OfficeActivity
Azure Sentinel에서 수집한 Office 365 테넌트의 감사 로그입니다. Exchange, SharePoint, Teams 로그를 포함합니다.
테이블 특성
| attribute | 값 |
|---|---|
| 리소스 종류 | - |
| 범주 | 보안 |
| 솔루션 | AzureSentinelPrivatePreview, SecurityInsights |
| 기본 로그 | No |
| 수집 시간 변환 | Yes |
| 샘플 쿼리 | 예 |
열
| 열 | 형식 | Description |
|---|---|---|
| AADGroupId | string | Azure Active Directory 그룹 ID |
| AADTarget | string | 작업(Operation 속성으로 식별됨)이 수행된 사용자 |
| 활동 | 문자열 | 사용자가 수행한 활동입니다. |
| 행위자 | 문자열 | 작업을 수행한 사용자 또는 서비스 주체 |
| ActorContextId | string | 행위자가 속한 organization GUID |
| ActorIpAddress | 문자열 | IPV4 또는 IPV6 주소 형식의 행위자의 IP 주소 |
| AddOnGuid | 문자열 | 이 이벤트를 생성한 추가 기능의 고유 식별자 |
| AddonName | 문자열 | 이 이벤트를 생성한 추가 기능의 이름입니다. |
| AddOnType | 문자열 | 이 이벤트를 생성한 추가 기능의 유형입니다. |
| AffectedItems | 문자열 | 그룹의 각 항목에 대한 정보 |
| AppDistributionMode | 문자열 | 애플리케이션 배포 모드 |
| AppId | 문자열 | 애플리케이션 ID |
| 애플리케이션 | string | 애플리케이션 이름 |
| ApplicationId | 문자열 | SharePoint 애플리케이션 ID |
| AzureActiveDirectory_EventType | 문자열 | Azure AD 이벤트의 유형 |
| AzureADAppId | 문자열 | Teams 애플리케이션 Azure AD ID |
| _BilledSize | real | 레코드 크기(바이트) |
| ChannelGuid | string | 감사되는 채널의 고유 식별자 |
| ChannelName | 문자열 | 감사되는 채널의 이름 |
| ChannelType | 문자열 | 감사되는 채널 유형(표준/비공개) |
| ChatName | 문자열 | 채팅의 이름 |
| ChatThreadId | 문자열 | 채팅 스레드의 ID |
| 클라이언트 | 문자열 | 계정 로그인 이벤트의 에 사용된 클라이언트 디바이스, 디바이스 OS 및 디바이스 브라우저에 대한 세부 정보 |
| Client_IPAddress | 문자열 | 작업이 기록될 때 사용된 디바이스의 IP 주소 |
| ClientAppId | 문자열 | 클라이언트 애플리케이션 ID |
| ClientInfoString | 문자열 | 작업을 수행하는 데 사용된 전자 메일 클라이언트에 대한 정보 |
| ClientIP | 문자열 | 활동이 기록될 때 사용된 디바이스의 IP 주소 |
| ClientMachineName | 문자열 | Outlook 클라이언트를 호스트하는 컴퓨터 이름 |
| ClientProcessName | string | 사서함에 액세스하는 데 사용된 전자 메일 클라이언트 |
| ClientVersion | 문자열 | 전자 메일 클라이언트의 버전 |
| CommunicationType | 문자열 | 수행된 통신 유형 |
| CrossMailboxOperations | bool | 작업에 둘 이상의 사서함이 관련되어 있는지를 나타냅니다. |
| CustomEvent | string | 사용자 지정 이벤트에 대한 선택적 문자열 |
| DataCenterSecurityEventType | int | 잠금 상자의 dmdlet 이벤트 유형 |
| DestFolder | 문자열 | 대상 폴더 |
| DestinationFileExtension | 문자열 | 복사되거나 이동된 파일의 파일 확장명입니다. |
| DestinationFileName | string | 복사하거나 이동한 파일의 이름입니다. |
| DestinationRelativeUrl | 문자열 | 파일이 복사 또는 이동되는 대상 폴더의 URL입니다. |
| DestMailboxId | 문자열 | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
| DestMailboxOwnerMasterAccountSid | 문자열 | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
| DestMailboxOwnerSid | 문자열 | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
| DestMailboxOwnerUPN | 문자열 | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
| EffectiveOrganization | 문자열 | elevation/cmdlet이 대상으로 지정한 테넌트 이름 |
| ElevationApprovedTime | Datetime | 권한 상승이 승인된 시기의 타임스탬프 |
| ElevationApprover | string | Microsoft 관리자의 이름 |
| ElevationDuration | int | 권한 상승이 활성화된 기간(시간) |
| ElevationRequestId | 문자열 | 권한 상승 요청에 대한 고유 식별자 |
| ElevationRole | 문자열 | 권한 상승이 요청된 역할 |
| ElevationTime | Datetime | 권한 상승의 시작 시간 |
| Event_Data | string | 사용자 지정 이벤트에 대한 선택적 페이로드 |
| EventSource | 문자열 | SharePoint에서 이벤트가 발생했음을 나타냅니다. 가능한 값은 SharePoint 또는 ObjectModel입니다. |
| ExtendedProperties | 문자열 | Azure AD 이벤트의 확장 속성 |
| ExternalAccess | 문자열 | organization 사용자가 cmdlet을 실행했는지 여부를 지정합니다. |
| ExtraProperties | 동적 | 추가 속성 목록 |
| 폴더 | 문자열 | 항목 그룹이 있는 폴더 |
| 폴더 | string | 작업에 관련된 원본 폴더에 대한 정보 |
| GenericInfo | 문자열 | 주석 및 기타 일반 정보에 사용됩니다. |
| InternalLogonType | int | 내부용으로 예약됨 |
| InterSystemsId | 문자열 | Office 365 서비스 내의 구성 요소 간에 작업을 추적하는 GUID |
| IntraSystemId | 문자열 | 작업을 추적하기 위해 Azure Active Directory에서 생성한 GUID |
| _IsBillable | string | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 청구되지 않음 |
| IsManagedDevice | bool | organization 관리되는 디바이스에서 작업을 만들었는지를 나타냅니다. |
| 항목 | string | 작업을 수행한 항목을 나타냅니다. |
| ItemName | string | 전자 메일 메시지의 제목 필드에 있는 문자열입니다. |
| ItemType | string | 액세스했거나 수정한 개체의 형식입니다. 개체 유형에 대한 자세한 내용은 ItemType 테이블을 참조하세요. |
| LoginStatus | int | OrgIdLogon.LoginStatus에서 직접 생성되는 속성입니다. 다양한 흥미로운 로그온 실패의 매핑은 알고리즘을 경고하여 수행할 수 있습니다. |
| Logon_Type | string | 사서함에 액세스하고 기록된 작업을 수행한 사용자의 유형을 나타냅니다. |
| LogonUserDisplayName | 문자열 | 작업을 수행한 사용자의 사용자에게 친숙한 이름입니다. |
| LogonUserSid | string | 작업을 수행한 사용자의 SID |
| MachineDomainInfo | string | 디바이스 동기화 작업에 대한 정보 |
| MachineId | string | 디바이스 동기화 작업에 대한 정보 |
| MailboxGuid | 문자열 | 액세스한 사서함의 Exchange GUID |
| MailboxOwnerMasterAccountSid | 문자열 | 사서함 소유자 계정의 master 계정 SID |
| MailboxOwnerSid | 문자열 | 사서함 소유자의 SID |
| MailboxOwnerUPN | 문자열 | 액세스한 사서함을 소유한 사람의 전자 메일 주소 |
| 멤버 | 동적 | 팀 내 사용자 목록 |
| MessageId | 문자열 | 채팅 또는 채널 메시지의 식별자 |
| ModifiedObjectResolvedName | 문자열 | cmdlet에서 수정한 개체의 사용자 식별 이름입니다. |
| ModifiedProperties | 문자열 | 속성은 사이트 또는 사이트 모음 관리 그룹의 구성원으로 사용자를 추가하는 것과 같은 관리 이벤트에 포함됩니다. |
| 이름 | string | 설정 이벤트에만 존재합니다. 변경된 설정의 이름 |
| NewValue | 문자열 | 설정 이벤트에만 존재합니다. 설정의 새 값 |
| OfficeId | 문자열 | 감사 레코드의 고유 식별자 |
| OfficeObjectId | 문자열 | SharePoint 및 비즈니스용 OneDrive 작업의 경우 |
| OfficeTenantId | 문자열 | Office 테넌트 ID |
| OfficeWorkload | 문자열 | 작업이 발생한 Office 365 서비스 |
| OldValue | 문자열 | 설정 이벤트에만 존재합니다. 설정의 이전 값 |
| 작업 | 문자열 | 사용자가 수행하는 작업의 이름 |
| OperationProperties | 동적 | 추가 작업 속성 |
| OperationScope | 문자열 | 작업이 수행된 scope |
| OrganizationId | 문자열 | 조직의 Office 365 테넌트 GUID입니다. 이 값은 항상 organization |
| OrganizationName | 문자열 | 테넌트 이름 |
| OriginatingServer | 문자열 | cmdlet이 실행된 서버의 이름입니다. |
| 매개 변수 | string | Operations 속성에서 식별된 cmdlet과 함께 사용된 모든 매개 변수의 이름 및 값입니다. |
| RecordType | string | 레코드로 표시되는 작업의 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 AuditLogRecordType 테이블을 참조하세요. |
| _ResourceId | 문자열 | 레코드가 연결된 리소스의 고유 식별자입니다. |
| ResultReasonType | 문자열 | ResultType에 보고된 결과에 대한 이유 |
| ResultStatus | 문자열 | 작업 속성에 지정된 작업이 성공했는지 여부를 나타냅니다. |
| SendAsUserMailboxGuid | string | 전자 메일을 보내기 위해 액세스한 사서함의 Exchange GUID입니다. |
| SendAsUserSmtp | 문자열 | 가장되는 사용자의 SMTP 주소 |
| SendonBehalfOfUserMailboxGuid | 문자열 | 을 대신하여 메일을 보내기 위해 액세스한 사서함의 Exchange GUID |
| SendOnBehalfOfUserSmtp | 문자열 | 전자 메일을 대신 보낸 사용자의 SMTP 주소 |
| SharingType | 문자열 | 리소스를 공유한 사용자에게 할당된 공유 권한 유형입니다. 이 사용자는 UserSharedWith 매개 변수로 식별됩니다. |
| Site_ | 문자열 | 사용자가 액세스하는 파일 또는 폴더가 있는 사이트의 GUID입니다. |
| Site_Url | 문자열 | 사용자가 액세스하는 파일 또는 폴더가 있는 사이트의 URL입니다. |
| Source_Name | string | 감사된 작업을 트리거한 엔터티입니다. 가능한 값은 SharePoint 또는 ObjectModel입니다. |
| SourceFileExtension | 문자열 | 사용자가 액세스한 파일의 파일 확장명입니다. |
| SourceFileName | 문자열 | 사용자가 액세스하는 파일 또는 폴더의 이름입니다. |
| SourceRecordId | 문자열 | 감사 레코드의 고유 식별자 |
| SourceRelativeUrl | string | 사용자가 액세스하는 파일이 포함된 폴더의 URL입니다. |
| SourceSystem | 문자열 | 이벤트가 수집된 에이전트의 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
| SRPolicyId | 문자열 | 정책 ID |
| SRPolicyName | 문자열 | 정책 이름 |
| SRuleMatchDetails | 동적 | 규칙 세부 정보 |
| Start_Time | Datetime | cmdlet이 실행된 날짜 및 시간 |
| _SubscriptionId | 문자열 | 레코드가 연결된 구독의 고유 식별자입니다. |
| SupportTicketId | 문자열 | '대신 행동' 상황에서 작업에 대한 고객 지원 티켓 ID |
| TabType | 문자열 | 이 이벤트를 생성한 탭의 유형입니다. |
| TargetContextId | 문자열 | 대상 사용자가 속한 organization GUID |
| TargetUserId | 문자열 | 대상 사용자 ID |
| TargetUserOrGroupName | 문자열 | 리소스가 공유된 대상 사용자 또는 그룹의 UPN 또는 이름을 저장합니다. |
| TargetUserOrGroupType | 문자열 | 대상 사용자 또는 그룹이 멤버, 게스트, 그룹 또는 파트너인지 여부를 식별합니다. |
| TeamGuid | 문자열 | 감사 중인 팀의 고유 식별자 |
| TeamName | 문자열 | 감사 중인 팀의 이름 |
| TenantId | 문자열 | Log Analytics 작업 영역 ID |
| TimeGenerated | Datetime | 사용자가 작업을 수행한 UTC(협정 세계시)의 날짜 및 시간 |
| Type | 문자열 | 테이블의 이름입니다. |
| UserAgent | 문자열 | 사용자 에이전트 |
| UserDomain | string | 사용자의 도메인 |
| UserId | 문자열 | 레코드가 기록된 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(사용자 계정 이름)입니다. |
| UserKey | 문자열 | UserId 속성에서 식별된 사용자의 대체 ID |
| UserSharedWith | 문자열 | 리소스를 공유한 사용자 |
| UserType | 문자열 | 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 UserType 테이블을 참조하세요. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기