Google Workspace Activities 数据连接器提供将活动事件从 Google Workspace API 引入 Microsoft Sentinel 的功能。
数据表属性
| Attribute |
Value |
|
资源类型 |
- |
|
Categories |
安全性 |
|
Solutions |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时转换 |
No |
|
示例查询 |
- |
Columns
| Column |
类型 |
Description |
| AccountState |
字符串 |
用于指示设备上的帐户状态的参数。 |
| ActorCallerType |
字符串 |
参与者的类型。 |
| ActorEmail |
字符串 |
参与者的电子邮件地址。 |
| ActorIsCollaboratorAccount |
bool |
表示代理是否为协作者帐户。 |
| ActorKey |
字符串 |
指示参与者的唯一键。 |
| ActorProfileId |
字符串 |
执行者的唯一 Google Workspace 配置文件 ID。 |
| ApiKind |
字符串 |
发出的 API 请求的类型。 |
| ApplicationEdition |
字符串 |
Google Workspace 版本。 |
| ApplicationName |
字符串 |
应用程序的名称。 |
| AppName |
字符串 |
发出 API 请求的应用程序的名称。 |
| Billable |
bool |
此活动是否计费。 |
| _BilledSize |
real |
记录大小(字节) |
| CalendarId |
字符串 |
在此操作的上下文中相关日历的日历 ID(例如事件所在的日历或已订阅的日历)。 通常采用用户的电子邮件地址形式。 |
| ClientId |
字符串 |
已向其授予/撤销访问权限的客户端 ID。 |
| ClientType |
字符串 |
发出请求的客户端的类型。 |
| DestinationFolderId |
字符串 |
目标文件夹的唯一标识符。 |
| 目标文件夹标题 |
字符串 |
目标文件夹的标题。 |
| DestUserUpn |
字符串 |
|
| DocId |
字符串 |
文档的唯一标识符。 |
| DocTitle |
字符串 |
文档的标题。 |
| DocType |
字符串 |
文档的类型。 |
| DstUserUpn |
字符串 |
|
| DvcGuid |
字符串 |
所用设备的唯一标识符。 |
| DvcInterfaceGuid |
字符串 |
设备接口的唯一标识符。 |
| DvcModelName |
字符串 |
所使用的设备的模型名称。 |
| DvcModelNumber |
字符串 |
所用设备的型号。 |
| DvcType |
字符串 |
所使用的设备的类型。 |
| Etag |
字符串 |
用于并发控制的实体标记。 |
| EventEndTime |
字符串 |
事件的结束时间。 |
| 活动嘉宾 |
字符串 |
事件来宾的电子邮件地址。 |
| EventId |
字符串 |
事件的唯一标识符。 |
| EventMessage |
字符串 |
事件名称。 |
| EventOriginalMessage |
字符串 |
一个表示事件链的数组,其中每个元素都是子事件。 |
| EventProduct |
字符串 |
与事件关联的产品。 |
| 事件响应状态 |
字符串 |
事件的响应状态。 |
| EventStartTime |
字符串 |
事件的开始时间。 |
| 活动标题 |
字符串 |
事件的标题。 |
| EventType |
字符串 |
事件类型。 |
| EventUid |
字符串 |
事件的唯一标识符。 |
| EventVendor |
字符串 |
事件的供应商。 |
| GroupDomain |
字符串 |
组织单位(OU)名称(路径)。 |
| IdApplicationName |
字符串 |
应用程序的名称。 |
| IosVendorId |
字符串 |
iOS 设备的供应商 ID。 |
| IosVendorUID |
字符串 |
适用于 iOS 设备的供应商唯一标识符。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsSecondFactor |
bool |
指示事件是否涉及第二重身份验证尝试。 |
| IsSuspicious |
bool |
指示事件是否被视为可疑事件。 |
| LastSyncAuditDate |
字符串 |
上次同步审核的日期。 |
| LoginChallengeMethod |
字符串 |
用于登录质询的方法。 |
| 登录挑战状态 |
字符串 |
登录挑战的状态。 |
| LoginType |
字符串 |
用于尝试登录的凭据类型。 |
| ModuleName |
字符串 |
此产品名称的新许可证。 |
| NeqValue |
字符串 |
新的许可证 SKU。 |
| 通知消息ID |
字符串 |
通知消息 ID。 |
| 通知方法 |
字符串 |
用于通知的方法。 |
| NotificationType |
字符串 |
通知的类型。 |
| OldEventTitle |
字符串 |
如果日历事件的标题已更改,则这是该事件的上一个标题。 |
| OldValue |
字符串 |
之前的广告选项。 |
| OldVisibility |
字符串 |
目标文件的旧可见性。 |
| 组织者日历ID |
字符串 |
此事件的组织者的日历 ID。 |
| 来源应用程序ID |
字符串 |
执行操作的应用程序的 Google Cloud Project ID。 |
| OsProperty |
字符串 |
操作系统属性。 |
| Owner |
字符串 |
事件中涉及的资源的所有者。 |
| 所有者域 |
字符串 |
事件中涉及的资源所有者的域名。 |
| OwnerIsSharedDrive |
bool |
指示所有者是否为共享驱动器。 |
| OwnerIsTeamDrive |
bool |
指示所有者是否为团队驱动器。 |
| 主要事件 |
bool |
指示事件是否为事件链中的主事件。 |
| ProcessName |
字符串 |
已更改的设置的唯一名称(ID)。 |
| RegisterPrivelege |
字符串 |
设备策略应用对用户设备的权限。 |
| Resource_Id |
字符串 |
设备的唯一资源 ID。 |
| RoleName |
字符串 |
分配给用户的角色的唯一名称(ID)。 |
| Scope |
字符串 |
访问请求的范围。 |
| 范围数据 |
字符串 |
与范围相关的其他数据。 |
| SerialNumber |
字符串 |
设备的序列号。 |
| SharedDriveId |
字符串 |
如果文档所有者是共享驱动器,则共享驱动器根 ID。 |
| 源文件夹ID (SourceFolderId) |
字符串 |
如果文档存储在共享驱动器中,则源文件夹的 ID。 |
| 源文件夹标题 |
字符串 |
如果文档位于共享磁盘中,则源文件夹的名称。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcIpAddr |
字符串 |
执行该操作的 IP 地址。 |
| TargetCalendarId |
字符串 |
事件所指定日历的ID。 |
| TargetUserDomain |
字符串 |
事件所针对的域。 |
| TargetUserName |
字符串 |
事件面向的用户。 |
| TeamDriveId |
字符串 |
|
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
|
| 类型 |
字符串 |
表的名称 |
| UserAadid |
字符串 |
此 ID 有助于将事件和活动与正确的 Google Workspace 租户相关联。 |
| UserAgentOriginal |
字符串 |
触发此操作的请求中的用户代理。 |
| UserEmail |
字符串 |
用户的主要电子邮件地址。 |
| Visibility |
字符串 |
与事件关联的可见性。 |
| 可见性变化 |
字符串 |
|