# Microsoft 365 로그 ## 개요 Panther는 Microsoft의 로그를 가져올 수 있습니다 [Office 365 Management Activity API](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-reference). Panther는 5분마다 API를 조회합니다. ## Microsoft 365 로그를 Panther에 온보딩하는 방법 {% hint style="warning" %} 다음 [Microsoft 365 API](https://learn.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-reference#list-available-content) 은 최대 7일 전의 로그를 가져올 수 있게 해줍니다. Panther의 Microsoft 365 소스가 7일 이상 권한이 없는 상태가 되면, 권한이 다시 설정된 후 이전 7일의 데이터가 백필됩니다. {% endhint %} ### 필수 조건 * [감사 로깅 활성화](https://learn.microsoft.com/en-us/purview/audit-log-enable-disable?tabs=microsoft-purview-portal) Office 365 Admin Portal의 Security and Compliance Center를 통해 Microsoft 365 테넌시에 대해 ### 1단계: Azure AD에 애플리케이션 등록 1. 다음에 로그인하세요. [Azure 포털](https://portal.azure.com) 을 열고 **Azure Active Directory** 서비스로 이동합니다.\ ![In the Azure portal, the phrase "azure ac" has been typed into the search bar. A dropdown menu below the search bar shows a list of services. "Azure Active Directory" is highlighted.](/files/3232eda656dab7bee8e39c2139bb01305b8d7ed8) 2. 다음을 클릭하세요. **App Registrations** 를 왼쪽 사이드바에서 클릭한 다음 **New Registration**. 3. 을 클릭합니다. 애플리케이션의 기억하기 쉬운 이름을 입력합니다. **Supported account types** 필드에서 다음을 선택합니다 `Accounts in this organizational directory only`. 4. 다음을 클릭하세요. **Register**. 5. 왼쪽 사이드바에서 **Certificates and Secrets**를 클릭한 다음 **New Client Secret**. * 비밀에 대한 설명을 추가합니다(예: Panther integration). * 다음을 설정합니다 **Expires** 필드를 `24 Months`. 6. 다음을 클릭하세요. **추가**. * 로 설정합니다. 이 페이지에서 벗어나면 Client Secret이 숨겨지므로, 계속하기 전에 **값** 필드(아니라 **Secret ID** 필드)를 복사해 두세요. 7. 왼쪽 사이드바에서 **API Permissions** 그런 다음 **Add a permission**을 찾아 클릭합니다. **Office 365 Management APIs**. 8. 다음을 클릭하세요. **Delegated permissions** 를 선택하고 모든 권한을 선택합니다: *ActivityFeed.Read, ActivityFeed.ReadDlp, ServiceHealth.Read*.\ ![In the Azure Portal, the permission page is displayed. The boxes are checked next to ActivityFeed.Read, ActivityFeed.ReadDlp, and ServiceHealth.Read.](/files/08c0eddef42539276c2f78d189666ff8ccdc33f9) 9. 다음을 클릭하세요. **Application permissions** 를 선택하고 모든 권한을 선택합니다: *ActivityFeed.Read, ActivityFeed.ReadDlp, ServiceHealth.Read*. 10. 다음을 클릭하세요. **권한 추가** 를 맨 아래에서 선택합니다. * 이전 두 단계에서 각각 **Delegated** 및 **Application** 권한을 모두 추가해야 합니다. 11. 다음을 클릭하세요. **Grant admin consent** 를 API permissions 페이지에서 수행합니다.\ ![The "Configured Permissions" page from the Azure Portal is displayed. There is a link labeled "Grant admin consent for pantherlabsinc" with a green checkmark next to it. In the image there is a red circle around the link.](/files/fff0cb22244f2986bb9606b766a04e9d43a55960) 12. 동의가 부여되면 왼쪽 사이드바의 **개요** 탭을 클릭하여 **Application (client) ID** 및 **Directory (tenant) ID**를 확인합니다. 다음 단계에서 이 값을 Panther에 제공해야 합니다.\ ![In the Azure Portal, the Overview tab in the left sidebar is highlighted. In the middle of the page, the Application Tenant ID and Directory tenant ID are displayed.](/files/9d0d177dc89c216ea2d44f6dd0076a8d7d059ad5) ### 2단계: Panther에 새 Microsoft Source 생성 1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. **구성** > **로그 소스**. 2. 다음을 클릭하세요. **새로 만들기.** 3. "Microsoft 365"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 다음을 클릭하세요. **설정 시작**. 5. 다음 화면에서 소스의 설명적인 이름을 입력합니다. 예: `My Microsoft 365 logs` 그리고 수집할 로그 유형을 선택합니다. 6. 다음을 클릭하세요. **설정**. 7. 다음 항목에서 **Credentials** 페이지에서 다음 필드의 값을 입력합니다: * **클라이언트 ID** * **Tenant ID** * **클라이언트 시크릿** 8. 다음을 클릭하세요. **설정**. 성공 화면으로 이동합니다:\\
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs). * 다음 **이벤트가 처리되지 않을 때 알러트 트리거** 설정 기본값은 **예**. 이 기능을 활성화된 상태로 두는 것을 권장합니다. 일정 시간이 지난 후 로그 소스에서 데이터 전송이 중단되면 알림을 받게 됩니다. 이 시간 범위는 구성할 수 있으며 기본값은 24시간입니다.\\
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
{% hint style="warning" %} 통합이 생성된 후 Microsoft API가 데이터를 처음 제공하기까지 최대 12시간이 걸릴 수 있습니다. {% endhint %} ## 지원되는 로그 유형 ### Microsoft365.Audit.AzureActiveDirectory Azure Active Directory 감사 이벤트. 참조: [Management Activity API Schemas에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema) ```yaml schema: Microsoft365.Audit.AzureActiveDirectory parser: native: name: Microsoft365.Audit.AzureActiveDirectory description: Azure Active Directory 감사 이벤트. referenceURL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema fields: - name: Id required: true description: 감사 레코드의 고유 식별자. type: string - name: RecordType required: true description: 레코드에 표시된 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요. type: int - name: CreationTime required: true description: 사용자가 활동을 수행한 시점의 협정 세계시(UTC) 날짜와 시간입니다. type: timestamp timeFormat: layout=2006-01-02T15:04:05 isEventTime: true - name: Operation required: true description: 사용자 또는 관리자 활동의 이름입니다. type: string - name: OrganizationId required: true description: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다. type: string - name: UserType required: true description: 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요. type: int - name: UserKey description: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business, Exchange에서 사용자가 수행한 이벤트의 경우 이 속성에는 passport unique ID(PUID)가 채워집니다. 또한 이 속성은 다른 서비스에서 발생한 이벤트 및 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값을 지정할 수도 있습니다. type: string indicators: - username - name: Workload description: 활동이 발생한 Office 365 서비스입니다. type: string - name: ResultStatus description: 작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다. type: string - name: ObjectId description: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다. type: string - 이름: UserId description: 기록이 로깅되도록 한 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(User Principal Name)입니다. 예: my_name@my_domain_name. 시스템 계정(SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM 등)이 수행한 활동에 대한 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 표시되는 다른 값으로 app@sharepoint가 있습니다. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 권한을 SharePoint에서 가진 애플리케이션임을 나타냅니다. type: string indicators: - username - name: ClientIP description: 활동이 로깅될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자가 아니라 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: Office on the web 앱)의 IP 주소일 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소는 로깅되지 않으며 ClientIP 속성 값은 null입니다. type: string indicators: - ip - name: Scope description: 이 이벤트는 호스팅된 M365 서비스에서 생성되었습니까, 아니면 온프레미스 서버에서 생성되었습니까? 가능한 값은 online 및 onprem입니다. 현재 SharePoint만 온프레미스에서 M365로 이벤트를 전송하는 유일한 워크로드입니다. type: string - name: AppAccessContext description: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트입니다. type: object fields: - name: AADSessionId description: 앱이 사용자를 대신하여 수행한 AAD 로그인의 Azure Active Directory(AAD) SessionId입니다. type: string - name: APIId description: 리소스에 액세스하는 데 사용된 API 경로의 Id입니다. 예: Microsoft Graph API를 통한 액세스. type: string - name: ClientAppId description: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id입니다. type: string - name: ClientAppName description: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름입니다. type: string - name: CorrelationId description: Microsoft 365 서비스 전반에서 특정 사용자의 작업을 상관 분석하는 데 사용할 수 있는 식별자입니다. type: string indicators: - trace_id - name: AzureActiveDirectoryEventType required: true description: Azure AD 이벤트의 유형입니다. type: int - name: ExtendedProperties description: Azure AD 이벤트의 확장 속성입니다. type: array element: type: object fields: - 이름: Name description: Name 필드 type: string - name: Value description: Value 필드 type: string - name: ModifiedProperties description: 이 속성은 관리자 이벤트에 포함됩니다. 이 속성에는 수정된 속성의 이름, 수정된 속성의 새 값, 그리고 수정된 속성의 이전 값이 포함됩니다. type: array element: type: json - name: DeviceProperties description: Azure AD 이벤트의 장치 속성입니다. type: array element: type: object fields: - 이름: Name description: Name 필드 type: string - name: Value description: Value 필드 type: string - name: Application description: Office 15와 같이 계정 로그인 이벤트를 트리거하는 애플리케이션입니다. type: string - name: Client description: 계정 로그인 이벤트에 사용된 클라이언트 장치, 장치 OS, 장치 브라우저에 대한 세부 정보입니다. type: string - name: LoginStatus description: 이 속성은 OrgIdLogon.LoginStatus에서 직접 가져옵니다. 다양한 흥미로운 로그인 실패의 매핑은 알림 알고리즘으로 수행할 수 있습니다. type: int - name: UserDomain description: Tenant Identity Information(TII)입니다. type: string - name: Actor description: 작업을 수행한 사용자 또는 서비스 주체입니다. type: array element: type: object fields: - 이름: ID description: 유형에 따라 지정된 ID의 값입니다. type: string indicators: - username - name: Type description: ID의 유형입니다. type: int - name: ActorContextId description: Actor가 속한 조직의 GUID입니다. type: string - name: ActorIpAddress description: IPV4 또는 IPV6 주소 형식의 Actor IP 주소입니다. type: string indicators: - ip - name: InterSystemsId description: Office 365 서비스 내 구성 요소 전반에서 작업을 추적하는 GUID입니다. type: string - name: IntraSystemId description: 작업을 추적하기 위해 Azure Active Directory에서 생성한 GUID입니다. type: string - name: SupportTicketId description: "act-on-behalf-of" 상황에서의 작업에 대한 고객 지원 티켓 ID입니다. type: string - name: Target description: 작업(Operation 속성으로 식별됨)이 수행된 사용자입니다. type: array element: type: object fields: - 이름: ID description: 유형에 따라 지정된 ID의 값입니다. type: string indicators: - username - name: Type description: ID의 유형입니다. type: int - name: TargetContextId description: 대상 사용자가 속한 조직의 GUID입니다. type: string - name: ApplicationId description: 로그인을 요청하는 애플리케이션을 나타내는 GUID입니다. 표시 이름은 Azure Active Directory Graph API를 통해 조회할 수 있습니다. type: string - name: ErrorCode description: 로그인 실패의 경우(작업 속성 값이 UserLoginFailed인 경우) 이 속성에는 Azure Active Directory STS(AADSTS) 오류 코드가 포함됩니다. 값 0은 성공한 로그인을 의미합니다. type: string - name: LogonError description: 로그인 실패의 경우 이 속성에는 실패한 로그인 이유에 대한 사용자가 읽을 수 있는 설명이 포함됩니다. type: string ``` ### Microsoft365.Audit.Exchange Microsoft Exchange 감사 이벤트. 참조: [Management Activity API Schemas에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema) ```yaml schema: Microsoft365.Audit.Exchange parser: native: name: Microsoft365.Audit.Exchange description: Microsoft Exchange 감사 이벤트. referenceURL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema fields: - name: Id required: true description: 감사 레코드의 고유 식별자. type: string - name: RecordType required: true description: 레코드에 표시된 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요. type: int - name: CreationTime required: true description: 사용자가 활동을 수행한 시점의 협정 세계시(UTC) 날짜와 시간입니다. type: timestamp timeFormat: layout=2006-01-02T15:04:05 isEventTime: true - name: Operation required: true description: 사용자 또는 관리자 활동의 이름입니다. type: string - name: OrganizationId required: true description: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다. type: string - name: UserType required: true description: 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요. type: int - name: UserKey description: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business, Exchange에서 사용자가 수행한 이벤트의 경우 이 속성에는 passport unique ID(PUID)가 채워집니다. 또한 이 속성은 다른 서비스에서 발생한 이벤트 및 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값을 지정할 수도 있습니다. type: string indicators: - username - name: Workload description: 활동이 발생한 Office 365 서비스입니다. type: string - name: ResultStatus description: 작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다. type: string - name: ObjectId description: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다. type: string - 이름: UserId description: 기록이 로깅되도록 한 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(User Principal Name)입니다. 예: my_name@my_domain_name. 시스템 계정(SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM 등)이 수행한 활동에 대한 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 표시되는 다른 값으로 app@sharepoint가 있습니다. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 권한을 SharePoint에서 가진 애플리케이션임을 나타냅니다. type: string indicators: - username - name: ClientIP description: 활동이 로깅될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자가 아니라 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: Office on the web 앱)의 IP 주소일 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소는 로깅되지 않으며 ClientIP 속성 값은 null입니다. type: string indicators: - ip - name: Scope description: 이 이벤트는 호스팅된 M365 서비스에서 생성되었습니까, 아니면 온프레미스 서버에서 생성되었습니까? 가능한 값은 online 및 onprem입니다. 현재 SharePoint만 온프레미스에서 M365로 이벤트를 전송하는 유일한 워크로드입니다. type: string - name: AppAccessContext description: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트입니다. type: object fields: - name: AADSessionId description: 앱이 사용자를 대신하여 수행한 AAD 로그인의 Azure Active Directory(AAD) SessionId입니다. type: string - name: APIId description: 리소스에 액세스하는 데 사용된 API 경로의 Id입니다. 예: Microsoft Graph API를 통한 액세스. type: string - name: ClientAppId description: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id입니다. type: string - name: ClientAppName description: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름입니다. type: string - name: CorrelationId description: Microsoft 365 서비스 전반에서 특정 사용자의 작업을 상관 분석하는 데 사용할 수 있는 식별자입니다. type: string indicators: - trace_id - name: ModifiedObjectResolvedName description: cmdlet에 의해 수정된 개체의 사용자 친화적인 이름입니다. 이 값은 cmdlet이 개체를 수정하는 경우에만 기록됩니다. type: string - name: Parameters description: Operations 속성에서 식별된 cmdlet에 사용된 모든 매개변수의 이름과 값입니다. type: array element: type: object fields: - 이름: Name description: Name 필드 type: string - name: Value description: Value 필드 type: string - name: ModifiedProperties description: 이 속성은 관리자 이벤트에 포함됩니다. 이 속성에는 수정된 속성의 이름, 수정된 속성의 새 값, 그리고 수정된 개체의 이전 값이 포함됩니다. type: array element: type: json - name: ExternalAccess required: true description: cmdlet이 조직 내 사용자, Microsoft 데이터 센터 직원 또는 데이터 센터 서비스 계정, 또는 위임된 관리자에 의해 실행되었는지를 지정합니다. 값 False는 조직 내 누군가가 cmdlet을 실행했음을 나타냅니다. 값 True는 데이터 센터 직원, 데이터 센터 서비스 계정 또는 위임된 관리자가 cmdlet을 실행했음을 나타냅니다. type: boolean - name: OriginatingServer description: cmdlet이 실행된 서버의 이름입니다. type: string - name: OrganizationName description: 테넌트의 이름입니다. type: string indicators: - username - name: LogonType description: 사서함에 액세스하여 로깅된 작업을 수행한 사용자의 유형을 나타냅니다. type: int - name: InternalLogonType description: 내부용으로 예약됨. type: int - name: MailboxGuid description: 액세스된 사서함의 Exchange GUID입니다. type: string - name: MailboxOwnerUPN description: 액세스된 사서함의 소유자 이메일 주소입니다. type: string indicators: - username - name: MailboxOwnerSid description: 사서함 소유자의 SID입니다. type: string indicators: - username - name: MailboxOwnerMasterAccountSid description: 사서함 소유자 계정의 마스터 계정 SID입니다. type: string indicators: - username - name: LogonUserSid description: 작업을 수행한 사용자의 SID입니다. type: string indicators: - username - name: LogonUserDisplayName description: 작업을 수행한 사용자의 사용자 친화적인 이름입니다. type: string - name: ClientInfoString description: 브라우저 버전, Outlook 버전, 모바일 장치 정보 등 작업을 수행하는 데 사용된 이메일 클라이언트에 대한 정보입니다. type: string - name: ClientIPAddress description: 작업이 로깅될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. type: string indicators: - ip - name: ClientMachineName description: Outlook 클라이언트를 호스팅하는 머신 이름입니다. type: string indicators: - hostname - name: ClientProcessName description: 사서함에 액세스하는 데 사용된 이메일 클라이언트입니다. type: string - name: ClientVersion description: 이메일 클라이언트의 버전입니다. type: string - name: Folder description: 항목 그룹이 위치한 폴더입니다. type: object fields: - name: Id description: 폴더 개체의 저장소 ID입니다. type: string - name: Path description: 액세스된 메시지가 위치한 사서함 폴더의 이름입니다. type: string - name: FolderItems description: FolderItems 필드 type: json - name: CrossMailboxOperations description: 작업이 하나 이상의 사서함을 포함하는지 나타냅니다. type: boolean - name: DestMailboxId description: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함 GUID를 지정합니다. type: string - name: DestMailboxOwnerUPN description: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함 소유자의 UPN을 지정합니다. type: string - name: DestMailboxOwnerSid description: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함의 SID를 지정합니다. type: string - name: DestMailboxOwnerMasterAccountSid description: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함 소유자의 마스터 계정 SID에 대한 SID를 지정합니다. type: string indicators: - username - name: DestFolder description: Move와 같은 작업에 대한 대상 폴더입니다. type: object fields: - name: Id description: 폴더 개체의 저장소 ID입니다. type: string - name: Path description: 액세스된 메시지가 위치한 사서함 폴더의 이름입니다. type: string - name: FolderItems description: FolderItems 필드 type: json - name: Folders description: 작업에 관련된 소스 폴더에 대한 정보입니다. 예: 폴더를 선택한 다음 삭제한 경우. type: array element: type: object fields: - name: Id description: 폴더 개체의 저장소 ID입니다. type: string - name: Path description: 액세스된 메시지가 위치한 사서함 폴더의 이름입니다. type: string - name: FolderItems description: FolderItems 필드 type: json - name: AffectedItems description: 그룹 내 각 항목에 대한 정보입니다. type: array element: type: object fields: - name: Id description: 저장소 ID입니다. type: string - name: Subject description: 액세스된 메시지의 제목 줄입니다. type: string - name: ParentFolder description: 항목이 위치한 폴더의 이름입니다. type: object fields: - name: Id description: 폴더 개체의 저장소 ID입니다. type: string - name: Path description: 액세스된 메시지가 위치한 사서함 폴더의 이름입니다. type: string - name: FolderItems description: FolderItems 필드 type: json - name: Attachments description: 메시지에 첨부된 모든 항목의 이름과 파일 크기 목록입니다. type: string - name: Item description: 작업이 수행된 항목을 나타냅니다. type: object fields: - name: Id description: 저장소 ID입니다. type: string - name: Subject description: 액세스된 메시지의 제목 줄입니다. type: string - name: ParentFolder description: 항목이 위치한 폴더의 이름입니다. type: object fields: - name: Id description: 폴더 개체의 저장소 ID입니다. type: string - name: Path description: 액세스된 메시지가 위치한 사서함 폴더의 이름입니다. type: string - name: FolderItems description: FolderItems 필드 type: json - name: Attachments description: 메시지에 첨부된 모든 항목의 이름과 파일 크기 목록입니다. type: string - name: SendAsUserSmtp description: 가장되어 있는 사용자의 SMTP 주소입니다. type: string indicators: - hostname - name: SendAsUserMailboxGuid description: 다른 사람으로서 이메일을 보내기 위해 액세스된 사서함의 Exchange GUID입니다. type: string - name: SendOnBehalfOfUserSmtp description: 대신 이메일이 전송되는 사용자의 SMTP 주소입니다. type: string indicators: - hostname - name: SendOnBehalfOfUserMailboxGuid description: 대신 메일을 보내기 위해 액세스된 사서함의 Exchange GUID입니다. type: strin ``` ### Microsoft365.Audit.General 다른 로그 유형에 포함되지 않은 Office 365 서비스의 일반 감사 이벤트입니다. 예를 들어 다음을 포함할 수 있습니다. [Microsoft Teams 로그](https://learn.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#microsoft-teams-schema). 참조: [Management Activity API Schemas에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema) ```yaml schema: Microsoft365.Audit.General parser: native: name: Microsoft365.Audit.General description: 다른 로그 유형에 포함되지 않은 일반 감사 이벤트입니다. referenceURL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema fields: - name: Id required: true description: 감사 레코드의 고유 식별자. type: string - name: RecordType required: true description: 레코드에 표시된 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요. type: int - name: CreationTime required: true description: 사용자가 활동을 수행한 시점의 협정 세계시(UTC) 날짜와 시간입니다. type: timestamp timeFormat: layout=2006-01-02T15:04:05 isEventTime: true - name: Operation required: true description: 사용자 또는 관리자 활동의 이름입니다. type: string - name: OrganizationId required: true description: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다. type: string - name: UserType required: true description: 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요. type: int - name: UserKey description: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business, Exchange에서 사용자가 수행한 이벤트의 경우 이 속성에는 passport unique ID(PUID)가 채워집니다. 또한 이 속성은 다른 서비스에서 발생한 이벤트 및 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값을 지정할 수도 있습니다. type: string indicators: - username - name: Workload description: 활동이 발생한 Office 365 서비스입니다. type: string - name: ResultStatus description: 작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다. type: string - name: ObjectId description: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다. type: string - 이름: UserId description: 기록이 로깅되도록 한 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(User Principal Name)입니다. 예: my_name@my_domain_name. 시스템 계정(SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM 등)이 수행한 활동에 대한 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 표시되는 다른 값으로 app@sharepoint가 있습니다. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 권한을 SharePoint에서 가진 애플리케이션임을 나타냅니다. type: string indicators: - username - name: ClientIP description: 활동이 로깅될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자가 아니라 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: Office on the web 앱)의 IP 주소일 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소는 로깅되지 않으며 ClientIP 속성 값은 null입니다. type: string indicators: - ip - name: Scope description: 이 이벤트는 호스팅된 M365 서비스에서 생성되었습니까, 아니면 온프레미스 서버에서 생성되었습니까? 가능한 값은 online 및 onprem입니다. 현재 SharePoint만 온프레미스에서 M365로 이벤트를 전송하는 유일한 워크로드입니다. type: string - name: AppAccessContext description: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트입니다. type: object fields: - name: AADSessionId description: 앱이 사용자를 대신하여 수행한 AAD 로그인의 Azure Active Directory(AAD) SessionId입니다. type: string - name: APIId description: 리소스에 액세스하는 데 사용된 API 경로의 Id입니다. 예: Microsoft Graph API를 통한 액세스. type: string - name: ClientAppId description: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id입니다. type: string - name: ClientAppName description: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름입니다. type: string - name: CorrelationId description: Microsoft 365 서비스 전반에서 특정 사용자의 작업을 상관 분석하는 데 사용할 수 있는 식별자입니다. type: string indicators: - trace_id - name: payload description: 이벤트의 전체 JSON 페이로드입니다. type: json ``` ### Microsoft365.Audit.SharePoint Microsoft SharePoint 감사 이벤트. 참조: [Management Activity API Schemas에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema) ```yaml schema: Microsoft365.Audit.SharePoint parser: native: name: Microsoft365.Audit.SharePoint description: Microsoft SharePoint 감사 이벤트. referenceURL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema fields: - name: Id required: true description: 감사 레코드의 고유 식별자. type: string - name: RecordType required: true description: 레코드에 표시된 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요. type: int - name: CreationTime required: true description: 사용자가 활동을 수행한 시점의 협정 세계시(UTC) 날짜와 시간입니다. type: timestamp timeFormat: layout=2006-01-02T15:04:05 isEventTime: true - name: Operation required: true description: 사용자 또는 관리자 활동의 이름입니다. type: string - name: OrganizationId required: true description: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다. type: string - name: UserType required: true description: 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요. type: int - name: UserKey description: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business, Exchange에서 사용자가 수행한 이벤트의 경우 이 속성에는 passport unique ID(PUID)가 채워집니다. 또한 이 속성은 다른 서비스에서 발생한 이벤트 및 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값을 지정할 수도 있습니다. type: string indicators: - username - name: Workload description: 활동이 발생한 Office 365 서비스입니다. type: string - name: ResultStatus description: 작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다. type: string - name: ObjectId description: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다. type: string - 이름: UserId description: 기록이 로깅되도록 한 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(User Principal Name)입니다. 예: my_name@my_domain_name. 시스템 계정(SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM 등)이 수행한 활동에 대한 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 표시되는 다른 값으로 app@sharepoint가 있습니다. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 권한을 SharePoint에서 가진 애플리케이션임을 나타냅니다. type: string indicators: - username - name: ClientIP description: 활동이 로깅될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자가 아니라 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: Office on the web 앱)의 IP 주소일 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소는 로깅되지 않으며 ClientIP 속성 값은 null입니다. type: string indicators: - ip - name: Scope description: 이 이벤트는 호스팅된 M365 서비스에서 생성되었습니까, 아니면 온프레미스 서버에서 생성되었습니까? 가능한 값은 online 및 onprem입니다. 현재 SharePoint만 온프레미스에서 M365로 이벤트를 전송하는 유일한 워크로드입니다. type: string - name: AppAccessContext description: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트입니다. type: object fields: - name: AADSessionId description: 앱이 사용자를 대신하여 수행한 AAD 로그인의 Azure Active Directory(AAD) SessionId입니다. type: string - name: APIId description: 리소스에 액세스하는 데 사용된 API 경로의 Id입니다. 예: Microsoft Graph API를 통한 액세스. type: string - name: ClientAppId description: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id입니다. type: string - name: ClientAppName description: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름입니다. type: string - name: CorrelationId description: Microsoft 365 서비스 전반에서 특정 사용자의 작업을 상관 분석하는 데 사용할 수 있는 식별자입니다. type: string indicators: - trace_id - name: Site description: 사용자가 액세스한 파일 또는 폴더가 위치한 사이트의 GUID입니다. type: string - name: ItemType description: 액세스되거나 수정된 개체의 유형입니다. type: string - name: EventSource description: 이벤트가 SharePoint에서 발생했음을 식별합니다. 가능한 값은 SharePoint 또는 ObjectModel입니다. type: string - name: SourceName description: 감사된 작업을 트리거한 엔터티입니다. 가능한 값은 SharePoint 또는 ObjectModel입니다. type: string - name: UserAgent description: 사용자의 클라이언트 또는 브라우저에 대한 정보입니다. 이 정보는 클라이언트 또는 브라우저에서 제공됩니다. type: string - name: MachineDomainInfo description: 장치 동기화 작업에 대한 정보입니다. 이 정보는 요청에 존재하는 경우에만 보고됩니다. type: string - name: MachineId description: 장치 동기화 작업에 대한 정보입니다. 이 정보는 요청에 존재하는 경우에만 보고됩니다. type: string - name: SiteUrl description: 사용자가 액세스한 파일 또는 폴더가 위치한 사이트의 URL입니다. type: string indicators: - url - name: SourceRelativeUrl description: 사용자가 액세스한 파일이 포함된 폴더의 URL입니다. SiteURL, SourceRelativeURL, SourceFileName 매개변수 값의 조합은 ObjectID 속성 값과 동일하며, 이는 사용자가 액세스한 파일의 전체 경로 이름입니다. type: string indicators: - url - name: SourceFileName description: 사용자가 액세스한 파일 또는 폴더의 이름입니다. type: string - name: SourceFileExtension description: 사용자가 액세스한 파일의 파일 확장자입니다. 액세스된 개체가 폴더인 경우 이 속성은 비어 있습니다. type: string - name: DestinationRelativeUrl description: 파일이 복사되거나 이동된 대상 폴더의 URL입니다. SiteURL, DestinationRelativeURL, DestinationFileName 매개변수 값의 조합은 ObjectID 속성 값과 동일하며, 이는 복사된 파일의 전체 경로 이름입니다. 이 속성은 FileCopied 및 FileMoved 이벤트에 대해서만 표시됩니다. type: string indicators: - url - name: DestinationFileName description: 복사되거나 이동된 파일의 이름입니다. 이 속성은 FileCopied 및 FileMoved 이벤트에 대해서만 표시됩니다. type: string - name: DestinationFileExtension description: 복사되거나 이동된 파일의 파일 확장자입니다. 이 속성은 FileCopied 및 FileMoved 이벤트에 대해서만 표시됩니다. type: string - name: UserSharedWith description: 리소스가 공유된 사용자입니다. type: string indicators: - username - name: SharingType description: 리소스가 공유된 사용자에게 할당된 공유 권한 유형입니다. 이 사용자는 UserSharedWith 매개변수로 식별됩니다. type: string - name: TargetUserOrGroupName description: 리소스가 공유된 대상 사용자 또는 그룹의 UPN 또는 이름을 저장합니다. type: string - name: TargetUserOrGroupType description: 대상 사용자 또는 그룹이 Member, Guest, Group, Partner 중 무엇인지 식별합니다. type: string - name: EventData description: 그룹에 사용자 추가 또는 편집 권한 부여와 같이 발생한 공유 작업에 대한 후속 정보를 전달합니다. type: string - name: CustomEvent description: 사용자 지정 이벤트를 위한 선택적 문자열입니다. type: string - name: ModifiedProperties description: 이 속성은 사이트 또는 사이트 컬렉션 관리자 그룹에 사용자를 추가하는 등 관리자 이벤트에 포함됩니다. 이 속성에는 수정된 속성의 이름(예: Site Admin 그룹), 수정된 속성의 새 값(예: 사이트 관리자로 추가된 사용자), 그리고 수정된 개체의 이전 값이 포함됩니다. type: array element: type: json ``` ### Microsoft365.DLP.All 모든 워크로드에 대한 DLP 이벤트. 참조: [DLP Schemas에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#dlp-schema) ```yaml schema: Microsoft365.DLP.All parser: native: name: Microsoft365.DLP.All description: 모든 워크로드에 대한 DLP 이벤트. referenceURL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#dlp-schema fields: - name: Id required: true description: 감사 레코드의 고유 식별자. type: string - name: RecordType required: true description: 레코드에 표시된 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요. type: int - name: CreationTime required: true description: 사용자가 활동을 수행한 시점의 협정 세계시(UTC) 날짜와 시간입니다. type: timestamp timeFormat: layout=2006-01-02T15:04:05 isEventTime: true - name: Operation required: true description: 사용자 또는 관리자 활동의 이름입니다. type: string - name: OrganizationId required: true description: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다. type: string - name: UserType required: true description: 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요. type: int - name: UserKey description: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business, Exchange에서 사용자가 수행한 이벤트의 경우 이 속성에는 passport unique ID(PUID)가 채워집니다. 또한 이 속성은 다른 서비스에서 발생한 이벤트 및 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값을 지정할 수도 있습니다. type: string indicators: - username - name: Workload description: 활동이 발생한 Office 365 서비스입니다. type: string - name: ResultStatus description: 작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다. type: string - name: ObjectId description: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다. type: string - 이름: UserId description: 기록이 로깅되도록 한 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(User Principal Name)입니다. 예: my_name@my_domain_name. 시스템 계정(SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM 등)이 수행한 활동에 대한 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 표시되는 다른 값으로 app@sharepoint가 있습니다. 이는 활동을 수행한 "사용자"가 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 권한을 SharePoint에서 가진 애플리케이션임을 나타냅니다. type: string indicators: - username - name: ClientIP description: 활동이 로깅될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자가 아니라 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: Office on the web 앱)의 IP 주소일 수 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소는 로깅되지 않으며 ClientIP 속성 값은 null입니다. type: string indicators: - ip - name: Scope description: 이 이벤트는 호스팅된 M365 서비스에서 생성되었습니까, 아니면 온프레미스 서버에서 생성되었습니까? 가능한 값은 online 및 onprem입니다. 현재 SharePoint만 온프레미스에서 M365로 이벤트를 전송하는 유일한 워크로드입니다. type: string - name: AppAccessContext description: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트입니다. type: object fields: - name: AADSessionId description: 앱이 사용자를 대신하여 수행한 AAD 로그인의 Azure Active Directory(AAD) SessionId입니다. type: string - name: APIId description: 리소스에 액세스하는 데 사용된 API 경로의 Id입니다. 예: Microsoft Graph API를 통한 액세스. type: string - name: ClientAppId description: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id입니다. type: string - name: ClientAppName description: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름입니다. type: string - name: CorrelationId description: Microsoft 365 서비스 전반에서 특정 사용자의 작업을 상관 분석하는 데 사용할 수 있는 식별자입니다. type: string indicators: - trace_id - name: SharePointMetaData description: 민감한 정보가 포함된 SharePoint 또는 OneDrive for Business의 문서에 대한 메타데이터를 설명합니다. type: object fields: - name: From description: 이벤트를 트리거한 사용자입니다. 이는 FileOwner, LastModifier 또는 LastSharer 중 하나입니다. type: string indicators: - username - name: itemCreationTime description: 이벤트가 로깅된 UTC 날짜-타임스탬프입니다. type: timestamp timeFormat: layout=2006-01-02T15:04:05 - name: SiteCollectionGuid description: 사이트 컬렉션의 GUID입니다. type: string - name: SiteCollectionUrl description: SharePoint 사이트의 이름입니다. type: string - name: FileName description: 경로의 이름입니다. type: string - name: FileOwner description: 문서 소유자입니다. type: string indicators: - username - name: FilePathUrl description: 문서의 URL입니다 type: string - name: DocumentLastModifier description: 문서를 마지막으로 수정한 사용자입니다. type: string indicators: - username - name: DocumentSharer description: 문서 공유를 마지막으로 수정한 사용자입니다. type: string indicators: - username - name: UniqueId description: 파일을 식별하는 guid입니다. type: string - name: LastModifiedTime description: 문서가 마지막으로 수정된 UTC 타임스탬프입니다. type: timestamp timeFormat: layout=2006-01-02T15:04:05 - name: IsViewableByExternalUsers description: 파일이 외부 사용자에게 접근 가능한지 여부를 결정합니다. type: boolean - name: ExchangeMetaData description: 민감한 정보가 포함된 이메일 메시지에 대한 메타데이터를 설명합니다. type: object fields: - name: MessageID description: 이벤트를 트리거한 이메일의 메시지 ID입니다. type: string - name: From description: 이메일을 보낸 사용자입니다. type: string indicators: - username - email - name: To description: 메시지의 To 줄에 있던 이메일 주소 모음입니다. type: array element: type: string indicators: - email - name: CC description: 메시지의 CC 줄에 있던 이메일 주소 모음입니다. type: array element: type: string indicators: - email - name: BCC description: 메시지의 BCC 줄에 있던 이메일 주소 모음입니다. type: array element: type: string indicators: - email - name: Subject description: 이메일 메시지의 제목입니다. type: string - name: Sent description: 이메일이 전송된 UTC 시각입니다. type: timestamp timeFormat: layout=2006-01-02T15:04:05 - name: RecipientCount description: 메시지의 TO, CC, BCC 줄에 있는 모든 수신자의 총 수입니다. type: int - name: UniqueId description: 파일을 식별하는 guid입니다. type: string - name: ExceptionInfo description: 정책이 더 이상 적용되지 않는 이유 및/또는 최종 사용자가 주목한 오탐지 및/또는 재정의에 대한 정보를 식별합니다. type: string - name: PolicyDetails required: true description: DLP 이벤트를 트리거한 1개 이상의 정책에 대한 정보입니다. type: array element: type: object fields: - name: PolicyId description: 이 이벤트에 대한 DLP 정책의 guid입니다. type: string - name: PolicyName description: 이 이벤트에 대한 DLP 정책의 친숙한 이름입니다. type: string - name: Rules description: 이 이벤트에 대해 일치한 정책 내 룰에 대한 정보입니다. type: array element: type: object fields: - name: RuleId description: 이 이벤트에 대한 DLP 룰의 guid입니다. type: string - name: RuleName description: 이 이벤트에 대한 DLP 룰의 친숙한 이름입니다. type: string - name: Actions description: DLP 룰 일치 이벤트의 결과로 수행된 작업 목록입니다. type: array element: type: string - name: OverriddenActions description: DLPRuleUndo 이벤트의 결과로 이제 취소된 이전 작업 목록입니다. type: array element: type: string - name: Severity description: 룰 일치의 심각도(Low, Medium, High)입니다. type: string - name: RuleMode description: DLP 룰이 Enforce, Audit with Notify 또는 Audit only로 설정되었는지 나타냅니다. type: string - name: ConditionsMatched description: 이 이벤트에 대해 룰의 어떤 조건이 일치했는지에 대한 세부 정보입니다. type: object fields: - name: SensitiveInformation description: 감지된 민감한 정보 유형에 대한 정보입니다. type: array element: type: object fields: - name: Confidence description: 디택션과 일치한 패턴의 신뢰도입니다. 유형: bigint - name: Count description: 감지된 민감한 인스턴스 수입니다. 유형: bigint - name: Location description: Location field type: string - name: SensitiveType description: 감지된 민감한 데이터 유형을 식별하는 guid입니다. type: string - name: SensitiveInformationDetections description: 다음 세부 정보(일치한 값 및 일치한 값의 컨텍스트)를 포함하는 민감한 정보 데이터 객체 배열입니다. type: object fields: - name: DetectedValues description: 감지된 민감한 정보의 배열입니다. 정보에는 Value = 일치한 값(예: 신용카드 값 또는 SSN 값) 및 Context = 일치한 값을 포함하는 소스 콘텐츠의 발췌문과 같은 키-값 쌍이 포함됩니다. type: array element: type: object fields: - 이름: Name description: Name 필드 type: string - name: Value description: Value 필드 type: string - name: ResultsTruncated description: 결과가 많아 로그가 잘렸는지 여부를 나타냅니다. type: boolean - name: SensitiveInformationDetailedClassificationAttributes description: 세 가지 신뢰도 수준(High, Medium, Low) 각각에서 감지된 민감한 정보 유형의 수와 그것이 DLP 룰과 일치하는지 여부에 대한 정보입니다. type: array element: type: json - name: SensitiveInformationTypeName description: 민감한 정보 유형의 이름입니다. type: string - name: UniqueCount description: 감지된 민감한 인스턴스의 고유 개수입니다. 유형: bigint - name: DocumentProperties description: 룰 일치를 트리거한 문서 속성에 대한 정보입니다. type: array element: type: object fields: - 이름: Name description: Name 필드 type: string - name: Value description: Value 필드 type: string - name: OtherConditions description: 일치한 기타 조건을 설명하는 키-값 쌍 목록입니다. type: array element: type: object fields: - 이름: Name description: Name 필드 type: string - name: Value description: Value 필드 type: string - name: SensitiveInfoDetectionIsIncluded required: true description: 이벤트에 민감한 데이터 유형의 값과 소스 콘텐츠의 주변 컨텍스트가 포함되는지 여부를 나타냅니다. 민감한 데이터에 접근하려면 Azure Active Directory에서 "Read DLP policy events including sensitive details" 권한이 필요합니다. type: boolean ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/microsoft365.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.