OfficeActivity
Azure Sentinel에서 수집한 Office 365 테넌트의 감사 로그입니다. Exchange, SharePoint, Teams 로그를 포함합니다.
테이블 특성
attribute | 값 |
---|---|
리소스 종류 | - |
범주 | 보안 |
솔루션 | AzureSentinelPrivatePreview, SecurityInsights |
기본 로그 | No |
수집 시간 변환 | Yes |
샘플 쿼리 | 예 |
열
열 | 형식 | Description |
---|---|---|
AADGroupId | string | Azure Active Directory 그룹 ID |
AADTarget | string | 작업(Operation 속성으로 식별됨)이 수행된 사용자 |
활동 | 문자열 | 사용자가 수행한 활동입니다. |
행위자 | 문자열 | 작업을 수행한 사용자 또는 서비스 주체 |
ActorContextId | string | 행위자가 속한 organization GUID |
ActorIpAddress | 문자열 | IPV4 또는 IPV6 주소 형식의 행위자의 IP 주소 |
AddOnGuid | 문자열 | 이 이벤트를 생성한 추가 기능의 고유 식별자 |
AddonName | 문자열 | 이 이벤트를 생성한 추가 기능의 이름입니다. |
AddOnType | 문자열 | 이 이벤트를 생성한 추가 기능의 유형입니다. |
AffectedItems | 문자열 | 그룹의 각 항목에 대한 정보 |
AppDistributionMode | 문자열 | 애플리케이션 배포 모드 |
AppId | 문자열 | 애플리케이션 ID |
애플리케이션 | string | 애플리케이션 이름 |
ApplicationId | 문자열 | SharePoint 애플리케이션 ID |
AzureActiveDirectory_EventType | 문자열 | Azure AD 이벤트의 유형 |
AzureADAppId | 문자열 | Teams 애플리케이션 Azure AD ID |
_BilledSize | real | 레코드 크기(바이트) |
ChannelGuid | string | 감사되는 채널의 고유 식별자 |
ChannelName | 문자열 | 감사되는 채널의 이름 |
ChannelType | 문자열 | 감사되는 채널 유형(표준/비공개) |
ChatName | 문자열 | 채팅의 이름 |
ChatThreadId | 문자열 | 채팅 스레드의 ID |
클라이언트 | 문자열 | 계정 로그인 이벤트의 에 사용된 클라이언트 디바이스, 디바이스 OS 및 디바이스 브라우저에 대한 세부 정보 |
Client_IPAddress | 문자열 | 작업이 기록될 때 사용된 디바이스의 IP 주소 |
ClientAppId | 문자열 | 클라이언트 애플리케이션 ID |
ClientInfoString | 문자열 | 작업을 수행하는 데 사용된 전자 메일 클라이언트에 대한 정보 |
ClientIP | 문자열 | 활동이 기록될 때 사용된 디바이스의 IP 주소 |
ClientMachineName | 문자열 | Outlook 클라이언트를 호스트하는 컴퓨터 이름 |
ClientProcessName | string | 사서함에 액세스하는 데 사용된 전자 메일 클라이언트 |
ClientVersion | 문자열 | 전자 메일 클라이언트의 버전 |
CommunicationType | 문자열 | 수행된 통신 유형 |
CrossMailboxOperations | bool | 작업에 둘 이상의 사서함이 관련되어 있는지를 나타냅니다. |
CustomEvent | string | 사용자 지정 이벤트에 대한 선택적 문자열 |
DataCenterSecurityEventType | int | 잠금 상자의 dmdlet 이벤트 유형 |
DestFolder | 문자열 | 대상 폴더 |
DestinationFileExtension | 문자열 | 복사되거나 이동된 파일의 파일 확장명입니다. |
DestinationFileName | string | 복사하거나 이동한 파일의 이름입니다. |
DestinationRelativeUrl | 문자열 | 파일이 복사 또는 이동되는 대상 폴더의 URL입니다. |
DestMailboxId | 문자열 | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
DestMailboxOwnerMasterAccountSid | 문자열 | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
DestMailboxOwnerSid | 문자열 | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
DestMailboxOwnerUPN | 문자열 | CrossMailboxOperations 매개 변수가 True인 경우에만 설정 |
EffectiveOrganization | 문자열 | elevation/cmdlet이 대상으로 지정한 테넌트 이름 |
ElevationApprovedTime | Datetime | 권한 상승이 승인된 시기의 타임스탬프 |
ElevationApprover | string | Microsoft 관리자의 이름 |
ElevationDuration | int | 권한 상승이 활성화된 기간(시간) |
ElevationRequestId | 문자열 | 권한 상승 요청에 대한 고유 식별자 |
ElevationRole | 문자열 | 권한 상승이 요청된 역할 |
ElevationTime | Datetime | 권한 상승의 시작 시간 |
Event_Data | string | 사용자 지정 이벤트에 대한 선택적 페이로드 |
EventSource | 문자열 | SharePoint에서 이벤트가 발생했음을 나타냅니다. 가능한 값은 SharePoint 또는 ObjectModel입니다. |
ExtendedProperties | 문자열 | Azure AD 이벤트의 확장 속성 |
ExternalAccess | 문자열 | organization 사용자가 cmdlet을 실행했는지 여부를 지정합니다. |
ExtraProperties | 동적 | 추가 속성 목록 |
폴더 | 문자열 | 항목 그룹이 있는 폴더 |
폴더 | string | 작업에 관련된 원본 폴더에 대한 정보 |
GenericInfo | 문자열 | 주석 및 기타 일반 정보에 사용됩니다. |
InternalLogonType | int | 내부용으로 예약됨 |
InterSystemsId | 문자열 | Office 365 서비스 내의 구성 요소 간에 작업을 추적하는 GUID |
IntraSystemId | 문자열 | 작업을 추적하기 위해 Azure Active Directory에서 생성한 GUID |
_IsBillable | string | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 청구되지 않음 |
IsManagedDevice | bool | organization 관리되는 디바이스에서 작업을 만들었는지를 나타냅니다. |
항목 | string | 작업을 수행한 항목을 나타냅니다. |
ItemName | string | 전자 메일 메시지의 제목 필드에 있는 문자열입니다. |
ItemType | string | 액세스했거나 수정한 개체의 형식입니다. 개체 유형에 대한 자세한 내용은 ItemType 테이블을 참조하세요. |
LoginStatus | int | OrgIdLogon.LoginStatus에서 직접 생성되는 속성입니다. 다양한 흥미로운 로그온 실패의 매핑은 알고리즘을 경고하여 수행할 수 있습니다. |
Logon_Type | string | 사서함에 액세스하고 기록된 작업을 수행한 사용자의 유형을 나타냅니다. |
LogonUserDisplayName | 문자열 | 작업을 수행한 사용자의 사용자에게 친숙한 이름입니다. |
LogonUserSid | string | 작업을 수행한 사용자의 SID |
MachineDomainInfo | string | 디바이스 동기화 작업에 대한 정보 |
MachineId | string | 디바이스 동기화 작업에 대한 정보 |
MailboxGuid | 문자열 | 액세스한 사서함의 Exchange GUID |
MailboxOwnerMasterAccountSid | 문자열 | 사서함 소유자 계정의 master 계정 SID |
MailboxOwnerSid | 문자열 | 사서함 소유자의 SID |
MailboxOwnerUPN | 문자열 | 액세스한 사서함을 소유한 사람의 전자 메일 주소 |
멤버 | 동적 | 팀 내 사용자 목록 |
MessageId | 문자열 | 채팅 또는 채널 메시지의 식별자 |
ModifiedObjectResolvedName | 문자열 | cmdlet에서 수정한 개체의 사용자 식별 이름입니다. |
ModifiedProperties | 문자열 | 속성은 사이트 또는 사이트 모음 관리 그룹의 구성원으로 사용자를 추가하는 것과 같은 관리 이벤트에 포함됩니다. |
이름 | string | 설정 이벤트에만 존재합니다. 변경된 설정의 이름 |
NewValue | 문자열 | 설정 이벤트에만 존재합니다. 설정의 새 값 |
OfficeId | 문자열 | 감사 레코드의 고유 식별자 |
OfficeObjectId | 문자열 | SharePoint 및 비즈니스용 OneDrive 작업의 경우 |
OfficeTenantId | 문자열 | Office 테넌트 ID |
OfficeWorkload | 문자열 | 작업이 발생한 Office 365 서비스 |
OldValue | 문자열 | 설정 이벤트에만 존재합니다. 설정의 이전 값 |
작업 | 문자열 | 사용자가 수행하는 작업의 이름 |
OperationProperties | 동적 | 추가 작업 속성 |
OperationScope | 문자열 | 작업이 수행된 scope |
OrganizationId | 문자열 | 조직의 Office 365 테넌트 GUID입니다. 이 값은 항상 organization |
OrganizationName | 문자열 | 테넌트 이름 |
OriginatingServer | 문자열 | cmdlet이 실행된 서버의 이름입니다. |
매개 변수 | string | Operations 속성에서 식별된 cmdlet과 함께 사용된 모든 매개 변수의 이름 및 값입니다. |
RecordType | string | 레코드로 표시되는 작업의 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 AuditLogRecordType 테이블을 참조하세요. |
_ResourceId | 문자열 | 레코드가 연결된 리소스의 고유 식별자입니다. |
ResultReasonType | 문자열 | ResultType에 보고된 결과에 대한 이유 |
ResultStatus | 문자열 | 작업 속성에 지정된 작업이 성공했는지 여부를 나타냅니다. |
SendAsUserMailboxGuid | string | 전자 메일을 보내기 위해 액세스한 사서함의 Exchange GUID입니다. |
SendAsUserSmtp | 문자열 | 가장되는 사용자의 SMTP 주소 |
SendonBehalfOfUserMailboxGuid | 문자열 | 을 대신하여 메일을 보내기 위해 액세스한 사서함의 Exchange GUID |
SendOnBehalfOfUserSmtp | 문자열 | 전자 메일을 대신 보낸 사용자의 SMTP 주소 |
SharingType | 문자열 | 리소스를 공유한 사용자에게 할당된 공유 권한 유형입니다. 이 사용자는 UserSharedWith 매개 변수로 식별됩니다. |
Site_ | 문자열 | 사용자가 액세스하는 파일 또는 폴더가 있는 사이트의 GUID입니다. |
Site_Url | 문자열 | 사용자가 액세스하는 파일 또는 폴더가 있는 사이트의 URL입니다. |
Source_Name | string | 감사된 작업을 트리거한 엔터티입니다. 가능한 값은 SharePoint 또는 ObjectModel입니다. |
SourceFileExtension | 문자열 | 사용자가 액세스한 파일의 파일 확장명입니다. |
SourceFileName | 문자열 | 사용자가 액세스하는 파일 또는 폴더의 이름입니다. |
SourceRecordId | 문자열 | 감사 레코드의 고유 식별자 |
SourceRelativeUrl | string | 사용자가 액세스하는 파일이 포함된 폴더의 URL입니다. |
SourceSystem | 문자열 | 이벤트가 수집된 에이전트의 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
SRPolicyId | 문자열 | 정책 ID |
SRPolicyName | 문자열 | 정책 이름 |
SRuleMatchDetails | 동적 | 규칙 세부 정보 |
Start_Time | Datetime | cmdlet이 실행된 날짜 및 시간 |
_SubscriptionId | 문자열 | 레코드가 연결된 구독의 고유 식별자입니다. |
SupportTicketId | 문자열 | '대신 행동' 상황에서 작업에 대한 고객 지원 티켓 ID |
TabType | 문자열 | 이 이벤트를 생성한 탭의 유형입니다. |
TargetContextId | 문자열 | 대상 사용자가 속한 organization GUID |
TargetUserId | 문자열 | 대상 사용자 ID |
TargetUserOrGroupName | 문자열 | 리소스가 공유된 대상 사용자 또는 그룹의 UPN 또는 이름을 저장합니다. |
TargetUserOrGroupType | 문자열 | 대상 사용자 또는 그룹이 멤버, 게스트, 그룹 또는 파트너인지 여부를 식별합니다. |
TeamGuid | 문자열 | 감사 중인 팀의 고유 식별자 |
TeamName | 문자열 | 감사 중인 팀의 이름 |
TenantId | 문자열 | Log Analytics 작업 영역 ID |
TimeGenerated | Datetime | 사용자가 작업을 수행한 UTC(협정 세계시)의 날짜 및 시간 |
Type | 문자열 | 테이블의 이름입니다. |
UserAgent | 문자열 | 사용자 에이전트 |
UserDomain | string | 사용자의 도메인 |
UserId | 문자열 | 레코드가 기록된 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(사용자 계정 이름)입니다. |
UserKey | 문자열 | UserId 속성에서 식별된 사용자의 대체 ID |
UserSharedWith | 문자열 | 리소스를 공유한 사용자 |
UserType | 문자열 | 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 UserType 테이블을 참조하세요. |
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기