OfficeActivity
Azure Sentinel によって収集された Office 365 テナントの監査ログ。 Exchange、SharePoint、および Teams のログを含みます。
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | - |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | AzureSentinelPrivatePreview、SecurityInsights |
| 基本的なログ | いいえ |
| インジェスト時間変換 | Yes |
| サンプル クエリ | はい |
列
| Column | Type | 説明 |
|---|---|---|
| AADGroupId | string | Azure Active Directory グループ ID |
| AADTarget | string | 操作 (Operation プロパティで識別) が実行されたユーザー |
| アクティビティ | string | ユーザーが実行したアクティビティ。 |
| Actor | string | アクションを実行したユーザーまたはサービス プリンシパルです |
| ActorContextId | string | アクターが属しているorganizationの GUID |
| ActorIpAddress | string | アクターの IP アドレス (IPV4 または IPV6 アドレス形式) |
| AddOnGuid | string | このイベントが生成されたアドオンの一意識別子 |
| AddonName | string | このイベントを生成したアドオンの名前 |
| AddOnType | string | このイベントを生成したアドオンの種類 |
| AffectedItems | string | グループ内の各項目に関する情報 |
| AppDistributionMode | string | アプリケーション配布モード |
| AppId | string | アプリケーション ID |
| Application | string | アプリケーション名 |
| ApplicationId | string | SharePoint アプリケーション ID |
| AzureActiveDirectory_EventType | string | Azure AD イベントの種類 |
| AzureADAppId | string | Teams Application Azure AD ID |
| _BilledSize | real | レコード サイズ (バイト単位) |
| ChannelGuid | string | 監査対象のチャネルの一意識別子 |
| ChannelName | string | 監査対象のチャネルの名前 |
| ChannelType | string | 監査されるチャネルの種類 (Standard/Private) |
| ChatName | string | チャットの名前 |
| ChatThreadId | string | チャット スレッドの ID |
| Client | string | アカウント ログイン イベントの に使用されたクライアント デバイス、デバイス OS、デバイス ブラウザーの詳細 |
| Client_IPAddress | string | 操作がログに記録されたときに使用されたデバイスの IP アドレス |
| ClientAppId | string | クライアント アプリケーション ID |
| ClientInfoString | string | 操作の実行に使用された電子メール クライアントに関する情報 |
| ClientIP | string | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス |
| ClientMachineName | string | Outlook クライアントをホストするコンピューター名 |
| ClientProcessName | string | メールボックスへのアクセスに使用された電子メール クライアント |
| ClientVersion | string | 電子メール クライアントのバージョン |
| CommunicationType | string | 実行された通信の種類 |
| CrossMailboxOperations | [bool] | 操作に複数のメールボックスが関係しているかどうかを示します |
| CustomEvent | string | カスタム イベントの省略可能な文字列 |
| DataCenterSecurityEventType | INT | ロック ボックス内の dmdlet イベントの種類 |
| DestFolder | string | 移動先フォルダー |
| DestinationFileExtension | string | コピーまたは移動されるファイルのファイル拡張子 |
| DestinationFileName | string | コピーまたは移動されるファイルの名前 |
| DestinationRelativeUrl | string | ファイルのコピーまたは移動先フォルダーの URL |
| DestMailboxId | string | CrossMailboxOperations パラメーターが True の場合にのみ設定します |
| DestMailboxOwnerMasterAccountSid | string | CrossMailboxOperations パラメーターが True の場合にのみ設定します |
| DestMailboxOwnerSid | string | CrossMailboxOperations パラメーターが True の場合にのみ設定します |
| DestMailboxOwnerUPN | string | CrossMailboxOperations パラメーターが True の場合にのみ設定します |
| EffectiveOrganization | string | 昇格/コマンドレットの対象となったテナントの名前 |
| ElevationApprovedTime | DATETIME | 昇格が承認されたときのタイムスタンプ |
| ElevationApprover | string | Microsoft マネージャーの名前 |
| ElevationDuration | INT | 標高がアクティブだった期間 (時間単位) |
| ElevationRequestId | string | 昇格要求の一意識別子 |
| ElevationRole | string | 昇格が要求されたロール |
| ElevationTime | DATETIME | 標高の開始時刻 |
| Event_Data | string | カスタム イベントのオプションのペイロード |
| EventSource | string | SharePoint で発生したイベントを識別します。 指定できる値は SharePoint または ObjectModel です |
| ExtendedProperties | string | Azure AD イベントの拡張プロパティ |
| ExternalAccess | string | コマンドレットがorganizationのユーザーによって実行されたかどうかを指定します |
| ExtraProperties | 動的 | 追加のプロパティの一覧 |
| Folder | string | 項目のグループが配置されているフォルダー |
| Folders | string | 操作に関係するソース フォルダーに関する情報 |
| GenericInfo | string | コメントやその他の一般的な情報に使用されます |
| InternalLogonType | INT | 内部使用のために予約済み |
| InterSystemsId | string | Office 365 サービス内のコンポーネント間でアクションを追跡する GUID |
| IntraSystemId | string | アクションを追跡するために Azure Active Directory によって生成される GUID |
| _IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| IsManagedDevice | [bool] | organizationによって管理されているデバイスによって操作が作成されたかどうかを示します |
| Item | string | 操作が実行された対象の項目を表します。 |
| ItemName | string | 電子メール メッセージの [件名] フィールドの文字列 |
| ItemType | string | アクセスまたは変更されたオブジェクトの種類。 オブジェクトの種類の詳細については、ItemType テーブルを参照してください。 |
| LoginStatus | INT | このプロパティは OrgIdLogon.LoginStatus に直接由来します。 さまざまな興味深いログオン エラーのマッピングは、アラート アルゴリズムによって行うことができます |
| Logon_Type | string | メールボックスにアクセスし、ログに記録された操作を実行したユーザーの種類を示します |
| LogonUserDisplayName | string | 操作を実行したユーザーのわかりやすい名前 |
| LogonUserSid | string | 操作を実行したユーザーの SID |
| MachineDomainInfo | string | デバイス同期操作に関する情報 |
| MachineId | string | デバイス同期操作に関する情報 |
| MailboxGuid | string | アクセスされたメールボックスの Exchange GUID |
| MailboxOwnerMasterAccountSid | string | メールボックス所有者アカウントのマスター アカウント SID |
| MailboxOwnerSid | string | メールボックス所有者の SID |
| MailboxOwnerUPN | string | アクセスされたメールボックスを所有しているユーザーのメール アドレス |
| メンバー | 動的 | チーム内のユーザーの一覧 |
| MessageId | string | チャットまたはチャネル メッセージの識別子 |
| ModifiedObjectResolvedName | string | これは、 コマンドレットによって変更されたオブジェクトのユーザー フレンドリ名です |
| ModifiedProperties | string | プロパティは、サイトまたはサイト コレクション管理グループのメンバーとしてユーザーを追加するなど、管理者イベントに含まれます |
| 名前 | string | 設定イベントにのみ存在します。 変更された設定の名前 |
| NewValue | string | 設定イベントにのみ存在します。 設定の新しい値 |
| OfficeId | string | 監査レコードの一意識別子 |
| OfficeObjectId | string | SharePoint および OneDrive for Business アクティビティの場合 |
| OfficeTenantId | string | Office テナント ID |
| OfficeWorkload | string | アクティビティが発生したOffice 365 サービス |
| OldValue | string | 設定イベントにのみ存在します。 設定の古い値 |
| 操作 | string | ユーザーが実行している操作の名前 |
| OperationProperties | 動的 | その他の操作プロパティ |
| OperationScope | string | 操作が実行されたスコープ |
| OrganizationId | string | 組織の Office 365 テナントの GUID。 この値は常に、organizationで同じになります。 |
| OrganizationName | string | テナントの名前 |
| OriginatingServer | string | コマンドレットが実行されたサーバーの名前 |
| パラメーター | string | Operations プロパティで識別されるコマンドレットで使用されたすべてのパラメーターの名前と値 |
| RecordType | string | レコードで示される操作の種類。 監査ログ レコードの種類の詳細については、AuditLogRecordType テーブルを参照してください。 |
| _ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
| ResultReasonType | string | ResultType で報告された結果の理由 |
| ResultStatus | string | (Operation プロパティで指定された) アクションが成功したかどうかを示します。 |
| SendAsUserMailboxGuid | string | 電子メールをとして送信するためにアクセスされたメールボックスの Exchange GUID |
| SendAsUserSmtp | string | 偽装されているユーザーの SMTP アドレス |
| SendonBehalfOfUserMailboxGuid | string | 代理でメールを送信するためにアクセスされたメールボックスの Exchange GUID |
| SendOnBehalfOfUserSmtp | string | 電子メールの送信に代わって送信されるユーザーの SMTP アドレス |
| SharingType | string | リソースの共有相手だったユーザーに割り当てられていた共有アクセス許可の種類。 このユーザーは UserSharedWith パラメーターによって識別されます |
| Site_ | string | ユーザーがアクセスするファイルまたはフォルダーが配置されているサイトの GUID |
| Site_Url | string | ユーザーがアクセスしたファイルまたはフォルダーが配置されているサイトの URL |
| Source_Name | string | 監査対象の操作をトリガーしたエンティティ。 使用できる値は SharePoint または ObjectModel です |
| SourceFileExtension | string | ユーザーがアクセスしたファイルのファイル拡張子 |
| SourceFileName | string | ユーザーがアクセスするファイルまたはフォルダーの名前 |
| SourceRecordId | string | 監査レコードの一意識別子 |
| SourceRelativeUrl | string | ユーザーがアクセスしたファイルを含むフォルダーの URL |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| SRPolicyId | string | ポリシー ID |
| SRPolicyName | string | ポリシー名 |
| SRRuleMatchDetails | 動的 | ルールの詳細 |
| Start_Time | DATETIME | コマンドレットが実行された日時 |
| _SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
| SupportTicketId | string | "代理アクション" の状況でのアクションのカスタマー サポート チケット ID |
| TabType | string | このイベントを生成したタブの種類 |
| TargetContextId | string | 対象ユーザーが属しているorganizationの GUID |
| string | ターゲット ユーザー ID | |
| TargetUserOrGroupName | string | リソースが共有されたターゲット ユーザーまたはグループの UPN または名前を格納します |
| TargetUserOrGroupType | string | ターゲット ユーザーまたはグループがメンバー、ゲスト、グループ、またはパートナーであるかどうかを識別します |
| TeamGuid | string | 監査対象のチームの一意識別子 |
| TeamName | string | 監査対象のチームの名前 |
| TenantId | string | Log Analytics ワークスペース ID |
| TimeGenerated | DATETIME | ユーザーがアクティビティを実行したときの世界協定時刻 (UTC) の日付と時刻 |
| Type | string | テーブルの名前 |
| UserAgent | string | ユーザー エージェント |
| UserDomain | string | ユーザーのドメイン |
| UserId | string | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN (ユーザー プリンシパル名) |
| UserKey | string | UserId プロパティで識別されたユーザーの代替 ID |
| UserSharedWith | string | リソースが共有されたユーザー |
| UserType | string | 操作を実行したユーザーの種類。 ユーザーの種類の詳細については、UserType テーブルを参照してください |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示