你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Google Workspace Activities 数据连接器提供将活动事件从 Google Workspace API 引入 Microsoft Sentinel 的功能。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| AccountState | 字符串 | 用于指示设备上的帐户状态的参数。 |
| ActorCallerType | 字符串 | 参与者的类型。 |
| ActorEmail | 字符串 | 执行者的电子邮件地址。 |
| ActorIsCollaboratorAccount | 布尔 | 指示执行者是否为协作者帐户。 |
| ActorKey | 字符串 | 指示执行者的唯一键。 |
| ActorProfileId | 字符串 | 执行者的唯一 Google Workspace 配置文件 ID。 |
| ApiKind | 字符串 | 发出的 API 请求的类型。 |
| ApplicationEdition | 字符串 | Google Workspace 版本。 |
| 应用程序名称 | 字符串 | 应用程序的名称。 |
| 应用名称 | 字符串 | 发出 API 请求的应用程序的名称。 |
| 可计费 | 布尔 | 此活动是否计费。 |
| _BilledSize(账单大小) | 真实 | 记录大小(字节) |
| CalendarId | 字符串 | 在此操作的上下文中相关日历的日历 ID(例如,事件所在的日历,或要订阅的日历)。 通常采用用户的电子邮件地址形式。 |
| ClientId | 字符串 | 已向其授予/撤销访问权限的客户端 ID。 |
| 客户类型 | 字符串 | 发出请求的客户端的类型。 |
| DestinationFolderId | 字符串 | 目标文件夹的唯一标识符。 |
| 目标文件夹标题 | 字符串 | 目标文件夹的标题。 |
| DestUserUpn | 字符串 | |
| DocId | 字符串 | 文档的唯一标识符。 |
| DocTitle | 字符串 | 文档的标题。 |
| DocType | 字符串 | 文档的类型。 |
| DstUserUpn | 字符串 | |
| DvcGuid | 字符串 | 所用设备的唯一标识符。 |
| DvcInterfaceGuid | 字符串 | 设备接口的唯一标识符。 |
| DvcModelName | 字符串 | 所使用的设备的模型名称。 |
| DvcModelNumber | 字符串 | 所用设备的型号。 |
| DvcType | 字符串 | 所使用的设备的类型。 |
| ETag | 字符串 | 用于并发控制的实体标记。 |
| 事件结束时间 | 字符串 | 事件的结束时间。 |
| 活动嘉宾 | 字符串 | 事件来宾的电子邮件地址。 |
| EventId | 字符串 | 事件的唯一标识符。 |
| EventMessage | 字符串 | 事件名称。 |
| EventOriginalMessage | 字符串 | 一个表示事件链的数组,其中每个元素都是子事件。 |
| EventProduct | 字符串 | 与事件关联的产品。 |
| 事件响应状态 | 字符串 | 事件的响应状态。 |
| 事件开始时间 | 字符串 | 活动的开始时间。 |
| 活动标题 | 字符串 | 事件的标题。 |
| 事件类型 | 字符串 | 事件类型。 |
| EventUid | 字符串 | 事件的唯一标识符。 |
| EventVendor | 字符串 | 活动供应商。 |
| GroupDomain | 字符串 | 组织单位 (OU) 名称(路径)。 |
| IdApplicationName | 字符串 | 应用程序的名称。 |
| IosVendorId | 字符串 | iOS 设备的供应商 ID。 |
| IosVendorUID | 字符串 | iOS 设备的供应商 UID。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsSecondFactor | 布尔 | 指示事件是否涉及第二重身份验证尝试。 |
| IsSuspicious | 布尔 | 指示事件是否被视为可疑事件。 |
| LastSyncAuditDate | 字符串 | 上次同步审核的日期。 |
| LoginChallengeMethod | 字符串 | 用于登录质询的方法。 |
| 登录挑战状态 | 字符串 | 登录质询的状态。 |
| LoginType | 字符串 | 用于尝试登录的凭据类型。 |
| ModuleName | 字符串 | 此产品名称的新许可证。 |
| NeqValue | 字符串 | 新的许可证 SKU。 |
| 通知消息ID | 字符串 | 通知消息 ID。 |
| 通知方法 | 字符串 | 用于通知的方法。 |
| 通知类型 | 字符串 | 通知的类型。 |
| OldEventTitle | 字符串 | 如果日历事件的标题已更改,则这是该事件的上一个标题。 |
| OldValue | 字符串 | 上一个广告方案。 |
| OldVisibility | 字符串 | 目标文件的先前可见性。 |
| 组织者日历ID | 字符串 | 此事件的组织者的日历 ID。 |
| 来源应用程序ID | 字符串 | 执行操作的应用程序的 Google Cloud Project ID。 |
| OsProperty | 字符串 | 操作系统属性。 |
| 所有者 | 字符串 | 事件中涉及的资源的所有者。 |
| 所有者域 | 字符串 | 事件中涉及的资源所有者的域名。 |
| OwnerIsSharedDrive | 布尔 | 指示所有者是否为共享驱动器。 |
| OwnerIsTeamDrive | 布尔 | 指示所有者是否为团队驱动器。 |
| 主要事件 | 布尔 | 指示事件是否为事件链中的主事件。 |
| ProcessName | 字符串 | 已更改的设置的唯一名称 (ID)。 |
| RegisterPrivelege | 字符串 | 设备策略应用对用户设备的权限。 |
| Resource_Id | 字符串 | 设备的唯一资源 ID。 |
| 角色名称 | 字符串 | 分配给用户的角色的唯一名称(ID)。 |
| Scope | 字符串 | 访问请求的范围。 |
| 范围数据 | 字符串 | 与范围相关的其他数据。 |
| 序列号 | 字符串 | 设备的序列号。 |
| SharedDriveId | 字符串 | 如果文档所有者是共享驱动器,则表示该共享驱动器的根 ID。 |
| 源文件夹ID (SourceFolderId) | 字符串 | 如果文档位于共享驱动器中,则表示其所在源文件夹的 ID。 |
| 源文件夹标题 | 字符串 | 如果文档位于共享驱动器中,则表示其所在源文件夹的标题。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcIpAddr | 字符串 | 执行操作的 IP 地址。 |
| TargetCalendarId | 字符串 | 事件对应的日历的 ID。 |
| TargetUserDomain | 字符串 | 事件所针对的域。 |
| 目标用户名 | 字符串 | 事件面向的用户。 |
| TeamDriveId | 字符串 | |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | |
| 类型 | 字符串 | 表的名称 |
| UserAadid | 字符串 | 此 ID 有助于将事件和活动与正确的 Google Workspace 租户相关联。 |
| UserAgentOriginal | 字符串 | 触发此动作的请求中包含的用户代理。 |
| 用户邮箱 | 字符串 | 用户的主要电子邮件地址。 |
| 能见度 | 字符串 | 与事件关联的可见性。 |
| 可见性变化 | 字符串 |