OfficeActivity
Azure Sentinel에서 수집한 Office 365 테넌트의 감사 로그입니다. Exchange, SharePoint, Teams 로그를 포함합니다.
범주
- 보안
솔루션
- AzureSentinelPrivatePreview
- Microsoft Sentinel
열
| Column | 형식 | 설명 |
|---|---|---|
| AADGroupId | string | Azure Active Directory 그룹 ID |
| AADTarget | string | 작업 속성으로 식별된 작업이 수행된 사용자 |
| 행위자 | string | 작업을 수행한 사용자 또는 서비스 주체 |
| ActorContextId | string | 행위자가 속한 조직의 GUID |
| ActorIpAddress | string | IPV4 또는 IPV6 주소 형식의 행위자의 IP 주소 |
| AddOnGuid | string | 이 이벤트를 생성한 추가 기능의 고유 식별자 |
| AddonName | string | 이 이벤트를 생성한 추가 기능의 이름입니다. |
| AddOnType | string | 이 이벤트를 생성한 추가 기능의 유형 |
| AffectedItems | string | 그룹의 각 항목에 대한 정보 |
| AppDistributionMode | string | 애플리케이션 배포 모드 |
| AppId | string | 애플리케이션 ID |
| 애플리케이션 | string | 애플리케이션 이름 |
| ApplicationId | 문자열 | SharePoint 애플리케이션 ID |
| AzureActiveDirectory_EventType | string | Azure AD 이벤트의 유형 |
| AzureADAppId | string | Teams 애플리케이션 Azure AD ID |
| ChannelGuid | string | 감사되는 채널의 고유 식별자 |
| ChannelName | string | 감사되는 채널의 이름 |
| ChannelType | string | 감사되는 채널의 유형(표준/비공개) |
| ChatName | string | 채팅의 이름 |
| ChatThreadId | string | 채팅 스레드의 ID |
| 클라이언트 | string | 계정 로그인 이벤트에 사용된 클라이언트 디바이스, 디바이스 OS 및 디바이스 브라우저에 대한 세부 정보 |
| ClientAppId | string | 클라이언트 애플리케이션 ID |
| ClientInfoString | string | 작업을 수행하는 데 사용된 전자 메일 클라이언트에 대한 정보 |
| ClientIP | 문자열 | 활동이 기록될 때 사용된 디바이스의 IP 주소 |
| Client_IPAddress | string | 작업이 기록될 때 사용된 디바이스의 IP 주소 |
| ClientMachineName | string | Outlook 클라이언트를 호스트하는 컴퓨터 이름 |
| ClientProcessName | string | 사서함에 액세스하는 데 사용된 전자 메일 클라이언트 |
| ClientVersion | string | 전자 메일 클라이언트의 버전 |
| CommunicationType | string | 수행된 통신 유형 |
| CrossMailboxOperations | bool | 작업에 둘 이상의 사서함이 관련되어 있는지를 나타냅니다. |
| CustomEvent | string | 사용자 지정 이벤트에 대한 선택적 문자열 |
| DataCenterSecurityEventType | int | 잠금 상자의 dmdlet 이벤트 유형 |
| DestFolder | string | 대상 폴더 |
| DestinationFileExtension | string | 복사되거나 이동된 파일의 파일 확장명입니다. |
| DestinationFileName | string | 복사하거나 이동한 파일의 이름입니다. |
| DestinationRelativeUrl | string | 파일이 복사되거나 이동되는 대상 폴더의 URL입니다. |
| DestMailboxId | string | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
| DestMailboxOwnerMasterAccountSid | string | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
| DestMailboxOwnerSid | string | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
| DestMailboxOwnerUPN | string | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
| EffectiveOrganization | string | 권한 상승/cmdlet이 대상으로 지정된 테넌트 이름 |
| ElevationApprovedTime | Datetime | 권한 상승이 승인된 시점의 타임스탬프 |
| ElevationApprover | string | Microsoft 관리자의 이름 |
| ElevationDuration | int | 권한 상승이 활성화된 기간(시간) |
| ElevationRequestId | string | 권한 상승 요청에 대한 고유 식별자 |
| ElevationRole | string | 권한 상승이 요청된 역할 |
| ElevationTime | Datetime | 권한 상승의 시작 시간 |
| Event_Data | string | 사용자 지정 이벤트에 대한 선택적 페이로드 |
| EventSource | string | SharePoint에서 이벤트가 발생했음을 나타냅니다. 가능한 값은 SharePoint 또는 ObjectModel입니다. |
| ExtendedProperties | string | Azure AD 이벤트의 확장 속성 |
| ExternalAccess | string | 조직의 사용자가 cmdlet을 실행했는지 여부를 지정합니다. |
| ExtraProperties | 동적 | 추가 속성 목록 |
| 폴더 | 문자열 | 항목 그룹이 있는 폴더 |
| 폴더 | string | 작업에 관련된 원본 폴더에 대한 정보 |
| GenericInfo | string | 메모 및 기타 일반 정보에 사용됨 |
| InternalLogonType | int | 내부용으로 예약됨 |
| InterSystemsId | string | Office 365 서비스 내의 구성 요소에서 작업을 추적하는 GUID입니다. |
| IntraSystemId | string | 작업을 추적하기 위해 Azure Active Directory에서 생성한 GUID |
| 항목 | string | 작업을 수행한 항목을 나타냅니다. |
| ItemName | string | 전자 메일 메시지의 제목 필드에 있는 문자열입니다. |
| ItemType | string | 액세스했거나 수정한 개체의 형식입니다. 개체 유형에 대한 자세한 내용은 ItemType 테이블을 참조하세요. |
| LoginStatus | int | OrgIdLogon.LoginStatus에서 직접 생성되는 속성입니다. 다양한 흥미로운 로그온 실패의 매핑은 경고 알고리즘을 통해 수행할 수 있습니다. |
| Logon_Type | string | 사서함에 액세스하고 기록된 작업을 수행한 사용자의 유형을 나타냅니다. |
| LogonUserDisplayName | string | 작업을 수행한 사용자의 사용자에게 친숙한 이름입니다. |
| LogonUserSid | string | 작업을 수행한 사용자의 SID |
| MachineDomainInfo | string | 디바이스 동기화 작업에 대한 정보 |
| MachineId | string | 디바이스 동기화 작업에 대한 정보 |
| MailboxGuid | string | 액세스된 사서함의 Exchange GUID |
| MailboxOwnerMasterAccountSid | string | 사서함 소유자 계정의 마스터 계정 SID |
| MailboxOwnerSid | string | 사서함 소유자의 SID |
| MailboxOwnerUPN | string | 액세스된 사서함을 소유한 사람의 전자 메일 주소 |
| 멤버 | 동적 | 팀 내 사용자 목록 |
| MessageId | string | 채팅 또는 채널 메시지의 식별자 |
| ModifiedObjectResolvedName | string | cmdlet에 의해 수정된 개체의 사용자 이름입니다. |
| ModifiedProperties | string | 이 속성은 사이트 또는 사이트 모음 관리 그룹의 구성원으로 사용자를 추가하는 것과 같은 관리 이벤트에 포함됩니다. |
| 이름 | string | 설정 이벤트에만 존재합니다. 변경된 설정의 이름 |
| NewValue | string | 설정 이벤트에만 존재합니다. 설정의 새 값 |
| OfficeId | string | 감사 레코드의 고유 식별자 |
| OfficeObjectId | string | SharePoint 및 비즈니스용 OneDrive 작업의 경우 |
| OfficeTenantId | string | 사무실 테넌트 ID |
| OfficeWorkload | string | 활동이 발생한 Office 365 서비스 |
| OldValue | string | 설정 이벤트에만 존재합니다. 설정의 이전 값 |
| 작업(Operation) | string | 사용자가 수행하는 작업의 이름입니다. |
| OperationProperties | 동적 | 추가 작업 속성 |
| OperationScope | string | 작업이 수행된 범위 |
| OrganizationId | 문자열 | 조직의 Office 365 테넌트 GUID입니다. 이 값은 조직에 대해 항상 동일합니다. |
| OrganizationName | 문자열 | 테넌트 이름 |
| OriginatingServer | string | cmdlet이 실행된 서버의 이름입니다. |
| 매개 변수 | string | Operations 속성에서 식별된 cmdlet과 함께 사용된 모든 매개 변수의 이름 및 값입니다. |
| RecordType | string | 레코드로 표시되는 작업의 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 AuditLogRecordType 테이블을 참조하세요. |
| _ResourceId | 문자열 | 레코드가 연결된 리소스의 고유 식별자입니다. |
| ResultReasonType | string | ResultType에서 보고된 결과에 대한 이유 |
| ResultStatus | string | 작업 속성에 지정된 작업이 성공했는지 여부를 나타냅니다. |
| SendAsUserMailboxGuid | string | 전자 메일을 보내기 위해 액세스한 사서함의 Exchange GUID입니다. |
| SendAsUserSmtp | string | 가장되는 사용자의 SMTP 주소 |
| SendonBehalfOfUserMailboxGuid | string | 을 대신하여 메일을 보내기 위해 액세스한 사서함의 Exchange GUID |
| SendOnBehalfOfUserSmtp | string | 전자 메일을 대신 보낸 사용자의 SMTP 주소 |
| SharingType | string | 리소스를 공유한 사용자에게 할당된 공유 권한 유형입니다. 이 사용자는 UserSharedWith 매개 변수로 식별됩니다. |
| Site_ | string | 사용자가 액세스하는 파일 또는 폴더가 있는 사이트의 GUID입니다. |
| Site_Url | string | 사용자가 액세스하는 파일 또는 폴더가 있는 사이트의 URL입니다. |
| SourceFileExtension | string | 사용자가 액세스한 파일의 파일 확장명입니다. |
| SourceFileName | string | 사용자가 액세스하는 파일 또는 폴더의 이름입니다. |
| Source_Name | string | 감사된 작업을 트리거한 엔터티입니다. 가능한 값은 SharePoint 또는 ObjectModel입니다. |
| SourceRecordId | string | 감사 레코드의 고유 식별자 |
| SourceRelativeUrl | string | 사용자가 액세스하는 파일이 포함된 폴더의 URL입니다. |
| SourceSystem | 문자열 | 원본 시스템 이름 |
| SRPolicyId | string | 정책 ID |
| SRPolicyName | string | 정책 이름 |
| SRuleMatchDetails | 동적 | 규칙 세부 정보 |
| Start_Time | Datetime | cmdlet이 실행된 날짜 및 시간입니다. |
| _SubscriptionId | 문자열 | 레코드가 연결된 구독의 고유 식별자입니다. |
| SupportTicketId | string | '대신 행동' 상황의 작업에 대한 고객 지원 티켓 ID |
| TabType | string | 이 이벤트를 생성한 탭의 유형 |
| TargetContextId | string | 대상 사용자가 속한 조직의 GUID입니다. |
| TargetUserId | string | 대상 사용자 ID |
| TargetUserOrGroupName | string | 리소스가 공유된 대상 사용자 또는 그룹의 UPN 또는 이름을 저장합니다. |
| TargetUserOrGroupType | string | 대상 사용자 또는 그룹이 멤버, 게스트, 그룹 또는 파트너인지 여부를 식별합니다. |
| TeamGuid | string | 감사 중인 팀의 고유 식별자 |
| TeamName | string | 감사 중인 팀의 이름 |
| TenantId | 문자열 | |
| TimeGenerated | Datetime | 사용자가 활동을 수행한 UTC(협정 세계시)의 날짜 및 시간 |
| Type | 문자열 | 테이블의 이름입니다. |
| UserAgent | 문자열 | 사용자 에이전트 |
| UserDomain | string | 사용자의 도메인 |
| UserId | 문자열 | 레코드가 기록된 작업(작업 속성에 지정됨)을 수행한 사용자의 UPN(사용자 계정 이름) |
| UserKey | string | UserId 속성에서 식별된 사용자의 대체 ID |
| UserSharedWith | string | 리소스를 공유한 사용자 |
| UserType | string | 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 UserType 테이블을 참조하세요. |