스키마: Azure.Audit
설명: Azure Active Directory의 감사 로그
referenceURL: https://learn.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-audit-logs
fields:
- name: Level
설명: 이벤트의 심각도 수준 또는 유형(예: 정보, 오류).
type: string
- name: callerIpAddress
설명: 이벤트가 시작된 IP 주소.
type: string
indicators:
- ip
- name: category
설명: 이벤트의 범주 분류(예: SignInLogs, AuditLogs).
type: string
- name: correlationId
설명: 여러 관련 이벤트를 연결하기 위한 고유 식별자.
type: string
indicators:
- trace_id
- name: durationMs
설명: 작업을 완료하는 데 걸린 총 시간(밀리초).
type: string
- name: identity
설명: 사용자, 애플리케이션 또는 서비스 주체의 식별자.
type: string
- name: location
설명: 이벤트가 발생한 지리적 위치 또는 지역.
type: string
- name: locationDetails
type: json
- name: networkLocationDetails
type: json
- name: operationName
required: true
설명: 수행된 작업 또는 API 호출의 이름.
type: string
- name: operationVersion
설명: 작업 또는 API의 버전 번호.
type: string
- name: properties
설명: 이벤트에 대한 추가 속성과 세부 정보를 포함하는 중첩 객체.
type: object
fields:
- name: aadTenantId
type: string
- name: activityDateTime
설명: 활동의 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- name: activityDisplayName
설명: 활동의 친숙한 표시 이름.
type: string
- name: additionalDetails
설명: 추가 컨텍스트 또는 메타데이터가 포함된 키-값 쌍 배열.
type: array
element:
type: object
fields:
- name: key
type: string
- name: value
type: string
- name: alternateSignInName
설명: 제공된 경우 대체 사용자 로그인 이름.
type: string
indicators:
- username
- name: appDisplayName
설명: 관련 애플리케이션의 표시 이름.
type: string
- name: appliedConditionalAccessPolicies
설명: 적용된 조건부 액세스 정책과 그 결과 목록.
type: json
- name: appliedEventListeners
type: json
- name: appId
설명: 이벤트와 연결된 애플리케이션 ID.
type: string
- name: appServicePrincipalId
type: string
- name: authenticationAppDeviceDetails
type: json
- name: authenticationStrengths
type: json
- name: authenticationAppPolicyEvaluationDetails
type: json
- name: authenticationContextClassReferences
type: json
- name: authenticationDetails
type: json
- name: authenticationMethodsUsed
type: json
- name: authenticationProcessingDetails
type: json
- name: authenticationProtocol
type: string
- name: authenticationRequirement
type: string
- name: authenticationRequirementPolicies
type: json
- name: autonomousSystemNumber
type: string
- name: _billedSize
type: float
- name: category
type: string
- name: clientAppUsed
type: string
- name: clientCredentialType
type: string
- name: conditionalAccessAudiences
type: json
- name: conditionalAccessPolicies
type: json
- name: conditionalAccessStatus
type: string
- name: correlationId
type: string
- name: createdDateTime
type: timestamp
timeFormats:
- rfc3339
- name: crossTenantAccessType
type: string
- name: deviceDetail
type: json
- name: federatedCredentialId
type: string
- name: flaggedForReview
type: boolean
- name: globalSecureAccessIpAddress
type: string
- name: homeTenantId
type: string
- name: homeTenantName
type: string
- name: id
type: string
- name: incomingTokenType
type: string
- name: ipAddress
설명: 중첩 리소스와 연결된 IP 주소.
type: string
indicators:
- ip
- name: ipAddressFromResourceProvider
설명: 기반 리소스 공급자가 기록한 IP 주소.
type: string
indicators:
- ip
- name: _isBillable
type: string
- name: isDeleted
설명: 엔터티가 삭제되었는지 여부.
type: boolean
- name: initiatedBy
설명: 이벤트를 시작한 행위자(사용자 또는 앱).
type: object
fields:
- name: app
type: object
fields:
- name: displayName
type: string
- name: servicePrincipalId
type: string
- name: appId
설명: 애플리케이션 등록/클라이언트 ID.
type: string
- name: user
설명: 작업을 수행한 사용자.
type: object
fields:
- name: id
설명: 사용자의 개체 ID.
type: string
- name: displayName
설명: Azure AD에 표시되는 사용자 이름.
type: string
indicators:
- username
- name: userPrincipalName
설명: 사용자의 User Principal Name(UPN).
type: string
- name: ipAddress
설명: 사용자가 작업을 수행한 IP 주소.
type: string
indicators:
- ip
- name: roles
type: json
- name: isProcessing
설명: 이벤트가 아직 처리 중인지 여부.
type: boolean
- name: loggedByService
설명: 이 이벤트를 기록한 Microsoft 서비스(예: AzureAD).
type: string
- name: location
설명: JSON 객체로 표현된 지리적 또는 물리적 위치 정보.
type: json
- name: networkLocationDetails
설명: 이벤트와 관련된 네트워크 위치에 대한 세부 정보.
type: json
- name: operationType
설명: 수행된 작업의 유형.
type: string
- name: result
설명: 작업의 결과 상태.
type: string
- name: resultReason
설명: 작업 결과에 대한 추가 이유 또는 코드.
type: string
- name: isInteractive
설명: 로그인이 대화형인지 여부를 나타냅니다.
type: boolean
- name: isRisky
type: boolean
- name: isTenantRestricted
설명: 테넌트 제한이 적용되었는지 여부.
type: boolean
- name: isThroughGlobalSecureAccess
설명: 이벤트가 Global Secure Access를 통해 라우팅되었는지 여부.
type: boolean
- name: originalRequestId
설명: 체인의 일부인 경우 원래 요청의 요청 ID.
type: string
- name: originalTransferMethod
설명: 원래 요청의 전송 방법.
type: string
- name: privateLinkDetails
type: json
- name: processingTimeInMilliseconds
설명: 이벤트를 처리하는 데 걸린 시간.
type: bigint
- name: resource
type: string
- name: resourceDisplayName
설명: 리소스의 표시 이름.
type: string
- name: resourceGroup
type: string
- name: resourceId
설명: 액세스된 리소스의 개체 ID.
type: string
- name: resourceIdentity
type: string
- name: resourceProvider
type: string
- name: resourceOwnerTenantId
설명: 리소스 소유자의 테넌트 ID.
type: string
- name: resourceServicePrincipalId
설명: 액세스된 리소스의 서비스 주체 개체 ID.
type: string
- name: resourceTenantId
설명: 액세스된 리소스의 테넌트 ID.
type: string
- name: riskEventTypes
설명: 이 이벤트에 대해 탐지된 위험 이벤트 유형 목록.
type: json
- name: riskEventTypes_v2
설명: 향상된 위험 이벤트 유형 목록.
type: json
- name: riskLastUpdatedDateTime
설명: 마지막 위험 업데이트의 타임스탬프.
type: timestamp
timeFormats:
- rfc3339
- name: riskDetail
설명: 탐지된 위험의 성격에 대한 세부 정보.
type: string
- name: riskLevel
설명: 분석 후 최종 위험 수준.
type: string
- name: riskLevelAggregated
설명: 이벤트에 할당된 집계된 위험 수준.
type: string
- name: riskLevelDuringSignIn
설명: 로그인 시점의 위험 수준.
type: string
- name: riskState
설명: 사용자 또는 세션의 위험 상태.
type: string
- name: rngcStatus
설명: 요청 nonce 생성 검사 상태 코드.
type: string
- name: servicePrincipalId
설명: 사용된 서비스 주체의 개체 ID.
type: string
- name: servicePrincipalCredentialKeyId
설명: 서비스 주체가 사용한 자격 증명의 키 ID.
type: string
- name: servicePrincipalName
설명: 서비스 주체의 이름.
type: string
- name: sessionId
설명: 작업의 세션 식별자.
type: string
- name: sessionLifetimePolicies
설명: 이 작업의 세션 수명을 제어하는 정책.
type: json
- name: signInIdentifier
설명: 사용자를 인증하는 데 사용된 기본 식별자.
type: string
- name: signInIdentifierType
type: string
- name: signInTokenProtectionStatus
설명: 로그인 시 토큰 보호 상태.
type: string
- name: sourceSystem
type: json
- name: ssoExtensionVersion
설명: SSO 브라우저 확장 버전.
type: string
- name: status
설명: 로그인 시도에 대한 상태 세부 정보.
type: json
- name: targetResources
설명: 작업의 대상이 되었거나 영향을 받은 리소스 배열.
type: array
element:
type: object
fields:
- name: displayName
설명: 리소스의 표시 이름.
type: string
- name: id
설명: 리소스의 고유 개체 ID.
type: string
- name: modifiedProperties
설명: 수정된 리소스 속성.
type: array
element:
type: object
fields:
- name: oldValue
설명: 속성의 이전 값.
type: string
- name: displayName
설명: 수정된 속성의 이름.
type: string
- name: newValue
설명: 속성의 새 값.
type: string
- name: type
설명: 리소스 유형(예: User, Group, App).
type: string
- name: administrativeUnits
type: json
- name: groupType
설명: 그룹 리소스의 유형(해당되는 경우).
type: string
- name: userPrincipalName
설명: 리소스 내 사용자 UPN.
type: string
- name: tenantId
설명: Azure AD 테넌트의 테넌트 ID.
type: string
- name: timeGenerated
설명: 이 로그 항목이 생성된 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- name: tokenIssuerName
설명: 토큰을 발급한 기관의 이름.
type: string
- name: tokenIssuerType
설명: 토큰 발급자의 유형.
type: string
- name: tokenProtectionStatusDetails
설명: 토큰 보호 상태에 대한 정보.
type: json
- name: type
type: string
- name: uniqueTokenIdentifier
설명: 보안 토큰의 고유 식별자.
type: string
- name: userAgent
설명: 클라이언트의 사용자 에이전트 문자열.
type: string
- name: userDisplayName
설명: 사용자의 표시 이름.
type: string
indicators:
- username
- name: userId
설명: Azure AD 내 사용자의 개체 ID.
type: string
- name: userPrincipalName
설명: 사용자의 UPN.
type: string
indicators:
- username
- email
- name: userType
type: string
- name: activity
설명: 이벤트와 연결된 활동의 이름 또는 유형.
type: string
- name: additionalInfo
설명: 이벤트에 대한 보충 정보.
type: string
- name: detectedDateTime
설명: 위험 또는 디텍션이 처음 관찰된 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- name: detectionTimingType
설명: 위험 디텍션의 시간적 맥락(예: 실시간, 오프라인).
type: string
- name: lastUpdatedDateTime
설명: 이 이벤트가 마지막으로 업데이트된 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- name: mitreTechniqueId
설명: 가능한 경우 이벤트와 관련된 MITRE ATT&CK 기법 식별자.
type: string
- name: riskEventType
설명: 활동과 관련된 위험 이벤트 유형(예: UnfamiliarLocation).
type: string
- name: riskType
설명: 탐지된 위험 유형의 분류.
type: string
- name: source
설명: 이 로그 항목의 원본 Microsoft 서비스 또는 구성 요소.
type: string
- name: identity
설명: 이 중첩 이벤트와 관련된 ID.
type: string
- name: operationName
설명: properties 컨텍스트에서의 작업 이름.
type: string
- name: resultDescription
설명: 작업 결과에 대한 더 자세한 설명.
type: string
- name: resultType
설명: 작업의 상위 수준 결과(성공, 실패 등).
type: string
- name: C_DeviceId
설명: 이벤트와 연결된 디바이스 ID.
type: string
- name: C_Sid
설명: 이벤트와 연결된 보안 식별자(SID).
type: string
- name: C_Iat
설명: 이벤트의 발급 시점(Issued At) 타임스탬프 또는 ID.
type: string
- name: C_Idtyp
설명: 이벤트와 연결된 ID 유형 코드.
type: string
- name: UserPrincipalObjectID
설명: 사용자 주체의 개체 ID.
type: string
- name: __UDI_RequiredFields_EventTime
설명: 이벤트가 발생한 시점의 유닉스 타임스탬프.
type: timestamp
timeFormats:
- unix_auto
- name: __UDI_RequiredFields_RegionScope
설명: 이벤트의 지역 범위.
type: string
- name: __UDI_RequiredFields_TenantId
설명: UDI 준수에 필요한 테넌트 ID.
type: string
- name: __UDI_RequiredFields_UniqueId
설명: UDI 컨텍스트에서 이벤트의 고유 식별자.
type: string
- name: apiVersion
설명: 작업에 사용된 API 버전.
type: string
- name: atContentH
설명: 추가 토큰 또는 컨텍스트 정보(헤더).
type: string
- name: atContentP
설명: 추가 토큰 또는 컨텍스트 정보(페이로드).
type: string
- name: clientAuthMethod
설명: 사용된 클라이언트 인증 방법(예: 클라이언트 시크릿, 인증서).
type: string
- name: clientRequestId
설명: 클라이언트 요청의 고유 식별자.
type: string
- name: durationMs
설명: properties 내 작업의 지속 시간(밀리초).
type: string
- name: identityProvider
설명: 인증에 사용된 ID 공급자.
type: string
- name: operationId
설명: 작업 식별자.
type: string
- name: requestMethod
설명: 작업에 사용된 HTTP 메서드(GET, POST 등).
type: string
- name: requestUri
설명: 액세스된 API 또는 리소스의 URI.
type: string
- name: responseSizeBytes
설명: 응답 크기(바이트).
type: bigint
- name: responseStatusCode
설명: 응답의 HTTP 상태 코드.
type: bigint
- name: roles
설명: 사용자 또는 애플리케이션에 할당된 역할.
type: string
- name: scopes
설명: 작업에서 요청한 OAuth 범위.
type: string
- name: signInActivityId
설명: 고유한 로그인 활동 식별자.
type: string
- name: tokenIssuedAt
설명: 토큰이 발급된 시각.
type: timestamp
timeFormats:
- rfc3339
- 이름: wids
설명: 관련된 잘 알려진 ID 또는 기타 식별자.
type: string
- 이름: requestId
설명: 고유한 요청 식별자.
type: string
- 이름: appOwnerTenantId
설명: 애플리케이션 소유자의 테넌트 ID.
type: string
- 이름: servicePrincipalCredentialThumbprint
설명: 서비스 주체가 사용한 자격 증명의 지문.
type: string
- 이름: mfaDetail
설명: 다단계 인증 단계에 대한 세부 정보.
type: object
fields:
- 이름: authDetail
설명: 인증 프로세스에 대한 세부 정보.
type: string
- 이름: authMethod
설명: 사용된 MFA 방법(예: 전화, 앱).
type: string
- name: resourceId
required: true
설명: 이벤트와 관련된 Azure 리소스의 고유 식별자.
type: string
- name: resultDescription
설명: 이벤트 결과에 대한 추가 맥락 또는 설명.
type: string
- 이름: resultSignature
설명: 이벤트 결과의 서명 또는 고유 식별자.
type: string
- name: resultType
설명: 성공, 실패 또는 시간 초과와 같은 이벤트의 전체 결과.
type: string
- name: tenantId
설명: 이벤트가 발생한 Azure Active Directory 테넌트의 테넌트 ID.
type: string
- 이름: time
required: true
설명: 이벤트가 발생한 타임스탬프.
type: timestamp
timeFormats:
- rfc3339
- '%m/%d/%Y %I:%M:%S %p'
isEventTime: true