Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de api de actividad de Office 365 Management se proporciona como un servicio de datos en dos capas:
Esquema común. La interfaz para acceder a los conceptos básicos de auditoría de Office 365, como Tipo de registro, Hora de creación, Tipo de usuario y Acción, así como para proporcionar dimensiones básicas (como ID de usuario), detalles de ubicación (como la dirección IP del cliente) y servicios específicos. propiedades (como ID de objeto). Establece vistas coherentes y uniformes para que los usuarios extraigan todos los datos de auditoría de Office 365 en varias vistas de nivel superior con los parámetros adecuados, y proporciona un esquema fijo para todos los orígenes de datos, lo que reduce significativamente el costo de aprendizaje. El esquema común se origina a partir de datos de producto que pertenecen a cada equipo de producto, como Exchange, SharePoint, Azure Active Directory, Viva Engage y OneDrive. Los equipos de productos de Microsoft 365 pueden ampliar el campo de Id. de objeto para agregar propiedades específicas del servicio.
Esquema específico de servicio. Se basa en el esquema Común para proporcionar un conjunto de atributos específicos del servicio de Microsoft 365; por ejemplo, esquema de SharePoint, esquema de OneDrive y esquema de administrador de Exchange.
Esquemas de API de administración de Office 365
En este artículo se proporcionan detalles sobre el esquema común, así como los esquemas específicos del servicio. En la siguiente tabla se describen los esquemas disponibles.
| Nombre del esquema | Descripción |
|---|---|
| Esquema común | La vista para extraer el tipo de registro, el identificador de usuario, la dirección IP del cliente, el tipo de usuario y la acción con dimensiones principales como propiedades de usuario (como el id. de usuario), las propiedades de ubicación (como la dirección IP del cliente) y las propiedades específicas de productos (como el id. de objeto). |
| Esquema de Copilot | Los eventos incluyen cómo y cuándo interactuar con Copilot, en el que tuvo lugar el servicio de Microsoft 365, y referencias a los archivos almacenados en Microsoft 365 a los que se accedió durante la interacción. |
| Esquema base de SharePoint | Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de SharePoint. |
| Operaciones de archivos de SharePoint | Amplía el esquema base de SharePoint con las propiedades específicas de acceso el acceso y la manipulación de archivos en SharePoint. |
| Lista de operaciones de SharePoint | Extiende el esquema base de SharePoint con las propiedades específicas de las interacciones con listas y elementos de lista en SharePoint. |
| Esquema de uso compartido de SharePoint | Amplía el esquema base de SharePoint con las propiedades específicas de uso compartido. |
| Esquema de SharePoint | Amplía el esquema base de SharePoint con las propiedades específicas de SharePoint que no están relacionadas con el acceso y la manipulación de archivos. |
| Esquema de Project | Amplía el esquema base de SharePoint con las propiedades específicas de Project. |
| Esquema de administración de Exchange | Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de administración de Exchange. |
| Esquema de buzón de Exchange | Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de buzón de Exchange. |
| Esquema de autenticación de OWA | Extiende el esquema común con las propiedades específicas de los datos de OWA Auth. |
| esquema base de Microsoft Entra ID | Extiende el esquema común con las propiedades específicas de todos los datos de auditoría de Microsoft Entra. |
| esquema de inicio de sesión de Microsoft Entra cuenta | Extiende el esquema Microsoft Entra ID Base con las propiedades específicas de todos los eventos de inicio de sesión Microsoft Entra. |
| Microsoft Entra ID esquema de inicio de sesión de STS seguro | Extiende el esquema Microsoft Entra ID Base con las propiedades específicas de todos los eventos de inicio de sesión de Microsoft Entra ID Secure Token Service (STS). |
| esquema de Microsoft Entra | Extiende el esquema común con las propiedades específicas de todos los datos de auditoría de Microsoft Entra. |
| Esquema DLP | Amplía el esquema común con las propiedades específicas para todos los eventos de prevención de pérdida de datos. |
| Esquema de Centro de seguridad y cumplimiento | Extiende el esquema común con las propiedades específicas de todos los eventos del Centro de cumplimiento de seguridad &. |
| Esquema de alertas de seguridad y cumplimiento | Amplía el esquema común con las propiedades específicas para todos las alertas de seguridad y cumplimiento de Office 365. |
| esquema de Viva Engage | Extiende el esquema común con las propiedades específicas de todos los eventos de Viva Engage. |
| Esquema de base de seguridad del centro de datos | Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de seguridad del centro de datos. |
| Esquema de cmdlet de seguridad del centro de datos | Amplía el esquema base de seguridad de centro de datos con las propiedades específicas para todos los datos de auditoría cmdlet de seguridad del centro de datos. |
| Esquema de Microsoft Teams | Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Teams. |
| Esquema de respuesta e Investigación de amenazas y Microsoft Defender para Office 365 | Amplía el esquema común con las propiedades específicas de Defender para Office 365 y la investigación de amenazas y los datos de respuesta. |
| Esquema de envío | Extiende el esquema común con las propiedades específicas para los envíos de usuarios y administradores en Microsoft Defender para Office 365. |
| Eventos de investigación y respuesta automatizados en Microsoft Defender para Office 365 Plan 2 | Amplía el esquema común con las propiedades específicas para eventos de investigación y respuesta automatizada de Office 365 (AIR). Para ver un ejemplo, consulte el blog de Tech Community: Mejora de la eficacia de su SOC con Microsoft Defender para Office 365 y la API de administración de Office 365. |
| Esquema de eventos de higiene | Amplía el esquema Común con las propiedades específicas de los eventos de las características de seguridad integradas para todos los buzones de correo en la nube y Microsoft Defender para Office 365. |
| Esquema de Power BI | Amplía el esquema común con las propiedades específicas para todos los eventos de Power BI. |
| Esquema de Dynamics 365 | Amplía el esquema común con las propiedades específicas para todos los eventos de Dynamics 365. |
| Esquema de Viva Insights | Extiende el esquema común con las propiedades específicas de todos los eventos Microsoft Viva Insights. |
| Esquema de cuarentena | Amplía el esquema común con las propiedades específicas para todos los eventos de cuarentena. |
| Esquema de Microsoft Forms | Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Forms. |
| Esquema de etiqueta MIP | Amplía el esquema común con las propiedades específicas para las etiquetas de confidencialidad que se aplican manual o automáticamente a los mensajes de correo electrónico. |
| Esquema de evento del portal de mensajes cifrados | Extiende el esquema común con las propiedades específicas del portal de mensajes cifrados a las que acceden los destinatarios externos. |
| Esquema de Exchange del Cumplimiento de comunicaciones | Amplía el esquema común con las propiedades específicas para el modelo de lenguaje ofensivo en el Cumplimiento de comunicaciones. |
| Esquema de informes | Amplía el esquema común con las propiedades específicas de todos los eventos de informes. |
| Esquema del conector de cumplimiento | Se extiende el esquema común con las propiedades específicas para la importación de datos ajenos a Microsoft mediante el uso de conectores de datos. |
| Esquema de SystemSync | Extiende el esquema común con las propiedades específicas de los datos ingeridos a través de SystemSync. |
| esquema de Viva Goals | Extiende el esquema común con las propiedades específicas de todos los eventos Viva Goals. |
| esquema de Microsoft Planner | Extiende el esquema común con las propiedades específicas de los eventos de Microsoft Planner. |
| Esquema de Microsoft Project para la web | Extiende el esquema común con las propiedades específicas de los eventos de Microsoft Project para la web. |
| Esquema de Viva Pulse | Extiende el esquema común con las propiedades específicas de todos los eventos de Viva Pulse. |
| Esquema del Administrador de cumplimiento | Extiende el esquema común con las propiedades específicas de los eventos del Administrador de cumplimiento. |
| Esquema de directiva de copia de seguridad | Extiende el esquema común con las propiedades específicas de las directivas de Copia de seguridad Microsoft 365. |
| Esquema de tarea de restauración | Extiende el esquema común con las propiedades específicas de Copia de seguridad Microsoft 365 Tareas de restauración. |
| Esquema de elemento de copia de seguridad | Extiende el esquema común con las propiedades específicas de Copia de seguridad Microsoft 365 artefactos. |
| Restaurar esquema de elemento | Extiende el esquema común con las propiedades específicas de Copia de seguridad Microsoft 365 Restaurar elementos. |
| Esquema de tarea de exploración pormenorizada | Extiende el esquema común con las propiedades específicas de Copia de seguridad Microsoft 365 tareas de exploración pormenorizadas. |
| Esquema de servicio de directiva en la nube | Amplía el esquema común con las propiedades específicas de todos los datos de auditoría del servicio cloud policy. |
| Esquema de configuración del perfil de Cloud Update | Amplía el esquema común con las propiedades específicas de los datos de auditoría de configuración del perfil de Cloud Update. |
| Esquema de configuración de inquilinos de Cloud Update | Extiende el esquema común con las propiedades específicas de los datos de auditoría de configuración de inquilinos de Cloud Update. |
| Esquema de configuración de dispositivos de Cloud Update | Amplía el esquema común con las propiedades específicas de los datos de auditoría de configuración de dispositivos de Cloud Update. |
| esquema de detección de riesgos de Microsoft Entra | Extiende el esquema común con las propiedades específicas de Microsoft Entra eventos de detección de riesgos. |
| Esquema WebContentFiltering de Microsoft Edge | Extiende el esquema común con las propiedades específicas de los eventos WebContentFiltering de Microsoft Edge. |
| Microsoft 365 Copilot esquema de aviso programado | Extiende el esquema común con las propiedades específicas de Microsoft 365 Copilot datos de auditoría de aviso programados. |
| esquema de directorio de Microsoft Places | Extiende el esquema común con las propiedades específicas de los datos de auditoría de Microsoft Places Directory. |
| Esquema del centro de datos de evaluación de Teams | Amplía el esquema común con las propiedades específicas de los eventos de acceso a datos del centro de datos de evaluación de Teams y permiso-cambio. |
| esquema de Dragon Copilot Administración | Extiende el esquema común con las propiedades específicas de Dragon Copilot datos de auditoría administrativa. |
Esquema común
Nombre EntityType: AuditRecord
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id | Combinación de GUIDEdm.Guid | Sí | Identificador único de un registro de auditoría. |
| RecordType | Self.AuditLogRecordType | Sí | El tipo de operación indicado por el registro. Vea la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría. |
| CreationTime | Edm.Date | Sí | Fecha y hora en hora universal coordinada (UTC) en la que se generó el registro de auditoría. |
| Operación | Edm.String | Sí | El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes, consulte Búsqueda en el registro de auditoría. Esta propiedad identifica el nombre del cmdlet ejecutado para la actividad de administración de Exchange. Para eventos DLP, puede ser "DlpRuleMatch", "DlpRuleUndo" o "DlpInfo", que se describen en "Esquema DLP" a continuación. |
| OrganizationId | Edm.Guid | Sí | El GUID del inquilino de Office 365 de su organización. Este valor siempre es el mismo para su organización, independientemente del servicio Office 365 en el que se produzca. |
| UserType | Self.UserType | Sí | El tipo de usuario que llevó a cabo la operación. Vea la tabla UserType para obtener más información sobre los tipos de usuarios. |
| UserKey | Edm.String | Sí | Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de passport (PUID) para los eventos realizados por los usuarios en SharePoint, OneDrive y Exchange. |
| Carga de trabajo | Edm.String | Sí | El servicio de Office 365 en el que se produjo la actividad. |
| ResultStatus | Edm.String | No | Indica si la acción (especificada en la propiedad Operation) se completó correctamente o no. Los valores posibles son Succeeded, PartiallySucceeded o Failed. Para la actividad de administración de Exchange, el valor es True o False. Importante: Es posible que diferentes cargas de trabajo sobrescriban el valor de la propiedad ResultStatus. Por ejemplo, para Microsoft Entra ID eventos de inicio de sesión de STS, un valor de Succeeded para ResultStatus indica solo que la operación HTTP se realizó correctamente; no significa que el inicio de sesión se haya realizado correctamente. Para determinar si el inicio de sesión real se realizó correctamente o no, consulte la propiedad LogonError en el esquema de inicio de sesión Microsoft Entra ID STS. Si se produjo un error en el inicio de sesión, el valor de esta propiedad contiene el motivo del intento de inicio de sesión erróneo. |
| ObjectId | Edm.string | No | Para la actividad de SharePoint y OneDrive, el nombre de la ruta de acceso completa del archivo o carpeta al que accede el usuario. Para el registro de auditoría de Exchange, el nombre del objeto modificado por el cmdlet. Para el servicio Cloud Policy, el identificador de objeto de la configuración de directiva. Para la actividad TrainableClassifier, el identificador del modelo creado, publicado, actualizado o eliminado por el usuario. |
| UserId | Edm.string | Sí | El UPN (nombre principal de usuario) del usuario que llevó a cabo la acción (especificado en la propiedad Operation) que ha provocado el registro; por ejemplo, my_name@my_domain_name.
Nota: También se incluyen los registros de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Este valor indica que el "usuario" que realizó la actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. |
| ClientIP | Edm.String | Sí | Dirección IPv4 o IPv6 del dispositivo que se usó cuando se registró la actividad. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para los eventos relacionados con Microsoft Entra ID, la dirección IP no se registra y el valor de la propiedad ClientIP es null. |
| Ámbito | Self.AuditLogScope | No | Evento creado por uno de los siguientes orígenes:
|
| AppAccessContext | CollectionSelf. AppAccessContext | No | El contexto de aplicación para el usuario o la entidad de servicio que realizó la acción. |
AgentAdminActivity
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| AgentID | Edm.String | Sí | Identificador único del agente |
| AgentName | Edm.String | Sí | Nombre del agente |
| AgentType | Edm.Int32 | Sí | Tipo de agente: Microsoft (1P), Externo (3P), Compartido por usuarios (compartido), Creado por su organización (externo). |
| UserAssignments | Colección (Edm.Guid) | No | Colección de GUID de usuarios y grupos asociados a la actividad del agente. |
| ForAllUsers | Edm.Boolean | Sí | Si la actividad asociada al agente se capturó para toda la organización o no. True cuando se aplica a todos los usuarios de la organización. False cuando se aplica a usuarios o grupos específicos. |
AgentSettingsAdminActivity
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Propiedad | Edm.String | Sí | Nombre de configuración de todo el inquilino que ha actualizado el administrador. |
| RemovedIdentities | Collection(Edm.Guid) | No | Colección de GUID de usuarios o grupos que se quitaron. |
| AddedIdentities | Collection(Edm.Guid) | No | Colección de GUID de usuarios o grupos que se agregaron. |
| NewValue | Edm.String | Sí | Nuevo valor de la configuración. |
| ForAllUsers | Edm.Boolean | Sí | Valor booleano que indica si la configuración de todo el inquilino ha afectado a todos los usuarios. |
| OldValue | Edm.String | Sí | El valor antiguo o la nueva configuración. |
Enum: AuditLogRecordType - Tipo: Edm.Int32
AuditLogRecordType
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | ExchangeAdmin | Eventos del registro de auditoría de administración de Exchange. |
| 2 | ExchangeItem | Eventos de un registro de auditoría de buzón de Exchange para las acciones que se realizan en un solo elemento, como la creación o recepción de un mensaje de correo electrónico. |
| 3 | ExchangeItemGroup | Eventos de un registro de auditoría de buzón de Exchange para las acciones que se pueden realizar varios elementos, como mover o eliminar uno o varios mensajes de correo electrónico. |
| 4 | SharePoint | Eventos de SharePoint. |
| 6 | SharePointFileOperation | Eventos de operación de archivo de SharePoint. |
| 7 | OneDrive | Eventos de OneDrive. |
| 8 | AzureActiveDirectory | Microsoft Entra ID eventos. |
| 9 | AzureActiveDirectoryAccountLogon | Microsoft Entra ID eventos de inicio de sesión orgId (en desuso). |
| 10 | DataCenterSecurityCmdlet | Eventos de cmdlet de seguridad del centro de datos. |
| 11 | ComplianceDLPSharePoint | Eventos de protección contra pérdida de datos (DLP) en SharePoint y OneDrive. |
| 13 | ComplianceDLPExchange | Eventos de Protección de pérdida de datos (DLP) en SharePoint Exchange, cuando se configura mediante la directiva DLP unificada. Los eventos DLP basados en las reglas de transporte de Exchange no son compatibles. |
| 14 | SharePointSharingOperation | Eventos de uso compartido de SharePoint. |
| 15 | AzureActiveDirectoryStsLogon | Eventos de inicio de sesión de Secure Token Service (STS) en Microsoft Entra ID. |
| 16 | SkypeForBusinessPSTNUsage | Eventos de la red telefónica conmutada (RTC) de Skype Empresarial. |
| 17 | SkypeForBusinessUsersBlocked | Eventos del usuario bloqueado de Skype Empresarial. |
| 18 | SecurityComplianceCenterEOPCmdlet | Administración acciones en las características de seguridad integradas para todos los buzones de correo en la nube desde el portal de Microsoft Defender. |
| 19 | ExchangeAggregatedOperation | Eventos de auditoría del buzón de Exchange agregado. |
| 20 | PowerBIAudit | Eventos de Power BI. |
| 21 | CRM | Eventos de Dynamics 365. |
| 22 | Viva Engage | Viva Engage eventos. |
| 23 | SkypeForBusinessCmdlets | Eventos de Skype Empresarial. |
| 24 | Descubrimiento | Eventos para las actividades de eDiscovery realizadas mediante la ejecución de búsquedas de contenido y la administración de casos de exhibición de documentos electrónicos en el portal de Microsoft Purview. |
| 25 | MicrosoftTeams | Eventos de Microsoft Teams. |
| 28 | ThreatIntelligence | Eventos de phishing y malware de las características de seguridad integradas para todos los buzones de correo en la nube y Microsoft Defender para Office 365. |
| 29 | MailSubmission | Eventos de envío de las características de seguridad integradas para todos los buzones de correo en la nube y Microsoft Defender para Office 365. |
| 30 | MicrosoftFlow | Eventos de Microsoft Power Automate (conocido anteriormente como Microsoft Flow). |
| 31 | AeD | Eventos de eDiscovery avanzado. |
| 32 | MicrosoftStream | Eventos de Microsoft Stream. |
| 33 | ComplianceDLPSharePointClassification | Eventos relacionados con la clasificación DLP en SharePoint. |
| 34 | ThreatFinder | Eventos relacionados con la campaña de Microsoft Defender para Office 365. |
| 35 | Project | Eventos de Microsoft Project. |
| 36 | SharePointListOperation | Eventos en la Lista de SharePoint. |
| 37 | SharePointCommentOperation | Eventos de comentario de SharePoint. |
| 38 | DataGovernance | Eventos relacionados con directivas de retención y etiquetas de retención en el portal de Microsoft Purview. |
| 39 | Kaizala | Eventos de Kaizala. |
| 40 | SecurityComplianceAlerts | Señales de alertas de seguridad y cumplimiento. |
| 41 | ThreatIntelligenceUrl | Tiempo de bloqueo de Vínculos seguros y eventos de invalidación de bloqueo de Microsoft Defender para Office 365. |
| 42 | SecurityComplianceInsights | Eventos relacionados con información e informes en el portal de Microsoft Defender. |
| 43 | MIPLabel | Eventos relacionados con la detección en la canalización de Transporte de mensajes de correo electrónico que se han etiquetado (manual o automáticamente) con etiquetas de confidencialidad. |
| 44 | VivaInsights | Eventos de Viva Insights. |
| 45 | PowerAppsApp | Eventos de Power Apps. |
| 46 | PowerAppsPlan | Eventos de los planes de suscripción a Power Apps. |
| 47 | ThreatIntelligenceAtpContent | Eventos de phishing y malware para archivos en SharePoint, OneDrive y Microsoft Teams de Microsoft Defender para Office 365. |
| 48 | LabelContentExplorer | Eventos relacionados con el explorador de contenido de clasificación de datos. |
| 49 | TeamsHealthcare | Eventos relacionados con la aplicación Pacientes en Microsoft Teams for Healthcare. |
| 50 | ExchangeItemAggregated | Eventos relacionados con la acción MailItemsAccessed de auditoría de buzón |
| 51 | HygieneEvent | Eventos relacionados con la protección de correo no deseado saliente. |
| 52 | DataInsightsRestApiAudit | Perspectiva sobre los datos de los eventos API de REST. |
| 53 | InformationBarrierPolicyApplication | Eventos relacionados con la aplicación de directivas de barrera de información. |
| 54 | SharePointListItemOperation | Eventos en la lista de SharePoint. |
| 55 | SharePointContentTypeOperation | Eventos de tipo de contenido de lista de SharePoint. |
| 56 | SharePointFieldOperation | Eventos en el campo de lista de SharePoint. |
| 57 | MicrosoftTeamsAdmin | Eventos de administrador de Teams. |
| 58 | HRSignal | Eventos relacionados con las señales de datos de RRHH que son compatibles con la solución de Administración de riesgos internos. |
| 59 | MicrosoftTeamsDevice | Eventos del dispositivo de Teams. |
| 60 | MicrosoftTeamsAnalytics | Eventos de análisis de Teams. |
| 61 | InformationWorkerProtection | Eventos relacionados con las alertas de usuario en peligro. |
| 62 | Campaña | Eventos de campaña por correo electrónico de Microsoft Defender para Office 365. |
| 63 | DLPEndpoint | Eventos de DLP del punto de conexión. |
| 64 | AirInvestigation | Eventos de respuesta ante incidentes automatizada (AIR) |
| 65 | Cuarentena | Eventos de cuarentena. |
| 66 | MicrosoftForms | Eventos de Microsoft Forms. |
| 67 | ApplicationAudit | Eventos de auditoría de la aplicación. |
| 68 | ComplianceSupervisionExchange | Eventos que son controlados por el modelo de lenguaje vulgar del Cumplimiento de comunicaciones. |
| 69 | CustomerKeyServiceEncryption | Eventos relacionados con el servicio de cifrado de la clave del cliente. |
| 70 | OfficeNative | Eventos relacionados con las etiquetas de confidencialidad aplicadas a los documentos de Office. |
| 71 | MipAutoLabelSharePointItem | Eventos de etiquetado automático en SharePoint. |
| 72 | MipAutoLabelSharePointPolicyLocation | Eventos de la directiva de etiquetado automático en SharePoint. |
| 73 | MicrosoftTeamsShifts | Eventos de Turnos de Teams. |
| 75 | MipAutoLabelExchangeItem | Eventos de etiquetado automático en Exchange. |
| 76 | CortanaBriefing | Eventos del Informe de tareas pendientes del correo electrónico. |
| 78 | WDATPAlerts | Eventos relacionados con las alertas generadas por Windows Defender para el punto de conexión. |
| 79 | PowerAppsResource | Eventos relacionados con los conectores de Microsoft Power Platform (versión preliminar). |
| 82 | SensitivityLabelPolicyMatch | Eventos que se generan cuando se abre o se le cambia el nombre a un archivo etiquetado con una etiqueta de confidencialidad. |
| 83 | SensitivityLabelAction | Evento generado cuando se aplican, actualizan o quitan las etiquetas de confidencialidad de un archivo. |
| 84 | SensitivityLabeledFileAction | Eventos que se generan cuando se abre o se le cambia el nombre a un archivo etiquetado con una etiqueta de confidencialidad. |
| 85 | AttackSim | Eventos relacionados con las actividades del usuario en Simulación de ataque & Entrenamiento en Microsoft Defender para Office 365. |
| 86 | AirManualInvestigation | Eventos relacionados con las investigaciones manuales de Investigación y respuesta automatizadas (AIR). |
| 87 | SecurityComplianceRBAC | Eventos RBAC de seguridad y cumplimiento. |
| 88 | UserTraining | Eventos relacionados con el entrenamiento de usuarios en Simulación de ataque & Entrenamiento en Microsoft Defender para Office 365. |
| 89 | AirAdminActionInvestigation | Eventos relacionados con las acciones de administración en Investigación y respuesta automatizadas (AIR). |
| 90 | MSTIC | Eventos de inteligencia contra amenazas de Microsoft Defender para Office 365. |
| 91 | PhysicalBadgingSignal | Eventos relacionados con las señales de las insignias físicas que son compatibles con la solución de la Administración de riesgos internos. |
| 92 | TeamsEasyApprovals | Eventos relacionados con las aprobaciones sencillas de Teams |
| 93 | AipDiscover | Eventos del analizador de AIP |
| 94 | AipSensitivityLabelAction | Eventos de etiqueta de confidencialidad de AIP |
| 95 | AipProtectionAction | Eventos de protección de AIP |
| 96 | AipFileDeleted | Eventos de eliminación de archivos AIP |
| 97 | AipHeartBeat | Eventos de latido de AIP |
| 98 | MCASAlerts | Eventos correspondientes a las alertas activadas por Microsoft Cloud App Security. |
| 99 | OnPremisesFileShareScannerDlp | Eventos relacionados con la detección de datos confidenciales en los recursos compartidos de los archivos. |
| 100 | OnPremisesSharePointScannerDlp | Eventos relacionados con la detección de datos confidenciales en SharePoint. |
| 101 | ExchangeSearch | Eventos relacionados con el uso de Outlook en la Web (OWA) para buscar elementos del buzón. |
| 102 | SharePointSearch | Eventos relacionados con la búsqueda del sitio principal de SharePoint de una organización. |
| 103 | PrivacyInsights | Eventos de información de privacidad. |
| 105 | MyAnalyticsSettings | Eventos de MyAnalytics. |
| 106 | SecurityComplianceUserChange | Eventos relacionados con la modificación o eliminación de un usuario. |
| 107 | ComplianceDLPExchangeClassification | Eventos de clasificación de Exchange DLP. |
| 109 | MipExactDataMatch | Eventos de clasificación de Correspondencia exacta de datos (EDM). |
| 113 | MS365DCustomDetection | Eventos relacionados con las acciones de detección personalizadas en Microsoft 365 Defender. |
| 147 | CoreReportingSettings | Informes de eventos de configuración. |
| 148 | ComplianceConnector | Eventos relacionados con la importación de datos que no son de Microsoft mediante conectores de datos en el portal de Microsoft Purview. |
| 154 | OMEPortal | Registros de eventos del portal de mensajes cifrados generados por destinatarios externos. |
| 157 | MipLabelAnalyticsAuditRecord | Eventos de MIP Label Analytics. |
| 164 | ScorePlatformGenericAuditRecord | Registro de auditoría genérico usado para conectores de datos. |
| 174 | DataShareOperation | Eventos relacionados con el uso compartido de datos ingeridos a través de SystemSync. |
| 181 | EduDataLakeDownloadOperation | Eventos relacionados con la exportación de datos ingeridos por SystemSync desde el lago. |
| 183 | MicrosoftGraphDataConnectOperation | Eventos relacionados con las extracciones realizadas por Conexión de datos de Microsoft Graph |
| 186 | PowerPagesSite | Actividades relacionadas con el sitio de Power Pages. |
| 187 | PowerPlatformAdminDlp | Eventos relacionados con DLP de Microsoft Power Platform (versión preliminar). |
| 188 | PlannerPlan | Microsoft Planner eventos de plan. |
| 189 | PlannerCopyPlan | Microsoft Planner eventos del plan de copia. |
| 190 | PlannerTask | Microsoft Planner eventos de tarea. |
| 191 | PlannerRoster | Microsoft Planner eventos de pertenencia a la lista y la lista. |
| 192 | PlannerPlanList | Microsoft Planner eventos de lista de planes. |
| 193 | PlannerTaskList | Microsoft Planner eventos de lista de tareas. |
| 194 | PlannerTenantSettings | Microsoft Planner eventos de configuración de inquilinos. |
| 195 | ProjectForThewebProject | Eventos de proyecto de Microsoft Project para la web. |
| 196 | ProjectForThewebTask | Eventos de tarea de Microsoft Project para la web. |
| 197 | ProjectForThewebRoadmap | Microsoft Project para la web eventos de hoja de ruta. |
| 198 | ProjectForThewebRoadmapItem | Microsoft Project para la web eventos de elementos de hoja de ruta. |
| 199 | ProjectForThewebProjectSettings | Eventos de configuración del inquilino del proyecto de Microsoft Project para la web. |
| 200 | ProjectForThewebRoadmapSettings | Eventos de configuración de inquilinos de Microsoft Project para la web hoja de ruta. |
| 202 | MicrosoftTodoAudit | Eventos de auditoría de tareas pendientes de Microsoft. |
| 206 | MicrosoftTeamsSensitivityLabelAction | Eventos de etiqueta de confidencialidad de Microsoft Teams. |
| 216 | Viva Goals | Viva Goals eventos. |
| 217 | MicrosoftGraphDataConnectConsent | Eventos para acciones de consentimiento realizadas por administradores de inquilinos para aplicaciones de Microsoft Graph Data Connect. |
| 218 | AttackSimAdmin | Eventos relacionados con las actividades de administración en Simulación de ataques & Entrenamiento en Microsoft Defender para Office 365. |
| 230 | TeamsUpdates | Teams Novedades eventos de la aplicación. |
| 231 | PlannerRosterSensitivityLabel | Microsoft Planner eventos de etiqueta de confidencialidad de la lista. |
| 235 | MicrosoftDefenderForIdentityAudit | Microsoft Defender for Identity eventos de auditoría. |
| 237 | DefenderExpertsforXDRAdmin | eventos de acción de administrador de expertos de Microsoft Defender. |
| 251 | VfamCreatePolicy | La directiva de administración de acceso Viva crea eventos. |
| 252 | VfamUpdatePolicy | Eventos de actualización de directivas de Administración de acceso Viva. |
| 253 | VfamDeletePolicy | La directiva de administración de acceso Viva elimina eventos. |
| 256 | PowerPlatformAdministratorActivity | Eventos de actividad del administrador de Power Platform. |
| 257 | Windows365CustomerLockbox | Eventos de auditoría de caja de seguridad del cliente de Windows365. |
| 261 | CopilotInteraction | Eventos de interacción de Copilot. |
| 265 | VivaLearning | Actividades del usuario en Viva Learning. |
| 266 | VivaLearningAdmin | Administración actividades en Viva Learning. |
| 269 | PeopleAdminSettings | Eventos de auditoría para la configuración de People Administración. |
| 275 | OWAAuth | Token de acceso para eventos emitidos correctamente por el recurso. |
| 277 | SharePointESignature | Eventos de auditoría de SharePoint eSignature. |
| 278 | Dynamics365BusinessCentral | Eventos de auditoría para Dynamics 365 Business Central. |
| 279 | MeshWorlds | Eventos de auditoría para Mesh. |
| 280 | VivaPulseResponse | Eventos de respuesta de la encuesta Viva Pulse. |
| 281 | VivaPulseOrganizer | Eventos del organizador de la encuesta Viva Pulse. |
| 282 | VivaPulseAdmin | Eventos de administración de Viva Pulse. |
| 283 | VivaPulseReport | Viva Pulse informa de eventos relacionados. |
| 284 | AIAppInteraction | Eventos de auditoría para las interacciones del usuario con aplicaciones de inteligencia artificial de terceros (que no son de Microsoft y no personalizadas). |
| 285 | ComplianceDLMExchange | Eventos ComplianceDLMExchange. |
| 286 | ComplianceDLMSharePoint | Eventos ComplianceDLMSharePoint. |
| 287 | ProjectForThewebAssignedToMeSettings | Microsoft Project para la web asignado a los eventos de configuración de inquilinos. |
| 288 | CloudPolicyService | Eventos del servicio Cloud Policy. |
| 291 | SensitiveInfoDiscovered | Eventos de la clasificación a petición de Purview para dispositivos de punto de conexión. |
| 292 | InsiderRiskScopedUserInsights | Eventos relacionados con la información de usuario con ámbito en Insider Risk Management. |
| 293 | MicrosoftTeamsRetentionLabelAction | Eventos de auditoría de etiquetas de retención en Microsoft Teams. |
| 294 | AadRiskDetection | Eventos de auditoría para la detección de riesgos en Microsoft Entra (anteriormente denominados Azure Active Directory). |
| 295 | AuditSearch | Eventos de auditoría para un administrador que interactúa con search en Purview Audit. |
| 296 | AuditRetentionPolicy | Eventos de auditoría para un administrador que interactúa con directivas de retención en Purview Audit. |
| 297 | AuditConfig | Eventos de auditoría para un administrador que interactúa con las opciones de configuración relacionadas con Purview Audit. |
| 298 | BackupPolicy | Eventos relacionados con las directivas de Copia de seguridad Microsoft 365. |
| 299 | RestoreTask | Eventos relacionados con Copia de seguridad Microsoft 365 tareas de restauración. |
| 300 | RestoreItem | Eventos relacionados con artefactos de los que se ha hecho una copia de seguridad con Copia de seguridad Microsoft 365. |
| 301 | BackupItem | Eventos relacionados con los elementos que se restauran mediante Copia de seguridad Microsoft 365. |
| 302 | URBACAssignment | Eventos relacionados con las asignaciones de RBAC unificadas. |
| 303 | URBACRole | Eventos relacionados con roles de RBAC unificados. |
| 304 | URBACEnableState | Eventos relacionados con la habilitación de estado de RBAC unificada. |
| 306 | PurviewInsiderRiskCases | Eventos relacionados con los casos de riesgo de Purview Insider. |
| 307 | PurviewInsiderRiskAlerts | Eventos relacionados con las alertas de riesgo de Purview Insider. |
| 308 | InsiderRiskScopedUsers | Eventos relacionados con los usuarios con ámbito de Purview Insider Risk. |
| 310 | CreateCopilotPlugin | Eventos de auditoría para la creación del complemento Copilot. |
| 311 | UpdateCopilotPlugin | Eventos de auditoría para actualizar un complemento de Copilot. |
| 312 | DeleteCopilotPlugin | Eventos de auditoría para eliminar un complemento copilot. |
| 313 | EnableCopilotPlugin | Eventos de auditoría para habilitar un complemento copilot. |
| 314 | DisableCopilotPlugin | Eventos de auditoría para deshabilitar un complemento copilot. |
| 315 | CreateCopilotWorkspace | Eventos de auditoría para crear un área de trabajo de Copilot. |
| 316 | UpdateCopilotWorkspace | Eventos de auditoría para actualizar un área de trabajo de Copilot. |
| 317 | DeleteCopilotWorkspace | Eventos de auditoría para eliminar un área de trabajo de Copilot. |
| 318 | EnableCopilotWorkspace | Eventos de auditoría para habilitar un área de trabajo de Copilot. |
| 319 | DisableCopilotWorkspace | Eventos de auditoría para deshabilitar un área de trabajo de Copilot. |
| 320 | CreateCopilotPromptBook | Eventos de auditoría para crear un promptbook de Copilot. |
| 321 | UpdateCopilotPromptBook | Eventos de auditoría para actualizar un promptbook de Copilot. |
| 322 | DeleteCopilotPromptBook | Eventos de auditoría para eliminar una libreta de mensajes de Copilot. |
| 323 | EnableCopilotPromptBook | Eventos de auditoría para habilitar un promptbook de Copilot. |
| 324 | DisableCopilotPromptBook | Eventos de auditoría para deshabilitar una libreta de mensajes de Copilot. |
| 325 | UpdateCopilotSettings | Evento de auditoría para actualizar la configuración de usuario o inquilino relacionada con Copilot. |
| 328 | ConnectedAIAppInteraction | Eventos de auditoría relacionados con las interacciones del usuario con aplicaciones de inteligencia artificial de terceros (no desarrolladas por Microsoft) que se implementan dentro del inquilino de Microsoft de la organización. |
| 329 | PrivaPrivacyConsentOperation | Eventos de auditoría relacionados con el consentimiento en Microsoft Priva. |
| 330 | PrivaPrivacyAssessmentOperation | Eventos de auditoría relacionados con evaluaciones en Microsoft Priva. |
| 331 | DataCatalogAccessRequests | Eventos de auditoría relacionados con Data Catalog solicitudes de acceso. |
| 332 | ComplianceSettingsChange | Eventos de cambio de configuración de cumplimiento de Microsoft Purview. |
| 333 | DataSecurityInigation | Eventos de Investigaciones de seguridad de datos en Microsoft Purview. |
| 334 | TeamCopilotInteraction | Auditar eventos para las interacciones de los usuarios con el facilitador y las actividades realizadas por el facilitador en Microsoft Teams. |
| 335 | IRMActivityAuditTrail | Eventos de Purview Insider Risk Management. |
| 336 | SharePointContentSecurityPolicy | Eventos de la directiva de seguridad de contenido en SharePoint. |
| 337 | CloudUpdateProfileConfig | Eventos de la configuración del perfil de Cloud Update. |
| 338 | CloudUpdateTenantConfig | Eventos de la configuración del inquilino de Cloud Update. |
| 339 | CloudUpdateDeviceConfig | Eventos de la configuración de dispositivos administrados de Cloud Update. |
| 341 | DeviceDiscoverySettingsExclusion | Eventos relacionados con exclusiones en la configuración de detección de dispositivos. |
| 342 | DeviceDiscoverySettingsAuthenticatedScans | Eventos relacionados con exámenes autenticados en la configuración de detección de dispositivos. |
| 344 | DeviceDiscoverySettings | Eventos relacionados con la configuración en Detección de dispositivos. |
| 345 | USXWorkspaceOnboarding | Eventos relacionados con la incorporación del área de trabajo en Microsoft Defender USX. |
| 346 | VivaGlintAdvancedConfiguration | Eventos relacionados con la configuración avanzada en Viva Glint. |
| 347 | VivaGlintPulseProgram | Eventos relacionados con Pulse Program en Viva Glint. |
| 348 | VivaGlintPulseProgramRespondentRate | Eventos relacionados con Pulse Program Respondent Rate in Viva Glint. |
| 349 | VivaGlintQuestion | Eventos relacionados con preguntas en Viva Glint. |
| 350 | VivaGlintRole | Eventos relacionados con roles en Viva Glint. |
| 351 | VivaGlintRubicon | Eventos relacionados con Rubicon en Viva Glint. |
| 352 | VivaGlintSupportAccess | Eventos relacionados con el acceso de soporte técnico en Viva Glint. |
| 353 | VivaGlintSystem | Eventos relacionados con las actividades del sistema en Viva Glint. |
| 354 | VivaGlintUser | Eventos relacionados con las actividades del usuario en Viva Glint. |
| 355 | VivaGlintUserGroup | Eventos relacionados con las actividades de grupo de usuarios en Viva Glint. |
| 356 | VivaGlintFeedbackProgram | Eventos relacionados con los programas de comentarios en Viva Glint. |
| 357 | FabricAudit | Eventos relacionados con Microsoft Fabric. |
| 358 | TrainableClassifier | Eventos de la clasificación de datos de Purview. |
| 359 | WebContentFiltering | Eventos de WebContentFiltering de Microsoft Edge. |
| 360 | NoisyAlertPolicy | Eventos relacionados con las directivas de alertas ruidosos en Microsoft Defender. |
| 361 | DataScanClassification | Eventos de la clasificación a petición de Purview para SharePoint y OneDrive. |
| 362 | AIInteractionsExportar | Eventos relacionados con la exportación de interacciones de IA. |
| 363 | Microsoft365CopilotScheduledPrompt | Eventos de Microsoft 365 Copilot aviso programado. |
| 364 | PlacesDirectory | Eventos de Microsoft Places Directory. |
| 365 | SentinelNotebookOnLake | Eventos de la ejecución del cuaderno en Sentinel lago de datos. |
| 366 | SentinelJob | Eventos de operaciones en trabajos en Sentinel lago de datos. |
| 367 | SentinelKQLOnLake | Eventos de la ejecución de KQL en Sentinel lago de datos. |
| 368 | SentinelLakeOnboarding | Eventos desde la incorporación a Sentinel lago de datos. |
| 369 | SentinelLakeDataOnboarding | Eventos de carga de datos en Sentinel lago de datos. |
| 370 | SentinelAITool | Eventos de operaciones en la herramienta de inteligencia artificial en Microsoft Sentinel |
| 371 | SentinelGraph | Eventos relacionados con Graph en Microsoft Sentinel. |
| 372 | CrossTenantAccessPolicy | Eventos de directivas de acceso entre inquilinos. |
| 373 | OutlookCopilotAutomation | Eventos relacionados con la automatización de back-end (sin una interacción explícita del usuario) en Microsoft Outlook controlados por agentes, Copilot u otros escenarios de inteligencia artificial. |
| 374 | VivaEngageNetworkAssociation | Eventos relacionados con network association en Viva Engage. |
| 375 | AppAdminActivity | Eventos relacionados con la actividad de administrador de aplicaciones. |
| 376 | AppSettingsAdminActivity | Eventos relacionados con la actividad de administrador de la configuración de la aplicación. |
| 377 | UniversalPrintPrintJob | Eventos de auditoría relacionados con trabajos de impresión en Impresión universal de Microsoft. |
| 378 | VivaAmplifyOutlookSensitivityLabel | Eventos relacionados con las etiquetas de confidencialidad de Outlook en Viva Amplify. |
| 379 | AIInteractionsSubscription | Eventos relacionados con las suscripciones de interacción de IA. |
| 380 | AIInteractionsChangeNotification | Eventos relacionados con las notificaciones de cambio de interacción de IA. |
| 381 | FilteringMailMetadataExtended | Eventos relacionados con el filtrado de metadatos de correo. |
| 382 | OfficeRestrictedModeAction | Eventos de auditoría relacionados con las actividades realizadas en el modo restringido de Office. |
| 383 | CopilotForSecurityTrigger | Eventos relacionados con desencadenadores para agentes de Security Copilot. |
| 384 | CopilotAgentManagement | Eventos relacionados con las actividades de administración de los agentes de Microsoft Copilot. |
| 385 | P4AIAssessmentFabricScannerRecord | Eventos relacionados con Purview for AI Assessment Fabric Scanner. |
| 386 | PlannerGoal | Microsoft Planner eventos de objetivo. |
| 387 | PlannerGoalList | Microsoft Planner eventos de lista de objetivos. |
| 401 | PlannerChatMessage | Microsoft Planner eventos de mensajes de chat. |
| 402 | PlannerChatMessageList | Microsoft Planner eventos de lista de mensajes de chat. |
| 414 | VivaEngageSegment | Viva Engage eventos de segmentación. |
| 422 | VivaEngageEvents | Eventos relacionados con Viva Engage eventos hospedados. |
| 427 | UniversalPrintManagement | Eventos de auditoría relacionados con eventos de administración en Microsoft Impresión universal. |
| 430 | PurviewPostureAgent | Eventos del agente de posición de seguridad de datos. |
| 431 | GranularBrowseTask | Eventos relacionados con la exploración del punto de restauración del sitio de copia de seguridad mediante Copia de seguridad Microsoft 365. |
| 444 | TeamsEvalDataHubDataAccess | Eventos de acceso a datos del Centro de datos de evaluación de Teams. |
| 445 | TeamsEvalDataHubPermissionChange | Eventos de cambio de permisos del centro de datos de evaluación de Teams. |
| 454 | DragonCopilotAdmin | Eventos de Dragon Copilot operaciones administrativas. |
| 462 | MicrosoftTeamsUserConcern | Eventos relacionados con el problema de seguridad del usuario en Microsoft Teams. |
| 463 | VivaGlintAgenticCampaign | Eventos relacionados con campañas de agentes en Viva Glint. |
Enum: Tipo de usuario - Tipo: Edm.Int32
Tipo de usuario
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Regular | Un usuario normal sin permisos de administrador. |
| 1 | Reserved | Un valor reservado, no para su uso. |
| 2 | Admin | Administrador de la organización de Microsoft 365. |
| 3 | DCAdmin | Una cuenta de sistema de centro de datos o administrador del centro de datos de Microsoft. |
| 4 | Sistema | Un evento de auditoría desencadenado por la lógica del lado servidor. Por ejemplo, servicios de Windows o procesos en segundo plano. |
| 5 | Application | Evento de auditoría desencadenado por una aplicación de Microsoft Entra. |
| 6 | ServicePrincipal | Un servicio principal. |
| 7 | CustomPolicy | Directiva administrada o creada por un cliente. |
| 8 | SystemPolicy | Una directiva de sistema o administrada por Microsoft. |
| 9 | PartnerTechnician | Usuario de un inquilino asociado que trabaja en nombre del inquilino del cliente (en escenarios de GDAP). |
| 10 | Guest | Un invitado o un usuario anónimo. |
Nota:
** Para Microsoft Entra eventos relacionados, el valor de un administrador no se usa en un registro de auditoría. Los registros de auditoría de las actividades realizadas por los administradores indican que un usuario normal (por ejemplo, UserType: 0) realizó la actividad. La propiedad UserID identifica a la persona (usuario o administrador normal) que realizó esta actividad.
Enum: AuditLogScope - Tipo: Edm.Int32
AuditLogScope
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Online | Este evento lo creó un servicio de Microsoft 365. |
| 1 | Onprem | Este evento fue creado por un servidor local. |
AppAccessContext de tipo complejo
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| AADSessionId | Edm.String | No | El Microsoft Entra SessionId del inicio de sesión de Entra que realizó la aplicación en nombre del usuario. |
| APIId | Edm.String | No | El id. de la ruta de la API que se usa para obtener acceso al recurso; por ejemplo, acceso a través de la API de Microsoft Graph. |
| ClientAppId | Edm.String | No | Identificador de la aplicación de Microsoft Entra que ha realizado el acceso en nombre del usuario. |
| ClientAppName | Edm.String | No | Nombre de la aplicación de Microsoft Entra que ha realizado el acceso en nombre del usuario. |
| CorrelationId | Edm.String | No | Un identificador que se puede usar para correlacionar las acciones de un usuario específico mediante los servicios de Microsoft 365. |
| UniqueTokenId | Edm.String | No | UniqueTokenId se establece si el token de Microsoft Entra está disponible para la solicitud. Es un identificador único por token que distingue mayúsculas de minúsculas. |
| IssuedAtTime | Edm.Date | No | "Emitido en" se establece si el token de Microsoft Entra está disponible para la solicitud e indica cuándo se produjo la autenticación para este token de Microsoft Entra. |
Esquema base de SharePoint
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Site | Edm.Guid | No | El GUID del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. |
| ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | No | El tipo de objeto al que se obtuvo acceso o que se modificó. Vea la tabla ItemType para obtener más información sobre los tipos de objetos. |
| EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | No | Identifica que un evento se produjo en SharePoint. Los valores posibles son SharePoint u ObjectModel. |
| SourceName | Edm.String | No | La entidad que ha activado la operación auditada. Los valores posibles son SharePoint u ObjectModel. |
| UserAgent | Edm.String | No | Información sobre el cliente o el explorador del usuario. Esta información la proporciona el cliente o el explorador. |
| MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | Información sobre las operaciones de sincronización del dispositivo. Esta información se registra solo si está presente en la solicitud. |
| MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | Información sobre las operaciones de sincronización del dispositivo. Esta información se registra solo si está presente en la solicitud. |
| ListItemUniqueId | Edm.Guid | No | El GUID de un elemento de lista identificable de forma única. Esta información solo está presente si es aplicable. |
| ListID | Edm.Guid | No | El GUID de la lista. Esta información solo está presente si es aplicable. |
| ApplicationId | Edm.String | No | El identificador de la aplicación que realiza la operación. |
| ApplicationDisplayName | Edm.String | No | El nombre para mostrar de la aplicación que está realizando la operación. |
| IsWorkflow | Edm.Boolean | No | Se establece True si los flujos de trabajo de SharePoint desencadenaron el evento auditado. |
Enum: ItemType - Tipo: Edm.Int32
ItemType
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Invalid | El elemento no es ninguno de los tipos de elementos que se muestran en esta tabla. |
| 1 | File | Y el elemento es un archivo. |
| 5 | Folder | Y el elemento es una carpeta. |
| 6 | web | El elemento es una web. |
| 7 | Site | El elemento es un sitio. |
| 8 | Tenant | El elemento es un inquilino. |
| 9 | DocumentLibrary | El elemento es una biblioteca de documentos. |
| 11 | Page | El elemento es una página. |
Enum: EventSource - Tipo: Edm.Int32
EventSource
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | SharePoint | El origen del evento es SharePoint. |
| 1 | ObjectModel | El origen del evento es ObjectModel. |
Enum: SharePointAuditOperation - Tipo: Edm.Int32
| Nombre del miembro | Descripción |
|---|---|
| AccessInvitationAccepted | El destinatario de una invitación para ver o editar un archivo compartido (o carpeta) que ha obtenido acceso al archivo compartido haciendo clic en el vínculo de la invitación. |
| AccessInvitationCreated | El usuario envía una invitación a otra persona (dentro o fuera de su organización) para ver o editar un archivo o carpeta compartidos en un sitio de SharePoint o OneDrive. Los detalles de la entrada de evento identifican el nombre del archivo que se ha compartido, el usuario al que se envió la invitación y el tipo de los permisos de uso compartido seleccionados por la persona que envió la invitación. |
| AccessInvitationExpired | Una invitación enviada a un usuario externo expira. De forma predeterminada, una invitación enviada a un usuario fuera de su organización expira después de 7 días si no se acepta la invitación. |
| AccessInvitationRevoked | El administrador del sitio o el propietario de un sitio o documento en SharePoint o OneDrive retira una invitación que se envió a un usuario fuera de su organización. Una invitación puede retirarse antes de que se acepte. |
| AccessInvitationUpdated | El usuario que creó y envió una invitación a otra persona para ver o editar un archivo o carpeta compartidos en un sitio de SharePoint o OneDrive resiente la invitación. |
| AccessRequestApproved | El administrador del sitio o propietario de un sitio o documento en SharePoint o OneDrive aprueba una solicitud de usuario para acceder al sitio o documento. |
| AccessRequestCreated | El usuario solicita acceso a un sitio o documento en SharePoint o OneDrive al que no tiene permiso de acceso. |
| AccessRequestRejected | El administrador del sitio o el propietario de un sitio o un documento en SharePoint rechaza una solicitud de usuario para acceder al sitio o documento. |
| ActivationEnabled | Los usuarios pueden habilitar para el explorador plantillas de formulario que no contienen código de formulario, requieren plena confianza, habilitan representación en un dispositivo móvil o usan conexión de datos administrada por un administrador del servidor. |
| AdministratorAddedToTermStore | Administrador de almacén de términos agregado. |
| AdministratorDeletedFromTermStore | Administrador de almacén de términos eliminado. |
| AllowGroupCreationSet | El administrador o propietario del sitio agrega un nivel de permiso a un sitio de SharePoint o OneDrive que permite a un usuario asignado ese permiso crear un grupo para ese sitio. |
| AppCatalogCreated | El catálogo de aplicaciones se creó para que las aplicaciones empresariales personalizadas estén disponibles en su entorno de SharePoint. |
| AuditPolicyRemoved | La directiva del ciclo de vida del documento se ha quitado de una colección de sitios. |
| AuditPolicyUpdate | La directiva del ciclo de vida del documento se ha actualizado para una colección de sitios. |
| AzureStreamingEnabledSet | El propietario de un portal de vídeo permitió el streaming de vídeo desde Azure. |
| CollaborationTypeModified | Se ha modificado el tipo de colaboración permitido en sitios (por ejemplo, intranet, extranet o público). |
| ConnectedSiteSettingModified | El usuario ha creado, modificado o eliminado el vínculo entre un proyecto y un sitio de proyecto o el usuario modifica la configuración de sincronización en el vínculo de project web app. |
| ContainerTypeCreated | Se creó un tipo de contenedor de SharePoint Embedded. |
| ContainerTypeDeleted | Se eliminó un tipo de contenedor de SharePoint Embedded. |
| ContainerTypeOwnersUpdated | Se actualizaron los propietarios de un tipo de contenedor de SharePoint Embedded. |
| ContainerTypeUpdated | Se actualizó un tipo de contenedor de SharePoint Embedded. |
| CreateSSOApplication | La aplicación de destino que se creó en el servicio de almacenamiento seguro. |
| CustomFieldOrLookupTableCreated | El usuario ha creado un campo personalizado o una tabla o elemento de búsqueda en Project Web App. |
| CustomFieldOrLookupTableDeleted | El usuario eliminó un campo personalizado o una tabla o elemento de búsqueda en Project Web App. |
| CustomFieldOrLookupTableModified | El usuario modificó un campo personalizado o una tabla o elemento de búsqueda en Project Web App. |
| CustomizeExemptUsers | El administrador global ha personalizado la lista de agentes de usuario exentos en el centro de administración de SharePoint. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexar. Esta configuración significa que cuando un agente de usuario exento encuentra un formulario de InfoPath, el formulario se devuelve como un archivo XML en lugar de una página web completa. Este resultado hace que la indexación de formularios de InfoPath sea más rápida. |
| DefaultLanguageChangedInTermStore* | Se ha cambiado la configuración de idioma en el almacén de terminología. |
| DelegateModified | El usuario ha creado o modificado un delegado de seguridad en Project Web App. |
| DelegateRemoved | El usuario eliminó un delegado de seguridad en Project Web App. |
| DeleteSSOApplication | Se ha eliminado una aplicación SSO. |
| eDiscoveryHoldApplied | Se ha colocado una conservación local en un origen de contenido. Una colección de sitios de eDiscovery administra las retenciones locales (por ejemplo, el Centro de eDiscovery) en SharePoint. |
| eDiscoveryHoldRemoved | Se ha eliminado una conservación local de un origen de contenido. Una colección de sitios de eDiscovery administra las retenciones locales (por ejemplo, el Centro de eDiscovery) en SharePoint. |
| eDiscoverySearchPerformed | Se ha realizado una búsqueda de eDiscovery con una colección de sitios de eDiscovery en SharePoint. |
| EngagementAccepted | El usuario acepta una interacción de recursos en Project Web App. |
| EngagementModified | El usuario modifica una interacción de recursos en Project Web App. |
| EngagementRejected | El usuario rechaza una interacción de recursos en Project Web App. |
| EnterpriseCalendarModified | El usuario copia, modifica o elimina un calendario empresarial en Project Web App. |
| EntityDeleted | El usuario elimina un parte de horas en Project Web App. |
| EntityForceCheckedIn | El usuario fuerza una protección en un calendario, un campo personalizado o una tabla de búsqueda en project web app. |
| ExemptUserAgentSet | El administrador global agrega un agente de usuario a la lista de agentes de usuario exentos en el centro de administración de SharePoint. |
| FeatureActivated | El administrador del sitio activa una característica de colección de sitios. |
| FeatureDeactivated | El administrador del sitio desactiva una característica de colección de sitios. |
| FileAccessed | La cuenta de usuario o sistema accede a un archivo en un sitio de SharePoint o OneDrive. Las cuentas del sistema también pueden generar eventos FileAccessed. |
| FileCheckOutDiscarded | El usuario descarta un archivo desprotegido. Eso significa que cualquier cambio que haya realizado en el archivo cuando estaba extraído del repositorio se descarta y no se guarda en la versión del documento de la biblioteca de documentos. |
| FileCheckedIn | El usuario comprueba en un documento que desprotegió de una biblioteca de documentos de SharePoint o OneDrive. |
| FileCheckedOut | El usuario comprueba un documento ubicado en una biblioteca de documentos de SharePoint o OneDrive. Los usuarios pueden extraer del repositorio y modificar documentos que se han compartido con ellos. |
| FileCopied | El usuario copia un documento de un sitio de SharePoint o OneDrive. El archivo copiado puede guardarse en otra carpeta del sitio. |
| FileDeleted | El usuario elimina un documento de un sitio de SharePoint o OneDrive. |
| FileDeletedFirstStageRecycleBin | El usuario elimina un archivo de la papelera de reciclaje en un sitio de SharePoint o OneDrive. |
| FileDeletedSecondStageRecycleBin | El usuario elimina un archivo de la papelera de reciclaje de segunda fase en un sitio de SharePoint o OneDrive. |
| FileDownloaded | El usuario descarga un documento desde un sitio de SharePoint o OneDrive. |
| FileFetched | Este evento se ha sustituido por el evento FileAccessed y está en desuso. |
| FileModified | La cuenta de usuario o sistema modifica el contenido o las propiedades de un documento ubicado en un sitio de SharePoint o OneDrive. |
| FileMoved | El usuario mueve un documento de su ubicación actual en un sitio de SharePoint o OneDrive a una nueva ubicación. |
| FilePreviewed | El usuario obtiene una vista previa de un documento en un sitio de SharePoint o OneDrive. |
| FileRecycled | El usuario mueve un documento a la papelera de reciclaje de SharePoint o OneDrive. |
| FileRenamed | El usuario cambia el nombre de un documento en un sitio de SharePoint o OneDrive. |
| FileRestored | El usuario restaura un documento desde la papelera de reciclaje de un sitio de SharePoint o OneDrive. |
| FileSyncDownloadedFull | El usuario descarga un archivo en su equipo desde una biblioteca de documentos de SharePoint o OneDrive mediante Sincronización de OneDrive aplicación (OneDrive.exe). |
| FileSyncDownloadedPartial | Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive (Groove.exe). |
| FileSyncUploadedFull | El usuario carga un nuevo archivo o cambios en un archivo en la biblioteca de documentos de SharePoint o OneDrive mediante Sincronización de OneDrive aplicación (OneDrive.exe). |
| FileSyncUploadedPartial | Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive (Groove.exe). |
| FileUploaded | El usuario carga un documento en una carpeta en un sitio de SharePoint o OneDrive. |
| FileViewed | Este evento se ha sustituido por el evento FileAccessed y está en desuso. |
| FolderCopied | El usuario copia una carpeta de un sitio de SharePoint o OneDrive en otra ubicación de SharePoint o OneDrive. |
| FolderCreated | El usuario crea una carpeta en un sitio de SharePoint o OneDrive. |
| FolderDeleted | El usuario elimina una carpeta de un sitio de SharePoint o OneDrive. |
| FolderDeletedFirstStageRecycleBin | El usuario elimina una carpeta de la papelera de reciclaje en un sitio de SharePoint o OneDrive . |
| FolderDeletedSecondStageRecycleBin | El usuario elimina una carpeta de la papelera de reciclaje de segunda fase en un sitio de SharePoint o OneDrive. |
| FolderModified | El usuario modifica una carpeta en un sitio de SharePoint o OneDrive. Este evento incluye cambios de metadatos de carpeta, como etiquetas y propiedades. |
| FolderMoved | El usuario mueve una carpeta desde un sitio de SharePoint o OneDrive. |
| FolderRecycled | El usuario mueve una carpeta a la Papelera de reciclaje de SharePoint o OneDrive. |
| FolderRenamed | El usuario cambia el nombre de una carpeta en un sitio de SharePoint o OneDrive. |
| FolderRestored | El usuario restaura una carpeta desde la Papelera de reciclaje en un sitio de SharePoint o OneDrive. |
| GroupAdded | El administrador o propietario del sitio crea un grupo para un sitio de SharePoint o OneDrive, o realiza una tarea que da como resultado la creación de un grupo. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo de sistema al sitio de OneDrive del usuario. Este evento también puede ser un resultado de que un usuario crease un vínculo con permisos de edición para un archivo compartido. |
| GroupRemoved | El usuario elimina un grupo de un sitio de SharePoint o OneDrive. |
| GroupUpdated | El administrador o propietario del sitio cambia la configuración de un grupo para un sitio de SharePoint o OneDrive. Esto puede incluir cambiar el nombre del grupo, quién puede ver o editar la pertenencia al grupo y cómo se controlan las solicitudes de pertenencia. |
| LanguageAddedToTermStore | Se agregó un idioma al almacén de términos. |
| LanguageRemovedFromTermStore | Se quitó un idioma del almacén de términos. |
| LegacyWorkflowEnabledSet | El propietario o administrador del sitio agrega el tipo de contenido de tarea de flujo de trabajo de SharePoint al sitio. Los administradores globales también pueden habilitar los flujos de trabajo para toda la organización en el Centro de administración de SharePoint. |
| LookAndFeelModified | El usuario modifica un inicio rápido, formatos de gráfico de Gantt o formatos de grupo. O bien, el usuario crea, modifica o elimina una vista en project web app. |
| ManagedSyncClientAllowed | El usuario establece correctamente una relación de sincronización con un sitio de SharePoint o OneDrive. La relación de sincronización es correcta porque el equipo del usuario es un miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización. Para obtener más información, consulte Introducción a Shell de administración de SharePoint Online para habilitar Sincronización de OneDrive para dominios que se encuentran en la lista de destinatarios seguros. |
| MaxQuotaModified | Se ha modificado la cuota máxima de un sitio. |
| MaxResourceUsageModified | Se ha modificado el uso máximo permitido de recursos para un sitio. |
| MySitePublicEnabledSet | El administrador del servicio SharePoint ha configurado la marca que habilita a los usuarios para tener Mis sitios en modo público. |
| NewsFeedEnabledSet | El administrador o propietario del sitio habilita fuentes RSS para un sitio de SharePoint o OneDrive. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint. |
| ODBNextUXSettings | Se ha habilitado la nueva interfaz de usuario para OneDrive. |
| OfficeOnDemandSet | El administrador del sitio habilita Office a petición, lo que permite a los usuarios obtener acceso a la última versión de las aplicaciones de escritorio de Office. Office a petición se habilita en el Centro de administración de SharePoint y requiere una suscripción a Office 365 que incluye aplicaciones de Office completas e instaladas. |
| PageViewed | El usuario ve una página en un sitio de SharePoint o en un sitio de OneDrive. Esto no incluye la visualización de archivos de la biblioteca de documentos de un sitio de SharePoint o de OneDrive para la Empresa en un explorador. |
| PeopleResultsScopeSet | El administrador del sitio crea o cambia el origen de resultados para las búsquedas de personas para un sitio de SharePoint. |
| PermissionSyncSettingModified | El usuario modifica la configuración de sincronización de permisos del proyecto en Project Web App. |
| PermissionTemplateModified | El usuario crea, modifica o elimina una plantilla de permisos en Project Web App. |
| PortfolioDataAccessed | El usuario accede al contenido de la cartera (biblioteca de controladores, priorización de controladores, análisis de cartera) en project web app. |
| PortfolioDataModified | El usuario crea, modifica o elimina datos de cartera (biblioteca de controladores, priorización de controladores, análisis de cartera) en Project Web App. |
| PreviewModeEnabledSet | El administrador del sitio habilita la vista previa de documentos de un sitio de SharePoint. |
| ProjectAccessed | El usuario accede al contenido del proyecto en Project Web App. |
| ProjectCheckedIn | El usuario comprueba en un proyecto que desprotegió de una aplicación web de Project. |
| ProjectCheckedOut | El usuario comprueba un proyecto ubicado en una aplicación web de Project. Los usuarios pueden desproteger y realizar cambios en los proyectos para los que tienen permiso de apertura. |
| ProjectCreated | El usuario crea un proyecto en project web app. |
| ProjectDeleted | El usuario elimina un proyecto en Project Web App. |
| ProjectForceCheckedIn | El usuario fuerza una protección en un proyecto en project web app. |
| ProjectModified | El usuario modifica un proyecto en project web app. |
| ProjectPublished | El usuario publica un proyecto en project web app. |
| ProjectWorkflowRestarted | El usuario reinicia un flujo de trabajo en Project Web App. |
| PWASettingsAccessed | El usuario accede a la configuración de project web app a través de CSOM. |
| PWASettingsModified | El usuario modifica la configuración de una aplicación web de Project. |
| QueueJobStateModified | El usuario cancela o reinicia un trabajo de cola en Project Web App. |
| QuotaWarningEnabledModified | Advertencia de modificación de la cuota de almacenamiento. |
| RenderingEnabled | Los servicios de formularios de InfoPath representan las plantillas de formulario habilitadas para explorador. |
| ReportingAccessed | El usuario ha accedido al punto de conexión de informes en Project Web App. |
| ReportingSettingModified | El usuario modifica la configuración de informes en Project Web App. |
| ResourceAccessed | El usuario accede a un contenido de recursos empresariales en Project Web App. |
| ResourceCheckedIn | El usuario comprueba en un recurso empresarial que desprotegió de Project Web App. |
| ResourceCheckedOut | El usuario desprotee un recurso empresarial ubicado en Project Web App. |
| ResourceCreated | El usuario crea un recurso empresarial en Project Web App. |
| ResourceDeleted | El usuario elimina un recurso de empresa en Project Web App. |
| ResourceForceCheckedIn | El usuario fuerza la protección de un recurso empresarial en Project Web App. |
| ResourceModified | El usuario modifica un recurso de empresa en Project Web App. |
| ResourcePlanCheckedInOrOut | El usuario protege o extrae un plan de recursos en Project Web App. |
| ResourcePlanModified | El usuario modifica un plan de recursos en Project Web App. |
| ResourcePlanPublished | El usuario publica un plan de recursos en Project Web App. |
| ResourceRedacted | El usuario redacta un recurso empresarial quitando toda la información personal de Project Web App. |
| ResourceWarningEnabledModified | Advertencia de modificación de la cuota de recursos. |
| SSOGroupCredentialsSet | Las credenciales de grupo configuradas en el Servicio de almacenamiento seguro. |
| SSOUserCredentialsSet | Las credenciales de usuario configuradas en el Servicio de almacenamiento seguro. |
| SearchCenterUrlSet | La dirección URL del centro de búsqueda configurada. |
| SecondaryMySiteOwnerSet | Un usuario ha agregado un propietario secundario para su sitio. |
| SecurityCategoryModified | El usuario crea, modifica o elimina una categoría de seguridad en Project Web App. |
| SecurityGroupModified | El usuario crea, modifica o elimina un grupo de seguridad en project web app. |
| SendToConnectionAdded | El administrador global crea una nueva conexión Enviar a en la página Administración de registros en el Centro de administración de SharePoint. Una conexión Enviar a especifica la configuración de un repositorio de documentos o un centro de registros. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada. |
| SendToConnectionRemoved | El administrador global elimina una conexión Enviar a en la página Administración de registros en el Centro de administración de SharePoint. |
| SharedLinkCreated | El usuario crea un vínculo a un archivo compartido en SharePoint o OneDrive. Este vínculo puede enviarse a otras personas para proporcionarles acceso al archivo. Un usuario puede crear dos tipos de vínculos: un vínculo que permite al usuario ver y editar el archivo compartido o un vínculo que solo permite al usuario ver el archivo. |
| SharedLinkDisabled | El usuario deshabilita (permanentemente) un vínculo para compartir un archivo creado. |
| SharingInvitationAccepted * | El usuario acepta una invitación para compartir un archivo o carpeta. Este evento se registra cuando un usuario comparte un archivo con otros usuarios. |
| SharingRevoked | El usuario no compartió un archivo o carpeta que se compartió anteriormente con otros usuarios. Este evento se registra cuando un usuario deja de compartir un archivo con otros usuarios. |
| SharingSet | El usuario comparte un archivo o carpeta ubicado en SharePoint o OneDrive con otro usuario dentro de su organización. |
| SiteAdminChangeRequest | Solicitudes de usuario para que se les agregue como administrador de colección de sitios para una colección de sitios de SharePoint. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los subsitios. |
| SiteCollectionAdminAdded* | El administrador o propietario de la colección de sitios agrega una persona como administrador de colección de sitios para un sitio de SharePoint o OneDrive. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los sub sitios. |
| SiteCollectionCreated | El administrador global crea una nueva colección de sitios de su organización de SharePoint. |
| SitePermanentlyDeleted | Un administrador global o de SharePoint elimina permanentemente un sitio de SharePoint Administración Sitios eliminados del Centro. |
| SiteRenamed | El administrador o propietario del sitio cambia el nombre de un sitio de SharePoint o OneDrive |
| SiteRestored | Un administrador global o de SharePoint restaura un sitio desde SharePoint Administración Sitios eliminados del Centro. |
| StatusReportModified | El usuario crea, modifica o elimina un informe de estado en project web app. |
| SyncGetChanges | El usuario hace clic en Sincronizar en la bandeja de acciones en SharePoint o OneDrive para sincronizar los cambios en el archivo de una biblioteca de documentos con su equipo. |
| SyntexBillingSubscriptionSettingsChanged | La configuración de la suscripción de facturación de Syntex ha cambiado. Este evento se desencadena cuando expira una prueba de Syntex. |
| TaskStatusAccessed | El usuario accede al estado de una o varias tareas en Project Web App. |
| TaskStatusApproved | El usuario aprueba una actualización de estado de una o varias tareas en Project Web App. |
| TaskStatusRejected | El usuario rechaza una actualización de estado de una o varias tareas en Project Web App. |
| TaskStatusSaved | El usuario guarda una actualización de estado de una o varias tareas en Project Web App. |
| TaskStatusSubmitted | El usuario envía una actualización de estado de una o varias tareas en project web app. |
| TenantWideThemeCreated | Un administrador de SharePoint, un administrador global o un administrador de marca crea un tema personalizado que se aplica a todos los sitios de SharePoint de la organización. |
| TenantWideThemeDeleted | Un administrador de SharePoint, un administrador global o un administrador de marca elimina un tema personalizado que se aplica a todos los sitios de SharePoint de la organización. |
| TenantWideThemeUpdated | Un administrador de SharePoint, un administrador global o un administrador de marca actualiza un tema personalizado que se aplica a todos los sitios de SharePoint de la organización. |
| TimesheetAccessed | El usuario accede a un parte de horas en Project Web App. |
| TimesheetApproved | El usuario aprueba el parte de horas en Project Web App. |
| TimesheetRejected | El usuario rechaza un parte de horas en Project Web App. |
| TimesheetSaved | El usuario guarda un parte de horas en project web app. |
| TimesheetSubmitted | El usuario envía un parte de horas de estado en Project Web App. |
| UnmanagedSyncClientBlocked | El usuario intenta establecer una relación de sincronización con un sitio de SharePoint o OneDrive desde un equipo que no es miembro del dominio de su organización o que es miembro de un dominio que no se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que pueden acceder a las bibliotecas de documentos de su organización. La relación de sincronización no se permite y el equipo del usuario queda bloqueado para sincronizar, descargar o cargar archivos en una biblioteca de documentos. |
| UpdateDisableSiteBranding | Un administrador global o de SharePoint habilita o deshabilita la personalización de marca del sitio. |
| UpdateSSOApplication | La aplicación de destino se actualizó en el Servicio de almacenamiento seguro. |
| UserAddedToGroup | El administrador o propietario del sitio agrega una persona a un grupo en un sitio de SharePoint o OneDrive. Agregar a un usuario a un grupo concede al usuario los permisos asignados al grupo. |
| UserRemovedFromGroup | El administrador o propietario del sitio quita una persona de un grupo en un sitio de SharePoint o OneDrive. Después de quitar la persona, no se le concede los permisos asignados al grupo. |
| WebThemeApplied | Un administrador global o de SharePoint, o un propietario del sitio aplica un tema web. |
| WorkflowModified | El usuario crea, modifica o elimina un tipo de proyecto de empresa o fases o fases de flujo de trabajo en project web app. |
Operaciones de archivos de SharePoint
Los eventos de archivo y página devueltos en las búsquedas de registros de auditoría usan este esquema.
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| SiteUrl | Edm.String | Sí | La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. |
| SourceRelativeUrl | Edm.String | No | La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario. La combinación de los valores de los parámetros SiteURL, SourceRelativeURL y SourceFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa para el archivo al que accede el usuario. |
| SourceFileName | Edm.String | Sí | El nombre del archivo o carpeta al que obtuvo acceso el usuario. |
| SourceFileExtension | Edm.String | No | La extensión del archivo al que obtuvo acceso el usuario. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta. |
| DestinationRelativeUrl | Edm.String | No | La dirección URL de la carpeta de destino donde se copia o se mueve un archivo. La combinación de los valores de los parámetros SiteURL, DestinationRelativeURL y DestinationFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa del archivo que se copió. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved. |
| DestinationFileName | Edm.String | No | El nombre del archivo que se copia o mueve. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved. |
| DestinationFileExtension | Edm.String | No | La extensión del archivo que se copia o mueve. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved. |
| UserSharedWith | Edm.String | No | El usuario con el que se compartió un recurso. |
| SharingType | Edm.String | No | El tipo de permisos de uso compartido que se asignan al usuario con el que se compartió el recurso. Este usuario se identifica mediante el parámetro UserSharedWith . |
| SourceLabel | Edm.String | No | Etiqueta original del archivo antes de que una acción del usuario la cambie. |
| DestinationLabel | Edm.String | No | La etiqueta final del archivo después de que una acción del usuario la cambie. |
| SensitivityLabelOwnerEmail | Edm.String | No | Dirección de correo electrónico del propietario de la etiqueta de confidencialidad. |
| SensitivityLabelId | Edm.String | No | El identificador de etiqueta de confidencialidad actual del archivo. |
Lista de operaciones de SharePoint
Los eventos de lista de SharePoint devueltos en las búsquedas de registros de auditoría usan este esquema.
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ListTitle | Edm.String | No | El título de la lista de SharePoint. |
| ListName | Edm.String | No | El nombre de la lista de SharePoint. |
| ListUrl | Edm.String | No | La dirección URL de la lista relativa al sitio web contenedor. |
| ListBaseType | Edm.String | No | Especifica el tipo base de una lista. |
| ListBaseTemplateType | Edm.String | No | Tipo de definición de lista en el que se basa la lista. |
| IsHiddenList | Edm.Boolean | No | Este valor se establece en True si la lista de SharePoint está oculta. |
| IsDocLib | Edm.Boolean | No | Este valor se establece en True si la lista de SharePoint es del tipo Biblioteca de documentos. |
Esquema de uso compartido de SharePoint
Los eventos de solicitud de acceso compartido y acceso devueltos en las búsquedas de registros de auditoría usan este esquema.
Los eventos de SharePoint relacionados con el uso compartido de archivos. Se diferencian de los eventos relacionados con archivos y carpetas en que un usuario realiza una acción que tiene algún efecto en otro usuario. Para obtener información sobre el esquema de uso compartido de SharePoint, vea Usar el uso compartido de auditoría en el registro de auditoría.
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| TargetUserOrGroupName | Edm.String | No | Almacena el UPN o el nombre del grupo o usuario de destino con el que se compartió un recurso. |
| TargetUserOrGroupType | Edm.String | No | Identifica si el usuario o grupo de destino es un miembro, invitado, grupo o partner. |
| EventData | Código XML | No | Transmite información de seguimiento sobre la acción de uso compartido que se ha producido, como agregar un usuario a un grupo o conceder permisos de edición. |
| SiteUrl | Edm.String | No | La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario. |
| SourceRelativeUrl | Edm.String | No | La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario. La combinación de los valores de los parámetros SiteURL, SourceRelativeURL y SourceFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa para el archivo al que accede el usuario. |
| SourceFileName | Edm.String | No | El nombre del archivo o carpeta al que obtuvo acceso el usuario. |
| SourceFileExtension | Edm.String | No | La extensión del archivo al que obtuvo acceso el usuario. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta. |
| UniqueSharingId | Edm.String | No | El identificador de uso compartido único asociado a la operación de uso compartido. |
Esquema de SharePoint
Los eventos de SharePoint (excepto los eventos de archivo y carpeta) devueltos en las búsquedas de registros de auditoría usan este esquema.
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| CustomEvent | Edm.String | No | Cadena opcional para los eventos personalizados. |
| EventData | Edm.String | No | Carga opcional para los eventos personalizados. |
| ModifiedProperties | Collection(ModifiedProperty) | No | La propiedad se incluye para los eventos de administración, como agregar un usuario como miembro de un sitio o un grupo de administradores de colección de sitios. La propiedad incluye el nombre de la propiedad modificada (por ejemplo, el grupo de administradores del sitio), el nuevo valor de la propiedad modificada (como el usuario agregado como administrador de sitio) y el valor anterior del objeto modificado. |
Esquema de Project
Los eventos de Microsoft Project para la web devueltos en las búsquedas de registros de auditoría usan estos esquemas.
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Entidad | Edm.String | Sí | ProjectEntity para la que fue la auditoría. |
| Acción | Edm.String | Sí | ProjectAction que se realizó. |
| OnBehalfOfResId | Edm.Guid | No | El id. de recurso en nombre del cual se realizó la acción. |
Enum: Project acción - Tipo: Edm.Int32
Acción de proyecto
| Nombre del miembro | Descripción |
|---|---|
| Aceptadas | El usuario aceptó un evento o un flujo de trabajo. |
| Accessed | El usuario obtuvo acceso a una entidad. |
| Activated | El usuario activó una entidad, un evento o un flujo de trabajo. |
| Cancelled | El usuario canceló un evento o un flujo de trabajo. |
| CheckedIn | El usuario insertó una entidad. |
| CheckedOut | El usuario extrajo una entidad. |
| Copied | El usuario copió una entidad. |
| Created | El usuario creó una entidad. |
| Deactivated | El usuario desactivó una entidad. |
| Deleted | El usuario eliminó una entidad. |
| Exported | El usuario exportó una entidad. |
| ForceCheckedIn | El usuario causó que se forzase la inserción de una entidad. |
| Modified | El usuario modificó una entidad. |
| Published | El usuario publicó una entidad. |
| Redacted | El usuario redactó una entidad. |
| Rejected | El usuario rechazó una entidad. |
| Restarted | El usuario reinició un evento o un flujo de trabajo. |
| Saved | El usuario guardó una entidad. |
| Sent | El usuario envió una entidad. |
| Submitted | El usuario envió un flujo de trabajo o una entidad para su revisión. |
Enum: Project Entity - Tipo: Edm.Int32
Entidad del proyecto
| Nombre del miembro | Descripción |
|---|---|
| CustomField | Representa de un campo personalizado de empresa. |
| Driver | Representa un controlador de cartera. |
| DriverPrioritization | Representa una priorización de la cartera. |
| Engagement | Representa una interacción de recurso. |
| EnterpriseCalendar | Representa un calendario de recursos de empresa. |
| EnterpriseProjectType | Representa un tipo de proyecto empresarial. |
| FiscalPeriod | Representa un período fiscal. |
| GanttChartFormat | Representa un formato de gráfico de Gantt. |
| GroupingFormat | Representa un formato de agrupación de vista. |
| LineClassification | Representa una clasificación de línea de parte de horas. |
| LookupTable | Representa una tabla de búsqueda empresarial. |
| PermissionTemplate | Representa una plantilla de permisos de seguridad. |
| PortfolioAnalysis | Representa un análisis de cartera. |
| Project | Representa un proyecto. |
| QueueJob | Representa un trabajo de cola. |
| QuickLaunch | Representa un elemento de inicio rápido. |
| Reporting | Representa el punto de conexión de creación de informes. |
| Resource | Representa de un recurso de empresa. |
| ResourcePlan | Representa un plan de recursos asociado a un proyecto. |
| SecurityCategory | Representa una categoría de seguridad. |
| SecurityGroup | Representa un grupo de seguridad. |
| Setting | Representa una configuración de project web app. |
| Statusing | Representa una actualización de estado de tarea. |
| StatusReport | Representa un informe de estado. |
| TimeReportingPeriod | Representa un período de tiempo para un parte de horas. |
| Timesheet | Representa una entidad de parte de horas. |
| TimesheetAuditLog | Representa un registro de auditoría de parte de horas. |
| TimesheetManager | Representa el administrador de un parte de horas. |
| UserDelegate | Representa una delegación de usuario para otro usuario. |
| View | Representa una definición de vista. |
| WorkflowPhase | Representa una fase de un flujo de trabajo. |
| WorkflowStage | Representa una fase de un flujo de trabajo. |
Esquema de administración de Exchange
| Parameters | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| ModifiedObjectResolvedName | Edm.String | No | Este es el nombre descriptivo del objeto modificado por el cmdlet. Esto solo se registra si el cmdlet modifica el objeto. |
| Parámetros | Collection(Common.NameValuePair) | No | El nombre y valor de todos los parámetros usados con el cmdlet que se identifica en la propiedad Operations. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | No | La propiedad se incluye para los eventos de administración. La propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior del objeto modificado. |
| ExternalAccess | Edm.Boolean | Sí | Especifica si el cmdlet lo ejecutó un usuario de la organización, el personal del centro de datos de Microsoft o una cuenta de servicio del centro de datos, o un administrador delegado. El valor False indica que el cmdlet lo ejecutó algún usuario de su organización. El valor True indica que el cmdlet lo ejecutó el personal del centros de datos, una cuenta de servicio del centro de datos o un administrador delegado. |
| OriginatingServer | Edm.String | No | El nombre del servidor desde el que se ejecutó el cmdlet. |
| OrganizationName | Edm.String | No | El nombre del inquilino. |
| DeviceId | Edm.String | No | Solo está disponible para el dispositivo registrado o unido a un dominio. |
| TokenObjectId | Edm.String | Sí | notificación oid de los tokens de Microsoft Entra. |
| TokenTenantId | Edm.String | Sí | notificación tid de los tokens de Microsoft Entra. |
Esquema de buzón de Exchange
Los eventos de buzón de Exchange devueltos en las búsquedas de registros de auditoría usan estos esquemas.
| Parameters | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| LogonType | Self.LogonType | Sí | Indica el tipo de usuario que obtuvo acceso al buzón y llevó a cabo la operación que se ha registrado. |
| InternalLogonType | Self.LogonType | Sí | Reservado para uso interno. |
| MailboxGuid | Edm.String | No | El GUID de Exchange del buzón al que se obtuvo acceso. |
| MailboxOwnerUPN | Edm.String | No | La dirección de correo electrónico del propietario del buzón al que se obtuvo acceso. |
| MailboxOwnerSid | Edm.String | No | El SID del propietario del buzón. |
| MailboxOwnerMasterAccountSid | Edm.String | No | SID de la cuenta principal de la cuenta del propietario del buzón. |
| LogonUserSid | Edm.String | No | El SID del usuario que realizó la operación. |
| LogonUserDisplayName | Edm.String | No | El nombre descriptivo del usuario que realizó la operación. |
| ExternalAccess | Edm.Boolean | Sí | Esto tiene el valor true si el dominio del usuario que inició sesión es diferente del dominio del propietario del buzón. |
| OriginatingServer | Edm.String | No | Representa dónde se originó la operación. |
| OrganizationName | Edm.String | No | El nombre del inquilino. |
| ClientInfoString | Edm.String | No | Información sobre el cliente de correo electrónico que se usó para realizar la operación, como la versión de explorador, la versión de Outlook o información del dispositivo móvil. |
| ClientIPAddress | Edm.String | No | La dirección IP del dispositivo que se ha usado cuando la operación se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. |
| ClientMachineName | Edm.String | No | El nombre del equipo que hospeda al cliente de Outlook. |
| ClientProcessName | Edm.String | No | El cliente de correo electrónico que se usó para acceder al buzón. |
| ClientVersion | Edm.String | No | La versión del cliente de correo electrónico. |
| SessionId | Edm.String | No | Identificador único de la sesión. Ayuda a diferenciar las acciones del atacante frente a las actividades diarias del usuario en la misma cuenta (útil para cuentas en peligro). |
| AppId | Edm.String | No | Identificador de aplicación |
| ClientAppId | Edm.String | No | Identificador de llamador (servicio/protocolo) original de la solicitud. |
| HostAppId | Edm.String | No | Identificador de protocolo o servicio en ejecución. |
| OperationProperties | Collection(Common.NameValuePair) | No | Colección de propiedades específicas de la operación. |
| ClientRequestId | Edm.String | No | Identificador de la solicitud de cliente. |
| ExternalUserTenantId | Edm.String | No | Identificador de inquilino para usuarios externos. |
| ActorIP | Edm.String | No | Dirección IP del actor que realiza la operación. |
| ActorInfoString | Edm.String | No | Nombre de la instancia de nube (por ejemplo, Public, GCC, GCC-H) |
| DeviceId | Edm.String | No | Solo está disponible para el dispositivo registrado o unido a un dominio. |
| CloudInstanceName | Edm.String | No | Nombre de la instancia de nube (por ejemplo, Public, GCC, GCC-H) |
| TokenObjectId | Edm.String | No | notificación oid de los tokens de Microsoft Entra. |
| TokenTenantId | Edm.String | No | notificación tid de los tokens de Microsoft Entra. |
| AuthType | Edm.String | No | Especifica el esquema de autenticación utilizado por el cliente para acceder al servicio. |
| TokenType | Edm.String | No | Indica el tipo de token presentado durante la autenticación, lo que proporciona contexto en el rol y el ámbito del token. |
| recipientCount | Edm.Int64 | No | Representa el número total de destinatarios a los que se envió el correo electrónico. |
| recipientList | Collection(Self.EmailAddress) | No | Captura la lista de destinatarios del buzón, un máximo de 1000. |
Enum: LogonType - Tipo: Edm.Int32
LogonType
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Owner | El propietario del buzón |
| 1 | Admin | Un usuario con privilegios de administrador para el buzón de un usuario. |
| 2 | Delegated | Un usuario con privilegios de delegado para el buzón de un usuario. |
| 3 | Transport | Un servicio de transporte en el centro de datos de Microsoft. |
| 4 | SystemService | Una cuenta de servicio del centro de datos de Microsoft |
| 5 | BestAccess | Reservado para uso interno. |
| 6 | DelegatedAdmin | Un administrador delegado. |
Esquema ExchangeMailboxAuditGroupRecord
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Folder | Self.ExchangeFolder | No | La carpeta donde se encuentra un grupo de elementos. |
| CrossMailboxOperations | Edm.Boolean | No | Indica si la operación implicó más de un buzón. |
| DestMailboxId | Edm.Guid | No | Establece si el valor del parámetro CrossMailboxOperations es True. Especifica el GUID del buzón de correo de destino. |
| DestMailboxOwnerUPN | Edm.String | No | Establece si el valor del parámetro CrossMailboxOperations es True. Especifica el UPN del propietario del buzón de correo de destino. |
| DestMailboxOwnerSid | Edm.String | No | Establece si el valor del parámetro CrossMailboxOperations es True. Especifica el SID del buzón de correo de destino. |
| DestMailboxOwnerMasterAccountSid | Edm.String | No | Establece si el valor del parámetro CrossMailboxOperations es True. Especifica el SID de la cuenta principal y el SID del propietario del buzón de destino. |
| DestFolder | Self.ExchangeFolder | No | La carpeta de destino, para operaciones como Mover. |
| Folders | Collection(Self.ExchangeFolder) | No | Información sobre las carpetas de origen implicadas en una operación; por ejemplo, si las carpetas están seleccionadas y después se eliminan. |
| AffectedItems | Collection(Self.ExchangeItem) | No | Información sobre cada elemento del grupo. |
| Teams | Self.TeamsData | No | Datos relacionados con Microsoft Teams para operaciones de grupo. |
Esquema ExchangeMailboxAuditRecord
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Item | Self.ExchangeItem | No | Representa el elemento para el que se ha realizado la operación |
| ModifiedProperties | Collection(Edm.String) | No | Propiedades que se modifican. |
| MbxLoginLocalQueueADLookupInfo | Propio. LocalQueueADLookupInfo | No | Contiene los detalles de búsqueda de Active Directory para el contexto de inicio de sesión del buzón. |
| SendAsUserSmtp | Edm.String | No | Dirección SMTP del usuario que se está suplantando. |
| SendAsUserMailboxGuid | Edm.Guid | No | El GUID de Exchange del buzón al que se obtuvo acceso para enviar un correo electrónico. |
| SendOnBehalfOfUserSmtp | Edm.String | No | Dirección SMTP del usuario en cuyo nombre se envía el correo electrónico. |
| SendOnBehalfOfUserMailboxGuid | Edm.Guid | No | El GUID de Exchange del buzón al que se obtuvo acceso para enviar correo en su nombre. |
| ContactEmail1EmailAddress | Edm.String | No | Primera dirección de correo electrónico para la información de contacto. |
| ContactEmail1DisplayName | Edm.String | No | Nombre para mostrar del primer correo electrónico de contacto. |
| ContactEmail2EmailAddress | Edm.String | No | Segunda dirección de correo electrónico para la información de contacto. |
| ContactEmail2DisplayName | Edm.String | No | Nombre para mostrar del segundo correo electrónico de contacto. |
| ContactEmail3EmailAddress | Edm.String | No | Tercera dirección de correo electrónico para la información de contacto. |
| ContactEmail3DisplayName | Edm.String | No | Nombre para mostrar del tercer correo electrónico de contacto. |
| AttachmentId | Edm.String | No | Identificador de datos adjuntos de correo electrónico. |
| AttachmentSizeInBytes | Edm.Int64 | No | Tamaño de los datos adjuntos en bytes. |
| SaveToSentItems | Edm.Boolean | No | Marca que indica si el elemento debe guardarse en la carpeta de elementos enviados. |
| Teams | Self.TeamsData | No | Datos relacionados con Microsoft Teams. |
Esquema ExchangeAggregatedMailboxAuditRecord
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| OperationCount | Edm.Int32 | No | Número total de operaciones realizadas en el conjunto agregado de elementos. |
| Folders | Collection(Self.ExchangeAggregatedFolder) | No | Colección de objetos de carpeta agregados implicados en la operación. |
| Mensajes | Collection(Self.ExchangeAggregatedMessage) | No | Colección de objetos de mensaje agregados implicados en la operación. |
Esquema ExchangeAggregatedOperationRecord
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| OperationCount | Edm.Int32 | No | Número total de operaciones incluidas agregadas en este registro. |
| AggregateDurationInSeconds | Edm.Int32 | No | Duración combinada de todas las operaciones agregadas en segundos. |
Tipo complejo ExchangeItem
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id | Edm.String | Sí | Id. de la tienda. |
| Subject | Edm.String | No | La línea de asunto del mensaje al que se obtuvo acceso. |
| ParentFolder | Self.ExchangeFolder | No | El nombre de la carpeta donde se encuentra el elemento omitido. |
| ParentMessage | Propio. ExchangeMessage | No | Mensaje primario si este elemento está anidado. |
| Attachments | Edm.String | No | Una lista de los nombres y el tamaño de archivo de todos los elementos que se adjuntan al mensaje. |
| ImmutableId | Edm.String | No | Un identificador permanente e inmutable para el elemento. |
| InternetMessageId | Edm.String | No | Identificador de mensaje de Internet. |
| ComplianceLabel | Edm.String | No | Etiqueta de cumplimiento aplicada al elemento. |
| IsRecord | Edm.Boolean | No | Marca que indica si el elemento es un registro. |
| IsPriorityCleanup | Edm.Boolean | No | Marca para el procesamiento de limpieza de prioridad |
| SizeInBytes | Edm.Int64 | No | Tamaño del elemento de Exchange en bytes. |
| Sensibilidad | Edm.String | No | Indica el nivel de confidencialidad del elemento (por ejemplo, Normal, Personal, Privado, Confidencial). |
Tipo complejo LocalQueueADLookupInfo
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Puid | Edm.String | No | Identificador único de Passport (Puid) para una cuenta de Microsoft o un objeto de usuario. |
| OrgIdPuid | Edm.String | No | PUID del identificador de la organización. |
| Smtp | Edm.String | No | Dirección SMTP para la búsqueda de AD. |
| SearchScope | Edm.String | No | Ámbito de búsqueda de Active Directory |
| ConsumerMailbox | Edm.String | No | Marca que indica si se trata de un buzón de consumidor. |
Tipo complejo EmailAddress
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Address | Edm.String | No | Email dirección asociada al usuario. |
| Nombre | Edm.String | No | Nombre para mostrar de la dirección de correo electrónico. |
Tipo complejo ExchangeFolder
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id | Edm.String | Sí | El id. del objeto de carpeta. |
| Path | Edm.String | No | El nombre de la carpeta del buzón donde se encuentra el mensaje al que se obtuvo acceso. |
| Nombre | Edm.String | No | Nombre de carpeta |
| MemberSid | Edm.String | No | Identificador de seguridad de miembro |
| MemberRights | Edm.String | No | Derechos de acceso en la carpeta |
| MemberUpn | Edm.String | No | Nombre principal de usuario miembro |
Tipo complejo ExchangeMessage
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id | Edm.String | Sí | Identificador único del mensaje. |
| Path | Edm.String | No | Ruta de acceso donde se encuentra el mensaje |
Tipo complejo ExchangeFolderItem
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id | Edm.String | No | Guid que identifica el elemento de carpeta dentro de Exchange. |
| ImmutableId | Edm.String | No | Identificador inmutable para cada elemento de carpeta de Exchange. |
| InternetMessageId | Edm.String | No | Identificador de mensaje de Internet para cada elemento de carpeta. |
| CreationTime | Edm.Date | No | Hora en la que se creó El registro o elemento. |
| Subject | Edm.String | No | Asunto del registro o elemento. |
| SizeInBytes | Edm.Int64 | No | Tamaño del registro o elemento en bytes. |
| Sensibilidad | Edm.String | No | Etiquetas de confidencialidad del registro o elemento. |
| ClientRequestId | Edm.String | No | Identificador único de la solicitud de cliente que desencadenó la operación. |
| Teams | Self.TeamsData | No | Datos relacionados con Microsoft Teams |
Tipo complejo ExchangeMessageItem
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id | Edm.String | No | Guid que identifica el elemento de mensaje de Exchange. |
| SizeInBytes | Edm.Int64 | No | Tamaño del mensaje en bytes, incluidos los datos adjuntos. |
Tipo complejo ExchangeAggregatedFolder
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id | Edm.String | Sí | Guid de la carpeta agregada. |
| Path | Edm.String | No | Ruta de acceso de la carpeta agregada. |
| FolderItems | Collection(Self.ExchangeFolderItem) | No | Colección de elementos de carpeta de Exchange. |
Tipo complejo ExchangeAggregatedMessage
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id | Edm.String | Sí | Guid del contenedor de mensajes agregado. |
| Path | Edm.String | No | Ruta de acceso del mensaje agregado. |
| MessageItems | Collection(Self.ExchangeMessageItem) | No | Colección de elementos de mensaje de intercambio. |
Esquema de autenticación de OWA
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| UniqueTokenIdentifier | Edm.String | No | Identificador único del recurso. |
| ResourceURL | Edm.String | No | Dirección URL del recurso. |
Esquema base de Azure Active Directory
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | Sí | Tipo de evento de Microsoft Entra. |
| ExtendedProperties | Collection(Common.NameValuePair) | No | Propiedades extendidas del evento Microsoft Entra. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | No | Esta propiedad se incluye para los eventos de administración. La propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior de la propiedad modificada. |
Enum: AzureActiveDirectoryEventType - Tipo: Edm.Int32
AzureActiveDirectoryEventType
| Nombre del miembro | Descripción |
|---|---|
| AccountLogon | El evento de inicio de sesión de la cuenta. |
| AzureApplicationAuditEvent | El evento de seguridad de la aplicación de Azure. |
Esquema de inicio de sesión de Azure Active Directory
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Application | Edm.String | No | La aplicación que desencadena el evento de inicio de sesión de la cuenta, como Office 15. |
| Client | Edm.String | No | Información sobre el dispositivo del cliente, el sistema operativo del dispositivo y explorador del dispositivo que se usó para del evento de inicio de sesión de cuenta. |
| LoginStatus | Edm.Int32 | Sí | Esta propiedad procede directamente de OrgIdLogon.LoginStatus. Puede realizarse la asignación de varios errores de inicio de sesión interesantes mediante algoritmos de alerta. |
| UserDomain | Edm.String | Sí | La información de identidad del inquilino (TII). |
Enum: CredentialType - Tipo: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| -1 | Other | Otra autenticación. |
| 0 | Password | La credencial de usuario es el nombre de usuario y la contraseña. |
| 1 | MobilePhone | La credencial de usuario es el teléfono móvil. |
| 2 | SecretQuestion | La credencial de usuario es la pregunta secreta. |
| 3 | SecurePin | La credencial de usuario es el PIN seguro. |
| 4 | SecurePinReset | La credencial de usuario es el restablecimiento del PIN seguro. |
| 11 | EasyID | La credencial de usuario es el EasyID. |
| 14 | PasswordIndexCredentialType | La credencial de usuario es PasswordIndexCredentialType. |
| 16 | Device | La credencial de usuario es un dispositivo. |
| 17 | ForeignRealmIndex | La credencial de usuario es ForeignRealmIndex. |
Enum: LoginType - Tipo: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| -1 | Other | Otro tipo i. |
| 1 | InitialAuth | Inicie sesión con la autenticación inicial |
| 2 | CookieCopy | Inicie sesión con la cookie. |
| 3 | SilentReAuth | Inicie sesión con la reautenticación silenciosa. |
Enum: AuthenticationMethod - Tipo: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Min | El método de autenticación es un método mín |
| 1 | Password | El método de autenticación es una contraseña. |
| 2 | Digest | El método de autenticación es un resumen. |
| 3 | ProxyAuth | El método de autenticación es un ProxyAuth. |
| 4 | InfoCard | El método de autenticación es un InfoCard. |
| 5 | DAToken | El método de autenticación es un DAToken. |
| 6 | Sha1RememberMyPassword | El método de autenticación es una Sha1RememberMyPassword. |
| 7 | LMPasswordHash | El método de autenticación es un LMPasswordHash. |
| 8 | ADFSFederatedToken | El método de autenticación es un ADFSFederatedToken. |
| 9 | EID | El método de autenticación es un EID. |
| 10 | DeviceID | El método de autenticación es un DeviceID. |
| 11 | MD5 | El método de autenticación es un MD5. |
| 12 | EncProxyPasswordHash | El método de autenticación es un EncProxyPasswordHash. |
| 13 | LWAFederation | El método de autenticación es un LWAFederation. |
| 14 | Sha1HashedPassword | El método de autenticación es un Sha1HashedPassword. |
| 15 | SecurePin | El método de autenticación es un PIN seguro. |
| 16 | SecurePinReset | El método de autenticación es un restablecimiento de PIN seguro. |
| 17 | SAML20PostSimpleSign | El método de autenticación es un SAML20PostSimpleSign. |
| 18 | SAML20Post | El método de autenticación es un SAML20Post. |
| 19 | OneTimeCode | El método de autenticación es un código de un solo uso. |
Esquema de Azure Active Directory
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Actor | Collection(Self.IdentityTypeValuePair) | No | El usuario o una entidad de servicio que efectuó la acción. |
| ActorContextId | Edm.String | No | El GUID de la organización a la que pertenece el agente. |
| ActorIpAddress | Edm.String | No | La dirección IP del actor en formato de dirección IPV4 o IPV6. |
| InterSystemsId | Edm.String | No | El GUID que realiza un seguimiento de las acciones de componentes en el servicio de Office 365. |
| IntraSystemsId | Edm.String | No | El GUID que genera Azure Active Directory para realizar un seguimiento de la acción. |
| SupportTicketId | Edm.String | No | El id. del vale de soporte de cliente para la acción en situaciones de "actuar en nombre de". |
| Target | Collection(Self.IdentityTypeValuePair) | No | El usuario para el que se realizó la acción (identificada por la propiedad Operation). |
| TargetContextId | Edm.String | No | El GUID de la organización a la que pertenece el usuario de destino. |
Tipo complejo IdentityTypeValuePair
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id. | Edm.String | Sí | El valor de la identidad dada el tipo. |
| Type | Self.IdentityType | Sí | El tipo de la identidad. |
Enum: IdentityType - Tipo: Edm.Int32
IdentityType
| Nombre del miembro | Descripción |
|---|---|
| Claim | La identidad es una notificación para el propósito de autorización. |
| Name | El actor de la acción de auditoría o el nombre para mostrar de la identidad de destino. |
| Other | La identidad del actor es otro tipo, como ObjectId en GUID generado por el servicio de Office 365. |
| PUID | El agente de acción de auditoría o el identificador único de Microsoft .NET Passport (PUID) de destino. |
| SPN | La identidad de una entidad de servicio si la acción la ejecuta el servicio de Office 365. |
| UPN | El nombre principal del usuario. |
Esquema de inicio de sesión de servicio de token de seguridad (STS) de Azure Active Directory
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ApplicationId | Edm.String | No | El GUID que representa la aplicación que solicita el inicio de sesión. Se puede buscar el nombre para mostrar a través de la API de Graph de Azure Active Directory. |
| Client | Edm.String | No | Información de dispositivo cliente, proporcionada por el explorador que realiza el inicio de sesión. |
| DeviceProperties | Collection(Common.NameValuePair) | No | Esta propiedad incluye varios detalles de dispositivos, como Id., nombre para mostrar, SO, navegador, IsCompliant, IsCompliantAndManaged, SessionId, y DeviceTrustType. La propiedad DeviceTrustType puede tener los siguientes valores: 0: Microsoft Entra registrado 1: unidos Microsoft Entra 2: unidos a Microsoft Entra híbridos |
| ErrorCode | Edm.String | No | Para inicios de sesión con errores (donde el valor de la propiedad Operation es UserLoginFailed), esta propiedad contiene el código de error STS (AADSTS) de Azure Active Directory. Para ver descripciones de estos códigos de error, consulte Códigos de error de autenticación y autorización. Un valor de 0 indica que el inicio de sesión se ha realizado correctamente. |
| LogonError | Edm.String | No | En el caso de los inicios de sesión con errores, esta propiedad contiene una descripción legible del motivo del error en el inicio de sesión. |
Esquema DLP
Los eventos de prevención de pérdida de datos (DLP) en Microsoft Purview están disponibles para Exchange Online, Endpoint(devices) y SharePoint y OneDrive.
Los eventos DLP siempre tienen UserKey="DlpAgent" en el esquema común. Hay tres tipos de DlpEvents que se almacenan como el valor de la propiedad Operation del esquema común:
- DlpRuleMatch: indica que se ha coincidente una regla. Estos eventos existen en todos Exchange, Endpoint(devices) y SharePoint y OneDrive. Para Exchange incluye los falsos positivos y reemplazar información. Para SharePoint y OneDrive, los falsos positivos y las invalidaciones generan eventos independientes.
-
DlpRuleUndo: solo SharePoint y OneDrive. Indica que se ha "deshacer" una acción de directiva aplicada anteriormente debido a lo siguiente:
- AFalse positive/override designación por usuario.
- El documento ya no está sujeto a la directiva (ya sea debido a un cambio de directiva o a un cambio en el contenido del documento).
- DlpInfo: solo SharePoint y OneDrive. Indica una designación de falsos positivos, pero no se "deshace ninguna acción".
| Parameters | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| SharePointMetaData | Self.SharePointMetadata | No | Describe los metadatos sobre el documento de SharePoint o OneDrive que contenían la información confidencial. |
| ExchangeMetaData | Self.ExchangeMetadata | No | Describe los metadatos sobre el mensaje de correo electrónico que contiene la información confidencial. |
| EndpointMetaData | Propio. EndpointMetadata | No | Describe los metadatos sobre el documento en el punto de conexión que contenía la información confidencial. |
| ExceptionInfo | Edm.String | No | Identifica los motivos por los que ya no se aplica una directiva o cualquier información sobre falsos positivos o invalidación indicada por el usuario final. |
| PolicyDetails | Collection(Self.PolicyDetails) | Sí | Información sobre 1 o más directivas que ha desencadenado el evento DLP. |
| SensitiveInfoDetectionIsIncluded | Boolean | Sí | Indica si el evento contiene el valor del tipo de datos confidenciales y el contexto del contenido de origen. Obtener acceso a los datos confidenciales requiere el permiso "Leer eventos de directiva DLP como información confidencial" en Azure Active Directory. |
Esquema de eDiscovery
El esquema de auditoría de eDiscovery está diseñado para capturar y registrar actividades relacionadas con los procesos de exhibición de documentos electrónicos dentro de la organización.
| Parameters | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| CaseId | Edm.Guid | No | Identidad (GUID) del caso de eDiscovery. |
| CaseName | Edm.String | No | Nombre del caso de eDiscovery. |
| Object1Id | Edm.String | No | Identificador del objeto (por ejemplo, un conjunto de búsqueda, suspensión o revisión) que se creó, se accedió o cambió. |
| Object1Name | Edm.String | No | Nombre del objeto (por ejemplo, un conjunto de búsqueda, suspensión o revisión) que se creó, se accedió o cambió. |
| Object1Type | Edm.String | No | Tipo del objeto eDiscovery que el usuario creó, eliminó o modificó. |
| Object2Id | Edm.String | No | Identificador del objeto (por ejemplo, un conjunto de búsqueda, suspensión o revisión) que se creó, se accedió o cambió. |
| Object2Name | Edm.String | No | Nombre del objeto (por ejemplo, un conjunto de búsqueda, suspensión o revisión) que se creó, se accedió o cambió. |
| Object2Type | Edm.String | No | Tipo del objeto eDiscovery que el usuario creó, eliminó o modificó. |
| StartTime | Edm.Date | No | Fecha y hora de la hora universal coordinada (UTC) cuando se inició la actividad de exhibición de documentos electrónicos. |
| EndTime | Edm.Date | No | Fecha y hora en hora universal coordinada (UTC) cuando finalizó la actividad de exhibición de documentos electrónicos. |
| UserCancelled | Edm.Boolean | No | Si el usuario canceló la actividad específica. |
| ItemIds | Collection(Edm.String) | No | Identificadores de elemento asociados a la actividad. |
| ItemNames | Collection(Edm.String) | No | Nombres de elemento asociados a la actividad. |
| DataSources | Collection(Edm.String) | No | Una lista de identificadores de origen, nombres de origen y ubicaciones asociados a la actividad. |
| QueryId | Edm.String | No | Identificador de la consulta asociada a la actividad. |
| QueryText | Edm.String | No | Texto de consulta asociado a la actividad, como un proceso de estadísticas de búsqueda o agregar para revisar el proceso. |
| QueryFiles | Collection(Edm.String) | No | Nombres de archivo de entrada usados para generar la consulta. Esto es específico de la búsqueda por gesto de archivo. |
| Configuraciones | Collection(Common.NameValuePair) | No | Configuración aplicada a la actividad eDiscovery. |
| ExtendedProperties | Collection(Common.NameValuePair) | No | Propiedades adicionales relacionadas con la actividad eDiscovery. |
| ExportName | Edm.String | No | Nombre de la exportación de eDiscovery. |
| JobId | Edm.String | No | GUID del proceso de eDiscovery. |
| RecordNumber | Edm.String | No | Se usa cuando un registro de auditoría se divide en varias partes debido al tamaño. Indica la secuencia de cada parte dentro de las divisiones totales. |
Tipo complejo SharePointMetadata
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| From | Edm.String | Sí | El usuario ha desencadenado el evento. Los valores son FileOwner, LastModifier o LastSharer. |
| itemCreationTime | Edm.Date | Sí | Marca de fecha y hora en UTC de cuando se registró el evento. |
| SiteCollectionGuid | Edm.Guid | Sí | El GUID de la colección de sitios. |
| SiteCollectionUrl | Edm.String | Sí | El nombre del sitio de SharePoint. |
| FileName | Edm.String | Sí | El nombre de la ruta de acceso. |
| FileOwner | Edm.String | Sí | El propietario del documento. |
| FilePathUrl | Edm.String | Sí | La dirección URL del documento |
| DocumentLastModifier | Edm.String | Sí | El usuario que ha modificado por última vez el documento. |
| DocumentSharer | Edm.String | Sí | El usuario que ha modificado por última vez el uso compartido del documento. |
| UniqueId | Edm.String | Sí | Un GUID que identifica el archivo. |
| LastModifiedTime | Edm.DateTime | Sí | Marca de tiempo en UTC que indica la última vez que se modificó el documento. |
| IsViewableByExternalUsers | Edm.Boolean | Sí | Determina si el archivo es accesible para cualquier usuario externo. |
Tipo complejo ExchangeMetadata
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| MessageID | Edm.String | Sí | El identificador de mensaje de correo electrónico que ha desencadenado el evento. |
| From | Edm.String | Sí | El usuario que envió el correo electrónico. |
| To | Collection(Edm.String) | No | Un conjunto de direcciones de correo electrónico que estaban en la línea Para del mensaje. |
| CC | Collection(Edm.String) | No | Un conjunto de direcciones de correo electrónico que estaban en la línea CC del mensaje. |
| BCC | Collection(Edm.String) | No | Un conjunto de direcciones de correo electrónico que estaban en la línea CCO del mensaje. |
| Subject | Edm.String | Sí | El asunto del mensaje de correo electrónico. |
| Sent | Edm.DateTime | Sí | La hora en UTC a la que se envió el correo electrónico. |
| RecipientCount | Edm.Int32 | Sí | El número total de todos los destinatarios en las líneas Para, CC y CCO del mensaje. |
Tipo complejo EndpointMetadata
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | No | Información sobre el tipo de información confidencial que se detectó. |
| EnforcementMode | Edm.String | Sí | Indique si la regla DLP establecida en 1/2/3/4/5 que representa audit/warn(block with override)/warn y bypass/block/allow(audit without alerts) respectivamente. |
| FileExtension | Edm.String | No | Extensión de archivo del documento que contenía la información confidencial. |
| FileType | Edm.String | No | Tipo de archivo del documento que contenía la información confidencial. |
| DeviceName | Edm.String | No | Nombre del dispositivo en el que se detectó la coincidencia de la regla DLP. |
Tipo complejo PolicyDetails
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| PolicyId | Edm.Guid | Sí | El GUID de la directiva DLP para el evento. |
| PolicyName | Edm.String | Sí | El nombre descriptivo de la directiva DLP para el evento. |
| Rules | Collection(Self.Rules) | Sí | Información sobre las reglas de la directiva coincidentes para el evento. |
Tipos complejo reglas
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| RuleId | Edm.Guid | Sí | El GUID de la regla DLP para el evento. |
| RuleName | Edm.String | Sí | El nombre descriptivo de la regla DLP para el evento. |
| Acciones | Collection(Edm.String) | No | Una lista de acciones como resultado de un evento RuleMatch DLP. |
| OverriddenActions | Collection(Edm.String) | No | Una lista de acciones realizadas anteriormente que ahora se han deshecho como resultado de un evento DLPRuleUndo. |
| Severity | Edm.String | No | La gravedad (baja, media y alta) de la coincidencia de regla. |
| RuleMode | Edm.String | Sí | Indica si la regla DLP solo se ha configurado para Aplicar, Auditar con notificación o Solo auditar. |
| ConditionsMatched | Self.ConditionsMatched | No | Información sobre las condiciones de la regla para las que se han encontrado coincidencias para el evento. |
Tipo complejo ConditionsMatched
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | No | Información sobre el tipo de información confidencial que se detectó. |
| DocumentProperties | Collection(NameValuePair) | No | Información sobre las propiedades del documento que activaron una coincidencia de regla. |
| OtherConditions | Collection(NameValuePair) | No | Una lista de los pares de valores clave que describe cualquier otra condición para la que se encontrón coincidencias. |
Tipo complejo SensitiveInformation
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Confidence | Edm.Int | Sí | La confianza agregada de todas las coincidencias de patrón para el tipo de información confidencial. |
| Count | Edm.Int | Sí | El número total de instancias confidenciales detectadas. |
| Ubicación | Edm.String | No | |
| SensitiveType | Edm.Guid | Sí | Un GUID que identifica el tipo de información confidencial detectado. |
| SensitiveInformationDetections | Self.SensitiveInformationDetections | No | Matriz de objetos que contienen datos de información confidencial con los siguientes detalles: valor coincidente y contexto del valor coincidente. |
| SensitiveInformationDetailed ClassificationAttributes |
Collection(SensitiveInformationDetailed ConfidenceLevelResult) |
Sí | Información sobre el recuento de tipos de información confidencial detectados para cada uno de los tres niveles de confianza (alto, medio y bajo) y que coincide o no con la regla DLP. |
| SensitiveInformationTypeName | Edm.String | No | El nombre del tipo de información confidencial. |
| UniqueCount | Edm.Int32 | Sí | El recuento único de instancias confidenciales detectadas. |
Tipo complejo SensitiveInformationDetailedClassificationAttributes
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Confidence | Edm.int32 | Sí | El nivel de confianza del patrón que se detectó. |
| Count | Edm.Int32 | Sí | Número de instancias confidenciales detectadas para un nivel de confianza determinado. |
| IsMatch | Edm.Boolean | Sí | Indica si el recuento dado y el nivel de confianza del tipo confidencial detectado dan como resultado una coincidencia de la regla DLP. |
Tipo complejo SensitiveInformationDetections
Los datos confidenciales de DLP solo están disponibles en la API de fuente de actividades para los usuarios a los que se les han concedido permisos "Leer datos confidenciales de DLP".
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| DetectedValues | Collection(Common.NameValuePair) | Sí | Una matriz de información confidencial que se detectó. La información contiene pares clave-valor con Valor = valor coincidente (por ejemplo, Valor de la tarjeta de crédito) y Context = un extracto del contenido de origen que contiene el valor coincidente. |
| ResultsTruncated | Edm.Boolean | Sí | Indica si los registros se truncan debido al gran número de resultados. |
Tipo complejo ExceptionInfo
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Reason | Edm.String | No | Para un evento DLPRuleUndo, indica por qué ya no se aplica la regla, lo que puede deberse a uno de los estos tres motivos: Invalidación, Cambio del documento o Cambio de directiva |
| FalsePositive | Edm.Boolean | No | Indica si el usuario designó este evento como un falso positivo. |
| Justificación | Edm.String | No | Si el usuario decidió invalidar la directiva, cualquier justificación especificada por el usuario se captura aquí. |
| Rules | Collection(Edm.Guid) | No | Colección de GUID para cada regla que se designó como falso positivo o invalidación, o para la que se deshacía una acción. |
Esquema de Centro de seguridad y cumplimiento
| Parameters | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| StartTime | Edm.Date | No | Fecha y hora en que se ejecutó el cmdlet. |
| ClientRequestId | Edm.String | No | GUID que se puede usar para correlacionar este cmdlet con las operaciones del portal. Esta información solo la usa el soporte técnico de Microsoft. |
| CmdletVersion | Edm.String | No | Versión de compilación del cmdlet cuando se ejecutó. |
| EffectiveOrganization | Edm.String | No | El GUID de la organización que se han visto afectada por el cmdlet. (En desuso: este parámetro dejará de aparecer). |
| UserServicePlan | Edm.String | No | Plan de servicio asignado al usuario que ejecutó el cmdlet. |
| ClientApplication | Edm.String | No | Si una aplicación ejecutó el cmdlet, en lugar de PowerShell remoto, este campo contiene el nombre de la aplicación. |
| Parámetros | Edm.String | No | Nombre y valor de los parámetros que se usaron con el cmdlet que no incluyen datos personales. |
| NonPiiParameters | Edm.String | No | Nombre y valor de los parámetros que se usaron con el cmdlet que incluyen datos personales. (En desuso: este campo dejará de aparecer y su contenido se combinará con el campo Parámetros). |
Esquema de alertas de seguridad y cumplimiento
Las señales de alerta son:
- Todas las alertas generadas por las directivas de alerta en el portal de Microsoft Defender.
- Alertas relacionadas con Microsoft 365 generadas en Microsoft Defender for Cloud Apps.
Los UserId y UserKey de estos eventos son siempre SecurityComplianceAlerts. Hay tres tipos de alerta que se almacenan como el valor de la propiedad Operation del esquema común:
- AlertTriggered: se genera una nueva alerta debido a una coincidencia de directiva.
- AlertEntityGenerated: se agrega una nueva entidad a una alerta. Este evento solo se aplica a las alertas generadas en función de las directivas de alerta del portal de Microsoft Defender. Cada alerta generada puede estar asociada con uno o varios de estos eventos. Por ejemplo, una directiva de alerta está definida para desencadenar una alerta si un usuario elimina más de 100 archivos en 5 minutos. Si dos usuarios superan el umbral aproximadamente al mismo tiempo, hay dos eventos AlertEntityGenerated, pero solo un evento AlertTriggered.
- AlertUpdated: se ha realizado una actualización en los metadatos de una alerta. Este evento se registra cuando se cambia el estado de una alerta (por ejemplo, de Activo a Resuelto) y cuando alguien agrega un comentario a la alerta.
| Parameters | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| AlertId | Edm.Guid | Sí | El GUID de la alerta. |
| AlertType | Self.String | Sí | Tipo de la alerta. Los tipos de alertas son:
|
| Nombre | Edm.String | Sí | Nombre de la alerta. |
| PolicyId | Edm.Guid | No | El GUID de la directiva que activó la alerta. |
| Estado | Edm.String | No | Estado de la alerta. Los estados son:
|
| Severity | Edm.String | No | Gravedad de la alerta. Los niveles de gravedad son:
|
| Categoría | Edm.String | No | Categoría de la alerta. Las categorías son:
|
| Origen | Edm.String | No | Origen de la alerta. Los orígenes son:
|
| Comentarios | Edm.String | No | Comentarios de los usuarios que han visto la alerta. De forma predeterminada, es "Nueva alerta". |
| Datos | Edm.String | No | El blob de datos detallados de la alerta o la entidad de la alerta. |
| AlertEntityId | Edm.String | No | El identificador de la entidad alerta. Este parámetro solo es válido para los eventos AlertEntityGenerated. |
| EntityType | Edm.String | No | Tipo de la alerta o de la entidad de la alerta. Los tipos de entidad de alertas son:
Este parámetro solo se aplica a eventos AlertEntityGenerated. |
esquema de Viva Engage
Viva Engage eventos devueltos en las búsquedas de registros de auditoría usan este esquema.
| Parameters | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| ActorUserId | Edm.String | No | El correo electrónico del usuario que llevó a cabo la operación. |
| ActorYammerUserId | Edm.Int64 | No | El id. del usuario que llevó a cabo la operación. |
| DataExportType | Edm.String | No | Devuelve "data" si la exportación de datos incluye mensajes, notas, archivos, temas, usuarios y grupos; devuelve "user" si la exportación de datos incluye únicamente a los usuarios. |
| FileId | Edm.Int64 | No | Id. del archivo en la operación. |
| FileName | Edm.String | No | Nombre del archivo en la operación. Aparece en blanco si no es relevante para la operación. |
| GroupName | Edm.String | No | Nombre del grupo en la operación. Aparece en blanco si no es relevante para la operación. |
| IsSoftDelete | Edm.Boolean | No | Devuelve "true" si se establece la directiva de retención de datos de la red en Eliminación temporal; devuelve "false" si se establece la directiva de retención de datos de la red en Eliminación. |
| MeetingId | Edm.String | No | Identificador de la reunión de eventos o equipos en la operación. |
| MessageId | Edm.Int64 | No | Id. del mensaje en la operación. |
| ModifiedProperties | Collection(ModifiedProperty) | No | Incluye el nombre de la propiedad que se modificó, el nuevo valor del objeto modificado y el valor anterior del objeto modificado. |
| YammerNetworkId | Edm.Int64 | No | El id. de la red del usuario que llevó a cabo la operación. |
| TargetObjectId | Edm.String | No | Entra identificador del usuario de destino en la operación. |
| TargetUserId | Edm.String | No | El correo electrónico del usuario de destino en la operación. Aparece en blanco si no es relevante para la operación. |
| TargetYammerUserId | Edm.Int64 | No | El id. del usuario de destino en la operación. |
| ThreadId | Edm.Int64 | No | Identificador del subproceso message en la operación. |
| VersionId | Edm.Int64 | No | El id. de versión del archivo en la operación. |
Esquema de base de seguridad del centro de datos
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| DataCenterSecurityEventType | Self.DataCenterSecurityEventType | Sí | El tipo de evento cmdlet en el cuadro de bloqueo. |
Enum: DataCenterSecurityEventType - Tipo: Edm.Int32
DataCenterSecurityEventType
| Nombre del miembro | Descripción |
|---|---|
| DataCenterSecurityCmdletAuditEvent | Este es el valor de enumeración para el tipo de evento de auditoría de cmdlet. |
Esquema de cmdlet de seguridad del centro de datos
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| StartTime | Edm.Date | Sí | La hora de inicio de la ejecución del cmdlet. |
| EffectiveOrganization | Edm.String | Sí | El nombre del inquilino al que iba dirigido el cmdlet o la elevación. |
| ElevationTime | Edm.Date | Sí | La hora de inicio de la elevación. |
| ElevationApprover | Edm.String | Sí | El nombre de un administrador de Microsoft. |
| ElevationApprovedTime | Edm.Date | No | La marca de tiempo para cuando se apruebe la elevación. |
| ElevationRequestId | Edm.Guid | Sí | Identificador exclusivo para la solicitud de elevación. |
| ElevationRole | Edm.String | No | El rol para la que se solicitó la elevación. |
| ElevationDuration | Edm.Int32 | Sí | La duración en la que la elevación estuvo activa. |
| GenericInfo | Edm.String | No | Usado para comentarios y otra información genérica. |
Esquema de Microsoft Teams
Los eventos de Microsoft Teams devueltos en las búsquedas de registros de auditoría usan estos esquemas.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Acción | Edm.String | No | Para los eventos de canal compartido, la acción realizada por el invitado o el propietario del canal para compartir con la invitación de equipo. |
| AddOnGuid | Edm.Guid | No | Un identificador único del complemento que generó el evento. |
| AddOnName | Edm.String | No | El nombre del complemento que generó el evento. |
| AddOnType | Self.AddOnType | No | El tipo de complemento que generó el evento. |
| CallId | Edm.String | No | Identificador único de la llamada. |
| ChannelGuid | Edm.Guid | No | Un identificador único para el canal que se audita. |
| ChannelName | Edm.String | No | El nombre del canal que se audita. |
| ChannelType | Edm.String | No | El tipo de canal que se está auditando (estándar o privado). |
| ExtraProperties | Collection(Self.KeyValuePair) | No | Una lista de propiedades adicionales. |
| HostedContents | Colección(Auto.HostedContent) | No | Una colección de contenidos alojados en el chat o en el canal. |
| ImpersonationType | Edm.String | No | Tipo de suplantación detectado, como marca, dominio o usuario. |
| Invitado | Edm.String | No | Para los eventos de canal compartido, el UPN del propietario del equipo invitado que acepta o rechaza la invitación para compartir con la invitación de equipo. |
| Members | Collection(Self.MicrosoftTeamsMember) | No | Una lista de usuarios en un equipo. |
| MessageId | Edm.String | No | Un identificador de mensaje de un canal o chat. |
| MessageURLs | Edm.String | No | Disponible para cualquier URL enviada en los mensajes de Teams. |
| Mensajes | Colección(Auto.Mensaje) | No | Una colección de mensajes del chat o del canal. |
| MessageSizeInBytes | Edm.Int64 | No | El tamaño de un mensaje de chat o canal en bytes con codificación UTF-16. |
| Nombre | Edm.String | No | Solo está disponible para eventos de configuración. Nombre de la configuración que ha cambiado. |
| NewValue | Edm.String | No | Solo está disponible para eventos de configuración. Valor nuevo de la configuración. |
| OldValue | Edm.String | No | Solo está disponible para eventos de configuración. Valor antiguo de la configuración. |
| Organizador | Propio. MicrosoftTeamsMember | No | Organizador de la reunión o llamada. |
| SubscriptionId | Edm.String | No | Un identificador único de una suscripción de notificación de cambios de Microsoft Graph. |
| TabType | Edm.String | No | Solo está disponible para los eventos de pestaña. El tipo de pestaña que generó el evento. |
| TeamGuid | Edm.Guid | No | Un identificador único del equipo que se audita. |
| TeamName | Edm.String | No | El nombre del equipo que se audita. |
Tipo complejo MicrosoftTeamsMember
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| UPN | Edm.String | No | El nombre principal del usuario. |
| Role | Self.MemberRoleType | No | El rol de usuario en el equipo. |
| DisplayName | Edm.String | No | El nombre para mostrar del usuario. |
Enum: MemberRoleType - Tipo: Edm.Int32
MemberRoleType
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Member | Un usuario que es un miembro del equipo. |
| 1 | Owner | Un usuario que es el propietario del equipo. |
| 2 | Guest | Un usuario que no es un miembro del equipo. |
Tipo complejo KeyValuePair
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Key | Edm.String | No | La clave del par clave-valor. |
| Valor | Edm.String | No | El valor del par clave-valor. |
Enum: AddOnType - Tipo: Edm.Int32
AddOnType
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | Bot | Un bot de Microsoft Teams. |
| 2 | Connector | Un conector de Microsoft Teams. |
| 3 | Tab | Una pestaña de Microsoft Teams. |
Tipo complejo HostedContent
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id | Edm.String | Sí | Un identificador único del contenido del mensaje alojado. |
| SizeInBytes | Edm.Int64 | No | El tamaño del contenido del mensaje alojado en bytes. |
Tipo complejo Mensaje
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| AADGroupId | Edm.String | No | Un identificador único del grupo en Azure Active Directory al que pertenece el mensaje. |
| Id | Edm.String | Sí | Un identificador único del mensaje del chat o del canal. |
| ChannelGuid | Edm.String | No | Identificador único del canal al que pertenece el mensaje. |
| ChannelName | Edm.String | No | El nombre del canal al que pertenece el mensaje. |
| ChannelType | Edm.String | No | El tipo de canal al que pertenece el mensaje. |
| ChatName | Edm.String | No | El nombre del chat al que pertenece el mensaje. |
| ChatThreadId | Edm.String | No | Un identificador único del chat al que pertenece el mensaje. |
| ParentMessageId | Edm.String | No | Un identificador único del mensaje de chat o canal principal. |
| SizeInBytes | Edm.Int64 | No | El tamaño del mensaje en bytes con codificación UTF-16. |
| TeamGuid | Edm.String | No | Un identificador único del equipo al que pertenece el mensaje. |
| TeamName | Edm.String | No | El nombre del equipo al que pertenece el mensaje. |
| Versión | Edm.String | No | La versión del mensaje del chat o del canal. |
Esquema de preocupación del usuario de Microsoft Teams
Los eventos relacionados con el usuario de Microsoft Teams devueltos en las búsquedas de registros de auditoría usan este esquema. Estos eventos se han RecordType establecido en MicrosoftTeamsUserConcern(462) y se aplican a las operaciones siguientes: MessageReported, y .UserReportedCallReported
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| SubmissionId | Edm.String | Sí | Identificador único del envío del informe de preocupación del usuario. |
| ReportMetadata | Edm.String | Sí | Cadena codificada en JSON que contiene metadatos sobre el informe, incluidos el motivo del informe y los detalles sobre la entidad notificada (mensaje, llamada o usuario). |
Esquema de Investigación y respuesta de amenazas y Microsoft Defender para Office 365
Microsoft Defender para eventos de Office 365 están disponibles para los clientes de Microsoft 365 que tienen Defender para Office 365, ya sea incluido o como una suscripción de complemento. Por ejemplo, Microsoft 365 Empresa Premium incluye Defender para Office 365 Plan 1 y Microsoft 365 A5/E5/G5 incluye Defender para Office 365 Plan 2.
Los eventos de investigación y respuesta de amenazas solo están disponibles para los clientes con Defender para Office 365 Plan 2.
Cada evento de la fuente de Defender para Office 365 corresponde a las siguientes características:
- Los mensajes de correo electrónico entregados se detectaron y actuaron con una purga automática de cero horas (ZAP).
- Direcciones URL detectadas al hacer clic en vínculos seguros.
- Files detectan datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams.
- Alertas que desencadenaron investigaciones automatizadas (solo Defender para Office 365 Plan 2).
- eventos Entrenamiento de simulación de ataque (solo Defender para Office 365 Plan 2).
Eventos de mensaje de correo electrónico
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| AttachmentData | Collection(Self.AttachmentData) | No | Datos sobre los datos adjuntos en el mensaje de correo electrónico que ha desencadenado el evento. |
| DetectionType | Edm.String | Sí | El tipo de detección. Por ejemplo
Los eventos con el tipo de detección ZAP suelen ir precedidos de un mensaje con un tipo de detección retrasada . |
| DetectionMethod | Edm.String | Sí | El método de detección o la tecnología que usa Defender para Office 365. |
| InternetMessageId | Edm.String | Sí | El Id. del mensaje de Internet. |
| NetworkMessageId | Edm.String | Sí | El id. de mensaje de red en línea de Exchange. |
| P1Sender | Edm.String | Sí | La dirección MAIL FROM usada en la transmisión SMTP del mensaje de correo electrónico entre los servidores de correo electrónico (también conocida como dirección 5321.MailFrom , remitente P1 o remitente de sobre). |
| P2Sender | Edm.String | Sí | Dirección de origen (también conocida como dirección 5322.From o remitente P2) que se muestra en los clientes de correo electrónico. |
| Policy | Self.Policy | Sí | El tipo de directiva de amenaza (por ejemplo, Antispam o Antifish) y el tipo de acción relacionado (por ejemplo, Spam de alta confianza, Spam o Phish) relevantes para el mensaje de correo electrónico. |
| Policy | Self.PolicyAction | Sí | Acción configurada en la directiva de amenazas (por ejemplo, Mover a la carpeta Correo no deseado o Cuarentena) relevante para el mensaje de correo electrónico. |
| Recipientes | Collection(Edm.String) | Sí | Una matriz de los destinatarios del mensaje de correo electrónico. |
| SenderIp | Edm.String | Sí | Dirección IPv4 o IPv6 que envió el mensaje. |
| Subject | Edm.String | Sí | La línea de asunto del mensaje. |
| Verdict | Edm.String | Sí | El veredicto del mensaje. |
| MessageTime | Edm.Date | Sí | Fecha y hora en formato de hora universal coordinada (UTC) en la que el mensaje se ha recibido o enviado. |
| EventDeepLink | Edm.String | Sí | Vínculo profundo al evento de correo electrónico en el Explorador de amenazas o detecciones en tiempo real. |
| Acción de transferencia | Edm.String | Sí | La acción de entrega original en el mensaje de correo electrónico. |
| Ubicación de entrega original | Edm.String | Sí | La ubicación de entrega original del mensaje de correo electrónico. |
| Última ubicación de entrega | Edm.String | Sí | La última ubicación de entrega del mensaje de correo electrónico en el momento del evento. |
| Directionality | Edm.String | Sí | Identifica si un mensaje de correo electrónico era entrante, saliente o un mensaje dentro de la organización. |
| ThreatsAndDetectionTech | Edm.String | Sí | Las amenazas y las tecnologías de detección correspondientes. Este campo expone todas las amenazas en un mensaje de correo electrónico, incluida la última adición en el veredicto de correo no deseado. Por ejemplo, ["Phish: [Spoof DMARC]","Spam: [URL malicious reputation]"]. Las distintas tecnologías de detección y amenazas de detección se describen en Tecnologías de detección. |
| AdditionalActionsAndResults | Collection(Edm.String) | No | Las acciones adicionales que se realizaron en el correo electrónico, como ZAP o corrección manual. También incluye los resultados correspondientes. |
| Conectores | Edm.String | No | Nombres y GUID de los conectores asociados al correo electrónico. |
| AuthDetails | Collection(Self.AuthDetails) | No | Las comprobaciones de autenticación que se realizan para el correo electrónico. También incluye los valores de SPF, DKIM, DMARC y CompAuth. |
| SystemOverrides | Collection(Self.SystemOverrides) | No | Invalidaciones aplicables al correo electrónico. Pueden ser invalidaciones del sistema o del usuario. |
| Nivel de confianza de cebo | Edm.String | No | Indica el nivel de confianza asociado al veredicto de cebo. Puede ser normal o alto. |
Nota:
Le recomendamos que use el nuevo campo ThreatsAnd DetectionionTech porque muestra varios veredictos y las tecnologías de detección actualizadas. Este campo también se alinea con los valores que se ven en otras experiencias, como el Explorador de amenazas y la búsqueda avanzada.
Tecnologías de detección
| Nombre | Descripción |
|---|---|
| Filtro avanzado | Modelos de aprendizaje automático para detectar suplantación de identidad (phishing) y correo no deseado. |
| Protección antimalware | Detección de antimalware basado en firmas. |
| Masivo | Detección de publicidad/marketing y tipos de mensajes similares con sus niveles relativos de quejas masivas (BCL). |
| Campaña | Mensajes identificados y agrupados como parte de una campaña de malware o phishing. |
| Reputación de dominio | El mensaje se envió desde un dominio que se identificó como dominio de spam o phishing, en función de señales internas o externas. |
| Detonación de archivos | Los datos adjuntos seguros detectaron un archivo adjunto malintencionado durante la detonación dentro de un espacio aislado. |
| Reputación de detonación de archivos | Archivos adjuntos detectados anteriormente por datos adjuntos seguros durante la detonación. |
| Reputación de los archivos | El mensaje contiene un archivo que otros orígenes identificaron anteriormente como malintencionado. |
| Coincidencia de huella digital | El mensaje es similar a un mensaje malintencionado o de correo no deseado detectado previamente. |
| Filtro general | Señales de phishing o spam basadas en la heurística de los analistas. |
| Suplantación de marca | Suplantación de remitente de marcas conocidas. |
| Dominio de suplantación | Suplantación de dominios de remitente que posee o especifica para la protección en las directivas contra suplantación de identidad (phishing). |
| Suplantación de usuarios | Suplantación de remitentes protegidos que especificó en las directivas anti-phishing. |
| Reputación de la P.I. | El mensaje se envió desde una dirección IP que se identificó como potencialmente malintencionada. |
| Análisis de contenido de LLM | Análisis por modelos de lenguaje grande creados específicamente por Microsoft para detectar correo electrónico dañino. |
| Bombardeo de correo | Un ataque de denegación de servicio distribuido (DDoS) que suele suscribir a los destinatarios a un gran número de boletines y servicios legítimos. El volumen resultante de correo electrónico entrante en cuestión de minutos tiene la intención de saturar los sistemas de seguridad de correo electrónico y buzón del destinatario, y actúa como un precursor de malware, ransomware o filtración de datos. |
| Suplantación de inteligencia de buzón | El remitente ha detectado que suplanta una dirección en el mapa de remitente personal del usuario. |
| Detección de análisis mixto | Varios filtros han contribuido al veredicto de este mensaje. |
| Suplantación electrónica DMARC | Error en la autenticación DMARC del mensaje. |
| Suplantación de seguridad de dominio externo | La inteligencia de suplantación de identidad detectó la suplantación de correo electrónico de un dominio externo a su organización. |
| Suplantación de seguridad para la organización | La inteligencia de suplantación de identidad detectó la suplantación de correo electrónico de un usuario o dominio que es interno de su organización. |
| Detonación de URL | Vínculos seguros detectó una dirección URL malintencionada en el mensaje durante la detonación dentro de un espacio aislado. |
| Reputación de detonación de URL | Direcciones URL detectadas anteriormente por Vínculos seguros durante la detonación. |
| Reputación malintencionada de URL | El mensaje contiene una dirección URL que otros orígenes identificaron anteriormente como malintencionada o correo no deseado. |
Tipo complejo AttachmentData
AttachmentData
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| FileName | Edm.String | Sí | El nombre de archivo de los datos adjuntos. |
| FileType | Edm.String | Sí | El tipo de archivo de los datos adjuntos. |
| FileVerdict | Self.FileVerdict | Sí | El veredicto de malware del archivo. |
| MalwareFamily | Edm.String | No | La familia de malware del archivo. |
| SHA256 | Edm.String | Sí | El hash SHA256 del archivo. |
Nota:
Dentro de la familia Malware, verá el nombre exacto de MalwareFamily (por ejemplo, HTML/Phish.VS! MSR) o carga malintencionada como una cadena estática. Una carga malintencionada debe tratarse como correo electrónico malintencionado cuando no se identifica un nombre específico.
Tipo complejo de SystemOverrides
SystemOverrides
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Detalles | Edm.String | No | Detalles sobre la invalidación específica (como ETR o remitente seguro) que se aplicó. |
| FinalOverride | Edm.String | No | Indica la invalidación que ha afectado a la entrega en el caso de que haya varias. |
| Resultado | Edm.String | No | Indica si el correo electrónico se estableció como permitido o bloqueado en función de la invalidación. |
| Origen | Edm.String | No | Indica si la invalidación la configuró el usuario o el espacio empresarial. |
Tipo complejo AuthDetails
AuthDetails
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Nombre | Edm.String | No | Nombre de la comprobación de autenticación específica, como DKIM o DMARC. |
| Valor | Edm.String | No | Valor asociado a la comprobación de autenticación específica, como True o False. |
Enum: FileVerdict - Tipo: Edm.Int32
FileVerdict
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Good | No hay amenazas detectadas. |
| 1 | Bad | Malware detectado en el archivo adjunto. |
| -1 | Error | Error de análisis o examen. |
| -2 | Timeout | Se agotó el tiempo de espera del análisis o el examen. |
| -3 | Pending | El análisis o el examen no se completó. |
Enum: Policy - Type: Edm.Int32
Tipo de directiva y tipo de acción
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | Anti-spam, HSPM | Acción de spam de alta confianza (HSPM) en la directiva contra correo no deseado. |
| 2 | Anti-spam, SPM | Acción de correo no deseado (SPM) en la directiva contra correo no deseado. |
| 3 | Anti-spam, Bulk | Acción masiva en la directiva contra correo no deseado. |
| 4 | Anti-spam, PHSH | Acción de Phish (PHSH) en la directiva contra el correo no deseado. |
| 5 | Anti-phish, DIMP | Acción de suplantación de dominio (DIMP) en la directiva anti-phishing. |
| 6 | Anti-phish, UIMP | Acción de suplantación de usuario (UIMP) en la directiva anti phishing. |
| 7 | Anti-phish, SPOOF | Acción de suplantación de identidad en la directiva contra suplantación de identidad (phishing). |
| 8 | Anti-phish, GIMP | Acción de inteligencia de buzones en la directiva contra suplantación de identidad . |
| 9 | Programas anti-malware, AMP | Acción de directiva de malware en la directiva antimalware. |
| 10 | Datos adjuntos seguros, SAP | Acción de directiva en la directiva Datos adjuntos seguros. |
| 11 | Regla de transporte de Exchange, ETR | Acción de directiva en la regla de flujo de correo de Exchange (también conocida como regla de transporte). |
| 12 | Antimalware, ZAPM | Acción de directiva de malware en la directiva antimalware aplicada a la purga automática de cero horas (ZAP). |
| 13 | Anti-phish, ZAPP | Acción de directiva de suplantación de identidad (phishing) en la directiva contra suplantación de identidad aplicada a ZAP. |
| 14 | Anti-phish, ZAPS | Acción de directiva de correo no deseado en la directiva contra correo no deseado aplicada a ZAP. |
| 15 | Filtro de correo no deseado, correo electrónico de suplantación de identidad de alta confianza (HPHISH) | Acción de la directiva phish de alta confianza en la directiva contra el correo no deseado. |
| 17 | Filtro de correo no deseado, Directiva de correo no deseado saliente (OSPM) | Acción de directiva en la directiva de correo no deseado saliente. |
Enum: PolicyAction - Type: Edm.Int32
Acción de directiva
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | MoveToJMF | La acción de directiva es mover el mensaje a la carpeta de Email no deseado. |
| 1 | AddXHeader | La acción de directiva es agregar un encabezado X al mensaje de correo electrónico. |
| 2 | ModifySubject | La acción de la directiva consiste en modificar el asunto en el mensaje de correo electrónico con la información especificada por la directiva de amenazas. |
| 3 | Redirect | La acción de directiva es redirigir el mensaje de correo electrónico a la dirección de correo electrónico especificada por la directiva de amenazas. |
| 4 | Delete | La acción de directiva es eliminar (quitar) el mensaje de correo electrónico. |
| 5 | Quarantine | La acción de directiva es poner en cuarentena el mensaje de correo electrónico. |
| 6 | NoAction | La directiva está configurada para no realizar ninguna acción en el mensaje de correo electrónico. |
| 7 | BccMessage | La acción de directiva consiste en acote el mensaje de correo electrónico a la dirección de correo electrónico especificada por la directiva de amenazas. |
| 8 | ReplaceAttachment | La acción de directiva es reemplazar los datos adjuntos en el mensaje de correo electrónico según lo especificado por la directiva de amenazas. |
Eventos de tiempo de clic de URL
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| UserId | Edm.String | Sí | Identificador (por ejemplo, dirección de correo electrónico) del usuario que ha hecho clic en la dirección URL. |
| AppName | Edm.String | Sí | El servicio de Office 365 desde el que se hizo clic en la dirección URL (por ejemplo, Correo). |
| URLClickAction | Self.URLClickAction | Sí | Haga clic en la acción de la dirección URL en función de las directivas de la organización para vínculos seguros. |
| SourceId | Edm.String | Sí | Identificador del servicio de Office 365 desde el que se hizo clic en la dirección URL (por ejemplo, para el correo electrónico, este valor es el Exchange Online identificador de mensaje de red). |
| TimeOfClick | Edm.Date | Sí | La fecha y hora en formato Hora universal coordinada (UTC) cuando el usuario hizo clic en la dirección URL. |
| URL | Edm.String | Sí | Dirección URL en la que el usuario hizo clic. |
| UserIp | Edm.String | Sí | Dirección IPv4 o IPv6 del usuario que ha hecho clic en la dirección URL. |
Enum: URLClickAction - Tipo: Edm.Int32
URLClickAction
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 2 | Blockpage | El usuario ha bloqueado la navegación a la dirección URL mediante vínculos seguros. |
| 3 | PendingDetonationPage | Usuario presentado con la página pendiente de detonación por Vínculos seguros. |
| 4 | BlockPageOverride | El usuario bloqueó la navegación a la dirección URL mediante vínculos seguros, pero el usuario superó el bloque para navegar a la dirección URL. |
| 5 | PendingDetonationPageOverride | El usuario presentó la página de detonación mediante Vínculos seguros, pero el usuario superó la página para navegar a la dirección URL. |
Eventos de archivo
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| FileData | Self.FileData | Sí | Datos sobre el archivo que ha desencadenado el evento. |
| SourceWorkload | Self.SourceWorkload | Sí | Carga de trabajo o servicio donde se encontró el archivo (por ejemplo, SharePoint, OneDrive o Microsoft Teams) |
| DetectionMethod | Edm.String | Sí | El método o la tecnología usada por Microsoft Defender para Office 365 para la detección. |
| LastModifiedDate | Edm.Date | Sí | Fecha y hora en formato de hora universal coordinada (UTC) en la que el archivo fue creado o modificado por última vez. |
| LastModifiedBy | Edm.String | Sí | El identificador (por ejemplo, la dirección de correo electrónico) para el usuario que creó o modificó por última vez el archivo. |
| EventDeepLink | Edm.String | Sí | Vínculo profundo al evento de archivo en el Explorador de amenazas o detecciones en tiempo real. |
Tipos complejo FileData
FileData
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| DocumentId | Edm.String | Sí | Identificador único para el archivo en Microsoft Teams, OneDrive o SharePoint. |
| FileName | Edm.String | Sí | Nombre del archivo que ha desencadenado el evento. |
| FilePath | Edm.String | Sí | Ruta de acceso (ubicación) para el archivo en Microsoft Teams, OneDrive o SharePoint. |
| FileVerdict | Self.FileVerdict | Sí | El veredicto de malware del archivo. |
| MalwareFamily | Edm.String | No | La familia de malware del archivo. |
| SHA256 | Edm.String | Sí | El hash SHA256 del archivo. |
| FileSize | Edm.String | Sí | Tamaño del archivo en bytes. |
Enum: SourceWorkload - Tipo: Edm.Int32
SourceWorkload
| Valor | Nombre del miembro |
|---|---|
| 0 | SharePoint |
| 1 | OneDrive |
| 2 | Microsoft Teams |
Esquema de Sim de ataque en Microsoft Defender para Office 365 Plan 2
Entrenamiento de simulación de ataque eventos están disponibles para los clientes de Microsoft 365 que tienen Defender para Office 365 Plan 2, ya sea incluido o como una suscripción de complemento. Por ejemplo, Microsoft 365 A5/E5/G5 incluye Defender para Office 365 Plan 2.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id. de Batch | Edm.String | Sí | Identificador único de un grupo de registros que se procesan juntos. |
| Identificador de campaña | Edm.String | Sí | Identificador único de la campaña de entrenamiento de simulación de ataques. |
| UserDisplayName | Edm.String | No | Nombre para mostrar del usuario implicado en la campaña de entrenamiento de simulación de ataque. |
| AttackTechnique | Edm.String | No | Técnica de ataque usada en la simulación. |
| CampaignType | Edm.String | No | Tipo de campaña de simulación de ataques. Los diferentes tipos son campaña de simulación, campaña de entrenamiento, automatización de simulaciones. |
| TimeData | Edm.Date | No | Hora de lanzamiento de la campaña. |
| EndTimeData | Edm.Date | No | Hora de finalización de la campaña. |
| AttackSimEvent | Self.AttackSimEventType | Sí | Tipo de evento (actividad del usuario o estado de entrega de mensajes). |
| ExtendedProperties | Collection(Common.NameValuePair) | Sí | Propiedades adicionales asociadas al registro de auditoría. |
Enumeración: AttackSimEventType - Type: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | MessageDelivered | Mensaje entregado al destinatario correctamente. |
| 2 | MessageFailed | Error al entregar el mensaje. |
| 6 | CredentialEntered | El usuario especificó las credenciales en la simulación de phish para técnicas como la recolección de credenciales, el vínculo en los datos adjuntos. |
| 7 | PermissionGranted | El usuario concedió permiso en la simulación de phish para técnicas como la concesión de consentimiento de Oauth. |
| 8 | LinkClicked | El usuario ha hecho clic en la dirección URL de simulación de phish. |
| 10 | AttachmentOpened | Datos adjuntos abiertos por el usuario para técnicas como datos adjuntos de malware, vínculo en datos adjuntos. |
| 12 | MessageRead | Mensaje abierto y leído por el destinatario. |
| 13 | MessageReplied | El destinatario respondió al mensaje. |
| 14 | MessageForwarded | Mensaje reenviado a otro usuario. |
| 15 | MessageReported | Mensaje notificado como phish por el destinatario. |
| 16 | MessageDeleted | Mensaje eliminado por el destinatario. |
| 17 | OutOfOffice | Respuestas automáticas en Outlook habilitadas para el destinatario. |
| 18 | PositiveReinforcementMessageDelivered | Mensaje de refuerzo positivo entregado correctamente al destinatario. |
Esquema de Administración de Sim de ataque en Microsoft Defender para Office 365 Plan 2
Entrenamiento de simulación de ataque eventos de administrador están disponibles para los clientes de Microsoft 365 que tienen Defender para Office 365 Plan 2, ya sea incluido o como una suscripción de complemento. Por ejemplo, Microsoft 365 A5/E5/G5 incluye Defender para Office 365 Plan 2.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id. de Batch | Edm.String | Sí | Identificador único de un grupo de registros que se procesan juntos. |
| Identificador de campaña | Edm.String | Sí | Identificador único de una campaña de entrenamiento de simulación de ataque. |
| AttackTechnique | Edm.String | No | Técnica de ataque usada en una simulación. |
| CampaignType | Edm.String | No | Tipo de campaña de simulación de ataques. Los diferentes tipos son campaña de simulación, campaña de entrenamiento, automatización de simulaciones. |
| TimeData | Edm.Date | Sí | Hora de lanzamiento de la campaña. |
| EndTimeData | Edm.Date | Sí | Hora de finalización de la campaña. |
| AttackSimAdminEvent | Self.AttackSimAdminEventType | Sí | Tipo de evento de administrador de sim de ataque. |
| ExtendedProperties | Collection(Common.NameValuePair) | Sí | Propiedades adicionales asociadas al registro de auditoría. |
Enumeración: AttackSimAdminEventType - Type: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | CampaignLaunched | Cuando se inició una campaña de entrenamiento de simulación de ataque. Los diferentes tipos de campañas son simulación, campaña de entrenamiento. |
| 1 | CampaignCompleted | Cuando se completó una campaña de entrenamiento de simulación de ataque. |
| 2 | CampaignReportDownloaded | Administración ha descargado un informe de campaña. |
| 3 | CampaignReportViewed | Administración ha visto un informe de campaña. |
| 4 | CampaignCancelled | Cuando se canceló una campaña de entrenamiento de simulación de ataque. |
| 5 | CampaignScheduled | Cuando se programó una campaña de entrenamiento de simulación de ataque. |
| 6 | CampaignDeleted | Cuando se eliminó una campaña de entrenamiento de simulación de ataque. |
| 7 | SimulationExcluded | Cuando se excluyó una simulación de los informes. |
| 8 | AutomationSubmitted | Cuando se envió una automatización, incluye la automatización de simulación y carga útil. |
| 9 | AutomationTurnOn | Cuando se ha activado una automatización, incluye la automatización de la simulación y la carga útil. |
| 10 | AutomationTurnOff | Cuando se ha desactivado una automatización, incluye la automatización de simulación y carga útil. |
| 11 | AutomationCompleted | Cuando se completó una automatización de simulación. |
| 12 | AutomationDeleted | Cuando se eliminó una automatización, incluye la automatización de la simulación y la carga útil. |
Esquema de entrenamiento de usuarios
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Id. de Batch | Edm.String | Sí | Identificador único de un grupo de registros que se procesan juntos. |
| Identificador de campaña | Edm.String | Sí | Identificador único de una campaña de entrenamiento de simulación de ataque. |
| Id. de curso | Edm.String | Sí | Identificador único de un curso de entrenamiento. |
| UserDisplayName | Edm.String | No | Nombre para mostrar del usuario implicado en la simulación de ataque. |
| CampaignType | Edm.String | Sí | Tipo de campaña de simulación de ataques. Los diferentes tipos son campaña de simulación, campaña de entrenamiento, automatización de simulaciones. |
| TimeData | Edm.Date | Sí | Hora de lanzamiento de la campaña. |
| EndTimeData | Edm.Date | Sí | Hora de finalización de la campaña. |
| UserTrainingEvent | Self.UserTrainingEventType | Sí | Tipo de evento de entrenamiento de usuario. |
| ExtendedProperties | Collection(Common.NameValuePair) | Sí | Propiedades adicionales asociadas al registro de auditoría. |
Enumeración: UserTrainingEventType - Type: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | TrainingAssigned | Entrenamiento asignado al usuario. |
| 2 | TrainingUpdated | Entrenamiento actualizado para el usuario. |
| 3 | TrainingCompleted | El usuario completó el entrenamiento. |
| 4 | TrainingPreviouslyAssigned | Entrenamiento asignado anteriormente al usuario. |
| 5 | TrainingNotCompleted | El usuario no completó el entrenamiento asignado. |
Esquema de envío
Los eventos para enviar falsos positivos o falsos negativos a Microsoft para su análisis están disponibles en todas las organizaciones con buzones de Exchange Online. Cada evento de la fuente de envío corresponde a falsos positivos o falsos negativos enviados por:
- Administradores: mensajes, archivos o direcciones URL enviados a Microsoft para su análisis.
- Usuarios: mensajes notificados por los usuarios a los administradores o a Microsoft para su revisión.
Eventos de envío
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| AdminSubmissionRegistered | Edm.String | No | El envío del administrador está registrado y pendiente de procesamiento. |
| AdminSubmissionDeliveryCheck | Edm.String | No | El sistema de envío de administrador comprobó la directiva del correo electrónico. |
| AdminSubmissionSubmitting | Edm.String | No | El sistema de envío de administrador está enviando el correo electrónico. |
| AdminSubmissionSubmitted | Edm.String | No | El sistema de envío de administrador ha enviado el correo electrónico. |
| AdminSubmissionTriage | Edm.String | No | Administración envío evaluado por el calificador. |
| AdminSubmissionTimeout | Edm.String | No | Administración envío agotó el tiempo de espera sin resultado. |
| UserSubmission | Edm.String | No | Un usuario final notificó primero el envío. |
| UserSubmissionTriage | Edm.String | No | El evaluador evalúa el envío del usuario. |
| CustomSubmission | Edm.String | No | Un mensaje notificado por un usuario se envió al buzón personalizado de la organización, tal como se establece en la configuración de mensajes notificados por el usuario. |
| AttackSimUserSubmission | Edm.String | No | El mensaje notificado por el usuario era en realidad un mensaje de entrenamiento de simulación de cebo. |
| AdminSubmissionTablAllow | Edm.String | No | Se creó una entrada allow en la lista de permitidos o bloqueados de inquilinos en el momento del envío para tomar medidas inmediatamente en mensajes similares mientras se vuelve a examinar. |
| SubmissionNotification | Edm.String | No | Los comentarios del administrador se envían al usuario final. |
Eventos de investigación y respuesta automatizados en Microsoft Defender para Office 365 Plan 2
Los eventos de investigación y respuesta automatizados (AIR) están disponibles para los clientes de Microsoft 365 que tienen Defender para Office 365 Plan 2, ya sea incluido o como una suscripción de complemento. Por ejemplo, Microsoft 365 A5/E5/G5 incluye Defender para Office 365 Plan 2.
Los eventos de investigación se registran en función de un cambio en el estado de investigación. Por ejemplo, cuando un administrador realiza una acción que cambia el estado de una investigación de Acciones pendientes a Completado, se registra un evento.
Actualmente, solo se registran las investigaciones automatizadas. Se registran los siguientes valores de estado:
- Investigación iniciada
- No se encontraron amenazas
- Finalizado por el sistema
- Acción pendiente
- Amenazas encontradas
- Corregido
- Error
- Finalizado por limitación
- Finalizado por el usuario
- En funcionamiento
Esquema de investigación principal
| Nombre | Tipo | Descripción |
|---|---|---|
| InvestigationId | Edm.String | Identificador o GUID de investigación. |
| InvestigationName | Edm.String | Nombre de la investigación. |
| InvestigationType | Edm.String | Tipo de investigación Puede tomar uno de los siguientes valores:
(Actualmente, las investigaciones manuales no están disponibles). |
| LastUpdateTimeUtc | Edm.Date | Hora UTC de la última actualización de una investigación. |
| StartTimeUtc | Edm.Date | Hora de inicio de una investigación. |
| Estado | Edm.String | Estado de investigación, En ejecución, Acciones pendientes, etc. |
| DeeplinkURL | Edm.String | Dirección URL de vínculo profundo a una investigación en el portal de Microsoft Defender. |
| Acciones | Colección (Edm.String) | Colección de acciones recomendadas por una investigación. |
| Datos | Edm.String | Cadena de datos que contiene más información sobre las entidades de investigación e información sobre las alertas relacionadas con la investigación. Las entidades están disponibles en un nodo independiente dentro del blob de datos. |
Acciones
| Field | Tipo | Descripción |
|---|---|---|
| Id. | Edm.String | Id. de la acción |
| ActionType | Edm.String | Tipo de la acción, como la corrección de correo electrónico. |
| ActionStatus | Edm.String | Los valores son:
|
| ApprovedBy | Edm.String | Es NULL si se aprueba automáticamente; en caso contrario, el nombre de usuario o el identificador (estará disponible próximamente) |
| TimestampUtc | Edm.DateTime | La marca de tiempo del cambio de estado de la acción. |
| ActionId | Edm.String | Identificador único de la acción. |
| InvestigationId | Edm.String | Identificador único para la investigación. |
| RelatedAlertIds | Collection(Edm.String) | Alertas relacionadas con una investigación. |
| StartTimeUtc | Edm.DateTime | Marca de tiempo de creación de la acción. |
| EndTimeUtc | Edm.DateTime | Marca de tiempo de actualización del estado final de la acción. |
| Identificadores de recursos | Edm.String | Constituido por el Identificador del inquilino de Azure Active Directory |
| Entidades | Collection(Edm.String) | Lista de una o varias entidades afectadas por acción. |
| Identificadores de alertas relacionadas | Edm.String | Alerta relacionada con una investigación. |
Entidades
MailMessage (correo electrónico)
| Field | Tipo | Descripción |
|---|---|---|
| Tipo | Edm.String | "mensaje de correo" |
| Archivos | Colección (Self.File) | Detalles sobre los archivos adjuntos de este mensaje. |
| Destinatario | Edm.String | Destinatario de este mensaje de correo. |
| Direcciones URL | Collection (self.URL) | Las direcciones URL contenidas en este mensaje de correo. |
| Remitente | Edm.String | Dirección de correo electrónico del remitente. |
| SenderIP | Edm.String | Dirección IP del remitente. |
| ReceivedDate | Edm.DateTime | Fecha de recepción de este mensaje. |
| NetworkMessageId | Edm.Guid | El identificador de mensaje de red de este mensaje de correo. |
| InternetMessageId | Edm.String | El identificador de mensaje de Internet de este mensaje de correo. |
| Subject | Edm.String | Asunto de este mensaje de correo. |
IP
| Field | Tipo | Descripción |
|---|---|---|
| Tipo | Edm.String | "ip" |
| Address | Edm.String | La dirección IP como una cadena, como 127.0.0.1. |
URL
| Field | Tipo | Descripción |
|---|---|---|
| Tipo | Edm.String | "url" |
| Url | Edm.String | Dirección URL completa a la que apunta una entidad. |
Buzón de correo (también equivalente al usuario)
| Field | Tipo | Descripción |
|---|---|---|
| Tipo | Edm.String | "mailbox" |
| MailboxPrimaryAddress | Edm.String | Dirección principal del buzón. |
| DisplayName | Edm.String | Nombre para mostrar del buzón. |
| Upn | Edm.String | UPN del buzón. |
Archivo
| Field | Tipo | Descripción |
|---|---|---|
| Tipo | Edm.String | "file" |
| Nombre | Edm.String | Nombre de archivo sin ruta de acceso. |
| FileHashes | Colección (Edm.String) | Los hashes de archivo asociados al archivo. |
FileHash
| Field | Tipo | Descripción |
|---|---|---|
| Tipo | Edm.String | "filehash" |
| Algoritmo | Edm.String | El tipo de algoritmo de hash, que puede ser uno de estos valores:
|
| Valor | Edm.String | Valor hash. |
MailCluster
| Field | Tipo | Descripción |
|---|---|---|
| Tipo | Edm.String | "MailCluster" Determina el tipo de entidad que se está analizando. |
| NetworkMessageIds | Colección (Edm.String) | Lista de los identificadores de mensaje de correo que forman parte del clúster de correo. |
| CountByDeliveryStatus | Colecciones (Edm.String) | Recuento de mensajes de correo por representación de cadena DeliveryStatus. |
| CountByThreatType | Colecciones (Edm.String) | Recuento de mensajes de correo por representación de cadena ThreatType. |
| Amenazas | Colecciones (Edm.String) | Las amenazas de los mensajes de correo que forman parte del clúster de correo. Entre las amenazas se incluyen valores como Phish y Malware. |
| Consulta | Edm.String | Consulta que se usó para identificar los mensajes del clúster de correo. |
| QueryTime | Edm.DateTime | Hora de la consulta. |
| MailCount | Edm.Int | Número de mensajes de correo que forman parte del clúster de correo. |
| Origen | String | El origen del clúster de correo; el valor del origen del clúster. |
Esquema de eventos de higiene
Los eventos de higiene se relacionan con la protección de correo no deseado saliente. Estos eventos se relacionan con los usuarios a los que no se les permite enviar correo electrónico. Para más información, consulte los siguientes artículos:
- Protección contra correo no deseado saliente
- Quitar usuarios bloqueados de la página Entidades restringidas
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Auditoría | Edm.String | No | Información del sistema relacionada con el evento de higiene. |
| Evento | Edm.String | No | El tipo de evento de higiene. Los valores para este parámetro son Listado o Suprimido. |
| EventId | Edm.Int64 | No | El ID. del tipo de evento de higiene. |
| EventValue | Edm.String | No | El usuario que se vio impactado. |
| Reason | Edm.String | No | Detalles sobre el evento de higiene. |
Esquema de Power BI
Los eventos de Power BI enumerados en Buscar en el registro de auditoría usan este esquema.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | El nombre de la aplicación donde se ha producido el evento. |
| DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | El nombre del panel donde se ha producido el evento. |
| DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | La clasificación de los datos, en caso de haberla, para el panel donde se ha producido el evento. |
| DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | El nombre del conjunto de datos donde se ha producido el evento. |
| MembershipInformation | Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | Información de pertenencia del grupo. |
| OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | Lista de permisos para una aplicación de organización (toda la organización, determinados usuarios o grupos específicos). |
| ReportName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | El nombre del informe donde se ha producido el evento. |
| SharingInformation | Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | Información acerca de la persona a la que se envía una invitación para uso compartido. |
| SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | Información sobre el estado de los diversos modificadores de nivel de inquilino. |
| WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | El nombre del área de trabajo donde se ha producido el evento. |
Tipo complejo MembershipInformationType
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | La dirección de correo electrónico del grupo. |
| Estado | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | Actualmente no se rellena. |
Tipo complejo SharingInformationType
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | La dirección de correo electrónico del destinatario de una invitación para uso compartido. |
| RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | El nombre del destinatario de una invitación para uso compartido. |
| ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | No | Los permisos que se conceden al destinatario. |
Esquema de Dynamics 365
Los registros de auditoría para eventos relacionados con las aplicaciones controladas por modelos en eventos de Dynamics 365 usan un esquema de operación de base y de entidad. Para más información, consulte Habilitar y usar el Registro de actividad.
Esquema base de Dynamics 365
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| CrmOrganizationUniqueName | Edm.String | Sí | Nombre único de la organización. |
| InstanceUrl | Edm.String | Sí | Dirección URL de la instancia. |
| ItemUrl | Edm.String | No | La dirección URL al registro. |
| ItemType | Edm.String | No | El nombre de la entidad. |
| UserAgent | Edm.String | No | Identificador de GUID de usuario único en la organización. |
| Fields | Collection(Common.NameValuePair) | No | Un objeto JSON que contiene las parejas de clave y valor de propiedad que se crearon o actualizaron. |
Esquema de operaciones de entidad de Dynamics 365
Los eventos de entidad de aplicaciones controladas por modelos en Dynamics 365 usan este esquema para desarrollar a partir del esquema base de Dynamics 365. Este esquema incluye información sobre la operación de la entidad que desencadenó el evento auditado.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| EntityId | Edm.Guid | No | El identificador único de la entidad. |
| EntityName | Edm.String | Sí | El nombre único de la entidad en la organización. Un ejemplo de una entidad es contact o authentication. |
| Message | Edm.String | Sí | Este parámetro contiene la operación que se realizó relacionada con la entidad. Por ejemplo, si se creó un nuevo contacto, el valor de la propiedad Message es Create y el valor correspondiente de la propiedad EntityName es contact. |
| Consulta | Edm.String | No | Los parámetros de la consulta de filtro que se usaron al ejecutar la operación FetchXML. |
| PrimaryFieldValue | Edm.String | No | Indica el valor del atributo que es el campo principal de la entidad. |
Esquema de eSignature
Este esquema incluye eSignature para eventos de Microsoft 365 devueltos en las búsquedas de registros de auditoría.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| AgreementId | Edm.Guid | Sí | Identificador de la solicitud de firma electrónica. |
| AgreementSender | Edm.String | Sí | Remitente de la solicitud de firma electrónica. |
| AgreementCreationDateTime | Edm.Date | Sí | Fecha & se envió la solicitud de hora. |
| AgreementStatus | Self.AgreementStatusType | Sí | Estado de la solicitud. |
| AgreementRecipients | Collection(Self.AgreementRecipient) | Sí | Destinatarios de la solicitud. |
Esquema de Viva Insights
Los eventos de Viva Insights devueltos en las búsquedas de registros de auditoría usan este esquema.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| WpaUserRole | Edm.String | No | Rol de Viva Insights del usuario que realizó la acción. |
| ModifiedProperties | Colección (Common.ModifiedProperty) | No | Esta propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior de la propiedad modificada. |
| OperationDetails | Colección (Common.NameValuePair) | No | Una lista de propiedades extendidas de la configuración que se ha cambiado. Cada propiedad tiene un nombre y un valor. |
Esquema de cuarentena
Los eventos de cuarentena devueltos en las búsquedas de registros de auditoría usan este esquema. Para obtener más información sobre la cuarentena, consulte Mensajes de correo electrónico en cuarentena en organizaciones en la nube.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| RequestType | Self.RequestType | No | El tipo de solicitud de cuarentena que realizó un usuario. |
| RequestSource | Self.RequestSource | No | La solicitud de cuarentena procede del portal de Microsoft Defender, un cmdlet o un vínculo URLlink. |
| NetworkMessageId | Edm.String | No | El id. de mensaje de red del mensaje de correo electrónico en cuarentena. |
| ReleaseTo | Edm.String | No | El destinatario del mensaje de correo electrónico. |
Enum: RequestType - Tipo: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Preview | Solicitud del usuario para obtener una vista previa de un mensaje de correo electrónico identificado como dañino. |
| 1 | Delete | Solicitud del usuario para eliminar un mensaje de correo electrónico identificado como dañino. |
| 2 | Release | Solicitud del usuario para publicar un mensaje de correo electrónico identificado como dañino. |
| 3 | Export | Solicitud del usuario para exportar un mensaje de correo electrónico identificado como dañino. |
| 4 | ViewHeader | Solicitud del usuario para ver el encabezado de un mensaje de correo electrónico identificado como dañino. |
| 5 | Solicitud de liberación | Solicitud del usuario para publicar un mensaje de correo electrónico identificado como dañino. |
Enum: RequestSource - Tipo: Edm.Int32
Origen de una solicitud de usuario para obtener una vista previa, eliminar, liberar, exportar o ver el encabezado de un mensaje de correo electrónico potencialmente dañino.
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | SCC | Portal de Microsoft Defender. |
| 1 | Cmdlet | Un cmdlet. |
| 2 | URLlink | Un vínculo. |
Esquema de Microsoft Forms
Microsoft Forms eventos devueltos en las búsquedas de registros de auditoría usan este esquema.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| FormsUserTypes | Collection(Self.FormsUserTypes) | Sí | El rol del usuario que realizó la acción. Los valores de este parámetro son Admin (Administrador), Owner (Propietario), Responder (Respondedor) o Coauthor (Coautor). |
| SourceApp | Edm.String | Sí | Indica si la acción proviene del sitio web de Forms o de otra aplicación. |
| FormName | Edm.String | No | El nombre del formulario actual. |
| FormId | Edm.String | No | El ID del formulario de destino. |
| FormTypes | Collection(Self.FormTypes) | No | Indica si se trata de un Formulario, un Cuestionario o una Encuesta. |
| ActivityParameters | Edm.String | No | Cadena JSON que contiene parámetros de actividad. Para obtener más información, consulte Microsoft Forms actividades. |
Enum: FormsUserTypes - Type: Edm.Int32
FormsUserTypes
| Valor | Tipo de formulario de usuario | Descripción |
|---|---|---|
| 0 | Admin | Un administrador que tenga acceso al formulario. |
| 1 | Owner | El usuario propietario del equipo. |
| 2 | Responder | Un usuario que ha enviado una respuesta a un formulario. |
| 3 | Coauthor | Un usuario que ha usado un vínculo de colaboración proporcionado por el propietario del formulario para iniciar sesión y editar un formulario. |
Enum: FormTypes - Type: Edm.Int32
FormTypes
| Valor | Tipos de formulario | Descripción |
|---|---|---|
| 0 | Formulario | Formularios creados con la opción Nuevo formulario. |
| 1 | Cuestionario | Cuestionarios creados con la opción Nuevo cuestionario. Un cuestionario es un tipo especial de formulario que incluye características adicionales, como valores de puntuación, calificación automática y manual, y comentarios. |
| 2 | Encuesta | Encuestas creadas con la opción Nueva encuesta. Una encuesta es un tipo especial de formulario que incluye características adicionales, como la integración con CMS y la compatibilidad con Reglas de flujo. |
Esquema de etiqueta MIP
Los eventos del esquema de etiqueta de Information Protection de Microsoft Purview se desencadenan cuando Microsoft 365 detecta un mensaje de correo electrónico procesado por agentes de la canalización de transporte que tiene una etiqueta de confidencialidad aplicada. Es posible que la etiqueta de confidencialidad se haya aplicado manualmente o automáticamente, y que se haya aplicado dentro o fuera de la canalización de transporte. Las etiquetas de confidencialidad se pueden aplicar automáticamente a los mensajes de correo electrónico mediante directivas de etiqueta de aplicación automática.
El propósito de este esquema de auditoría es representar la suma de todas las actividades de correo electrónico que impliquen etiquetas de confidencialidad. Es decir, debe haber una actividad de auditoría registrada para cada mensaje de correo electrónico que se envía a o desde los usuarios de la organización que tienen una etiqueta de confidencialidad aplicada, independientemente de cuándo o cómo se aplicó la etiqueta de confidencialidad. Para más información sobre las etiquetas de confidencialidad, vea:
- Información sobre las etiquetas de confidencialidad
- Aplicar una etiqueta de confidencialidad automáticamente al contenido
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Remitente | Edm.String | No | La dirección de correo electrónico en el campo De del mensaje de correo electrónico. |
| Receptores | Collection(Edm.String) | No | Todas las direcciones de correo electrónico en los campos Para, CC y CCO del mensaje de correo electrónico. |
| NombreElemento | Edm.String | No | La cadena en el campo Asunto del mensaje de correo electrónico. |
| LabelId | Edm.Guid | No | GUID de la etiqueta de confidencialidad aplicada al mensaje de correo electrónico. |
| LabelName | Edm.String | No | El nombre de la etiqueta de confidencialidad aplicada al mensaje de correo electrónico. |
| LabelAction | Edm.String | No | Las acciones especificadas por la etiqueta de confidencialidad que se aplicaron al mensaje de correo electrónico antes de que el mensaje entrara a la canalización de transporte de correo. |
| LabelAppliedDateTime | Edm.Date | No | La fecha en la que se aplicó la etiqueta de confidencialidad al mensaje de correo electrónico. |
| ApplicationMode | Edm.String | No | Especifica cómo se aplicó la etiqueta de confidencialidad al mensaje de correo electrónico. El valor Privileged indica que un usuario ha aplicado manualmente la etiqueta. El valor Standard indica que la etiqueta se aplicó automáticamente por un proceso de etiquetado del lado del cliente o del servicio. |
Esquema de eventos del portal de mensajes cifrados
Los eventos para el esquema del portal de mensajes cifrados se desencadenan cuando un destinatario externo tiene acceso a un mensaje de correo electrónico cifrado cuando purview Message Encryption detecta un mensaje de correo electrónico cifrado a través del portal. Es posible que el correo se haya cifrado manualmente con una etiqueta de confidencialidad o una plantilla de RMS, o automáticamente mediante una regla de transporte, una directiva de prevención de pérdida de datos o una directiva de etiquetado automático.
La intención de este esquema de auditoría es mostrar la suma total de actividad del portal que implica que destinatarios externos han accedido al correo cifrado. Es decir, debe haber una actividad de auditoría registrada para un destinatario que intente iniciar sesión en el portal y cualquier actividad relacionada con el acceso al correo cifrado. Esto incluye el correo enviado a los usuarios de la organización o desde estos, cuando el correo tiene cifrado aplicado, independientemente de cuándo o cómo se ha aplicado el cifrado. Para obtener más información, consulte Más información sobre los registros del portal de mensajes cifrados.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| MessageId | Edm.String | No | El id. del mensaje. |
| Destinatario | Edm.String | No | Dirección de correo electrónico del destinatario. |
| Remitente | Edm.String | No | Dirección de correo electrónico del remitente. |
| AuthenticationMethod | Self.AuthenticationMethod | No | Método de autenticación al acceder al mensaje, es decir, OTP, Yahoo, Gmail, Microsoft. |
| AuthenticationStatus | Self.AuthenticationStatus | No | 0: Correcto, 1: Error. |
| OperationStatus | Self.OperationStatus | No | 0: Correcto, 1: Error. |
| AttachmentName | Edm.String | No | Nombre de los datos adjuntos. |
| OperationProperties | Collection(Common.NameValuePair) | No | Propiedades adicionales, es decir, número de código de acceso OTP enviado, asunto del correo electrónico, etc. |
Esquema de Exchange del Cumplimiento de comunicaciones
Los eventos del Cumplimiento de comunicaciones que aparecen en el registro de auditoría de Office 365 usan este esquema. Esto incluye los registros de auditoría de la operación SupervisoryReviewOLAudit, que se generan cuando el contenido del mensaje de correo contiene lenguaje vulgar que ha sido identificado por los modelos de correo no deseado con una precisión >= 99,5 %.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ExchangeDetails | ExchangeDetails | No | Propiedades del mensaje de correo electrónico que activó el evento SupervisoryReviewOLAudit. |
Enum: ExchangeDetails - Tipo: ExchangeDetails
ExchangeDetails
| Nombre del miembro | Tipo | Descripción |
|---|---|---|
| NetworkMessageId | Edm.Guid | El identificador del mensaje de red de este mensaje de correo |
| InternetMessageId | Edm.String | El identificador de internet de este mensaje de correo |
| AttachmentData | Collection (AttachmentDetails) | Información sobre los archivos adjuntos de los mensaje de correo electrónico. |
| Recipientes | Collection(Edm.String) | Todas las direcciones de correo electrónico en los campos Para, CC y CCO del mensaje de correo electrónico. |
| Subject | Edm.String | El texto en el campo Asunto del mensaje de correo electrónico. |
| MessageTime | Edm.Date | La fecha y la hora de envío del mensaje de correo. |
| From | Edm.String | La dirección de correo electrónico en el campo De del mensaje de correo electrónico. |
| Directionality | Edm.String | El estado de origen del mensaje de correo electrónico. |
Enum: AttachmentDetails - Tipo: Edm.Int32
AttachmentDetails
| Nombre del miembro | Tipo | Descripción |
|---|---|---|
| FileName | Edm.String | El nombre del archivo adjunto al mensaje de correo electrónico. |
| FileType | Edm.String | La extensión del archivo adjunto al mensaje de correo electrónico. |
| SHA256 | Edm.String | El hash SHA-256 del archivo adjunto al mensaje de correo electrónico. |
Esquema de informes
Los eventos de informe devueltos en las búsquedas de registros de auditoría usan este esquema.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ModifiedProperties | Colección (Common.ModifiedProperty) | No | Esta propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior de la propiedad modificada. |
Esquema del conector de cumplimiento
Los eventos del esquema del conector de cumplimiento se activan cuando los elementos importados por un conector de datos se omiten o no se importan a los buzones de los usuarios. Para obtener más información sobre los conectores de datos, consulte Información sobre los conectores de datos de terceros.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| JobId | Edm.String | No | Se trata de un identificador único del conector de datos. |
| TaskId | Edm.String | No | Identificador único de la instancia periódica del conector de datos. Los conectores de datos importan datos en intervalos periódicos. |
| JobType | Edm.String | No | El nombre del conector de datos. |
| ItemId | Edm.String | No | Identificador único del elemento (por ejemplo, un mensaje de correo electrónico) que se está importando. |
| ItemSize | Edm.Int64 | No | El tamaño del elemento que se importa. |
| SourceUserId | Edm.String | No | El identificador único del usuario de la fuente de datos de terceros. Por ejemplo, para un conector de datos de Slack, esta propiedad especifica la Id. de usuario en el área de trabajo de Slack. |
| FailureType | Propio. FailureType | No | Indica el tipo de error de importación de datos. Por ejemplo, el valor incorrectusermapping indica que el elemento no se ha importado porque no se ha podido encontrar ninguna asignación de usuarios entre la fuente de datos de terceros y Microsoft 365. |
| ResultMessage | Edm.String | No | Indica el tipo de error, como Mensaje duplicado. |
| IsRetry | Edm.Boolean | No | Indica si el conector de datos volvió a intentar importar el elemento. |
| Datos adjuntos | Colección. Archivo adjunto | No | Una lista de archivos adjuntos recibidos de la fuente de datos de terceros. |
Enum: FailureType - Tipo: Edm.Int32
| Valor | Nombre del miembro |
|---|---|
| 0 | Predeterminada |
| 1 | MailboxWrite |
Tipo complejo de datos adjuntos
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| FileName | Edm.String | No | El nombre de los datos adjuntos. |
| Detalles | Edm.String | No | Otros detalles sobre los datos adjuntos. |
Esquema de SystemSync
Los eventos del esquema de SystemSync se desencadenan cuando los datos ingeridos por SystemSync se exportan a través de Data Lake o se comparten a través de otros servicios.
DataLakeExportOperationAuditRecord
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| DataStoreType | DataStoreType | Sí | Indica desde qué almacén de datos se descargaron los datos. Consulte DataStoreType para ver todos los valores posibles. |
| UserAction | DataLakeUserAction | Sí | Indica qué acción ha realizado el usuario en el almacén de datos. Consulte DataLakeUserAction para ver todos los valores posibles. |
| ExportTriggeredAt | Edm.DateTimeOffset | Sí | Indica cuándo se desencadenó la exportación de datos. |
| NameOfDownloadedZipFile | Edm.String | No | Nombre del archivo comprimido que el administrador había descargado de Data Lake. |
DataShareOperationAuditRecord
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Invitación | DataShareInvitationType | No | Detalles de la invitación enviada al destinatario del Data Share. |
Tipo complejo DataShareInvitationType
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ShareId | Edm.Guid | Sí | Identificador asignado por el sistema para el Data Share. |
| Invitados | Collection(Edm.Guid) | Sí | Lista de usuarios administradores a los que se envió la invitación. |
| InviteeTenantId | Edm.Guid | Sí | Inquilino de destino para el que está pensada la invitación. |
| ShareName | Edm.String | Sí | Nombre asignado por el sistema para el Data Share. |
| SyncFrequency | Self.SyncFrequency | Sí | Frecuencia con la que los datos se sincronizan con la cuenta de almacenamiento de destino una vez establecido el recurso compartido. Consulte SyncFrequency para ver los valores posibles. |
| SyncStartTime | Edm.DateTimeOffset | Sí | Fecha y hora de la primera sincronización. |
Enumeración: SyncFrequency - Tipo: Edm.Int32:
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Cada hora | Indica que los datos se sincronizan cada hora. |
| 1 | Diario | Indica que los datos se sincronizan una vez al día. |
Enumeración: DataStoreType - Tipo: Edm.Int32:
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | CanonicalStore | Indica que los datos se descargan desde el almacén canónico. |
| 1 | StagingStore | Indica que los datos se descargan desde el almacén de almacenamiento provisional. |
Enumeración: DataLakeUserAction - Tipo: Edm.Int32:
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | TriggerExport | El usuario administrador desencadenó la exportación desde Data Lake. |
| 1 | DownloadZipFile | El usuario administrador descargó los datos exportados. |
Tipo complejo MicrosoftGraphDataConnectOperation
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ApplicationId | Edm.Guid | Sí | La identificación de la aplicación. |
| ApplicationName | Edm.String | Sí | Nombre de la aplicación. |
| PipelineName | Edm.String | Sí | El nombre de la canalización. |
| PipelineRunId | Edm.Guid | No | Identificación de esta ejecución de canalización. |
| CopyActivityRunId | Edm.Guid | No | Identificación de la actividad de copia de ADF. |
| RunStartTime | Edm.Date | Sí | Fecha y hora de la extracción. |
| RunEndTime | Edm.Date | Sí | Fecha y hora de la extracción. |
| DatasetName | Edm.String | Sí | Nombre del conjunto de datos que se va a extraer. |
| DatasetColumns | Edm.String | Sí | Conjunto de columnas seleccionadas que se van a extraer. |
| ScopeList | Edm.String | Sí | Ámbito de la extracción. |
| ScopeCountRequested | Edm.Int64 | No | Número de ámbitos solicitados para esta extracción. |
| ScopeCountDelivered | Edm.Int64 | No | Número de ámbitos entregados para esta extracción. |
| UndeliveredScope | Edm.String | No | Ámbito no entregado de la extracción. |
| RowCount | Edm.Int64 | No | Número de filas extraídas. |
| Estado | Edm.String | Sí | Estado de extracción. |
| Reason | Edm.String | No | Mensaje de error en caso de error. |
AipDiscover
La tabla siguiente contiene información relacionada con los eventos del analizador de Azure Information Protection (AIP).
| Evento | Descripción |
|---|---|
| ApplicationId | El identificador de la aplicación que realiza la operación. |
| ApplicationName | Nombre descriptivo de la aplicación que realiza la operación. Outlook (por correo electrónico), OWA (por correo electrónico), Word (para archivo), Excel (para archivo), PowerPoint (para archivo). |
| ClientIP | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para Azure eventos relacionados con Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP es null. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. |
| CreationTime | Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando se generó el registro de auditoría. |
| DataState | Describe el estado de los datos. |
| DeviceName | Dispositivo en el que se produjo la actividad. |
| Id | GUID del registro actual. |
| IsProtected | Si está protegido: True/False |
| Ubicación | Ubicación del documento con respecto al dispositivo del usuario. Los valores posibles son unknown, localMedia, removableMedia, fileshare y cloud. |
| ObjectId | Ruta de acceso completa del archivo (URL). Para la actividad de SharePoint y OneDrive, el nombre de la ruta de acceso completa del archivo o carpeta al que accede el usuario. |
| Operación | Describe el tipo de acceso. |
| OrganizationId | El GUID del inquilino de Office 365 de su organización. Este valor siempre es el mismo para su organización, independientemente del servicio Office 365 en el que se produzca. |
| Plataforma | Plataforma de dispositivo (Win, OSX, Android, iOS) |
| ProcessName | Nombre del proceso correspondiente. Por ejemplo, Outlook, msip.app o WinWord. |
| ProductVersion | Versión del cliente de AIP. |
| ProtectionOwner | Propietario de Rights Management en formato UPN. |
| ProtectionType | El tipo de protección puede ser plantilla o ad hoc. |
| RecordType | El tipo de operación indicado por el registro. Vea la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría. Para obtener una lista completa actualizada y una descripción completa de Log RecordType, consulte la entrada de blog De microsoft 365 Compliance audit log activities via Office 365 Management API (Actividades de registro de auditoría de cumplimiento de Microsoft 365 a través de Office 365 Management API). Aquí solo se enumeran los tipos de registro MIP pertinentes. |
| Ámbito | Evento creado por uno de los siguientes orígenes:
|
| SensitiveInfoTypeData | Almacena el tipo de datos de los datos de tipo información confidencial. |
| SensitivityLabelId | GUID de etiqueta de confidencialidad de MIP actual. Use Get-Label para obtener los valores completos del GUID. |
| TemplateId | Parámetro TemplateID para obtener una plantilla específica. El cmdlet Get-AipServiceTemplate obtiene todas las plantillas de protección existentes o seleccionadas de Azure Information Protection. |
| UserId | El UPN (nombre principal de usuario) del usuario que llevó a cabo la acción (especificado en la propiedad Operation) que ha provocado el registro; por ejemplo, my_name@my_domain_name.
Nota: También se incluyen los registros de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Este valor indica que el "usuario" que realizó la actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. |
| UserKey | Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de passport (PUID) para los eventos realizados por los usuarios en SharePoint, OneDrive y Exchange. |
| UserType | El tipo de usuario que llevó a cabo la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios. 0 = Normal 1 = Reservado 2 = Administración 3 = DcAdmin 4 = Sistema 5 = Aplicación 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| Versión | El id. de versión del archivo en la operación. |
| Carga de trabajo | Almacena el servicio de Office 365 donde se produjo la actividad. |
AipSensitivityLabelAction
La tabla siguiente contiene información relacionada con los eventos de etiqueta de confidencialidad de AIP.
| Evento | Descripción |
|---|---|
| ApplicationId | Corresponde al identificador de aplicación de Microsoft Entra. |
| ApplicationName | Nombre descriptivo de la aplicación que realiza la operación. |
| CreationDate | Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando el usuario realizó la actividad. |
| DataState | Especifica el estado de los datos. |
| DeviceName | Nombre del dispositivo del usuario. |
| Identidad | Identidad del usuario o servicio que se va a autenticar. |
| IsProtected | Si está protegido: True/False |
| IsProtectedBefore | Si el contenido se protegió antes del cambio: True/False |
| IsValid | Booleano |
| Ubicación | Ubicación del documento con respecto al dispositivo del usuario. Los valores posibles son unknown, localMedia, removableMedia, fileshare y cloud. |
| ObjectState | Especifica el estado del objeto. |
| Operación | Tipo de operación para el registro de auditoría. Nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes: SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identidad | Identidad del usuario o servicio que se va a autenticar. |
| PSComputerName | Nombre del equipo |
| PSShowComputerName | El valor es False para la edición documentada en Office 365. |
| Plataforma | Plataforma de dispositivo (Win, OSX, Android, iOS). |
| ProcessName | Proceso que hospeda el SDK de MIP. |
| ProductVersion | Versión del cliente de Azure Information Protection que realizó la acción de auditoría. |
| ProtectionType | El tipo de protección puede ser plantilla o ad hoc. |
| RecordType | Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Para obtener más información, consulte la lista completa de tipos de registro. |
| RunspaceId | Runspace es una instancia específica de PowerShell que contiene colecciones modificables de comandos, proveedores, variables, funciones y elementos de lenguaje que están disponibles para el usuario de la línea de comandos. |
| SensitiveInfoTypeData | Almacena el tipo de datos de los datos de tipo de información confidencial |
| TemplateId | Parámetro TemplateID para obtener una plantilla específica. El cmdlet Get-AipServiceTemplate obtiene todas las plantillas de protección existentes o seleccionadas de Azure Information Protection. |
| UserId | Nombre principal de usuario (UPN) del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro; por ejemplo, my_name@my_domain_name. Nota: También se incluyen los registros de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Este valor indica que el "usuario" que realizó la actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. |
AipProtectionAction
| Evento | Descripción |
|---|---|
| PSComputerName | Nombre del equipo |
| RunspaceId | Runspace es una instancia específica de PowerShell que contiene colecciones modificables de comandos, proveedores, variables, funciones y elementos de lenguaje que están disponibles para el usuario de la línea de comandos. |
| PSShowComputerName | El valor es false para un objeto documentado editado en Office 365. |
| RecordType | Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Aquí solo se enumeran los tipos de registro de MIP pertinentes. Para obtener más información, consulte la lista completa de tipos de registro. |
| CreationTime | Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando se generó el registro de auditoría. |
| UserId | Nombre principal de usuario (UPN) del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro. Por ejemplo, my_name@my_domain_name. Nota: También se incluyen los registros de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Este valor indica que el "usuario" que realizó la actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. |
| Operación | Tipo de operación para el registro de auditoría. El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identidad | Identidad del usuario o servicio que se va a autenticar. |
| ObjectState | Estado del objeto después del evento actual. |
| ApplicationId | La aplicación donde se produjo la actividad y se muestra en GUID. |
| ApplicationName | Nombre descriptivo de la aplicación que realiza la operación. Outlook (por correo electrónico), OWA (por correo electrónico), Word (para archivo), Excel (para archivo), PowerPoint (para archivo). |
| ProcessName | Nombre del proceso de la aplicación de Office. |
| Plataforma | Plataforma en la que se produjo la actividad. Por ejemplo, Windows. |
| DeviceName | Dispositivo en el que se registró el evento. |
| ProductVersion | Versión del cliente de Azure Information Protection que realizó la acción de auditoría. |
| UserId | UPN del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro; por ejemplo, my_name@my_domain_name. Nota: También se incluyen los registros de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que realizó la actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. |
| ClientIP | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para Azure eventos relacionados con Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP es null. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. |
| Id | GUID del registro actual. |
| RecordType | Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Aquí solo se enumeran los tipos de registro de MIP pertinentes. |
| CreationTime | Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando se generó el registro de auditoría. |
| Operación | El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes, consulte Búsqueda en el registro de auditoría. |
| OrganizationId | El GUID del inquilino de Office 365 de su organización. Este valor siempre es el mismo para su organización, independientemente del servicio Office 365 en el que se produzca. |
| UserType | El tipo de usuario que llevó a cabo la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios. 0 = Normal 1 = Reservado 2 = Administración 3 = DcAdmin 4 = Sistema 5 = Aplicación 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de passport (PUID) para los eventos realizados por los usuarios en SharePoint, OneDrive y Exchange. |
| Carga de trabajo | Almacena el servicio de Office 365 donde se produjo la actividad. |
| Versión | Versión del cliente de Azure Information Protection que realizó la acción de auditoría |
| Ámbito | Especifica el ámbito. |
AipFileDeleted
| Evento | Descripción |
|---|---|
| PSComputerName | Nombre del equipo |
| RunspaceId | Runspace es una instancia específica de PowerShell que contiene colecciones modificables de comandos, proveedores, variables, funciones y elementos de lenguaje que están disponibles para el usuario de la línea de comandos. |
| PSShowComputerName | El valor es false para un objeto documentado editado en Office 365. |
| RecordType | Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Aquí solo se enumeran los tipos de registro de MIP pertinentes. Para obtener más información, consulte la lista completa de tipos de registro. |
| CreationTime | Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando se generó el registro de auditoría. |
| UserId | Nombre principal de usuario (UPN) del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro. Por ejemplo, my_name@my_domain_name. Nota: También se incluyen los registros de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Este valor indica que el "usuario" que realizó la actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. |
| Operación | Tipo de operación para el registro de auditoría. El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identidad | Identidad del usuario o servicio que se va a autenticar. |
| ObjectState | Estado del objeto después del evento actual. |
| ApplicationId | La aplicación donde se produjo la actividad y se muestra en GUID. |
| ApplicationName | Nombre descriptivo de la aplicación que realiza la operación. Outlook (por correo electrónico), OWA (por correo electrónico), Word (para archivo), Excel (para archivo), PowerPoint (para archivo). |
| ProcessName | Nombre del proceso de la aplicación de Office. |
| Plataforma | Plataforma en la que se produjo la actividad. Por ejemplo, Windows. |
| DeviceName | Dispositivo en el que se registró el evento. |
| ProductVersion | Versión del cliente de Azure Information Protection que realizó la acción de auditoría. |
| UserId | UPN del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro; por ejemplo, my_name@my_domain_name. Nota: También se incluyen los registros de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Este valor indica que el "usuario" que realizó la actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. |
| ClientIP | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para Azure eventos relacionados con Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP es null. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. |
| Id | GUID del registro actual. |
| RecordType | Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Aquí solo se enumeran los tipos de registro de MIP pertinentes. |
| CreationTime | Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando se generó el registro de auditoría. |
| Operación | El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes, consulte Búsqueda en el registro de auditoría. |
| OrganizationId | El GUID del inquilino de Office 365 de su organización. Este valor siempre es el mismo para su organización, independientemente del servicio Office 365 en el que se produzca. |
| UserType | El tipo de usuario que llevó a cabo la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios. 0 = Normal 1 = Reservado 2 = Administración 3 = DcAdmin 4 = Sistema 5 = Aplicación 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de passport (PUID) para los eventos realizados por los usuarios en SharePoint, OneDrive y Exchange. |
| Carga de trabajo | Almacena el servicio de Office 365 donde se produjo la actividad. |
| Versión | Versión del cliente de Azure Information Protection que realizó la acción de auditoría |
| Ámbito | Especifica el ámbito. |
AipHeartBeat
La tabla siguiente contiene información relacionada con los eventos de latido de AIP.
| Evento | Descripción |
|---|---|
| ApplicationId | Corresponde al identificador de aplicación de Microsoft Entra. |
| ApplicationName | Nombre descriptivo de la aplicación que realiza la operación. |
| CreationDate | Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando el usuario realizó la actividad. |
| DataState | Especifica el estado de los datos. |
| DeviceName | Nombre del dispositivo del usuario. |
| Identidad | Identidad del usuario o servicio que se va a autenticar. |
| IsProtected | Si está protegido: True/False |
| IsProtectedBefore | Si el contenido se protegió antes del cambio: True/False |
| IsValid | Booleano |
| Ubicación | Ubicación del documento con respecto al dispositivo del usuario. Los valores posibles son unknown, localMedia, removableMedia, fileshare y cloud. |
| ObjectState | Especifica el estado del objeto. |
| Operación | Tipo de operación para el registro de auditoría. El nombre de la actividad de usuario o administrador. |
| PSComputerName | Nombre del equipo |
| PSShowComputerName | El valor es False para la edición documentada en Office 365. |
| Plataforma | Plataforma de dispositivo (Win, OSX, Android, iOS). |
| ProcessName | Proceso que hospeda el SDK de MIP. |
| ProductVersion | Versión del cliente de Azure Information Protection que realizó la acción de auditoría. |
| ProtectionType | El tipo de protección puede ser plantilla o ad hoc. |
| RecordType | Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Para obtener más información, consulte la lista completa de tipos de registro. |
| RunspaceId | Runspace es una instancia específica de PowerShell que contiene colecciones modificables de comandos, proveedores, variables, funciones y elementos de lenguaje que están disponibles para el usuario de la línea de comandos. |
| SensitiveInfoTypeData | Almacena el tipo de datos de los datos de tipo de información confidencial. |
| TemplateId | Parámetro TemplateID para obtener una plantilla específica. El cmdlet Get-AipServiceTemplate obtiene todas las plantillas de protección existentes o seleccionadas de Azure Information Protection. |
| UserId | UPN del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro; por ejemplo, my_name@my_domain_name.
Nota: También se incluyen los registros de la actividad realizada por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Este valor indica que el "usuario" que realizó la actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. |
| UserType | El tipo de usuario que llevó a cabo la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios. 0 = Normal 1 = Reservado 2 = Administración 3 = DcAdmin 4 = Sistema 5 = Aplicación 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de passport (PUID) para los eventos realizados por los usuarios en SharePoint, OneDrive y Exchange. |
Tipo complejo MicrosoftGraphDataConnectConsent
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ApplicationId | Edm.Guid | Sí | La identificación de la aplicación. |
| ApplicationVersion | Edm.String | Sí | La versión de la aplicación. |
| AppRegistrationTenantId | Edm.Guid | Sí | Identificador de inquilino del registro de la aplicación. |
| Aprobador | Edm.String | Sí | Nombre principal de usuario del aprobador. |
| ApprovalUpdatedDateInUTC | Edm.Date | Sí | Hora de la fecha de actualización en UTC. |
| ApprovalExpiryDateInUTC | Edm.Date | Sí | Hora de la fecha de expiración en UTC. |
| ApprovalValidDays | Edm.Int32 | Sí | El número de días transcurridos desde la actualización para los que la aprobación es válida. |
| DestinationSinks | Edm.String | Sí | Receptores de destino. |
| DestinationTenantId | Edm.Guid | Sí | Identificador de inquilino de destino. |
| Reason | Edm.String | No | Motivo proporcionado por el administrador que realizó la operación. |
| Estado | Edm.String | Sí | Estado de consentimiento. |
| Conjuntos de datos | CollectionSelf. MGDCDataset | Sí | Detalles sobre los conjuntos de datos a los que se ha dado su consentimiento como parte de esta operación. |
Tipo complejo MGDCDataset
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| DatasetName | Edm.String | Sí | Nombre del conjunto de datos en la operación de consentimiento. |
| DatasetColumns | Edm.String | Sí | Lista de columnas del conjunto de datos en la operación de consentimiento. |
| DenyGroups | Edm.String | No | Lista de grupos de denegación para el conjunto de datos en la operación de consentimiento. |
| Ámbito | Edm.String | Sí | Tipos de ámbito para el conjunto de datos en la operación de consentimiento. Los valores posibles son All, List y FilterUri. |
| ScopeFiltersUris | Edm.String | No | Uri de filtro de ámbito para el conjunto de datos en la operación de consentimiento. |
| ScopeList | Edm.String | No | Lista de grupos de ámbito para el conjunto de datos en la operación de consentimiento. |
| PrivacyPolicyType | Edm.String | Sí | Los tipos de directiva de privacidad del conjunto de datos en la operación de consentimiento. Los valores posibles son None y DenyList. |
Esquema de Viva Glint
Los eventos Viva Glint devueltos en las búsquedas de registros de auditoría usan este esquema (y también el esquema común).
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ClientUUID | Edm.String | Y | UUID de cliente de la instancia de Viva Glint. |
| ImportType | Edm.String | N | Tipo de origen de importación de datos. |
| DataDSRControl | Edm.String | N | Este control en la plataforma determina si los datos de la encuesta se eliminan cuando se quita un usuario de la plataforma Viva Glint. |
| DiscardEmployeeIds | Edm.String | N | Este control en la plataforma especifica si los identificadores de empleado de los empleados eliminados anteriormente se ignoran o conservan en la plataforma Viva Glint. |
| JobName | Edm.String | N | Nombre de un trabajo de aplicación de datos de Glint que se ejecutó. |
| ExtendedCompletionDate | Edm.Date | N | Nueva fecha a la que se ha ampliado un ciclo de encuesta cerrado. |
| FeedBackComponentName | Edm.String | N | Nombre de un componente específico dentro del programa de comentarios 360. |
esquema de Viva Goals
Viva Goals eventos devueltos en las búsquedas de registros de auditoría usan este esquema (y también el esquema común).
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Detalles | Edm.String | No | Descripción del evento o la actividad que se produjo en Viva Goals. |
| Nombre de usuario | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
No | Nombre del usuario que desencadenó el evento. |
| UserRole | Edm.String | No | Rol del usuario que desencadenó este evento en Viva Goals. Este valor menciona si el usuario es un administrador de la organización o un propietario. |
| OrganizationName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
No | Nombre de la organización en Viva Goals donde se desencadenó el evento. |
| OrganizationOwner | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
No | El propietario de la organización en Viva Goals donde se produjo el evento. |
| OrganizationAdmins | Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
No | Los administradores de la organización en Viva Goals donde se produjo el evento. Puede haber uno o varios administradores en la organización. |
| UserAgent | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
No | Agente de usuario (detalles del explorador) del usuario que desencadenó el evento. Es posible que UserAgent no esté presente en el caso de un evento generado por el sistema. |
| ModifiedFields | Collection(Common.NameValuePair) | No | Lista de atributos que se modificaron junto con sus valores nuevos y antiguos como JSON. |
| ItemDetails | Collection(Common.NameValuePair) | No | Propiedades adicionales sobre el objeto que se modificó. |
esquema de Microsoft Planner
Microsoft Planner eventos devueltos en las búsquedas de registros de auditoría usan este esquema.
Microsoft Planner sobrescribe la definición de ObjectId y ResultStatus en el esquema Común. La definición de ObjectId de Microsoft Planner está enlazada al tipo de registro de cada Microsoft Planner y se muestra individualmente.
ResultStatus de Microsoft Planner se define como el siguiente.
Enumeración: ResultStatus - Tipo: Edm.Int32
ResultStatus
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | Correcto | La solicitud de usuario se realizó correctamente. |
| 2 | Error | Error en la solicitud de usuario debido a motivos distintos de la autorización. |
| 3 | AuthorizationFailure | Error en la solicitud del usuario debido a un error de autorización. |
Microsoft Planner amplía el esquema Común con los siguientes tipos de registro.
Tipo de registro PlannerGoal
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Identificador del objetivo solicitado. |
| PlanId | Edm.String | Identificador del plan que contiene el objetivo. |
Tipo de registro PlannerPlan
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Identificador del plan solicitado. |
| ContainerType | Propio. ContainerType | Tipo del contenedor asociado al plan. |
| ContainerId | Edm.String | Identificador del contenedor asociado al plan. |
| SharedWithContainerId | Edm.String | Identificador del contenedor con acceso compartido al plan. |
| SharedWithContainerType | Propio. ContainerType | Tipo del contenedor con acceso compartido al plan. |
| SharedWithContainerAccessLevel | Propio. PlanAccessLevel | Nivel de acceso dado al contenedor con acceso compartido al plan. |
Enumeración: ContainerType : tipo Edm.Int32
ContainerType
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Invalid | Se usa cuando no se encuentra el plan solicitado. |
| 2 | Group | El plan está asociado a un grupo de Microsoft 3365. |
| 3 | TeamsConversation | El plan está asociado a una conversación de Teams. |
| 4 | OfficeDocument | El plan está asociado a un documento de Office. |
| 5 | Lista | El plan está asociado a un grupo de listas. |
| 6 | Project | El plan se origina en Microsoft Project. |
| 7 | Usuario | El plan está asociado a un usuario. |
| 8 | TeamsChannel | El plan está asociado a un canal de Teams. |
| 10 | PlannerTask | El plan está asociado a una tarea de Planner. |
Enumeración: PlanAccessLevel : tipo Edm.Int32
PlanAccessLevel
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | ReadAccess | Acceso para leer Plan. |
| 2 | ReadWriteAccess | Acceso para leer y escribir en Plan. |
| 3 | FullAccess | Acceso para leer, escribir y configurar plan. |
Tipo de registro PlannerCopyPlan
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Identificador del plan que se va a copiar. |
| OriginalPlanId | Edm.String | Identificador del plan que se va a copiar. Igual que ObjectId. |
| OriginalContainerType | Propio. ContainerType | Tipo del contenedor asociado al plan original. |
| OriginalContainerId | Edm.String | Identificador del contenedor asociado al plan original. |
| NewPlanId | Edm.String | Identificador del nuevo plan. Null cuando se produjo un error en la operación. |
| NewContainerType | Propio. ContainerType | Tipo del contenedor asociado al nuevo plan. |
| NewContainerId | Edm.String | Identificador del contenedor asociado al nuevo plan. |
Tipo de registro PlannerTask
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Identificador de la tarea solicitada. |
| PlanId | Edm.String | Identificador del plan que contiene la tarea. |
Tipo de registro PlannerRoster
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Identificador de la lista solicitada. |
| MemberIds | Edm.String | Una cadena separada por comas de identificadores de miembro cambiada a la lista. |
Tipo de registro PlannerGoalList
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Representación de la consulta de vista para obtener una lista de objetivos. |
| GoalList | Edm.String | Cadena separada por comas de identificadores de objetivo consultados. |
Tipo de registro PlannerPlanList
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Representación de la consulta de vista para una lista de planes. |
| PlanList | Edm.String | Cadena separada por comas de los identificadores de plan consultados. |
Tipo de registro PlannerTaskList
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Representación de la consulta de vista para una lista de tareas. |
| TaskList | Edm.String | Cadena separada por comas de identificadores de tarea consultados. |
Tipo de registro PlannerTenantSettings
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Configuración del inquilino original en JSON. |
| TenantSettings | Edm.String | Nueva configuración de inquilino en JSON. |
Tipo de registro PlannerRosterSensitivityLabel
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Identificador de la etiqueta de confidencialidad. Null cuando se quita la etiqueta de confidencialidad. |
| Lista | Edm.String | Identificador de la lista a la que se cambia la etiqueta de confidencialidad. |
| AssignmentMethod | Propio. SensitivityLabelAssignmentMethod | Método de asignación de la etiqueta de confidencialidad. |
Enumeración: SensitivityLabelAssignmentMethod - Type Edm.Int32
SensitivityLabelAssignmentMethod
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Estándar | La etiqueta de confidencialidad se aplica automáticamente, pero no se permite invalidar una asignación de etiquetas con privilegios. |
| 1 | Con privilegios | Un usuario o un administrador aplican manualmente la etiqueta de confidencialidad. |
| 2 | Automático | La etiqueta de confidencialidad se aplica automáticamente y se permite invalidar una asignación de etiquetas con privilegios. |
Tipo de registro PlannerChatMessage
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Identificador del mensaje de chat |
| ThreadType | Propio. ThreadType | Tipo de chat. La única opción es Tarea, para un chat con ámbito de una sola tarea. |
| ParentEntityId | Edm.String | Identificador del elemento que contiene el chat, el identificador de tarea. |
Enumeración: ThreadType: tipo Edm.Int32
ThreadType
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 0 | Tarea | El chat se encuentra dentro de una tarea. |
Tipo de registro PlannerChatMessageList
| Propiedades | Tipo | Descripción |
|---|---|---|
| ObjectId | Edm.String | Representación de la consulta de vista para una lista de mensajes de chat. |
| MessageList | Edm.String | Cadena separada por comas de identificadores de mensaje de chat consultados. |
Esquema de Microsoft Project para la web
Microsoft Project For The web amplía el esquema Común con los siguientes tipos de registro.
Tipo de registro ProjectForThewebProject
| Propiedades | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ProjectId | Edm.Guid | No | Identificador del proyecto que se va a auditar. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | No | Información adicional. |
Tipo de registro ProjectForThewebTask
| Propiedades | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ProjectId | Edm.Guid | Sí | Identificador del proyecto que se va a auditar. |
| TaskId | Edm.Guid | Sí | Identificador de la tarea que se va a auditar. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | No | Información adicional. |
Tipo de registro ProjectForThewebRoadmap
| Propiedades | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| RoadmapId | Edm.Guid | Sí | Identificador de la hoja de ruta que se va a auditar. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | No | Información adicional. |
Tipo de registro ProjectForThewebRoadmapItem
| Propiedades | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| RoadmapItemId | Edm.Guid | Sí | Identificador del elemento de hoja de ruta que se va a auditar. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | No | Información adicional. |
Tipo complejo AdditionalInfo
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| EnvironmentName | Edm.String | No | Identificador del entorno donde se realizó la acción. |
Tipo de registro ProjectForThewebProjectSetting
| Propiedades | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ProjectEnabled | Edm.Boolean | Sí | Valor que se estableció para Project para la web (1= habilitado, 0 deshabilitado). |
Tipo de registro ProjectForThewebRoadmapSetting
| Propiedades | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| RoadmapEnabled | Edm.Boolean | Sí | Valor que se estableció para Roadmap (1= habilitado, 0 deshabilitado). |
Tipo de registro ProjectForThewebAssignedToMeSetting
| Propiedades | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| AssignedToMeEnabled | Edm.Boolean | Sí | Valor establecido para AssignedToMe (1= habilitado, 0 deshabilitado). |
Esquema de Viva Pulse
Los eventos de pulso Viva devueltos en las búsquedas de registros de auditoría usan este esquema (y también el esquema común).
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| EventName | Edm.String | No | Descripción del evento o de la actividad que se produjo en Viva Pulse. |
| PulseId | Edm.String | No | Id. de la encuesta de pulsos. |
| EventDetails | Collection(Common.NameValuePair) | No | Propiedades adicionales sobre el evento. |
Algunos de los eventos VivaPulse registran diferentes propiedades en EventDetails. Cada propiedad registrada en EventDetail se describe en la tabla.
| EventName | PropertName | Descripción |
|---|---|---|
| PulseReportShare | Recipientes | Lista de identificadores de destinatario con los que se comparte la encuesta de pulsos. |
| PulseCreate | Recipientes | Lista de identificadores de usuario que son participantes de la encuesta de pulsos especificada. |
| PulseInvite | Recipientes | Lista de identificadores de usuario a los que se invita adicionalmente al pulso. |
| PulseTenantSettingsUpdate | TenantSettingName | Se ha cambiado el nombre de la configuración. |
| PulseSubmit | No aplicable | Este evento no registra ninguna propiedad en EventDetails. |
| PulseExtendDeadline | No aplicable | Este evento no registra ninguna propiedad en EventDetails. |
| PulseCancel | No aplicable | Este evento no registra ninguna propiedad en EventDetails. |
| PulseCreateDraft | No aplicable | Este evento no registra ninguna propiedad en EventDetails. |
| PulseDeleteDraft | No aplicable | Este evento no registra ninguna propiedad en EventDetails. |
| PulseDeleteUserData | No aplicable | Este evento no registra ninguna propiedad en EventDetails. |
| PulseQuestionDeleted | No aplicable | Este evento no registra ninguna propiedad en EventDetails. |
| PulseDataExport | ExportType,ExportCompletedDate | ExportType indica si la exportación de datos es una exportación de nivel de Administración o de nivel de autor, ExportCompletedDate especifica cuándo se finalizó la exportación de datos. |
| PulseConfidentialConversationStarted | No aplicable | Este evento no registra ninguna propiedad en EventDetails. |
| PulseConfidentialConversationResponded | No aplicable | Este evento no registra ninguna propiedad en EventDetails. |
| PulseConfidentialConversationMessageDeleted | No aplicable | Este evento no registra ninguna propiedad en EventDetails. |
Esquema del Administrador de cumplimiento
Los eventos del Administrador de cumplimiento devueltos en las búsquedas de registros de auditoría usan este esquema (y también el esquema común).
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Detalles | Collection(SettingsChange) | No | Descripción del evento que se produjo para un administrador de cumplimiento de Microsoft Purview. |
Los valores tomados por las propiedades SettingsChange de Details for different operations se describen en la tabla siguiente.
| Operación | PropertyName | Descripción |
|---|---|---|
| Todas las operaciones | Nombre | Nombre de la configuración implicada en la operación del Administrador de cumplimiento. |
| Todas las operaciones | NewValue | Nuevo valor para la nueva configuración. |
| Todas las operaciones | OriginalValue | Valor original para la nueva configuración. |
Nota:
- Para los cambios de rol, el nombre es el tipo de rol.
- El registro de auditoría refleja el cambio en el evento, como al usuario se le asigna un rol o un rol revocado.
- El valor original y el nuevo tienen los correos electrónicos del usuario para los que ha cambiado el rol.
- En caso de que no haya ningún cambio en el rol, ese tipo de rol no está presente en el registro de auditoría.
Esquema de directiva de copia de seguridad
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| PolicyID | Edm.String | Sí | Identificador de la directiva. |
| EditMethodology | Edm.String | No | Cómo se creó o editó la directiva. |
| CountOfArtifactsBeingAdded | Edm.Int32 | No | Número de artefactos que se van a agregar. |
| CountOfArtifactsBeingRemoved | Edm.Int32 | No | Número de artefactos que se quitan. |
| ServiceType | Edm.String | No | Ya sea una directiva de SharePoint, Exchange o OneDriveForBusiness. |
| BillingPolicyId | Edm.String | No | Identificador de la directiva de facturación asociada. |
Esquema de tarea de exploración pormenorizada
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| SessionId | Edm.String | Sí | Identificador de la tarea Examinar. |
| RestoreTime | Edm.Date | No | Restaurar dateTime de punto en el que se creó la sesión de exploración. |
| BackupItemId | Edm.String | No | Id. de artefacto para el que se creó la sesión de exploración. |
| ServiceType | Edm.String | Sí | Ya sea una directiva de SharePoint, Exchange o OneDriveForBusiness. |
Esquema de tarea de restauración
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| TaskID | Edm.String | Sí | Identificador de la tarea Restaurar. |
| CreationMethodology | Edm.String | No | Cómo se creó o editó la tarea Restaurar. |
| CountOfArtifactsBeingAdded | Edm.Int32 | No | Número de artefactos que se van a agregar. |
| CountOfArtifactsBeingRemoved | Edm.Int32 | No | Número de artefactos que se quitan. |
| ServiceType | Edm.String | No | Ya sea una directiva de SharePoint, Exchange o OneDriveForBusiness. |
Restaurar esquema de elemento
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| RestoreTime | Edm.DateTime | Sí | Hora a la que se va a restaurar el elemento. |
| RestoreLocationType | Edm.String | Sí | Tipo de ubicación en el que se está restaurando el elemento. |
| RestoreLocation | Edm.String | No | Ubicación en la que se está restaurando el elemento. |
| TaskID | Edm.String | Sí | Identificador de la tarea Restaurar. |
| BackupItemID | Edm.String | Sí | Identificador del elemento de copia de seguridad que se va a restaurar. |
| ProtectionUnitID | Edm.String | Sí | Identificador de unidad de protección del elemento que se va a restaurar. |
| SuccessStatus | Edm.String | No | Si la operación de restauración se realizó correctamente. |
| BackupItemType | Edm.String | Sí | Si el elemento de copia de seguridad es un sitio, una cuenta o un buzón. |
| ServiceType | Edm.String | No | Ya sea una directiva de SharePoint, Exchange o OneDriveForBusiness. |
Esquema de elemento de copia de seguridad
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| PolicyID | Edm.String | Sí | Identificador de directiva de la directiva a la que se va a agregar el elemento. |
| ItemID | Edm.String | Sí | Identificador del elemento de copia de seguridad. |
| ProtectionUnitID | Edm.String | Sí | Identificador de unidad de protección del elemento del que se está realizando la copia de seguridad. |
| ResultStatus | Edm.String | No | Si la operación de restauración se realizó correctamente. |
| BackupItemType | Edm.String | Sí | Si el elemento de copia de seguridad es un sitio, una cuenta o un buzón. |
| EditMethodology | Edm.String | No | Cómo se va a agregar el elemento de copia de seguridad. |
| ServiceType | Edm.String | No | Ya sea una directiva de SharePoint, Exchange o OneDriveForBusiness. |
Esquema de servicio de directiva en la nube
Los registros de auditoría de eventos relacionados con el servicio Cloud Policy amplían el esquema común de la siguiente manera:
PolicyConfigChangeAuditRecord
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ConfigId | Edm.String | No | Identificador de la configuración de directiva |
| ConfigName | Edm.String | No | Nombre dado de la configuración de directiva |
| Descripción | Edm.String | No | Descripción proporcionada para la configuración de directivas |
| ConfigScope | Propio. CPSScope | No | Ámbito de configuración de directiva |
| Grupos | Collection(Common.NameValuePair) | No | Lista de grupos configurados |
| Prioridad | Edm.Int32 | No | Valor de prioridad de la configuración de directiva |
| Directivas | Collection(Self.Directiva) | No | Lista de opciones de directiva configuradas |
| Prioridades | Collection(Self.PrioritySetting) | No | Lista de configuraciones de directiva y sus valores de prioridad |
Enumeración: CPSScope - Tipo: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | Tenant | La configuración de directiva se limita a todos los usuarios del inquilino. |
| 2 | Anónimo | La configuración de directiva se limita a usuarios anónimos. |
| 3 | Usuario | La configuración de directiva se limita a los usuarios de los grupos de Microsoft Entra configurados. |
Directiva de tipos complejos
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| PolicyId | Edm.String | No | Identificador de la configuración de directiva |
| PolicyName | Edm.String | No | Nombre de la configuración de directiva |
| Valor | Edm.String | No | Valor configurado de la configuración de directiva |
| Configuraciones | Collection(Self.Configuración) | No | Configuración configurada |
Configuración de tipo complejo
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| SettingId | Edm.String | No | Identificador de la configuración |
| SettingName | Edm.String | No | Nombre de la configuración |
| Valor | Edm.String | No | Valor configurado de la configuración |
PrioritySetting de tipo complejo
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ConfigId | Edm.String | No | Identificador de la configuración de directiva |
| ConfigName | Edm.String | No | Nombre dado de la configuración de directiva |
| Valor | Edm.String | No | Prioridad configurada de la configuración de directiva |
Esquema de configuración del perfil de actualización en la nube
Los eventos relacionados con la configuración del perfil de Cloud Update amplían el esquema Común con los siguientes tipos de registro.
CloudUpdateProfileConfigAuditRecord
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ProfileName | Edm.String | Sí | Nombre del perfil |
| ProfileState | Propio. ProfileState | No | Estado del perfil |
| Fecha límite | Edm.Int32 | No | Fecha límite configurada |
| UpdateValidationState | Propio. UpdateValidationState | No | Validación del estado de actualización |
| Ondas | Collection(Self.Ola) | No | Colección que contiene ondas configuradas |
| WaveDelay | Edm.Int32 | No | Establecer retraso entre oleadas |
Enumeración: ProfileState - Tipo: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | Habilitado | El perfil está habilitado y activo. |
| 2 | Deshabilitado | El perfil está deshabilitado. |
| 3 | Pausado | El perfil está habilitado, pero en estado en pausa. |
Enumeración: UpdateValidationState - Tipo: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | Habilitado | La validación de actualizaciones está habilitada. |
| 2 | Deshabilitado | La validación de actualizaciones está deshabilitada. |
Onda de tipo complejo
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Nombre | Edm.String | No | Nombre de wave |
| Tipo | Propio. WaveType | No | Onda especificada por el administrador o onda catch-all automática |
| Grupos | Collection(Common.NameValuePair) | No | Colección de grupos configurados para esta oleada |
Enumeración: WaveType - Tipo: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | Grupos | El administrador configuró Wave mediante grupos. |
| 2 | RemainingDevices | Onda creada automáticamente que incluye todos los dispositivos en el ámbito del perfil que no están cubiertos por oleadas anteriores. |
Esquema de configuración de inquilinos de Cloud Update
Los eventos relacionados con la configuración del inquilino de Cloud Update amplían el esquema Común con los siguientes tipos de registro.
CloudUpdateTenantConfigAuditRecord
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ProfileExclusionWindows | Collection(Self.ExclusionWindow) | No | Colección de ventanas de exclusión configuradas |
| ExclusionList | Collection(Common.NameValuePair) | No | Colección de exclusiones configuradas |
| TAK | Edm.String | No | Clave de asociación de inquilinos |
Exclusión de tipos complejosWindow
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Nombre | Edm.String | No | Nombre dado de la ventana de exclusión |
| StartDate | Edm.Date | No | Fecha de inicio de las ventanas de exclusión |
| EndDate | Edm.Date | No | Fecha de finalización de las ventanas de exclusión |
| Grupos | Collection(Common.NameValuePair) | No | Colección de grupos a los que se limita la ventana de exclusión |
Esquema de dispositivo de Actualización en la nube
Los eventos relacionados con dispositivos de Cloud Update amplían el esquema Común con los siguientes tipos de registro.
CloudUpdateDeviceConfigAuditRecord
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ReversiónDispositivos | Propio. Reversión | No | Reversiones desencadenadas |
| ChannelChangeDevices | Propio. ChannelChange | No | Cambios de canal desencadenados |
Reversión de tipos complejos
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| RollbackType | Propio. RollbackType | No | Tipo de reversión |
| RollbackBuildNumber | Edm.String | No | Número de compilación de destino al que revertir |
| Dispositivos | Collection(Edm.String) | No | Recopilación de dispositivos destinados a la reversión |
Enumeración: RollbackType - Type: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | SpecificDevices | La reversión estaba destinada a un subconjunto específico de dispositivos. |
| 2 | AllDevices | La reversión estaba destinada a todos los dispositivos dentro del ámbito del perfil. |
ChannelChange de tipo complejo
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ChannelChange | Propio. Canal | No | Canal de actualización de destino |
| Dispositivos | Collection(Edm.String) | No | Recopilación de dispositivos de destino |
| Grupos | Collection(Common.NameValuePair) | No | Colección de grupos de destino |
Enumeración: Canal - Tipo: Edm.Int32
| Valor | Nombre del miembro | Descripción |
|---|---|---|
| 1 | MonthlyEnterpriseChannel | Canal mensual para empresas |
| 2 | CurrentChannel | Canal actual |
esquema de detección de riesgos de Microsoft Entra
Microsoft Entra eventos de detección de riesgos devueltos en las búsquedas de registros de auditoría usan este esquema (y también el esquema común).
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Actividad | Edm.String | No | Tipo de actividad para el que se detectó el riesgo. |
| ActivityDateTime | Edm.Date | No | Fecha y hora en hora universal coordinada (UTC) cuando se produjo la actividad de riesgo. |
| AdditionalInfo | Edm.String | No | Información adicional en formato JSON para el riesgo detectado. |
| CorrelationId | Edm.String | No | Identificador que se puede usar para correlacionar las actividades de inicio de sesión asociadas a una detección de riesgos. |
| DetectedDateTime | Edm.Date | No | Fecha y hora de la hora universal coordinada (UTC) en la que se detectó el riesgo. |
| DetectionTimingType | Edm.String | No | Indica el tipo de tiempo del riesgo detectado. Los valores posibles son en tiempo real o sin conexión. |
| LastUpdatedDateTime | Edm.Date | No | Fecha y hora de la hora universal coordinada (UTC) cuando se actualizó por última vez la detección de riesgos. |
| Ubicación | Propio. LocationType | No | Información sobre la ubicación desde la que se detectó la actividad de inicio de sesión. |
| Id. de solicitud | Edm.String | No | Indica el identificador de solicitud de la actividad de inicio de sesión para la que se detectó el riesgo. Si la detección de riesgos no está asociada al inicio de sesión, esta propiedad es NULL. |
| RiskDetail | Edm.String | No | Detalles del riesgo detectado. |
| RiskEventType | Edm.String | No | Tipo de evento para el que se detectó el riesgo. |
| RiskId | Edm.String | No | Identificador único para la detección de riesgos. |
| RiskLevel | Edm.String | No | Nivel del riesgo detectado. |
| RiskState | Edm.String | No | Estado de riesgo de un usuario de riesgo o un inicio de sesión vinculado a la detección de riesgos. |
| Origen | Edm.String | No | Origen del riesgo detectado. |
| TokenIssuerType | Edm.String | No | Tipo de emisor de tokens para el inicio de sesión vinculado a la detección de riesgos. |
| UserDisplayName | Edm.String | No | Nombre principal de usuario (UPN) del usuario para el que se detectó el riesgo. |
Tipo complejo LocationType
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Ciudad | Edm.String | No | La ciudad donde se realizó el inicio de sesión. |
| CountryOrRegion | Edm.String | No | País o región donde se realizó el inicio de sesión. |
| GeoCoordinates | Propio. GeoCoordinatesType | No | Coordenadas geográficas de la ubicación donde se realizó el inicio de sesión. |
| Estado | Edm.String | No | Estado en el que se realizó el inicio de sesión. |
Tipo complejo GeoCoordinatesType
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Altitude | Edm.String | No | Altitud de la ubicación donde se realizó el inicio de sesión. |
| Latitude | Edm.String | No | Latitud de la ubicación donde se realizó el inicio de sesión. |
| Longitude | Edm.String | No | Longitud de la ubicación donde se realizó el inicio de sesión. |
Esquema WebContentFiltering de Microsoft Edge
Los eventos WebContentFiltering de Microsoft Edge devueltos en las búsquedas de registros de auditoría usan este esquema (y también el esquema común).
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| URLPath | Edm.String | Sí | Dirección URL que se ha explorado. |
| DomainURL | Edm.String | Sí | Dirección URL del dominio que se ha explorado. |
| Categoría | Edm.String | Sí | Categoría de dirección URL examinada. |
Microsoft 365 Copilot esquema de aviso programado
Microsoft 365 Copilot eventos de aviso programados devueltos en las búsquedas de registros de auditoría usan este esquema (y también el esquema común).
Las solicitudes programadas de Copilot permiten a los usuarios automatizar las solicitudes de Copilot, por lo que se ejecutan según una programación definida en Microsoft 365 Copilot Chat.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| ScenarioType | Edm.String | Sí | Nombre de la automatización. |
| PromptText | Edm.String | No | El consulta de Copilot que ejecuta el LLM. |
| AutomationId | Edm.String | Sí | Identificador único que correlaciona todas las actividades relacionadas con cada ejecución del consulta de Copilot. |
| TriggerMode | Edm.String | No | Programación de cuándo se ejecuta el consulta de Copilot, que se muestra en formato cron. |
esquema de directorio de Microsoft Places
Microsoft Places Eventos de directorio devueltos en las búsquedas de registros de auditoría usan este esquema (y también el esquema común).
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| PlaceType | Edm.String | No | Tipo del elemento de lugar creado, actualizado o eliminado por la solicitud. Por ejemplo, "Building", "Room", "Desk", etc. |
| Parámetros | Collection(Common.NameValuePair) | No | El nombre y valor de todos los parámetros usados con el cmdlet que se identifica en la propiedad Operations. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | No | La propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior del objeto modificado. |
Esquema del centro de datos de evaluación de Teams
Los eventos del centro de datos de evaluación de Teams devueltos en las búsquedas de registros de auditoría usan el esquema Común. El centro de datos de evaluación de Teams no introduce propiedades adicionales específicas del servicio más allá del esquema común. Para estos eventos, las siguientes propiedades de esquema comunes tienen significados específicos del servicio.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Carga de trabajo | Edm.String | Sí | El servicio de Office 365 en el que se produjo la actividad. Siempre TeamsEvalDataHub. |
| RecordType | Self.AuditLogRecordType | Sí | El tipo de operación indicado por el registro.
TeamsEvalDataHubDataAccess (444) para DataRead operaciones y DataWrite ; TeamsEvalDataHubPermissionChange (445) para PermissionGranted operaciones y PermissionRevoked . |
| Operación | Edm.String | Sí | Nombre de la actividad de usuario o servicio. Uno de DataRead, DataWrite, PermissionGrantedo PermissionRevoked. |
| ObjectId | Edm.String | No | Identifica el conjunto de datos o el objeto de control de acceso al que se dirige la operación. |
Microsoft Sentinel el lago de datos y el esquema de grafos
Los siguientes eventos Microsoft Sentinel devueltos en las búsquedas de registros de auditoría usan estos esquemas (y también el esquema común).
SentinelNotebookOnLake
Para obtener información sobre las actividades de registro de auditoría, consulte Microsoft Sentinel actividades del cuaderno de Data Lake.
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| EventTime | Edm.Date | Sí | Marca de tiempo cuando se envió o inició la ejecución del cuaderno de Spark. |
| Proceso | Edm.String | No | Proceso seleccionado. |
| DatabaseName | Edm.String | No | Área de trabajo en la que se ejecutó el comando. |
| TableName | Edm.String | No | Nombre de la tabla. |
| SessionDurationInSecs | Edm.String | Sí | Duración total de la sesión. |
| SessionStartTime | Edm.Date | No | Hora de inicio de la sesión. |
| SessionEndTime | Edm.Date | No | Hora de finalización de la sesión. |
| KernalId | Edm.Guid | Sí | KernelId de Jupyter identifica de forma única la sesión de Notebook. |
| SessionId | Edm.Guid | No | Identificador de correlación de los distintos bloques de código ejecutados con una sesión de Spark. |
| Interfaz | Edm.String | Sí | Interfaz desde la que se ejecutó el cuaderno. |
SentinelJob
Para ver las actividades de registro de auditoría, consulte Microsoft Sentinel actividades de trabajo de Data Lake.
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| EventTime | Edm.Date | Sí | Marca de tiempo cuando se inició la operación en el trabajo. |
| Operación | Edm.String | Sí | Nombre de la operación de trabajo. |
| Tipo de trabajo | Edm.String | Sí | Tipo de trabajo, como Notebook, KQL. |
| Id. de trabajo | Edm.Guid | Sí | Identificador único de un trabajo. |
| Nombre del trabajo | Edm.String | Sí | Nombre del trabajo. |
| Proceso | Edm.String | No | Configuración de proceso del trabajo. |
| Programación | Edm.String | No | Detalles de programación, si está configurado para el trabajo. |
| Id. de ejecución | Edm.Guid | No | Identificador de una instancia de ejecución de trabajo específica. |
| JobRunStatus | Edm.String | No | Estado de la ejecución del trabajo. |
| Registros | Edm.String | No | Registros de la ejecución del cuaderno. |
| JobExecutionDurationInSecs | Edm.Int64 | No | Tiempo necesario para la ejecución del trabajo. |
| JobTotalDurationInSecs | Edm.Int64 | No | Duración total de la operación de trabajo, incluida la sesión. |
| JobStartTime | Edm.Date | No | Hora de inicio del trabajo. |
| JobEndTime | Edm.Date | No | Hora de finalización del trabajo. |
| Interfaz | Edm.String | Sí | Interfaz desde la que se realizó la operación de trabajo. |
| DatabasesRead | Collection(Edm.String) | No | Lista de áreas de trabajo leídas por el trabajo. |
| DatabasesWrite | Collection(Edm.String) | No | Lista de áreas de trabajo escritas en por el trabajo |
| TablesRead | Collection(Edm.String) | No | Lista de tablas leídas por el trabajo. |
| TablesWrite | Collection(Edm.String) | No | Lista de tablas escritas en por el trabajo. |
| Consulta | Edm.String | No | Consulta de KQL o cuaderno ejecutado en el trabajo. |
SentinelKQLOnLake
Para ver las actividades de registro de auditoría, consulte Microsoft Sentinel actividades de KQL del lago de datos.
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| EventTime | Edm.Date | Sí | Marca de tiempo de la ejecución de la consulta KQL. |
| DatabaseName | Collection(Edm.String) | Sí | Áreas de trabajo en las que se ejecutó la consulta KQL. |
| ResultTableCount | Edm.Int64 | No | Recuento de tablas de salida. |
| QueryResponse | Edm.String | Sí | Respuesta de la ejecución de la consulta KQL. |
| TotalRows | Collection(Edm.Int64) | Sí | Número total de filas devueltas por la ejecución de la consulta. Lista de valores si se ejecutan varias consultas a la vez. |
| ComponentFault | Edm.String | No | Entidad que provocó un error en la consulta. Por ejemplo, si el resultado de la consulta es demasiado grande, ComponentFault es "Client". Si se produjo un error interno, ComponentFault es "Server". |
| FailureReason | Edm.String | No | Si se produjo un error en la consulta KQL, el motivo del error. |
| ExecutionDuration | Edm.Int64 | Sí | Tiempo necesario para la ejecución de consultas, en milisegundos. |
| TotalCPU | Edm.Int64 | Sí | Duración total de la CPU de la ejecución. |
| MemoryPeak | Edm.Int64 | Sí | Pico de memoria de la ejecución de la consulta KQL. |
| Interfaz | Edm.String | Sí | Interfaz desde la que se ejecutó la consulta KQL. |
| TablesRead | Collection(Edm.String) | Sí | Lista de tablas leídas en la consulta KQL. |
| QueryText | Edm.String | Sí | La consulta KQL ejecutada en forma limpia. |
SentinelLakeOnboarding
Para ver las actividades de registro de auditoría, consulte Microsoft Sentinel actividades de incorporación de data lake.
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| BillingAzureSubscriptionId | Edm.String | No | Azure suscripción elegida para Sentinel facturación de Data Lake. |
| BillingAzureResourceGroupName | Edm.String | No | Azure grupo de recursos elegido para Sentinel facturación de Data Lake. |
| TenantId | Edm.String | No | Identificador de inquilino asociado a la instalación o actualización de Lake. |
| ProvisioningStatus | Edm.String | No | Estado del aprovisionamiento del lago. |
SentinelLakeDataOnboarding
| Nombre de la propiedad | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| DataOnboardingAtSetup | Edm.String | No | Conjuntos de datos ingeridos durante Sentinel incorporación del lago de datos. |
| Tablas | Collection(Edm.String) | No | Lista de nombres de tabla ingeridos durante Sentinel incorporación de data lake. |
| SubscriptionsEnabled | Collection(Edm.String) | No | Lista de suscripciones habilitadas para la ingesta de ARG. |
| DataOnboardingStatus | Edm.String | No | Estado de la operación. |
SentinelAITool
Para ver las actividades de registro de auditoría, consulte Microsoft Sentinel actividades de herramientas de inteligencia artificial.
| Parámetro | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| EventOccurenceTime | Edm.Date | Sí | Marca de tiempo de la operación. |
| ToolID | Edm.Guid | Sí | Identificador de la herramienta de inteligencia artificial. |
| ToolName | Edm.String | Sí | Nombre de la herramienta de inteligencia artificial. |
| Interfaz | Edm.String | Sí | Interfaz desde donde se ejecutó la herramienta de inteligencia artificial. |
| InputParameters | Edm.String | No | Parámetros proporcionados a la herramienta. |
| DatabasesRead | Collection(Edm.String) | No | Lista de bases de datos de las que se lee en la ejecución. |
| TablesRead | Collection(Edm.String) | No | Lista de tablas de las que se lee en la ejecución. |
| APICalled | Collection(Edm.String) | No | API a las que llama la herramienta de inteligencia artificial. |
| FailureReason | Edm.String | No | Si se produjo un error en la ejecución, el motivo del error. |
| TotalRows | Collection(Edm.Int64) | No | Número total de filas devueltas. |
| DataScanned | Edm.Int64 | No | Total de GB escaneados. |
| ExecutionDuration | Edm.Int64 | No | Tiempo necesario para la ejecución de consultas, en milisegundos. |
| TotalCpuHours | Edm.Int64 | No | Duración total de la CPU de la ejecución. |
| TotalSCUHours | Edm.Int64 | No | Número total de SCU usadas en la ejecución. |
SentinelGraph
Para ver las actividades de registro de auditoría, consulte Microsoft Sentinel actividades de grafos.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| EventTime | Edm.Date | Sí | Marca de tiempo de la operación. |
| GraphName | Edm.String | Sí | Nombre de la instancia del gráfico. |
| Operación | Edm.string | Sí | Acción realizada en el gráfico. |
| OperationInput | Edm.string | No | Parámetros de la acción del grafo. |
| Estadísticas de GraphQuery | Edm.string | No | Colección de metadatos de respuesta. |
| Estado de GraphQuery | Edm.String | No | Respuesta de la consulta o acción en el gráfico. |
| Interfaz | Edm.String | Sí | Interfaz desde la que se realizó la acción del grafo. |
Esquema de clasificación a petición de Purview
Los eventos de clasificación a petición de Microsoft Purview devueltos en las búsquedas de registros de auditoría usan este esquema.
Esquema DataScanClassification
El esquema de auditoría DataScanClassification está diseñado para capturar y registrar actividades cuando se evaluó un archivo para el contenido confidencial como parte de un examen de clasificación a petición para SharePoint o OneDrive.
| Parameters | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| ClassificationInfo | Collection(Self.SensitiveInformation) | No | Detalles sobre la información confidencial que se encuentra en el archivo después del examen. |
| PolicyId | Edm.Guid | Sí | Guid del examen de clasificación a petición. |
| ClassificationMode | Edm.Int32 | Sí | Si el examen se ejecutó para clasificadores específicos o para todos. |
| ClassificationPosture | Edm.Int32 | Sí | Comparación de la información confidencial detectada antes y después del examen. |
| ClassificationResult | Edm.Int32 | Sí | Estado de clasificación de archivos. |
| DocumentMetaData | Propio. DocumentMetadata | No | Describe los metadatos sobre el documento de SharePoint o OneDrive que contenían la información confidencial. |
| PreviousClassificationInfo | Collection(Self.SensitiveInformation) | No | Detalles sobre la información confidencial que se encuentra en el archivo después del examen. |
Tipo complejo DocumentMetaData
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| itemCreationTime | Edm.Date | Sí | Datetimestamp en UTC de cuando se registró el evento. |
| SiteCollectionGuid | Edm.Guid | Sí | El GUID de la colección de sitios. |
| SiteCollectionUrl | Edm.String | Sí | El nombre del sitio de SharePoint. |
| FileName | Edm.String | Sí | El nombre de la ruta de acceso. |
| FileOwner | Edm.String | Sí | El propietario del documento. |
| FileOwnerEmail | Edm.String | Sí | Email dirección del propietario del documento. |
| FilePathUrl | Edm.String | Sí | La dirección URL del documento |
| DocumentLastModifier | Edm.String | Sí | El usuario que ha modificado por última vez el documento. |
| UniqueId | Edm.String | Sí | Un GUID que identifica el archivo. |
| LastModifiedTime | Edm.DateTime | Sí | Marca de tiempo en UTC que indica la última vez que se modificó el documento. |
Enumeración: ClassificationMode - Type: Edm.Int32
| Valor | Descripción |
|---|---|
| 1 | Archivo evaluado para todos los clasificadores configurados en el inquilino. |
| 2 | Archivo evaluado solo para clasificadores seleccionados especificados en el examen. |
Enumeración: ClassificationPosture - Type: Edm.Int32
| Valor | Descripción |
|---|---|
| 1 | El archivo no coincidió con ningún clasificador antes y después del examen. |
| 2 | No se encontró ningún clasificador nuevo después del examen. |
| 3 | El archivo no coincidía con ningún clasificador antes del examen. Uno o varios clasificadores que se encuentran en el archivo después del examen. |
| 4 | El archivo coincidió con algunos clasificadores antes del examen. Uno o más clasificadores ya no coinciden |
| 5 | El archivo coincidió con algunos clasificadores antes del examen. Nuevo clasificador o cambio en el nivel de confianza o recuento de clasificadores existente después del examen. |
Enumeración: ClassificationResult - Type: Edm.Int32
| Valor | Descripción |
|---|---|
| 1 | La clasificación de archivos se completó correctamente. |
| 2 | La clasificación de archivos se completó con un error. Error en una o varias evaluaciones del clasificador. |
| 3 | Error en la clasificación de archivos. |
Esquema PurviewPostureAgent
Los eventos del agente de posición de seguridad de datos, devueltos en las búsquedas de registros de auditoría , usan este esquema (y también el esquema común).
Esquema PurviewPostureAgent
El esquema de auditoría PurviewPostureAgent está diseñado para capturar y registrar actividades relacionadas con data security posture agent.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| DiscoveryId | Edm.String | No | Identificador único para el evento de exploración. |
| Ámbito | Collection(Self.PostureAgentSearchLocation) | No | Recopilación de información de ubicación de búsqueda para el agente de posición. |
| OldLabel | Edm.String | No | Valor de etiqueta anterior antes del cambio. |
| NewLabel | Edm.String | No | Nuevo valor de etiqueta después del cambio. |
| FileName | Edm.String | No | Nombre del archivo asociado al evento del agente de postura. |
Tipo complejo PostureAgentSearchLocation
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| Tipo | Edm.String | Sí | Tipo de la ubicación de búsqueda. |
| Id | Edm.String | Sí | Identificador de la ubicación de búsqueda. |
esquema de Dragon Copilot Administración
Dragon Copilot eventos de administración devueltos en las búsquedas de registros de auditoría usan este esquema (y también el esquema común). Estos eventos se han RecordType establecido en DragonCopilotAdmin (454).
Para obtener más información sobre Dragon Copilot, consulte la documentación de Dragon Copilot.
| Parameters | Tipo | ¿Es obligatoria? | Descripción |
|---|---|---|---|
| EnvironmentId | Edm.String | No | GUID del entorno de Dragon Copilot. Permite a los clientes limitar o filtrar los registros de auditoría por unidad organizativa. Solo está presente para las operaciones con ámbito de entorno. |
| ProductType | Edm.String | No | El Dragon Copilot producto al que se limita la operación. Valores posibles: Physician, Nursing, Radiology. Solo está presente cuando la operación tiene ámbito de producto (por ejemplo, ProvisionedProduct, DeprovisionedProduct). |