# Microsoft 365 로그
## 개요
Panther는 Microsoft의 [Office 365 관리 활동 API](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-reference). Panther는 API를 5분마다 쿼리합니다.
## Microsoft 365 로그를 Panther에 온보딩하는 방법
{% hint style="warning" %}
사용자를 사용할 것이며, [Microsoft 365 API](https://learn.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-reference#list-available-content) 는 최대 7일 전의 로그를 가져올 수 있도록 허용합니다. Panther의 Microsoft 365 소스가 7일 이상 인증되지 않은 상태가 되면, 인증이 복구되었을 때 이전 7일의 데이터가 백필됩니다.
{% endhint %}
### 전제 조건
* [감사 로깅 활성화](https://learn.microsoft.com/en-us/purview/audit-log-enable-disable?tabs=microsoft-purview-portal) Office 365 관리 포털의 보안 및 규정 준수 센터를 통해 Microsoft 365 테넌시의 감사를 활성화합니다.
### 1단계: Azure AD에서 애플리케이션 등록
1. 다음에 로그인하세요 [Azure 포털](https://portal.azure.com) 로 이동하여 **Azure Active Directory** 서비스로 이동합니다.\
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **앱 등록** 왼쪽 사이드바에서 클릭한 다음 **새 등록**.
3. 애플리케이션에 기억하기 쉬운 이름을 입력합니다. **지원되는 계정 유형** 필드, 선택 `이 조직 디렉터리의 계정만`.
4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **등록**.
5. 왼쪽 사이드바에서 **인증서 및 비밀**을 클릭합니다. 그런 다음 **새 클라이언트 비밀**.
* 비밀에 대한 설명을 추가합니다(예: Panther 통합).
* 다음을 설정하세요 **만료** 필드에 `24개월`.
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **리디렉트 URL**.
* 클라이언트 비밀은 이 페이지에서 벗어나면 숨겨지므로 계속하기 전에 **값** 필드( **비밀 ID** 필드가 아님)를 복사해 두십시오.
7. 왼쪽 사이드바에서 **API 권한** 그런 다음 **권한 추가**. 찾은 다음 클릭하세요 **Office 365 관리 API**.
8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **위임된 권한** 을 선택하고 모든 권한을 선택합니다: *ActivityFeed.Read, ActivityFeed.ReadDlp, ServiceHealth.Read*.\
9. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **응용 프로그램 권한** 을 선택하고 모든 권한을 선택합니다: *ActivityFeed.Read, ActivityFeed.ReadDlp, ServiceHealth.Read*.
10. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **권한 추가** 을 하단에서.
* 이전 두 단계에서 **위임** 와 **응용 프로그램** 권한을 모두 추가했는지 확인하세요.
11. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **관리자 동의 부여** API 권한 페이지에서.\
12. 동의가 부여된 후, 왼쪽 사이드바의 **개요** 탭을 클릭하여 **애플리케이션(클라이언트) ID** 와 **디렉터리(테넌트) ID**를 확인하세요. 다음 단계에서 Panther에 제공해야 합니다.\
### 2단계: Panther에서 새 Microsoft 소스 생성
1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기.**
3. "Microsoft 365"를 검색한 다음 해당 타일을 클릭합니다.
4. 슬라이드 아웃 패널에서 클릭하세요 **설정 시작**.
5. 다음 화면에서 예:와 같이 소스에 대한 설명 이름을 입력하세요 `내 Microsoft 365 로그` 를 선택하고 수집할 로그 유형을 선택합니다.
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**.
7. 페이지에서 **자격 증명(Credentials)** 페이지에서 다음 필드의 값을 입력하세요:
* **클라이언트 ID**
* **테넌트 ID**
* **클라이언트 시크릿**
8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**. 성공 화면으로 이동됩니다:\\
* 성공 화면으로 이동됩니다: [선택적으로 하나 이상의](https://docs.panther.com/detections/panther-managed/packs).
* 사용자를 사용할 것이며, **가 활성화될 수 있습니다** "이벤트가 처리되지 않을 때 알러트를 트리거" **설정의 기본값은**. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\
{% hint style="warning" %}
통합이 생성된 후 Microsoft API가 최초로 데이터를 제공하는 데 최대 12시간이 걸릴 수 있습니다.
{% endhint %}
## 지원되는 로그 유형
### Microsoft365.Audit.AzureActiveDirectory
Azure Active Directory 감사 이벤트.
참고: [관리 활동 API 스키마에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema)
```yaml
스키마: Microsoft365.Audit.AzureActiveDirectory
파서:
네이티브:
이름: Microsoft365.Audit.AzureActiveDirectory
설명: Azure Active Directory 감사 이벤트.
참조URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
필드:
- name: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드가 나타내는 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 활동을 수행한 협정 세계시(UTC) 날짜 및 시간.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
isEventTime: true
- name: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 발생한 Office 365 서비스와 상관없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business 및 Exchange에서 사용자가 수행한 이벤트의 경우 이 속성은 여권 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생하는 이벤트 및 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값을 지정할 수도 있습니다.
type: string
지표:
- username
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정된)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
type: string
- 이름: UserId
설명: 레코드가 기록되게 한 작업(Operation 속성에 지정된)을 수행한 사용자의 UPN(사용자 주체 이름); 예: my_name@my_domain_name. SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM과 같은 시스템 계정이 수행한 활동에 대한 레코드도 포함된다는 점에 유의하세요. SharePoint에서는 UserId 속성에 app@sharepoint와 같은 다른 값이 표시됩니다. 이는 활동을 수행한 "사용자"가 사용자를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행할 수 있는 권한을 가진 애플리케이션이었음을 나타냅니다.
type: string
지표:
- username
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자를 대신하여 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있으며 활동을 수행한 사용자가 사용한 장치의 IP 주소가 아닐 수도 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않으며 ClientIP 속성의 값은 null입니다.
type: string
지표:
- ip
- 이름: Scope
설명: 이 이벤트가 호스팅된 M365 서비스에 의해 생성되었는지 아니면 온프레미스 서버에 의해 생성되었는지 여부입니다. 가능한 값은 online 및 onprem입니다. 현재 SharePoint만 온프레미스에서 M365로 이벤트를 보내고 있다는 점에 유의하세요.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트.
type: object
필드:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD( Azure Active Directory) 로그인에 대한 AAD SessionId.
type: string
- 이름: APIId
설명: 리소스에 액세스하는 데 사용되는 API 경로의 Id; 예: Microsoft Graph API를 통한 액세스.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름.
type: string
- 이름: CorrelationId
설명: 특정 사용자의 작업을 Microsoft 365 서비스 전반에 걸쳐 연관시키는 데 사용할 수 있는 식별자.
type: string
지표:
- trace_id
- 이름: AzureActiveDirectoryEventType
required: true
설명: Azure AD 이벤트의 유형.
유형: int
- 이름: ExtendedProperties
설명: Azure AD 이벤트의 확장 속성.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- name: Value
설명: Value 필드
type: string
- 이름: ModifiedProperties
설명: 이 속성은 관리자 이벤트에 포함됩니다. 속성에는 수정된 속성의 이름, 수정된 속성의 새 값 및 수정되기 전의 이전 값이 포함됩니다.
type: array
element:
유형: json
- 이름: DeviceProperties
설명: Azure AD 이벤트의 장치 속성.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- name: Value
설명: Value 필드
type: string
- 이름: Application
설명: Office 15와 같은 계정 로그인 이벤트를 트리거한 애플리케이션.
type: string
- 이름: Client
설명: 계정 로그인 이벤트에 사용된 클라이언트 장치, 장치 OS 및 장치 브라우저에 대한 세부 정보.
type: string
- 이름: LoginStatus
설명: 이 속성은 OrgIdLogon.LoginStatus에서 직접 가져옵니다. 다양한 흥미로운 로그인 실패의 매핑은 알러트 알고리즘으로 수행될 수 있습니다.
유형: int
- 이름: UserDomain
설명: 테넌트 신원 정보(Tenant Identity Information, TII).
type: string
- 이름: Actor
설명: 작업을 수행한 사용자 또는 서비스 주체.
type: array
element:
type: object
필드:
- name: ID
설명: 유형이 주어졌을 때 신원의 값.
type: string
지표:
- username
- name: Type
설명: 신원의 유형.
유형: int
- 이름: ActorContextId
설명: 행위자가 속한 조직의 GUID.
type: string
- 이름: ActorIpAddress
설명: 행위자의 IP 주소(IPV4 또는 IPV6 주소 형식).
type: string
지표:
- ip
- 이름: InterSystemsId
설명: Office 365 서비스 내 구성 요소 간의 작업을 추적하는 GUID.
type: string
- 이름: IntraSystemId
설명: 작업을 추적하기 위해 Azure Active Directory에서 생성한 GUID.
type: string
- 이름: SupportTicketId
설명: "대리 수행(act-on-behalf-of)" 상황에서 작업에 대한 고객 지원 티켓 ID.
type: string
- 이름: Target
설명: 작업(Operation 속성에 의해 식별된)이 수행된 사용자.
type: array
element:
type: object
필드:
- name: ID
설명: 유형이 주어졌을 때 신원의 값.
type: string
지표:
- username
- name: Type
설명: 신원의 유형.
유형: int
- 이름: TargetContextId
설명: 대상 사용자가 속한 조직의 GUID.
type: string
- 이름: ApplicationId
설명: 로그인을 요청하는 애플리케이션을 나타내는 GUID. 표시 이름은 Azure Active Directory Graph API를 통해 조회할 수 있습니다.
type: string
- 이름: ErrorCode
설명: 실패한 로그인( Operation 속성의 값이 UserLoginFailed인 경우)의 경우 이 속성에는 Azure Active Directory STS(AADSTS) 오류 코드가 포함됩니다. 값이 0이면 로그인 성공을 나타냅니다.
type: string
- 이름: LogonError
설명: 실패한 로그인에 대해 이 속성에는 실패한 로그인 사유에 대한 사용자 읽기 가능한 설명이 포함됩니다.
type: string
```
### Microsoft365.Audit.Exchange
Microsoft Exchange 감사 이벤트.
참고: [관리 활동 API 스키마에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema)
```yaml
스키마: Microsoft365.Audit.Exchange
파서:
네이티브:
이름: Microsoft365.Audit.Exchange
설명: Microsoft Exchange 감사 이벤트.
참조URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
필드:
- name: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드가 나타내는 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 활동을 수행한 협정 세계시(UTC) 날짜 및 시간.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
isEventTime: true
- name: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 발생한 Office 365 서비스와 상관없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business 및 Exchange에서 사용자가 수행한 이벤트의 경우 이 속성은 여권 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생하는 이벤트 및 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값을 지정할 수도 있습니다.
type: string
지표:
- username
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정된)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
type: string
- 이름: UserId
설명: 레코드가 기록되게 한 작업(Operation 속성에 지정된)을 수행한 사용자의 UPN(사용자 주체 이름); 예: my_name@my_domain_name. SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM과 같은 시스템 계정이 수행한 활동에 대한 레코드도 포함된다는 점에 유의하세요. SharePoint에서는 UserId 속성에 app@sharepoint와 같은 다른 값이 표시됩니다. 이는 활동을 수행한 "사용자"가 사용자를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행할 수 있는 권한을 가진 애플리케이션이었음을 나타냅니다.
type: string
지표:
- username
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자를 대신하여 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있으며 활동을 수행한 사용자가 사용한 장치의 IP 주소가 아닐 수도 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않으며 ClientIP 속성의 값은 null입니다.
type: string
지표:
- ip
- 이름: Scope
설명: 이 이벤트가 호스팅된 M365 서비스에 의해 생성되었는지 아니면 온프레미스 서버에 의해 생성되었는지 여부입니다. 가능한 값은 online 및 onprem입니다. 현재 SharePoint만 온프레미스에서 M365로 이벤트를 보내고 있다는 점에 유의하세요.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트.
type: object
필드:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD( Azure Active Directory) 로그인에 대한 AAD SessionId.
type: string
- 이름: APIId
설명: 리소스에 액세스하는 데 사용되는 API 경로의 Id; 예: Microsoft Graph API를 통한 액세스.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름.
type: string
- 이름: CorrelationId
설명: 특정 사용자의 작업을 Microsoft 365 서비스 전반에 걸쳐 연관시키는 데 사용할 수 있는 식별자.
type: string
지표:
- trace_id
- 이름: ModifiedObjectResolvedName
설명: cmdlet에 의해 수정된 개체의 사용자 친화적 이름입니다. cmdlet이 개체를 수정한 경우에만 기록됩니다.
type: string
- 이름: Parameters
설명: Operations 속성에 식별된 cmdlet과 함께 사용된 모든 매개변수의 이름과 값.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- name: Value
설명: Value 필드
type: string
- 이름: ModifiedProperties
설명: 이 속성은 관리자 이벤트에 포함됩니다. 속성에는 수정된 속성의 이름, 수정된 속성의 새 값 및 수정되기 전의 이전 값이 포함됩니다.
type: array
element:
유형: json
- 이름: ExternalAccess
required: true
설명: cmdlet이 조직 내 사용자가 실행했는지, Microsoft 데이터센터 직원이나 데이터센터 서비스 계정이 실행했는지, 또는 위임 관리자에 의해 실행되었는지 여부를 지정합니다. False 값은 cmdlet이 조직 내 누군가에 의해 실행되었음을 나타냅니다. True 값은 cmdlet이 데이터센터 직원, 데이터센터 서비스 계정 또는 위임 관리자에 의해 실행되었음을 나타냅니다.
유형: boolean
- 이름: OriginatingServer
설명: cmdlet이 실행된 서버의 이름.
type: string
- 이름: OrganizationName
설명: 테넌트의 이름.
type: string
지표:
- username
- 이름: LogonType
설명: 메일박스에 액세스하고 기록된 작업을 수행한 사용자의 유형을 나타냅니다.
유형: int
- 이름: InternalLogonType
설명: 내부 사용을 위해 예약됨.
유형: int
- 이름: MailboxGuid
설명: 액세스된 메일박스의 Exchange GUID.
type: string
- 이름: MailboxOwnerUPN
설명: 액세스된 메일박스 소유자의 이메일 주소.
type: string
지표:
- username
- 이름: MailboxOwnerSid
설명: 메일박스 소유자의 SID.
type: string
지표:
- username
- 이름: MailboxOwnerMasterAccountSid
설명: 메일박스 소유자 계정의 마스터 계정 SID.
type: string
지표:
- username
- 이름: LogonUserSid
설명: 작업을 수행한 사용자의 SID.
type: string
지표:
- username
- 이름: LogonUserDisplayName
설명: 작업을 수행한 사용자의 사용자 친화적 이름.
type: string
- 이름: ClientInfoString
설명: 브라우저 버전, Outlook 버전 및 모바일 장치 정보와 같이 작업을 수행하는 데 사용된 이메일 클라이언트에 대한 정보.
type: string
- 이름: ClientIPAddress
설명: 작업이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다.
type: string
지표:
- ip
- 이름: ClientMachineName
설명: Outlook 클라이언트를 호스팅하는 머신 이름.
type: string
지표:
- hostname
- 이름: ClientProcessName
설명: 메일박스에 액세스하는 데 사용된 이메일 클라이언트.
type: string
- 이름: ClientVersion
설명: 이메일 클라이언트의 버전.
type: string
- 이름: Folder
설명: 항목 그룹이 위치한 폴더.
type: object
필드:
- name: Id
설명: 폴더 개체의 저장소 ID.
type: string
- name: Path
설명: 액세스된 메시지가 위치한 메일박스 폴더의 이름.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: CrossMailboxOperations
설명: 작업이 둘 이상의 메일박스를 포함했는지 여부를 나타냅니다.
유형: boolean
- 이름: DestMailboxId
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 메일박스 GUID를 지정합니다.
type: string
- 이름: DestMailboxOwnerUPN
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 메일박스 소유자의 UPN을 지정합니다.
type: string
- 이름: DestMailboxOwnerSid
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 메일박스의 SID를 지정합니다.
type: string
- 이름: DestMailboxOwnerMasterAccountSid
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 메일박스 소유자에 대한 마스터 계정 SID를 지정합니다.
type: string
지표:
- username
- 이름: DestFolder
설명: 이동(Move)과 같은 작업의 대상 폴더.
type: object
필드:
- name: Id
설명: 폴더 개체의 저장소 ID.
type: string
- name: Path
설명: 액세스된 메시지가 위치한 메일박스 폴더의 이름.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: Folders
설명: 선택된 폴더를 삭제하는 등 작업에 관련된 소스 폴더에 대한 정보.
type: array
element:
type: object
필드:
- name: Id
설명: 폴더 개체의 저장소 ID.
type: string
- name: Path
설명: 액세스된 메시지가 위치한 메일박스 폴더의 이름.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: AffectedItems
설명: 그룹 내 각 항목에 대한 정보.
type: array
element:
type: object
필드:
- name: Id
설명: 저장소 ID.
type: string
- 이름: Subject
설명: 액세스된 메시지의 제목 행.
type: string
- 이름: ParentFolder
설명: 항목이 위치한 폴더의 이름.
type: object
필드:
- name: Id
설명: 폴더 개체의 저장소 ID.
type: string
- name: Path
설명: 액세스된 메시지가 위치한 메일박스 폴더의 이름.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: Attachments
설명: 메시지에 첨부된 모든 항목의 이름 및 파일 크기 목록.
type: string
- 이름: Item
설명: 작업이 수행된 항목을 나타냅니다.
type: object
필드:
- name: Id
설명: 저장소 ID.
type: string
- 이름: Subject
설명: 액세스된 메시지의 제목 행.
type: string
- 이름: ParentFolder
설명: 항목이 위치한 폴더의 이름.
type: object
필드:
- name: Id
설명: 폴더 개체의 저장소 ID.
type: string
- name: Path
설명: 액세스된 메시지가 위치한 메일박스 폴더의 이름.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: Attachments
설명: 메시지에 첨부된 모든 항목의 이름 및 파일 크기 목록.
type: string
- 이름: SendAsUserSmtp
설명: 가장된 사용자(대리자)의 SMTP 주소.
type: string
지표:
- hostname
- 이름: SendAsUserMailboxGuid
설명: 가장된 사용자로 이메일을 보내기 위해 액세스된 메일박스의 Exchange GUID.
type: string
- 이름: SendOnBehalfOfUserSmtp
설명: 대리로 이메일이 전송된 사용자의 SMTP 주소.
type: string
지표:
- hostname
- 이름: SendOnBehalfOfUserMailboxGuid
설명: 대리로 메일을 보내기 위해 액세스된 메일박스의 Exchange GUID.
유형: strin
```
### Microsoft365.Audit.General
다른 로그 유형에 포함되지 않는 Office 365 서비스의 일반 감사 이벤트. 예를 들어 다음을 포함할 수 있습니다, [Microsoft Teams 로그](https://learn.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#microsoft-teams-schema).
참고: [관리 활동 API 스키마에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema)
```yaml
스키마: Microsoft365.Audit.General
파서:
네이티브:
이름: Microsoft365.Audit.General
설명: 다른 로그 유형에 포함되지 않는 일반 감사 이벤트.
참조URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
필드:
- name: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드가 나타내는 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 활동을 수행한 협정 세계시(UTC) 날짜 및 시간.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
isEventTime: true
- name: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 발생한 Office 365 서비스와 상관없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business 및 Exchange에서 사용자가 수행한 이벤트의 경우 이 속성은 여권 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생하는 이벤트 및 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값을 지정할 수도 있습니다.
type: string
지표:
- username
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정된)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
type: string
- 이름: UserId
설명: 레코드가 기록되게 한 작업(Operation 속성에 지정된)을 수행한 사용자의 UPN(사용자 주체 이름); 예: my_name@my_domain_name. SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM과 같은 시스템 계정이 수행한 활동에 대한 레코드도 포함된다는 점에 유의하세요. SharePoint에서는 UserId 속성에 app@sharepoint와 같은 다른 값이 표시됩니다. 이는 활동을 수행한 "사용자"가 사용자를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행할 수 있는 권한을 가진 애플리케이션이었음을 나타냅니다.
type: string
지표:
- username
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자를 대신하여 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있으며 활동을 수행한 사용자가 사용한 장치의 IP 주소가 아닐 수도 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않으며 ClientIP 속성의 값은 null입니다.
type: string
지표:
- ip
- 이름: Scope
설명: 이 이벤트가 호스팅된 M365 서비스에 의해 생성되었는지 아니면 온프레미스 서버에 의해 생성되었는지 여부입니다. 가능한 값은 online 및 onprem입니다. 현재 SharePoint만 온프레미스에서 M365로 이벤트를 보내고 있다는 점에 유의하세요.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트.
type: object
필드:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD( Azure Active Directory) 로그인에 대한 AAD SessionId.
type: string
- 이름: APIId
설명: 리소스에 액세스하는 데 사용되는 API 경로의 Id; 예: Microsoft Graph API를 통한 액세스.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름.
type: string
- 이름: CorrelationId
설명: 특정 사용자의 작업을 Microsoft 365 서비스 전반에 걸쳐 연관시키는 데 사용할 수 있는 식별자.
type: string
지표:
- trace_id
- 이름: payload
설명: 이벤트의 전체 JSON 페이로드.
유형: json
```
### Microsoft365.Audit.SharePoint
Microsoft SharePoint 감사 이벤트.
참고: [관리 활동 API 스키마에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema)
```yaml
스키마: Microsoft365.Audit.SharePoint
파서:
네이티브:
이름: Microsoft365.Audit.SharePoint
설명: Microsoft SharePoint 감사 이벤트.
참조URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
필드:
- name: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드가 나타내는 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 활동을 수행한 협정 세계시(UTC) 날짜 및 시간.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
isEventTime: true
- name: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 발생한 Office 365 서비스와 상관없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business 및 Exchange에서 사용자가 수행한 이벤트의 경우 이 속성은 여권 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생하는 이벤트 및 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값을 지정할 수도 있습니다.
type: string
지표:
- username
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정된)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
type: string
- 이름: UserId
설명: 레코드가 기록되게 한 작업(Operation 속성에 지정된)을 수행한 사용자의 UPN(사용자 주체 이름); 예: my_name@my_domain_name. SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM과 같은 시스템 계정이 수행한 활동에 대한 레코드도 포함된다는 점에 유의하세요. SharePoint에서는 UserId 속성에 app@sharepoint와 같은 다른 값이 표시됩니다. 이는 활동을 수행한 "사용자"가 사용자를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행할 수 있는 권한을 가진 애플리케이션이었음을 나타냅니다.
type: string
지표:
- username
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자를 대신하여 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있으며 활동을 수행한 사용자가 사용한 장치의 IP 주소가 아닐 수도 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않으며 ClientIP 속성의 값은 null입니다.
type: string
지표:
- ip
- 이름: Scope
설명: 이 이벤트가 호스팅된 M365 서비스에 의해 생성되었는지 아니면 온프레미스 서버에 의해 생성되었는지 여부입니다. 가능한 값은 online 및 onprem입니다. 현재 SharePoint만 온프레미스에서 M365로 이벤트를 보내고 있다는 점에 유의하세요.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트.
type: object
필드:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD( Azure Active Directory) 로그인에 대한 AAD SessionId.
type: string
- 이름: APIId
설명: 리소스에 액세스하는 데 사용되는 API 경로의 Id; 예: Microsoft Graph API를 통한 액세스.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름.
type: string
- 이름: CorrelationId
설명: 특정 사용자의 작업을 Microsoft 365 서비스 전반에 걸쳐 연관시키는 데 사용할 수 있는 식별자.
type: string
지표:
- trace_id
- 이름: Site
설명: 사용자가 액세스한 파일 또는 폴더가 위치한 사이트의 GUID.
type: string
- 이름: ItemType
설명: 액세스되거나 수정된 개체의 유형.
type: string
- 이름: EventSource
설명: 이벤트가 SharePoint에서 발생했음을 식별합니다. 가능한 값은 SharePoint 또는 ObjectModel입니다.
type: string
- 이름: SourceName
설명: 감사된 작업을 트리거한 엔터티. 가능한 값은 SharePoint 또는 ObjectModel입니다.
type: string
- 이름: UserAgent
설명: 사용자의 클라이언트 또는 브라우저에 대한 정보. 이 정보는 클라이언트 또는 브라우저에서 제공합니다.
type: string
- 이름: MachineDomainInfo
설명: 장치 동기화 작업에 대한 정보. 이 정보는 요청에 포함된 경우에만 보고됩니다.
type: string
- 이름: MachineId
설명: 장치 동기화 작업에 대한 정보. 이 정보는 요청에 포함된 경우에만 보고됩니다.
type: string
- 이름: SiteUrl
설명: 사용자가 액세스한 파일 또는 폴더가 위치한 사이트의 URL.
type: string
지표:
- url
- 이름: SourceRelativeUrl
설명: 사용자가 액세스한 파일을 포함하는 폴더의 URL. SiteURL, SourceRelativeURL 및 SourceFileName 매개변수 값의 조합은 사용자가 액세스한 파일의 전체 경로 이름인 ObjectID 속성의 값과 동일합니다.
type: string
지표:
- url
- 이름: SourceFileName
설명: 사용자가 액세스한 파일 또는 폴더의 이름.
type: string
- 이름: SourceFileExtension
설명: 사용자가 액세스한 파일의 파일 확장자. 액세스된 개체가 폴더인 경우 이 속성은 비어 있습니다.
type: string
- 이름: DestinationRelativeUrl
설명: 파일이 복사되거나 이동된 대상 폴더의 URL. SiteURL, DestinationRelativeURL 및 DestinationFileName 매개변수 값의 조합은 복사된 파일의 전체 경로 이름인 ObjectID 속성의 값과 동일합니다. 이 속성은 FileCopied 및 FileMoved 이벤트에만 표시됩니다.
type: string
지표:
- url
- 이름: DestinationFileName
설명: 복사되거나 이동된 파일의 이름. 이 속성은 FileCopied 및 FileMoved 이벤트에만 표시됩니다.
type: string
- 이름: DestinationFileExtension
설명: 복사되거나 이동된 파일의 파일 확장자. 이 속성은 FileCopied 및 FileMoved 이벤트에만 표시됩니다.
type: string
- 이름: UserSharedWith
설명: 리소스가 공유된 사용자.
type: string
지표:
- username
- 이름: SharingType
설명: 리소스가 공유된 사용자에게 할당된 공유 권한 유형. 이 사용자는 UserSharedWith 매개변수로 식별됩니다.
type: string
- 이름: TargetUserOrGroupName
설명: 리소스가 공유된 대상 사용자 또는 그룹의 UPN 또는 이름을 저장합니다.
type: string
- 이름: TargetUserOrGroupType
설명: 대상 사용자 또는 그룹이 Member, Guest, Group 또는 Partner인지 식별합니다.
type: string
- 이름: EventData
설명: 사용자 추가나 편집 권한 부여와 같이 발생한 공유 작업에 대한 후속 정보를 전달합니다.
type: string
- 이름: CustomEvent
설명: 사용자 지정 이벤트에 대한 선택적 문자열.
type: string
- 이름: ModifiedProperties
설명: 이 속성은 사이트의 구성원으로 사용자를 추가하거나 사이트 컬렉션 관리자 그룹을 추가하는 등의 관리자 이벤트에 포함됩니다. 속성에는 수정된 속성의 이름(예: 사이트 관리자 그룹), 수정된 속성의 새 값(예: 사이트 관리자로 추가된 사용자) 및 수정되기 전의 이전 값이 포함됩니다.
type: array
element:
유형: json
```
### Microsoft365.DLP.All
모든 워크로드에 대한 DLP 이벤트.
참고: [DLP 스키마에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#dlp-schema)
```yaml
스키마: Microsoft365.DLP.All
파서:
네이티브:
이름: Microsoft365.DLP.All
설명: 모든 워크로드에 대한 DLP 이벤트.
참조URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#dlp-schema
필드:
- name: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드가 나타내는 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 활동을 수행한 협정 세계시(UTC) 날짜 및 시간.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
isEventTime: true
- name: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 발생한 Office 365 서비스와 상관없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자의 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business 및 Exchange에서 사용자가 수행한 이벤트의 경우 이 속성은 여권 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생하는 이벤트 및 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값을 지정할 수도 있습니다.
type: string
지표:
- username
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정된)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
type: string
- 이름: UserId
설명: 레코드가 기록되게 한 작업(Operation 속성에 지정된)을 수행한 사용자의 UPN(사용자 주체 이름); 예: my_name@my_domain_name. SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM과 같은 시스템 계정이 수행한 활동에 대한 레코드도 포함된다는 점에 유의하세요. SharePoint에서는 UserId 속성에 app@sharepoint와 같은 다른 값이 표시됩니다. 이는 활동을 수행한 "사용자"가 사용자를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행할 수 있는 권한을 가진 애플리케이션이었음을 나타냅니다.
type: string
지표:
- username
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 사용자를 대신하여 서비스를 호출하는 신뢰할 수 있는 애플리케이션(예: 웹용 Office 앱)의 IP 주소일 수 있으며 활동을 수행한 사용자가 사용한 장치의 IP 주소가 아닐 수도 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소가 기록되지 않으며 ClientIP 속성의 값은 null입니다.
type: string
지표:
- ip
- 이름: Scope
설명: 이 이벤트가 호스팅된 M365 서비스에 의해 생성되었는지 아니면 온프레미스 서버에 의해 생성되었는지 여부입니다. 가능한 값은 online 및 onprem입니다. 현재 SharePoint만 온프레미스에서 M365로 이벤트를 보내고 있다는 점에 유의하세요.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트.
type: object
필드:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD( Azure Active Directory) 로그인에 대한 AAD SessionId.
type: string
- 이름: APIId
설명: 리소스에 액세스하는 데 사용되는 API 경로의 Id; 예: Microsoft Graph API를 통한 액세스.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름.
type: string
- 이름: CorrelationId
설명: 특정 사용자의 작업을 Microsoft 365 서비스 전반에 걸쳐 연관시키는 데 사용할 수 있는 식별자.
type: string
지표:
- trace_id
- 이름: SharePointMetaData
설명: 민감한 정보를 포함한 SharePoint 또는 OneDrive for Business의 문서에 대한 메타데이터를 설명합니다.
type: object
필드:
- 이름: From
설명: 이벤트를 트리거한 사용자. 이는 FileOwner, LastModifier 또는 LastSharer 중 하나입니다.
type: string
지표:
- username
- 이름: itemCreationTime
설명: 이벤트가 기록된 UTC 날짜/시간 스탬프.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
- 이름: SiteCollectionGuid
설명: 사이트 컬렉션의 GUID.
type: string
- 이름: SiteCollectionUrl
설명: SharePoint 사이트의 이름.
type: string
- 이름: FileName
설명: 경로의 이름.
type: string
- 이름: FileOwner
설명: 문서 소유자.
type: string
지표:
- username
- 이름: FilePathUrl
설명: 문서의 URL
type: string
- 이름: DocumentLastModifier
설명: 문서를 마지막으로 수정한 사용자.
type: string
지표:
- username
- 이름: DocumentSharer
설명: 문서의 공유를 마지막으로 수정한 사용자.
type: string
지표:
- username
- 이름: UniqueId
설명: 파일을 식별하는 GUID.
type: string
- 이름: LastModifiedTime
설명: 문서가 마지막으로 수정된 UTC 타임스탬프.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
- 이름: IsViewableByExternalUsers
설명: 파일이 외부 사용자에게 접근 가능한지 여부를 결정합니다.
유형: boolean
- 이름: ExchangeMetaData
설명: 민감한 정보를 포함한 이메일 메시지에 대한 메타데이터를 설명합니다.
type: object
필드:
- 이름: MessageID
설명: 이벤트를 트리거한 이메일의 메시지 ID.
type: string
- 이름: From
설명: 이메일을 보낸 사용자.
type: string
지표:
- username
- 이메일
- 이름: To
설명: 메시지의 수신(To) 줄에 있던 이메일 주소들의 모음.
type: array
element:
type: string
지표:
- 이메일
- 이름: CC
설명: 메시지의 참조(CC) 줄에 있던 이메일 주소들의 모음.
type: array
element:
type: string
지표:
- 이메일
- 이름: BCC
설명: 메시지의 숨은 참조(BCC) 줄에 있던 이메일 주소들의 모음.
type: array
element:
type: string
지표:
- 이메일
- 이름: Subject
설명: 이메일 메시지의 제목.
type: string
- 이름: Sent
설명: 이메일이 발송된 UTC 시각.
type: timestamp
시간형식: layout=2006-01-02T15:04:05
- 이름: RecipientCount
설명: 메시지의 TO, CC 및 BCC 줄에 있는 모든 수신자의 총 수.
유형: int
- 이름: UniqueId
설명: 파일을 식별하는 GUID.
type: string
- 이름: ExceptionInfo
설명: 정책이 더 이상 적용되지 않는 이유 및/또는 최종 사용자가 기록한 오탐 또는 재정의에 대한 정보를 식별합니다.
type: string
- 이름: PolicyDetails
required: true
설명: DLP 이벤트를 트리거한 하나 이상의 정책에 대한 정보.
type: array
element:
type: object
필드:
- 이름: PolicyId
설명: 이 이벤트에 대한 DLP 정책의 GUID.
type: string
- 이름: PolicyName
설명: 이 이벤트에 대한 DLP 정책의 친숙한 이름.
type: string
- 이름: Rules
설명: 이 이벤트에 대해 일치한 정책 내 규칙에 대한 정보.
type: array
element:
type: object
필드:
- 이름: RuleId
설명: 이 이벤트에 대한 DLP 규칙의 GUID.
type: string
- 이름: RuleName
설명: 이 이벤트에 대한 DLP 규칙의 친숙한 이름.
type: string
- 이름: Actions
설명: DLP RuleMatch 이벤트의 결과로 수행된 작업 목록.
type: array
element:
type: string
- 이름: OverriddenActions
설명: DLPRuleUndo 이벤트의 결과로 이전에 수행되었으나 이제 취소된 작업 목록.
type: array
element:
type: string
- 이름: Severity
설명: 규칙 일치의 심각도(낮음, 중간 및 높음).
type: string
- 이름: RuleMode
설명: DLP 규칙이 시행(Enforce), 알림과 함께 감사(Audit with Notify) 또는 감사 전용(Audit only)으로 설정되었는지 여부를 나타냅니다.
type: string
- 이름: ConditionsMatched
설명: 이 이벤트에 대해 규칙의 어떤 조건이 일치했는지에 대한 세부 정보.
type: object
필드:
- 이름: SensitiveInformation
설명: 감지된 민감한 정보 유형에 대한 정보.
type: array
element:
type: object
필드:
- name: Confidence
설명: 디텍션과 일치한 패턴의 신뢰도.
type: bigint
- 이름: Count
설명: 감지된 민감한 사례의 수.
type: bigint
- 이름: Location
설명: 위치 필드
type: string
- 이름: SensitiveType
설명: 감지된 민감한 데이터 유형을 식별하는 GUID.
type: string
- 이름: SensitiveInformationDetections
설명: 일치한 값 및 일치한 값의 컨텍스트와 같은 다음 세부 정보를 포함한 민감한 정보 데이터를 포함하는 객체 배열.
type: object
필드:
- 이름: DetectedValues
설명: 감지된 민감한 정보의 배열. 정보는 Value = 일치한 값(예: 신용카드 또는 주민등록번호 값) 및 Context = 일치한 값을 포함하는 소스 콘텐츠의 발췌와 같은 키-값 쌍을 포함합니다.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- name: Value
설명: Value 필드
type: string
- 이름: ResultsTruncated
설명: 결과 수가 많아 로그가 잘렸는지 여부를 나타냅니다.
유형: boolean
- 이름: SensitiveInformationDetailedClassificationAttributes
설명: 각 세 가지 신뢰 수준(높음, 중간 및 낮음)별로 감지된 민감한 정보 유형의 수와 해당 정보가 DLP 규칙과 일치하는지 여부에 대한 정보.
type: array
element:
유형: json
- 이름: SensitiveInformationTypeName
설명: 민감한 정보 유형의 이름.
type: string
- 이름: UniqueCount
설명: 감지된 민감한 사례의 고유 수.
type: bigint
- 이름: DocumentProperties
설명: 규칙 일치를 트리거한 문서 속성에 대한 정보.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- name: Value
설명: Value 필드
type: string
- 이름: OtherConditions
설명: 일치한 기타 조건을 설명하는 키-값 쌍 목록.
type: array
element:
type: object
필드:
- name: Name
설명: Name 필드
type: string
- name: Value
설명: Value 필드
type: string
- 이름: SensitiveInfoDetectionIsIncluded
required: true
설명: 이벤트에 소스 콘텐츠에서 민감한 데이터 유형의 값 및 주변 컨텍스트가 포함되어 있는지 여부를 나타냅니다. 민감한 데이터에 접근하려면 Azure Active Directory에서 "민감한 세부 정보를 포함한 DLP 정책 이벤트 읽기(Read DLP policy events including sensitive details)" 권한이 필요합니다.
유형: boolean
```
