Lista de Escopos | Edm.String | Não | A lista de grupos de âmbito do conjunto de dados na operação de consentimento. |
| PrivacyPolicyType | Edm.String | Sim | Os tipos de política de privacidade para o conjunto de dados na operação de consentimento. Os valores possíveis são None e DenyList. |
Esquema Viva Glint
Os eventos Viva Glint devolvidos nas pesquisas de registos de auditoria utilizam este esquema (e também o esquema Comum).
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ClientUUID | Edm.String | S | O UUID do Cliente da instância Viva Glint. |
| ImportType | Edm.String | N | O tipo de origem de importação de dados. |
| DataDSRControl | Edm.String | N | Este controlo na plataforma determina se os dados do inquérito são eliminados quando um utilizador é removido da plataforma Viva Glint. |
| DiscardEmployeeIds | Edm.String | N | Este controlo na plataforma especifica se os IDs dos colaboradores eliminados anteriormente são ignorados ou retidos na plataforma Viva Glint. |
| JobName | Edm.String | N | O nome de uma tarefa de aplicação de dados Glint que foi executada. |
| ExtendedCompletionDate | Edm.Date | N | A nova data para a qual foi alargado um ciclo de inquérito fechado. |
| FeedBackComponentName | Edm.String | N | O nome de um componente específico no programa de comentários 360. |
Viva Goals esquema
Viva Goals eventos devolvidos nas pesquisas de registos de auditoria utilizam este esquema (e também o esquema Comum).
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Detalhe | Edm.String | Não | Uma descrição do evento ou da atividade que ocorreu no Viva Goals. |
| Nome de usuário | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O nome do utilizador que acionou o evento. |
| UserRole | Edm.String | Não | A função do utilizador que acionou este evento no Viva Goals. Este valor menciona se o utilizador é um administrador da organização ou um proprietário. |
| OrganizationName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O nome da organização no Viva Goals onde o evento foi acionado. |
| OrganizationOwner | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O proprietário da organização no Viva Goals onde ocorreu o evento. |
| OrganizationAdmins | Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | Os administradores da organização no Viva Goals onde ocorreu o evento. Pode haver um ou mais administradores na organização. |
| UserAgent | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O agente do utilizador (detalhes do browser) do utilizador que acionou o evento. O UserAgent pode não estar presente no caso de um evento gerado pelo sistema. |
| Campos Modificados | Collection(Common.NameValuePair) | Não | Uma lista de atributos que foram modificados juntamente com os respetivos valores novos e antigos são apresentados como JSON. |
| ItemDetails | Collection(Common.NameValuePair) | Não | Propriedades adicionais sobre o objeto que foi modificado. |
Microsoft Planner esquema
Microsoft Planner eventos devolvidos nas pesquisas de registos de auditoria utilizam este esquema.
Microsoft Planner substitui a definição de ObjectId e ResultStatus no esquema Comum. A definição objectId de Microsoft Planner está vinculada ao tipo de registo de cada Microsoft Planner e é ilustrada individualmente.
Microsoft Planner's ResultStatus é definido como o seguinte.
Enumeração: ResultStatus - Tipo: Edm.Int32
ResultStatus
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | Êxito | O pedido do utilizador foi efetuada com êxito. |
| 2 | Falha | O pedido do utilizador falhou devido a motivos que não a autorização. |
| 3 | AuthorizationFailure | O utilizador pedido falhou devido a uma falha na autorização. |
Microsoft Planner expande o esquema Comum com os seguintes tipos de registo.
Tipo de registo PlannerGoal
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | ID do objetivo pedido. |
| PlanId | Edm.String | ID do plano que contém o objetivo. |
Tipo de registo do PlannerPlan
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | ID do plano pedido. |
| ContainerType | Eu próprio. ContainerType | Tipo do contentor associado ao plano. |
| ContainerId | Edm.String | ID do contentor associado ao plano. |
| SharedWithContainerId | Edm.String | ID do contentor com acesso partilhado ao plano. |
| SharedWithContainerType | Eu próprio. ContainerType | Tipo de contentor com acesso partilhado ao plano. |
| SharedWithContainerAccessLevel | Eu próprio. PlanAccessLevel | Nível de acesso concedido ao contentor com acesso partilhado ao plano. |
Enumeração: ContainerType - Tipo Edm.Int32
ContainerType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Invalid | Utilizado quando o plano pedido não é encontrado. |
| 2 | Group | O plano está associado a um Grupo do Microsoft 3365. |
| 3 | TeamsConversation | O plano está associado a uma conversação do Teams. |
| 4 | OfficeDocument | O plano está associado a um documento do Office. |
| 5 | Lista | O plano está associado a um grupo de listas. |
| 6 | Project | O plano tem origem no Microsoft Project. |
| 7 | Usuário | O plano está associado a um utilizador. |
| 8 | TeamsChannel | O plano está associado a um canal do Teams. |
| 10 | PlannerTask | O plano está associado a uma tarefa do Planner. |
Enumeração: PlanAccessLevel - Tipo Edm.Int32
PlanAccessLevel
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | ReadAccess | Acesso para ler Plano. |
| 2 | ReadWriteAccess | Acesso para ler e escrever no Plano. |
| 3 | FullAccess | Acesso para ler, escrever e configurar o Plano. |
Tipo de registo PlannerCopyPlan
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | ID do plano a ser copiado. |
| OriginalPlanId | Edm.String | ID do plano a ser copiado. O mesmo que ObjectId. |
| OriginalContainerType | Eu próprio. ContainerType | Tipo do contentor associado ao plano original. |
| OriginalContainerId | Edm.String | ID do contentor associado ao plano original. |
| NewPlanId | Edm.String | ID do novo plano. Nulo quando a operação falhou. |
| NewContainerType | Eu próprio. ContainerType | Tipo do contentor associado ao novo plano. |
| NewContainerId | Edm.String | ID do contentor associado ao novo plano. |
Tipo de registo plannerTask
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | ID da tarefa pedida. |
| PlanId | Edm.String | ID do plano que contém a tarefa. |
Tipo de registo plannerRoster
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | ID da lista pedida. |
| MemberIds | Edm.String | Uma cadeia separada por vírgulas de IDs de membro mudou para a lista. |
Tipo de registo PlannerGoalList
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Uma representação da consulta de vista de uma lista de objetivos. |
| Lista de Objetivos | Edm.String | Uma cadeia separada por vírgulas de IDs de objetivos consultada. |
Tipo de registo PlannerPlanList
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Uma representação da consulta de vista de uma lista de planos. |
| Lista de Planos | Edm.String | Uma cadeia separada por vírgulas de IDs de plano consultados. |
Tipo de registo PlannerTaskList
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Uma representação da consulta ver de uma lista de tarefas. |
| Lista de Tarefas | Edm.String | Uma cadeia separada por vírgulas de IDs de tarefas consultadas. |
Tipo de registo PlannerTenantSettings
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Definições de inquilino originais no JSON. |
| TenantSettings | Edm.String | Novas definições de inquilino no JSON. |
PlannerRosterSensitivityLabel record type (Tipo de registo PlannerRosterSensitivityLabel)
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | ID da etiqueta de confidencialidade. Nulo quando a etiqueta de confidencialidade é removida. |
| Lista | Edm.String | ID da lista para a qual a etiqueta de confidencialidade é alterada. |
| AssignmentMethod | Eu próprio. SensitivityLabelAssignmentMethod | O método de atribuição da etiqueta de confidencialidade. |
Enumeração: SensitivityLabelAssignmentMethod - Tipo Edm.Int32
SensitivityLabelAssignmentMethod
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Padrão | A etiqueta de confidencialidade é aplicada automaticamente, mas não pode substituir uma atribuição de etiqueta com privilégios. |
| 1 | Com privilégios | A etiqueta de confidencialidade é aplicada manualmente por um utilizador ou por um administrador. |
| 2 | Auto | A etiqueta de confidencialidade é aplicada automaticamente e tem permissão para substituir uma atribuição de etiqueta com privilégios. |
Tipo de registo PlannerChatMessage
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | ID da mensagem de chat |
| ThreadType | Eu próprio. ThreadType | O tipo de conversa. A única opção é Tarefa, para uma conversa no âmbito de uma única Tarefa. |
| ParentEntityId | Edm.String | ID do elemento que contém o chat, o ID da Tarefa. |
Enumeração: ThreadType - Tipo Edm.Int32
ThreadType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Tarefa | O chat está contido numa Tarefa. |
Tipo de registo PlannerChatMessageList
| Propriedades | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Uma representação da consulta de vista de uma lista de mensagens de chat. |
| Lista de Mensagens | Edm.String | Uma cadeia separada por vírgulas de IDs de mensagens de chat consultadas. |
Esquema do Microsoft Project para a Web
O Microsoft Project For The Web expande o esquema Comum com os seguintes tipos de registo.
Tipo de registo ProjectForThewebProject
| Propriedades | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ProjectId | Edm.Guid | Não | ID do Projeto a ser auditado. |
| AdditionalInfo | Coleção Própria. AdditionalInfo | Não | Informações adicionais. |
Tipo de registo ProjectForThewebTask
| Propriedades | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ProjectId | Edm.Guid | Sim | ID do Projeto a ser auditado. |
| TaskId | Edm.Guid | Sim | ID da Tarefa a ser auditada. |
| AdditionalInfo | Coleção Própria. AdditionalInfo | Não | Informações adicionais. |
Tipo de registo ProjectForThewebRoadmap
| Propriedades | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RoadmapId | Edm.Guid | Sim | ID do Mapa de Objetivos a ser auditado. |
| AdditionalInfo | Coleção Própria. AdditionalInfo | Não | Informações adicionais. |
Tipo de registo ProjectForThewebRoadmapItem
| Propriedades | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RoadmapItemId | Edm.Guid | Sim | ID do Item de Mapa de Objetivos a ser auditado. |
| AdditionalInfo | Coleção Própria. AdditionalInfo | Não | Informações adicionais. |
Tipo Complexo AdditionalInfo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| EnvironmentName | Edm.String | Não | ID do ambiente onde a ação foi executada. |
Tipo de registo ProjectForThewebProjectSetting
| Propriedades | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ProjectEnabled | Edm.Boolean | Sim | O valor que foi definido para Project para a Web (1= ativado, 0 desativado). |
ProjectForThewebRoadmapSetting record type (Tipo de registo ProjectForThewebRoadmapSetting)
| Propriedades | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Mapa de ObjetivosEnabled | Edm.Boolean | Sim | O valor que foi definido para Mapa de Objetivos (1= ativado, 0 desativado). |
Tipo de registo ProjectForThewebAssignedToMeSetting
| Propriedades | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AssignedToMeEnabled | Edm.Boolean | Sim | O valor que foi definido para AssignedToMe (1= ativado, 0 desativado). |
Esquema Viva Pulse
Os eventos de impulso viva devolvidos nas pesquisas de registos de auditoria utilizam este esquema (e também o esquema Comum).
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| EventName | Edm.String | Não | Uma descrição do evento ou da atividade que ocorreu no Viva Pulse. |
| PulseId | Edm.String | Não | ID da pesquisa de pulso. |
| EventDetails | Collection(Common.NameValuePair) | Não | Propriedades adicionais sobre o evento. |
Alguns dos eventos VivaPulse registam propriedades diferentes em EventDetails. Cada propriedade registada em EventDetail é descrita na tabela.
| EventName | PropertName | Descrição |
|---|---|---|
| PulseReportShare | Destinatários | Lista de IDs de destinatários com os quais o inquérito de pulso é partilhado. |
| PulseCreate | Destinatários | Lista de IDs de utilizador que são participantes do inquérito de pulso especificado. |
| PulseInvite | Destinatários | Lista de IDs de utilizador que são convidados adicionalmente para o pulso. |
| PulseTenantSettingsUpdate | TenantSettingName | Nome das definições alterado. |
| PulseSubmit | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
| PulseExtendDeadline | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
| PulseCancel | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
| PulseCreateDraft | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
| PulseDeleteDraft | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
| PulseDeleteUserData | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
| PulseQuestionDeleted | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
| PulseDataExport | ExportType,ExportCompletedDate | ExportType indica se a exportação de dados é um nível de Administração ou exportação ao nível do autor, ExportCompletedDate especifica quando a exportação de dados foi finalizada. |
| PulseConfidentialConversationStarted | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
| PulseConfidentialConversationResponded | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
| PulseConfidentialConversationMessageDeleted | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
Esquema do Gestor de Conformidade
Os eventos do Gestor de Conformidade devolvidos nas pesquisas de registos de auditoria utilizam este esquema (e também o esquema Comum).
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Detalhes | Collection(SettingsChange) | Não | Uma descrição do evento que ocorreu para um Gestor de Conformidade do Microsoft Purview. |
Os valores tomados por DefiniçõesAlterar propriedades em Detalhes para operações diferentes são descritos na tabela abaixo.
| Operação | PropertyName | Descrição |
|---|---|---|
| Todas as Operações | Nome | Nome da definição envolvida na operação do Gestor de Conformidade. |
| Todas as Operações | NewValue | Novo valor para as novas definições. |
| Todas as Operações | OriginalValue | Valor original da nova definição. |
Observação
- Para alterações de função, o nome é o tipo de função.
- O registo de auditoria reflete a alteração no evento, como a atribuição de uma função ou a função revogada ao utilizador.
- O valor original e o novo têm os e-mails do utilizador para o qual a função foi alterada.
- Caso não haja nenhuma alteração na função, esse tipo de função não está presente no registo de auditoria.
Esquema de Política de Cópia de Segurança
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| PolicyID | Edm.String | Sim | O ID da política. |
| EditMethodology | Edm.String | Não | Como a política foi criada/editada. |
| CountOfArtifactsBeingAdded | Edm.Int32 | Não | Número de artefactos a serem adicionados. |
| CountOfArtifactsBeingRemoved | Edm.Int32 | Não | Número de artefactos a serem removidos. |
| ServiceType | Edm.String | Não | Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness. |
Restaurar Esquema de tarefas
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| TaskID | Edm.String | Sim | O ID da Tarefa de Restauro. |
| CreationMethodology | Edm.String | Não | Como a Tarefa de Restauro foi criada/editada. |
| CountOfArtifactsBeingAdded | Edm.Int32 | Não | Número de artefactos a serem adicionados. |
| CountOfArtifactsBeingRemoved | Edm.Int32 | Não | Número de artefactos a serem removidos. |
| ServiceType | Edm.String | Não | Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness. |
Restaurar esquema de Item
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RestoreTime | Edm.DateTime | Sim | Hora para a qual o item está a ser restaurado. |
| RestoreLocationType | Edm.String | Sim | Tipo de localização para o qual o item está a ser restaurado. |
| RestoreLocation | Edm.String | Não | Localização para a qual o item está a ser restaurado. |
| TaskID | Edm.String | Sim | O ID da tarefa Restaurar. |
| BackupItemID | Edm.String | Sim | ID do Item de Cópia de Segurança a ser restaurado. |
| ProtectionUnitID | Edm.String | Sim | ID da Unidade de Proteção do item a ser restaurado. |
| SuccessStatus | Edm.String | Não | Se a operação de restauro foi efetuada com êxito. |
| BackupItemType | Edm.String | Sim | Se o Item de Cópia de Segurança é um Site/Conta/Caixa de Correio. |
| ServiceType | Edm.String | Não | Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness. |
Esquema de Item de Cópia de Segurança
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| PolicyID | Edm.String | Sim | ID da Política à quais o item está a ser adicionado. |
| ItemID | Edm.String | Sim | ID do Item de Cópia de Segurança. |
| ProtectionUnitID | Edm.String | Sim | ID da Unidade de Proteção do item em cópia de segurança. |
| ResultStatus | Edm.String | Não | Se a operação de restauro foi efetuada com êxito. |
| BackupItemType | Edm.String | Sim | Se o Item de Cópia de Segurança é um Site/Conta/Caixa de Correio. |
| EditMethodology | Edm.String | Não | Como é que o item de cópia de segurança deve ser adicionado. |
| ServiceType | Edm.String | Não | Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness. |
Esquema do serviço de Política de Cloud
Os registos de auditoria de eventos relacionados com o serviço Política de Cloud expandem o esquema Comum da seguinte forma:
PolicyConfigChangeAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ConfigId | Edm.String | Não | ID da configuração da política |
| ConfigName | Edm.String | Não | Nome dado da configuração da política |
| Descrição | Edm.String | Não | Descrição fornecida para a configuração da política |
| ConfigScope | Eu próprio. CPSScope | Não | Âmbito da configuração da política |
| Grupos | Collection(Common.NameValuePair) | Não | Lista de grupos configurados |
| Prioridade | Edm.Int32 | Não | Valor prioritário da configuração da política |
| Políticas | Coleção(Self.Política) | Não | Lista de definições de política configuradas |
| Prioridades | Coleção(Self.PrioritySetting) | Não | Lista de configurações de políticas e os respetivos valores de prioridade |
Enumeração: CPSScope - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | Tenant | A configuração da política está confinada a todos os utilizadores no inquilino. |
| 2 | Anônimo | A configuração da política está confinada a utilizadores anónimos. |
| 3 | Usuário | A configuração da política está confinada aos utilizadores nos grupos Microsoft Entra configurados. |
Política de Tipo Complexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| PolicyId | Edm.String | Não | ID da definição de política |
| PolicyName | Edm.String | Não | Nome da configuração de política |
| Valor | Edm.String | Não | Valor configurado da definição de política |
| Configurações | Coleção(Self.Definição) | Não | Definição configurada |
Definição de Tipo Complexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| SettingId | Edm.String | Não | ID da definição |
| SettingName | Edm.String | Não | Nome da definição |
| Valor | Edm.String | Não | Valor configurado da definição |
Prioridade de Tipo ComplexoDefinição
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ConfigId | Edm.String | Não | ID da configuração da política |
| ConfigName | Edm.String | Não | Nome dado da configuração da política |
| Valor | Edm.String | Não | Prioridade configurada da configuração da política |
Esquema de configuração do perfil de atualização da cloud
Os eventos relacionados com a configuração do perfil do Cloud Update expandem o esquema Comum com os seguintes tipos de registo.
CloudUpdateProfileConfigAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ProfileName | Edm.String | Sim | Nome do perfil |
| ProfileState | Eu próprio. ProfileState | Não | Estado do perfil |
| Data limite | Edm.Int32 | Não | Prazo configurado |
| UpdateValidationState | Eu próprio. UpdateValidationState | Não | Estado da Validação de Atualização |
| Ondas | Coleção(Self.Onda) | Não | Coleção que contém ondas configuradas |
| WaveDelay | Edm.Int32 | Não | Definir o atraso entre ondas |
Enumeração: ProfileState - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | Habilitado | O perfil está ativado e ativo. |
| 2 | Desabilitado | O perfil está desativado. |
| 3 | Em pausa | O perfil está ativado, mas em pausa. |
Enumeração: UpdateValidationState - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | Habilitado | A Validação de Atualização está ativada. |
| 2 | Desabilitado | A Validação de Atualização está desativada. |
Onda de Tipo Complexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Nome | Edm.String | Não | Nome da onda |
| Tipo | Eu próprio. Tipo de Onda | Não | Onda especificada pelo administrador ou onda de catch-all automática |
| Grupos | Collection(Common.NameValuePair) | Não | Coleção de grupos configurados para esta onda |
Enumeração: WaveType - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | Grupos | O Wave foi configurado pelo administrador através de grupos. |
| 2 | Dispositivos Restantes | Onda criada automaticamente, que inclui todos os dispositivos no âmbito do perfil que não são abrangidos por ondas anteriores. |
Esquema de configuração do inquilino do Cloud Update
Os eventos relacionados com a configuração do inquilino do Cloud Update expandem o esquema Comum com os seguintes tipos de registo.
CloudUpdateTenantConfigAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ProfileExclusionWindows | Coleção(Self.ExclusionWindow) | Não | Coleção de janelas de exclusão configuradas |
| ExclusionList | Collection(Common.NameValuePair) | Não | Coleção de exclusões configuradas |
| TAK | Edm.String | Não | Chave de Associação de Inquilinos |
Exclusão de Tipo ComplexoWindow
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Nome | Edm.String | Não | Nome indicado da janela de exclusão |
| StartDate | Edm.Date | Não | Data de início das janelas de exclusão |
| EndDate | Edm.Date | Não | Data de fim das janelas de exclusão |
| Grupos | Collection(Common.NameValuePair) | Não | Coleção de grupos a que a janela de exclusão está confinada |
Esquema do dispositivo do Cloud Update
Os eventos relacionados com o dispositivo do Cloud Update expandem o esquema Comum com os seguintes tipos de registo.
CloudUpdateDeviceConfigAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RollbackDevices | Eu próprio. Reversão | Não | Reversões acionadas |
| ChannelChangeDevices | Eu próprio. ChannelChange | Não | Alterações de canal acionadas |
Reversão de Tipo Complexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RollbackType | Eu próprio. RollbackType | Não | Tipo de reversão |
| RollbackBuildNumber | Edm.String | Não | Número de compilação de destino a reverter para |
| Dispositivos | Collection(Edm.String) | Não | Coleção de dispositivos visados pela reversão |
Enumeração: RollbackType - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | SpecificDevices | A reversão foi direcionada para um subconjunto específico de dispositivos. |
| 2 | AllDevices | A reversão foi direcionada para todos os dispositivos no âmbito do perfil. |
ChannelChange de Tipo Complexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ChannelChange | Eu próprio. Canal | Não | Canal de atualização direcionado |
| Dispositivos | Collection(Edm.String) | Não | Coleção de dispositivos visados |
| Grupos | Collection(Common.NameValuePair) | Não | Coleção de grupos visados |
Enumeração: Canal – Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | MonthlyEnterpriseChannel | Canal Empresarial Mensal |
| 2 | CurrentChannel | Canal Atual |
Microsoft Entra esquema de Deteção de Riscos
Microsoft Entra eventos de deteção de riscos devolvidos nas pesquisas de registos de auditoria utilizam este esquema (e também o esquema Comum).
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Atividade | Edm.String | Não | O tipo de atividade para o qual foi detetado o risco. |
| ActivityDateTime | Edm.Date | Não | A data e hora na Hora Universal Coordenada (UTC) em que ocorreu a atividade de risco. |
| AdditionalInfo | Edm.String | Não | Informações Adicionais no formato JSON para o risco detetado. |
| CorrelationId | Edm.String | Não | Um identificador que pode ser utilizado para correlacionar atividades de início de sessão associadas a uma deteção de risco. |
| DetectedDateTime | Edm.Date | Não | A data e hora na Hora Universal Coordenada (UTC) em que o risco foi detetado. |
| DetectionTimingType | Edm.String | Não | Indica o tipo de temporização do risco detetado. Os valores possíveis são em tempo real/offline. |
| LastUpdatedDateTime | Edm.Date | Não | A data e hora na Hora Universal Coordenada (UTC) em que a deteção de risco foi atualizada pela última vez. |
| Local | Eu próprio. LocationType | Não | Informações sobre a localização a partir da qual a atividade de início de sessão foi detetada. |
| RequestId | Edm.String | Não | Indica o ID do Pedido da atividade de início de sessão para a qual o risco foi detetado. Se a deteção de risco não estiver associada ao início de sessão, esta propriedade é nula. |
| RiskDetail | Edm.String | Não | Os detalhes do risco detetado. |
| RiskEventType | Edm.String | Não | O tipo de evento para o qual o risco foi detetado. |
| RiskId | Edm.String | Não | Um identificador exclusivo para a deteção de risco. |
| Nível de Risco | Edm.String | Não | O nível do risco detetado. |
| RiskState | Edm.String | Não | O estado de risco de um utilizador de risco ou um início de sessão ligado à deteção de risco. |
| Source | Edm.String | Não | A origem do risco detetado. |
| TokenIssuerType | Edm.String | Não | O tipo de emissor de tokens para o início de sessão ligado à deteção de risco. |
| NomeParaExibiçãoDoUsuário | Edm.String | Não | O nome principal de utilizador (UPN) do utilizador para o qual o risco foi detetado. |
Tipo complexo LocationType
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Cidade | Edm.String | Não | A cidade onde o início de sessão foi realizado. |
| CountryOrRegion | Edm.String | Não | O país ou região onde o início de sessão foi realizado. |
| GeoCoordinates | Eu próprio. GeoCoordinatesType | Não | As coordenadas geográficas da localização onde o início de sessão foi realizado. |
| Estado | Edm.String | Não | O estado em que o início de sessão foi realizado. |
Tipo complexo GeoCoordinatesType
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Altitude | Edm.String | Não | A altitude do local onde o início de sessão foi realizado. |
| Latitude | Edm.String | Não | A latitude da localização onde o início de sessão foi realizado. |
| Longitude | Edm.String | Não | A longitude da localização onde o início de sessão foi realizado. |
Esquema Microsoft Edge WebContentFiltering
Os eventos Microsoft Edge WebContentFiltering devolvidos nas pesquisas de registos de auditoria utilizam este esquema (e também o esquema Comum).
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| URLPath | Edm.String | Sim | O URL que foi navegado. |
| DomainURL | Edm.String | Sim | O URL de domínio que foi navegado. |
| Categoria | Edm.String | Sim | Categoria do URL pesquisado. |
Microsoft 365 Copilot esquema de pedido agendado
Microsoft 365 Copilot eventos de pedidos agendados devolvidos nas pesquisas de registos de auditoria utilizam este esquema (e também o esquema Comum).
Os pedidos agendados do Copilot permitem aos utilizadores automatizar pedidos do Copilot, para que sejam executados com base numa agenda definida no Microsoft 365 Copilot Chat.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ScenarioType | Edm.String | Sim | O nome da automatização. |
| PromptText | Edm.String | Não | O prompt do Copilot que é executado pelo LLM. |
| AutomationId | Edm.String | Sim | Um identificador exclusivo que correlaciona todas as atividades relacionadas com cada execução do prompt do Copilot. |
| TriggerMode | Edm.String | Não | A agenda para quando o prompt do Copilot é executado, apresentado no formato cron. |
Microsoft Places Directory schema (Esquema do diretório do Microsoft Places)
Microsoft Places eventos do Diretório devolvidos nas pesquisas de registos de auditoria utilizam este esquema (e também o esquema Comum).
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| PlaceType | Edm.String | Não | O tipo para o item de local que é criado/atualizado/eliminado pelo pedido. Por exemplo, "Edifício", "Sala", "Mesa" e assim sucessivamente. |
| Parâmetros | Collection(Common.NameValuePair) | Não | O nome e o valor de todos os parâmetros que foram usados com o cmdlet identificado na propriedade Operations. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Não | A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior do objeto modificado. |
Microsoft Sentinel data lake e esquema de grafos
Os seguintes Microsoft Sentinel eventos devolvidos nas pesquisas de registos de auditoria utilizam estes esquemas (e também o esquema Comum).
SentinelNotebookOnLake
Para atividades de registo de auditoria, veja Microsoft Sentinel atividades do data lake notebook.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| EventTime | Edm.Date | Sim | Carimbo de data/hora quando a execução do Bloco de Notas do Spark foi submetida/iniciada. |
| Computação | Edm.String | Não | Computação selecionada. |
| DatabaseName | Edm.String | Não | A área de trabalho em que o comando foi executado. |
| TableName | Edm.String | Não | Nome da tabela. |
| SessionDurationInSecs | Edm.String | Sim | Duração total da sessão. |
| SessionStartTime | Edm.Date | Não | Hora de início da sessão. |
| SessionEndTime | Edm.Date | Não | Hora de fim da sessão. |
| KernalId | Edm.Guid | Sim | O KernelId do Jupyter identifica exclusivamente a sessão do Bloco de Notas. |
| SessionId | Edm.Guid | Não | ID de Correlação para os vários blocos de código executados com uma sessão do Spark. |
| Interface | Edm.String | Sim | Interface de onde o bloco de notas foi executado. |
SentinelJob
Para atividades de registo de auditoria, veja Microsoft Sentinel atividades de tarefas do data lake.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| EventTime | Edm.Date | Sim | Carimbo de data/hora quando a operação na tarefa foi iniciada. |
| Operation | Edm.String | Sim | Nome da Operação de Tarefa. |
| Tipo de Trabalho | Edm.String | Sim | Tipo de Tarefa como Bloco de Notas, KQL. |
| ID do Trabalho | Edm.Guid | Sim | Identificador exclusivo de uma tarefa. |
| Nome da Tarefa | Edm.String | Sim | Nome da tarefa. |
| Computação | Edm.String | Não | Configuração de computação da tarefa. |
| Agenda | Edm.String | Não | Detalhes da agenda, se configurado para a tarefa. |
| Executar ID | Edm.Guid | Não | ID de uma instância de execução de tarefa específica. |
| JobRunStatus | Edm.String | Não | Estado da execução da tarefa. |
| Logs | Edm.String | Não | Os registos do bloco de notas são executados. |
| JobExecutionDurationInSecs | Edm.Int64 | Não | Tempo necessário para a execução de trabalhos. |
| JobTotalDurationInSecs | Edm.Int64 | Não | Duração Total da operação da tarefa, incluindo sessão. |
| JobStartTime | Edm.Date | Não | Hora de início da tarefa. |
| JobEndTime | Edm.Date | Não | Hora de fim do trabalho. |
| Interface | Edm.String | Sim | Interface a partir do local onde a operação de trabalho foi efetuada. |
| DatabasesRead | Collection(Edm.String) | Não | A lista de áreas de trabalho lidas pela tarefa. |
| DatabasesWrite | Collection(Edm.String) | Não | A lista de áreas de trabalho escritas pela tarefa |
| Tabelas Lidas | Collection(Edm.String) | Não | A lista de tabelas lidas pela tarefa. |
| TabelasEmbrulhar | Collection(Edm.String) | Não | A lista de tabelas escritas pelo trabalho. |
| Consulta | Edm.String | Não | Consulta KQL ou bloco de notas executado na tarefa. |
SentinelKQLOnLake
Para atividades de registo de auditoria, veja Microsoft Sentinel atividades KQL do data lake.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| EventTime | Edm.Date | Sim | Carimbo de data/hora da execução de consultas KQL. |
| DatabaseName | Collection(Edm.String) | Sim | As áreas de trabalho em que a consulta KQL foi executada. |
| ResultTableCount | Edm.Int64 | Não | Contagem de Tabelas de Saída. |
| QueryResponse | Edm.String | Sim | Resposta da execução da consulta KQL. |
| TotalRows | Collection(Edm.Int64) | Sim | Total de Linhas devolvidas da execução da consulta. Lista de valores se várias consultas forem executadas de uma só vez. |
| ComponentFault | Edm.String | Não | A entidade que causou a falha da consulta. Por exemplo, se o resultado da consulta for demasiado grande, o ComponentFault é "Cliente". Se ocorrer um erro interno, o ComponentFault é "Servidor". |
| FailureReason | Edm.String | Não | Se a consulta KQL tiver falhado, o motivo da falha. |
| ExecutionDuration | Edm.Int64 | Sim | Tempo necessário para a execução de consultas, em milissegundos. |
| TotalCPU | Edm.Int64 | Sim | Duração Total da CPU da execução. |
| MemoryPeak | Edm.Int64 | Sim | Pico de Memória da execução da consulta KQL. |
| Interface | Edm.String | Sim | Interface a partir da qual a consulta KQL foi executada. |
| Tabelas Lidas | Collection(Edm.String) | Sim | A lista de tabelas lidas na consulta KQL. |
| QueryText | Edm.String | Sim | A consulta KQL executada no formato limpo. |
SentinelLakeOnboarding
Para atividades de registo de auditoria, veja Microsoft Sentinel atividades de inclusão do data lake.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| BillingAzureSubscriptionId | Edm.String | Não | Azure subscrição escolhida para faturação Sentinel data lake. |
| FaturaçãoAzureResourceGroupName | Edm.String | Não | Azure grupo de recursos escolhido para faturação Sentinel data lake. |
| TenantId | Edm.String | Não | ID do inquilino associado à configuração ou atualização do lake. |
| ProvisioningStatus | Edm.String | Não | Estado do aprovisionamento do lago. |
SentinelLakeDataOnboarding
| Nome da propriedade | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| DataOnboardingAtSetup | Edm.String | Não | Conjuntos de dados ingeridos durante a inclusão do data lake Sentinel. |
| Tabelas | Collection(Edm.String) | Não | Lista de nomes de tabelas ingeridos durante Sentinel inclusão do data lake. |
| SubscriptionsEnabled | Collection(Edm.String) | Não | Lista de subscrições ativadas para ingestão de ARG. |
| DataOnboardingStatus | Edm.String | Não | Estado da operação. |
SentinelAITool
Para atividades de registo de auditoria, veja Microsoft Sentinel atividades da ferramenta de IA.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| EventOccurenceTime | Edm.Date | Sim | Carimbo de data/hora da operação. |
| ToolID | Edm.Guid | Sim | Identificador da Ferramenta de IA. |
| ToolName | Edm.String | Sim | Nome da Ferramenta de IA. |
| Interface | Edm.String | Sim | Interface a partir do local onde a Ferramenta de IA foi executada. |
| InputParameters | Edm.String | Não | Parâmetros fornecidos à ferramenta. |
| DatabasesRead | Collection(Edm.String) | Não | A lista de bases de dados lida a partir da execução. |
| Tabelas Lidas | Collection(Edm.String) | Não | A lista de tabelas lidas a partir da execução. |
| APIsCalled | Collection(Edm.String) | Não | APIs chamadas pela Ferramenta de IA. |
| FailureReason | Edm.String | Não | Se a execução tiver falhado, o motivo da falha. |
| TotalRows | Collection(Edm.Int64) | Não | Total de Linhas devolvidas. |
| DataScanned | Edm.Int64 | Não | Total de GBs Analisados. |
| ExecutionDuration | Edm.Int64 | Não | Tempo necessário para a execução de consultas, em milissegundos. |
| TotalCpuHours | Edm.Int64 | Não | Duração Total da CPU da execução. |
| TotalSCUHours | Edm.Int64 | Não | Total de SCUs utilizadas na execução. |
SentinelGraph
Para atividades de registo de auditoria, veja atividades de gráficos Microsoft Sentinel.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| EventTime | Edm.Date | Sim | Carimbo de data/hora da operação. |
| GraphName | Edm.String | Sim | Nome da instância do gráfico. |
| Operação | Edm.string | Sim | Ação executada no gráfico. |
| OperationInput | Edm.string | Não | Parâmetros da ação de grafo. |
| Estatísticas do GraphQuery | Edm.string | Não | Coleção de metadados de resposta. |
| Estado do GraphQuery | Edm.String | Não | Resposta da consulta ou ação no gráfico. |
| Interface | Edm.String | Sim | Interface a partir da qual a ação do gráfico foi executada. |
Esquema de classificação a pedido do Purview
Os eventos de classificação a pedido do Microsoft Purview devolvidos nas pesquisas de registos de auditoria utilizam este esquema.
Esquema DataScanClassification
O esquema de auditoria DataScanClassification foi concebido para capturar e registar atividades quando um ficheiro foi avaliado relativamente a conteúdos confidenciais como parte de uma análise de classificação a pedido para o SharePoint ou OneDrive.
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| ClassificationInfo | Collection(Self.SensitiveInformation) | Não | Detalhes sobre informações confidenciais encontradas no ficheiro após a análise. |
| PolicyId | Edm.Guid | Sim | O guid da análise de classificação a pedido. |
| ClassificationMode | Edm.Int32 | Sim | Se a análise foi executada para classificadores específicos ou todos. |
| ClassificationPosture | Edm.Int32 | Sim | Comparação das informações confidenciais detetadas antes e depois da análise. |
| ClassificationResult | Edm.Int32 | Sim | Status de classificação de ficheiros. |
| DocumentMetaData | Eu próprio. DocumentMetadata | Não | Descreve metadados sobre o documento no SharePoint ou no OneDrive que continha as informações confidenciais. |
| PreviousClassificationInfo | Collection(Self.SensitiveInformation) | Não | Detalhes sobre informações confidenciais encontradas no ficheiro após a análise. |
Tipo complexo DocumentMetaData
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| itemCreationTime | Edm.Date | Sim | Datetimestamp em UTC de quando o evento foi registrado. |
| SiteCollectionGuid | Edm.Guid | Sim | O GUID do conjunto de sites. |
| SiteCollectionUrl | Edm.String | Sim | Nome do site do SharePoint. |
| FileName | Edm.String | Sim | Nome do caminho. |
| FileOwner | Edm.String | Sim | O proprietário do documento. |
| FileOwnerEmail | Edm.String | Sim | Email endereço do proprietário do documento. |
| FilePathUrl | Edm.String | Sim | A URL do documento. |
| DocumentLastModifier | Edm.String | Sim | O usuário que modificou o documento pela última vez. |
| UniqueId | Edm.String | Sim | Uma GUID que identifica o arquivo. |
| LastModifiedTime | Edm.DateTime | Sim | Carimbo de data/hora em UTC de quando o documento foi modificado pela última vez. |
Enumeração: ClassificationMode - Tipo: Edm.Int32
| Valor | Descrição |
|---|---|
| 1 | Ficheiro avaliado para todos os classificadores configurados no inquilino. |
| 2 | Ficheiro avaliado apenas para classificadores selecionados especificados na análise. |
Enumeração: ClassificationPosture - Tipo: Edm.Int32
| Valor | Descrição |
|---|---|
| 1 | O ficheiro não correspondeu a nenhum classificador antes e depois da análise. |
| 2 | Não foi encontrado nenhum classificador novo após a análise. |
| 3 | O ficheiro não correspondeu a nenhum classificador antes da análise. Um ou mais classificadores encontrados no ficheiro após a análise. |
| 4 | O ficheiro correspondeu a alguns classificadores antes da análise. Um ou mais classificadores já não correspondem |
| 5 | O ficheiro correspondeu a alguns classificadores antes da análise. Novo classificador ou alteração na contagem ou nível de confiança do classificador existente após a análise. |
Enumeração: ClassificationResult - Tipo: Edm.Int32
| Valor | Descrição |
|---|---|
| 1 | A classificação de ficheiros foi concluída com êxito. |
| 2 | Classificação de ficheiros concluída com erro. Uma ou mais avaliações do classificador falharam. |
| 3 | Falha na classificação de ficheiros. |
PurviewPostureAgent schema (Esquema PurviewPostureAgent)
Os eventos do Agente da Postura de Segurança de Dados, devolvidos nas pesquisas de registos de auditoria , utilizam este esquema (e também o esquema Comum).
PurviewPostureAgent schema (Esquema PurviewPostureAgent)
O esquema de auditoria PurviewPostureAgent foi concebido para capturar e registar atividades relacionadas com o Agente de Postura de Segurança de Dados.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| DiscoveryId | Edm.String | Não | Identificador exclusivo para o evento de exploração. |
| Escopo | Coleção(Self.PostureAgentSearchLocation) | Não | Coleção de informações de localização de pesquisa para o agente de postura. |
| OldLabel | Edm.String | Não | O valor da etiqueta anterior antes da alteração. |
| NewLabel | Edm.String | Não | O novo valor de etiqueta após a alteração. |
| FileName | Edm.String | Não | O nome do ficheiro associado ao evento do agente de postura. |
Tipo complexo PostureAgentSearchLocation
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Tipo | Edm.String | Sim | O tipo da localização de pesquisa. |
| Id | Edm.String | Sim | O identificador da localização de pesquisa. |