監査イベントを確認する

適用対象: テナント管理者の使用 — コンプライアンス管理者/セキュリティ管理者/監査リーダー

ユーザー、管理者、ファイル、またはコンテナーのアクティビティを調査する場合は、Microsoft Purview 監査で SharePoint Embedded 監査アクティビティを確認します。

SharePoint Embedded 監査機能ミラー既存の SharePoint 監査機能、および SharePoint Embedded アプリケーションで実行されるユーザーと管理者の操作は、organizationの統合監査ログにキャプチャされます。

重要

監査レコードの権限のある調査画面として Microsoft Purview 監査を使用します。 SharePoint Embedded アプリとコンテナー識別子を使用して、埋め込みコンテンツに結果を絞り込みます。

開始する前に

これらの前提条件を確認します。

  • 監査は、Microsoft 365 organizationで使用できます。
  • Microsoft Purview 監査には、必要なコンプライアンスアクセス許可を使用してアクセスできます。
  • 調査の日付範囲がわかっている。
  • SharePoint Embedded アプリケーション、コンテナー、ユーザー、またはファイルが関係していることがわかっている。
  • 必要に応じて、SharePoint 管理センターまたは PowerShell からコンテナーの詳細を取得できます。

サポートされている SharePoint Embedded コンプライアンス機能については、「 セキュリティとコンプライアンス」を参照してください。

SharePoint Embedded 監査カバレッジについて

SharePoint Embedded の監査機能は、既存の SharePoint 監査機能ミラーします。

SharePoint Embedded でホストされているアプリケーションで実行されるユーザー操作と管理者操作は、統合監査ログにキャプチャ、記録、保持されます。

監査は、次のような質問に答えるのに役立ちます。

  • ファイルにアクセスしたユーザー
  • コンテンツを変更したユーザー
  • コンテンツを削除または復元したユーザー
  • どの管理者がコンテナー設定を変更しましたか?
  • イベントに関与したコンテナーはどれですか?
  • イベントに関係していたコンテナーの種類はどれですか?

保持と可用性は、Microsoft Purview の監査ライセンスと構成によって異なります。

監査プラットフォームの詳細については、「 Microsoft Purview の監査ソリューション」を参照してください。

SharePoint Embedded フィールドを識別する

既存の SharePoint ファイル プロパティに加えて、SharePoint Embedded 監査イベントには、SharePoint Embedded コンテンツを分離するのに役立つ追加データが含まれています。

SharePoint Embedded 監査イベントには、次のフィールドが含まれます。

フィールド これを次の目的で使用します
ContainerInstanceId イベントに関連する特定の SharePoint Embedded コンテナー インスタンスを特定します。
ContainerTypeId イベントに関連する SharePoint Embedded コンテナーの種類を特定します。

調査のスコープを設定するには、アプリとユーザー コンテキストでこれらのフィールドを使用します。

結果セットに通常の SharePoint および SharePoint Embedded アクティビティが含まれている場合は、これらのフィールドをフィルター処理または検査して、埋め込みコンテンツを分離します。

SharePoint Embedded 監査アクティビティ

すべての SharePoint Embedded 監査ログ アクティビティを表示するには、「 監査イベント」を参照してください。

コンテナーの種類イベントには、 ContainerTypeId プロパティが含まれます。 コンテナー レベルのファイル イベントとは異なり、個々のコンテナー インスタンスではなく、型レベルで適用されるため、 ContainerInstanceId は含まれません。

これらのイベントは、 Search-UnifiedAuditLog コマンドレットを使用して検索できます。 例:

Search-UnifiedAuditLog -Operations ContainerTypeCreated,ContainerTypeDeleted,ContainerTypeUpdated,ContainerTypeOwnersUpdated -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date)

コンテナー コンテキストを取得する

監査を検索する前に、持っているコンテキストを収集します。

  1. SharePoint Embedded アプリケーション名を特定します。
  2. 使用可能な場合は、所有しているアプリケーション ID を特定します。
  3. コンテナー名またはコンテナー ID を特定します。
  4. 使用可能な場合は、コンテナー サイトの URL を特定します。
  5. 関係するユーザー、グループ、またはアプリ ID を特定します。
  6. 期間を特定します。
  7. 読み取り、更新、削除、復元、共有、ラベルの変更など、疑わしい操作を特定します。

SharePoint 管理センターでコンテナーの管理を使用して、コンテナーの詳細を検査します。

反復可能な調査のためにコンテナー ID と URL を取得するには、 PowerShell で コンテナーの管理を使用します。

Microsoft Purview 監査で検索する

Microsoft Purview 監査を使用してアクティビティを検索します。

  1. Microsoft Purview ポータルを開きます。
  2. 監査ソリューションに移動します。
  3. 日付と時刻の範囲を選択します。
  4. 既知の場合は、ユーザーまたはアプリ ID を追加します。
  5. 調査に一致するアクティビティを追加します。
  6. ファイルとコンテナーのコンテンツを調査するときに SharePoint 関連のアクティビティを検索します。
  7. アプリのセットアップまたはコンテナーの種類の管理に関する調査がわかっている場合は、SharePoint Embedded Container Type アクティビティまたは SharePoint Embedded Container Type Registration アクティビティを使用します。
  8. 検索を実行します。
  9. 関連する結果を開きます。
  10. ContainerInstanceIdContainerTypeIdなどの SharePoint Embedded フィールドのイベントの詳細を調べます。

インシデントをキャプチャする最も制限の厳しいフィルターを使用します。

結果が不完全な場合は、検索を拡大します。

ヒント

狭い時間範囲と既知のユーザーから始めます。 最初の検索で十分なコンテキストが返されない場合は、コンテナー識別子またはより広範な SharePoint アクティビティに展開します。

イベントの詳細を解釈する

イベントを確認するときは、調査レコードに必要なフィールドをキャプチャします。

イベントの詳細 共同作業の重要性
操作またはアクティビティ 発生した内容について説明します。
ユーザーまたはアクター アクションを実行したユーザーを識別します。
Timestamp 調査タイムラインに関するイベントをPlacesします。
オブジェクトまたはファイル のパス 影響を受ける項目を識別します。
サイトまたはコンテナーの URL アイテムをコンテナーにマップするのに役立ちます。
ContainerInstanceId イベントを特定の SharePoint Embedded コンテナーにリンクします。
ContainerTypeId イベントを SharePoint Embedded コンテナーの種類にリンクします。
クライアントまたはアプリのコンテキスト 使用可能な場合に、ユーザー アクションとアプリ アクションを区別するのに役立ちます。

コンプライアンス調査プロセスに従って結果をエクスポートまたは保持します。

一般的な監査シナリオ

監査レコードを使用して、SharePoint Embedded の一般的な調査を行います。

コンテンツ アクセス レビュー

ユーザー、日付範囲、コンテナー コンテキストでファイル アクセスまたは読み取りアクティビティを検索します。

ContainerInstanceIdを使用して、期待される SharePoint Embedded コンテナーでアクティビティが発生したことを確認します。

コンテンツ変更レビュー

アクティビティの作成、変更、名前の変更、移動、または削除を検索します。

操作のシーケンスを確認して、コンテンツがユーザー、アプリ、または管理者プロセスによって変更されたかどうかを特定します。

コンテナーライフサイクルレビュー

削除、復元、または完全削除に関連する管理操作を検索します。

監査レコードを SharePoint 管理センターまたは PowerShell 変更レコードと関連付けます。

秘密度ラベルレビュー

データ分類の変更を調査するときに、ラベル関連のアクティビティを検索します。

監査レコードをコンテナーの現在の秘密度ラベルと Microsoft Purview のポリシー変更と関連付けます。

外部共有レビュー

organizationの外部でアクセスを調査するときに、共有関連の SharePoint アクティビティを検索します。

また、アプリが外部共有をサポートしている場合は、アプリケーション レベルの共有設定も確認してください。

電子情報開示と DLP との関連付け

監査にはアクティビティが表示されます。

その他の Microsoft Purview ツールは、コンテンツの調査とポリシーの適用に役立ちます。

  • 電子情報開示を使用して、SharePoint Embedded コンテナー内のコンテンツを検索、保持、エクスポートします。
  • DLP を使用して機密情報を特定して保護します。
  • アイテム保持ポリシーを使用して、ポリシーに従ってコンテンツを保持または削除します。
  • 秘密度ラベルを使用して、コンテナーを分類および保護します。

より広範な制御については、「 セキュリティとコンプライアンスの制御を適用する」を参照してください。

監査結果が見つからない場合のトラブルシューティング

期待される結果が見つからない場合は、これらのチェックを使用します。

  • 日付範囲にアクティビティ時間が含まれていることを確認します。
  • 正しいユーザーまたはアプリ ID が検索されたことを確認します。
  • テナントとワークロードに対して監査が利用可能であることを確認します。
  • 操作が SharePoint または Purview 監査のファイル アクティビティにマップされていることを確認します。
  • コンテンツが SharePoint Embedded コンテナー内にあり、別のストレージの場所ではないことを確認します。
  • フィルターを少なくして検索し、 ContainerInstanceIdContainerTypeIdを検査します。
  • アカウントに監査レコードを検索するアクセス許可があることを確認します。
  • 保持と検索の待機時間については、Purview 監査に関するドキュメントを参照してください。

注:

監査レコードが表示されるまでに時間がかかる場合があります。

イベントが最近発生した場合は、環境の通常の監査インジェスト遅延後に再試行してください。

調査コンテキストを保持する

調査ごとに、次の情報を記録します。

  1. 検索日。
  2. 検索フィルター。
  3. エクスポートされた結果の場所。
  4. コンテナー識別子。
  5. アプリ識別子。
  6. レビューされたユーザーまたはアプリ ID。
  7. レビュー後に実行されたアクション。

コンプライアンスと法的プロセスに従ってレコードを保持します。

次の手順

セキュリティとコンプライアンスの制御の適用に関するページで、より広範な コントロールを適用します