OfficeActivity
Azure Sentinel によって収集された Office 365 テナントの監査ログ。 Exchange、SharePoint、および Teams のログを含みます。
Categories
- セキュリティ
ソリューション
- AzureSentinelPrivatePreview
- Microsoft Sentinel
列
| Column | 種類 | 説明 |
|---|---|---|
| AADGroupId | string | Azure Active Directory グループ ID |
| AADTarget | string | アクション (Operation プロパティで識別) が実行されたユーザー |
| アクティビティ | string | ユーザーが実行したアクティビティ。 |
| Actor | string | アクションを実行したユーザーまたはサービス プリンシパルです |
| ActorContextId | string | アクターが属する組織の GUID |
| ActorIpAddress | string | アクターの IP アドレス (IPV4 または IPV6 アドレス形式) |
| AddOnGuid | string | このイベントを生成したアドオンの一意識別子 |
| AddonName | string | このイベントを生成したアドオンの名前 |
| AddOnType | string | このイベントを生成したアドオンの種類 |
| AffectedItems | string | グループ内の各項目に関する情報 |
| AppDistributionMode | string | アプリケーション配布モード |
| AppId | string | アプリケーション ID |
| Application | string | アプリケーション名 |
| ApplicationId | string | SharePoint アプリケーション ID |
| AzureActiveDirectory_EventType | string | Azure AD イベントの種類 |
| AzureADAppId | string | Teams アプリケーション Azure AD ID |
| ChannelGuid | string | 監査対象のチャネルの一意識別子 |
| ChannelName | string | 監査対象のチャネルの名前 |
| ChannelType | string | 監査されるチャネルの種類 (Standard/Private) |
| ChatName | string | チャットの名前 |
| ChatThreadId | string | チャット スレッドの ID |
| クライアント | string | アカウント ログイン イベントの に使用されたクライアント デバイス、デバイス OS、およびデバイス ブラウザーの詳細 |
| ClientAppId | string | クライアント アプリケーション ID |
| ClientInfoString | string | 操作の実行に使用された電子メール クライアントに関する情報 |
| ClientIP | string | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス |
| Client_IPAddress | string | 操作がログに記録されたときに使用されたデバイスの IP アドレス |
| ClientMachineName | string | Outlook クライアントをホストするコンピューター名 |
| ClientProcessName | string | メールボックスへのアクセスに使用された電子メール クライアント |
| ClientVersion | string | 電子メール クライアントのバージョン |
| CommunicationType | string | 実施された通信の種類 |
| CrossMailboxOperations | [bool] | 操作が複数のメールボックスに関係しているかどうかを示します |
| CustomEvent | string | カスタム イベントの省略可能な文字列 |
| DataCenterSecurityEventType | int | ロック ボックス内の dmdlet イベントの種類 |
| DestFolder | string | コピー先フォルダー |
| DestinationFileExtension | string | コピーまたは移動されるファイルのファイル拡張子 |
| DestinationFileName | string | コピーまたは移動されるファイルの名前 |
| DestinationRelativeUrl | string | ファイルのコピーまたは移動先フォルダーの URL |
| DestMailboxId | string | CrossMailboxOperations パラメーターが True の場合にのみ設定します |
| DestMailboxOwnerMasterAccountSid | string | CrossMailboxOperations パラメーターが True の場合にのみ設定します |
| DestMailboxOwnerSid | string | CrossMailboxOperations パラメーターが True の場合にのみ設定します |
| DestMailboxOwnerUPN | string | CrossMailboxOperations パラメーターが True の場合にのみ設定します |
| EffectiveOrganization | string | 昇格/コマンドレットの対象となったテナントの名前 |
| ElevationApprovedTime | DATETIME | 昇格が承認されたときのタイムスタンプ |
| ElevationApprover | string | Microsoft マネージャーの名前 |
| ElevationDuration | int | 昇格がアクティブだった期間 (時間単位) |
| ElevationRequestId | string | 昇格要求の一意識別子 |
| ElevationRole | string | 昇格が要求されたロール |
| ElevationTime | DATETIME | 昇格の開始時刻 |
| Event_Data | string | カスタム イベントのオプションのペイロード |
| EventSource | string | SharePoint で発生したイベントを識別します。 使用できる値は SharePoint または ObjectModel です |
| ExtendedProperties | string | Azure AD イベントの拡張プロパティ |
| ExternalAccess | string | コマンドレットが組織内のユーザーによって実行されたかどうかを指定します |
| ExtraProperties | 動的 | 追加のプロパティの一覧 |
| Folder | string | 項目のグループが配置されているフォルダー |
| フォルダー | string | 操作に関係するソース フォルダーに関する情報 |
| GenericInfo | string | コメントやその他の一般的な情報に使用されます |
| InternalLogonType | int | 内部使用のために予約済み |
| InterSystemsId | string | Office 365 サービス内のコンポーネント間でアクションを追跡する GUID |
| IntraSystemId | string | アクションを追跡するために Azure Active Directory によって生成される GUID |
| IsManagedDevice | [bool] | 組織によって管理されているデバイスによって操作が作成されたかどうかを示します |
| アイテム | string | 操作が実行された対象の項目を表します。 |
| ItemName | string | 電子メール メッセージの [件名] フィールドの文字列 |
| ItemType | string | アクセスまたは変更されたオブジェクトの種類。 オブジェクトの種類の詳細については、ItemType テーブルを参照してください。 |
| LoginStatus | int | このプロパティは OrgIdLogon.LoginStatus に直接由来します。 さまざまな興味深いログオン エラーのマッピングは、アラート アルゴリズムによって行うことができます |
| Logon_Type | string | メールボックスにアクセスし、ログに記録された操作を実行したユーザーの種類を示します |
| LogonUserDisplayName | string | 操作を実行したユーザーのわかりやすい名前 |
| LogonUserSid | string | 操作を実行したユーザーの SID |
| MachineDomainInfo | string | デバイス同期操作に関する情報 |
| MachineId | string | デバイス同期操作に関する情報 |
| MailboxGuid | string | アクセスされたメールボックスの Exchange GUID |
| MailboxOwnerMasterAccountSid | string | メールボックス所有者アカウントのマスター アカウント SID |
| MailboxOwnerSid | string | メールボックス所有者の SID |
| MailboxOwnerUPN | string | アクセスされたメールボックスを所有しているユーザーのメール アドレス |
| メンバー | 動的 | チーム内のユーザーの一覧 |
| MessageId | string | チャットまたはチャネル メッセージの識別子 |
| ModifiedObjectResolvedName | string | これは、 コマンドレットによって変更されたオブジェクトのユーザー フレンドリ名です。 |
| ModifiedProperties | string | プロパティは、サイトまたはサイト コレクション管理グループのメンバーとしてユーザーを追加するなど、管理イベントに含まれます |
| 名前 | string | 設定イベントにのみ存在します。 変更された設定の名前 |
| NewValue | string | 設定イベントにのみ存在します。 設定の新しい値 |
| OfficeId | string | 監査レコードの一意識別子 |
| OfficeObjectId | string | SharePoint および OneDrive for Business アクティビティの場合 |
| OfficeTenantId | string | Office テナント ID |
| OfficeWorkload | string | アクティビティが発生したOffice 365 サービス |
| OldValue | string | 設定イベントにのみ存在します。 設定の古い値 |
| 操作 | string | ユーザーが実行している操作の名前 |
| OperationProperties | 動的 | その他の操作プロパティ |
| OperationScope | string | 操作が実行されたスコープ |
| OrganizationId | string | 組織の Office 365 テナントの GUID。 この値は常に組織で同じになります |
| OrganizationName | string | テナントの名前 |
| OriginatingServer | string | コマンドレットが実行されたサーバーの名前 |
| パラメーター | string | Operations プロパティで識別されるコマンドレットで使用されたすべてのパラメーターの名前と値 |
| RecordType | string | レコードで示される操作の種類。 監査ログ レコードの種類の詳細については、AuditLogRecordType テーブルを参照してください。 |
| _ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
| ResultReasonType | string | ResultType で報告された結果の理由 |
| ResultStatus | string | (Operation プロパティで指定された) アクションが成功したかどうかを示します |
| SendAsUserMailboxGuid | string | 電子メールをとして送信するためにアクセスされたメールボックスの Exchange GUID |
| SendAsUserSmtp | string | 偽装されているユーザーの SMTP アドレス |
| SendonBehalfOfUserMailboxGuid | string | 代理でメールを送信するためにアクセスされたメールボックスの Exchange GUID |
| SendOnBehalfOfUserSmtp | string | 電子メールが送信されるユーザーの SMTP アドレス |
| SharingType | string | リソースの共有相手だったユーザーに割り当てられていた共有アクセス許可の種類。 このユーザーは UserSharedWith パラメーターによって識別されます |
| Site_ | string | ユーザーがアクセスするファイルまたはフォルダーが配置されているサイトの GUID |
| Site_Url | string | ユーザーがアクセスしたファイルまたはフォルダーが配置されているサイトの URL |
| SourceFileExtension | string | ユーザーがアクセスしたファイルのファイル拡張子 |
| SourceFileName | string | ユーザーがアクセスするファイルまたはフォルダーの名前 |
| Source_Name | string | 監査対象の操作をトリガーしたエンティティ。 指定できる値は SharePoint または ObjectModel です |
| SourceRecordId | string | 監査レコードの一意識別子 |
| SourceRelativeUrl | string | ユーザーがアクセスしたファイルを含むフォルダーの URL |
| SourceSystem | string | ソース システム名 |
| SRPolicyId | string | ポリシー ID |
| SRPolicyName | string | ポリシー名 |
| SRRuleMatchDetails | 動的 | ルールの詳細 |
| Start_Time | DATETIME | コマンドレットが実行された日時 |
| _SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
| SupportTicketId | string | "代理アクション" の状況でのアクションのカスタマー サポート チケット ID |
| TabType | string | このイベントを生成したタブの種類 |
| TargetContextId | string | 対象ユーザーが属している組織の GUID |
| TargetUserId | string | ターゲット ユーザー ID |
| TargetUserOrGroupName | string | リソースが共有されたターゲット ユーザーまたはグループの UPN または名前を格納します |
| TargetUserOrGroupType | string | ターゲット ユーザーまたはグループがメンバー、ゲスト、グループ、またはパートナーであるかどうかを識別します |
| TeamGuid | string | 監査対象のチームの一意識別子 |
| TeamName | string | 監査対象のチームの名前 |
| TenantId | string | |
| TimeGenerated | DATETIME | ユーザーがアクティビティを実行したときの世界協定時刻 (UTC) の日付と時刻 |
| Type | string | テーブルの名前 |
| UserAgent | string | ユーザー エージェント |
| UserDomain | string | ユーザーのドメイン |
| UserId | string | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN (ユーザー プリンシパル名) |
| UserKey | string | UserId プロパティで識別されたユーザーの代替 ID |
| UserSharedWith | string | リソースが共有されたユーザー |
| UserType | string | 操作を実行したユーザーの種類。 ユーザーの種類の詳細については、UserType テーブルを参照してください |