Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Google Workspace Activities 数据连接器提供将活动事件从 Google Workspace API 引入 Microsoft Sentinel 的功能。
数据表属性
| Attribute | Value |
|---|---|
| 资源类型 | - |
| Categories | 安全性 |
| Solutions | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | No |
| 示例查询 | - |
Columns
| Column | 类型 | Description |
|---|---|---|
| AccountState | 字符串 | 用于指示设备上的帐户状态的参数。 |
| ActorCallerType | 字符串 | 参与者的类型。 |
| ActorEmail | 字符串 | 参与者的电子邮件地址。 |
| ActorIsCollaboratorAccount | bool | 表示代理是否为协作者帐户。 |
| ActorKey | 字符串 | 指示参与者的唯一键。 |
| ActorProfileId | 字符串 | 执行者的唯一 Google Workspace 配置文件 ID。 |
| ApiKind | 字符串 | 发出的 API 请求的类型。 |
| ApplicationEdition | 字符串 | Google Workspace 版本。 |
| ApplicationName | 字符串 | 应用程序的名称。 |
| AppName | 字符串 | 发出 API 请求的应用程序的名称。 |
| Billable | bool | 此活动是否计费。 |
| _BilledSize | real | 记录大小(字节) |
| CalendarId | 字符串 | 在此操作的上下文中相关日历的日历 ID(例如事件所在的日历或已订阅的日历)。 通常采用用户的电子邮件地址形式。 |
| ClientId | 字符串 | 已向其授予/撤销访问权限的客户端 ID。 |
| ClientType | 字符串 | 发出请求的客户端的类型。 |
| DestinationFolderId | 字符串 | 目标文件夹的唯一标识符。 |
| 目标文件夹标题 | 字符串 | 目标文件夹的标题。 |
| DestUserUpn | 字符串 | |
| DocId | 字符串 | 文档的唯一标识符。 |
| DocTitle | 字符串 | 文档的标题。 |
| DocType | 字符串 | 文档的类型。 |
| DstUserUpn | 字符串 | |
| DvcGuid | 字符串 | 所用设备的唯一标识符。 |
| DvcInterfaceGuid | 字符串 | 设备接口的唯一标识符。 |
| DvcModelName | 字符串 | 所使用的设备的模型名称。 |
| DvcModelNumber | 字符串 | 所用设备的型号。 |
| DvcType | 字符串 | 所使用的设备的类型。 |
| Etag | 字符串 | 用于并发控制的实体标记。 |
| EventEndTime | 字符串 | 事件的结束时间。 |
| 活动嘉宾 | 字符串 | 事件来宾的电子邮件地址。 |
| EventId | 字符串 | 事件的唯一标识符。 |
| EventMessage | 字符串 | 事件名称。 |
| EventOriginalMessage | 字符串 | 一个表示事件链的数组,其中每个元素都是子事件。 |
| EventProduct | 字符串 | 与事件关联的产品。 |
| 事件响应状态 | 字符串 | 事件的响应状态。 |
| EventStartTime | 字符串 | 事件的开始时间。 |
| 活动标题 | 字符串 | 事件的标题。 |
| EventType | 字符串 | 事件类型。 |
| EventUid | 字符串 | 事件的唯一标识符。 |
| EventVendor | 字符串 | 事件的供应商。 |
| GroupDomain | 字符串 | 组织单位(OU)名称(路径)。 |
| IdApplicationName | 字符串 | 应用程序的名称。 |
| IosVendorId | 字符串 | iOS 设备的供应商 ID。 |
| IosVendorUID | 字符串 | 适用于 iOS 设备的供应商唯一标识符。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsSecondFactor | bool | 指示事件是否涉及第二重身份验证尝试。 |
| IsSuspicious | bool | 指示事件是否被视为可疑事件。 |
| LastSyncAuditDate | 字符串 | 上次同步审核的日期。 |
| LoginChallengeMethod | 字符串 | 用于登录质询的方法。 |
| 登录挑战状态 | 字符串 | 登录挑战的状态。 |
| LoginType | 字符串 | 用于尝试登录的凭据类型。 |
| ModuleName | 字符串 | 此产品名称的新许可证。 |
| NeqValue | 字符串 | 新的许可证 SKU。 |
| 通知消息ID | 字符串 | 通知消息 ID。 |
| 通知方法 | 字符串 | 用于通知的方法。 |
| NotificationType | 字符串 | 通知的类型。 |
| OldEventTitle | 字符串 | 如果日历事件的标题已更改,则这是该事件的上一个标题。 |
| OldValue | 字符串 | 之前的广告选项。 |
| OldVisibility | 字符串 | 目标文件的旧可见性。 |
| 组织者日历ID | 字符串 | 此事件的组织者的日历 ID。 |
| 来源应用程序ID | 字符串 | 执行操作的应用程序的 Google Cloud Project ID。 |
| OsProperty | 字符串 | 操作系统属性。 |
| Owner | 字符串 | 事件中涉及的资源的所有者。 |
| 所有者域 | 字符串 | 事件中涉及的资源所有者的域名。 |
| OwnerIsSharedDrive | bool | 指示所有者是否为共享驱动器。 |
| OwnerIsTeamDrive | bool | 指示所有者是否为团队驱动器。 |
| 主要事件 | bool | 指示事件是否为事件链中的主事件。 |
| ProcessName | 字符串 | 已更改的设置的唯一名称(ID)。 |
| RegisterPrivelege | 字符串 | 设备策略应用对用户设备的权限。 |
| Resource_Id | 字符串 | 设备的唯一资源 ID。 |
| RoleName | 字符串 | 分配给用户的角色的唯一名称(ID)。 |
| Scope | 字符串 | 访问请求的范围。 |
| 范围数据 | 字符串 | 与范围相关的其他数据。 |
| SerialNumber | 字符串 | 设备的序列号。 |
| SharedDriveId | 字符串 | 如果文档所有者是共享驱动器,则共享驱动器根 ID。 |
| 源文件夹ID (SourceFolderId) | 字符串 | 如果文档存储在共享驱动器中,则源文件夹的 ID。 |
| 源文件夹标题 | 字符串 | 如果文档位于共享磁盘中,则源文件夹的名称。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcIpAddr | 字符串 | 执行该操作的 IP 地址。 |
| TargetCalendarId | 字符串 | 事件所指定日历的ID。 |
| TargetUserDomain | 字符串 | 事件所针对的域。 |
| TargetUserName | 字符串 | 事件面向的用户。 |
| TeamDriveId | 字符串 | |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | |
| 类型 | 字符串 | 表的名称 |
| UserAadid | 字符串 | 此 ID 有助于将事件和活动与正确的 Google Workspace 租户相关联。 |
| UserAgentOriginal | 字符串 | 触发此操作的请求中的用户代理。 |
| UserEmail | 字符串 | 用户的主要电子邮件地址。 |
| Visibility | 字符串 | 与事件关联的可见性。 |
| 可见性变化 | 字符串 |