> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/microsoft365.md).
# Microsoft 365 로그
## 개요
Panther는 Microsoft의 로그를 가져올 수 있습니다 [Office 365 Management Activity API](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-reference). Panther는 5분마다 API를 쿼리합니다.
## Microsoft 365 로그를 Panther에 온보딩하는 방법
{% hint style="warning" %}
해당 [Microsoft 365 API](https://learn.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-reference#list-available-content) 최대 7일 전의 로그를 가져올 수 있습니다. Panther의 Microsoft 365 소스가 7일 이상 권한이 없는 상태가 되면, 권한이 다시 설정되는 즉시 이전 7일의 데이터가 백필됩니다.
{% endhint %}
### 사전 요구 사항
* [감사 로깅 사용](https://learn.microsoft.com/en-us/purview/audit-log-enable-disable?tabs=microsoft-purview-portal) Office 365 관리 포털의 Security and Compliance Center를 통해 Microsoft 365 테넌트에 대해.
### 1단계: Azure AD에서 애플리케이션 등록
1. 다음에 로그인하세요 [Azure 포털](https://portal.azure.com) 로 이동한 다음 **Azure Active Directory** 서비스.\
2. 다음을 클릭합니다: **앱 등록** 왼쪽 사이드바에서 선택한 다음 **새 등록**.
3. 애플리케이션의 기억하기 쉬운 이름을 입력합니다. **지원되는 계정 유형** 필드에서 `이 조직 디렉터리의 계정만`.
4. 다음을 클릭합니다: **등록**.
5. 왼쪽 사이드바에서 **인증서 및 비밀**. 그런 다음 클릭합니다 **새 클라이언트 비밀**.
* 비밀에 대한 설명을 추가합니다(예: Panther 통합).
* 다음을 설정하세요 **만료** 필드를 `24개월`.
6. 다음을 클릭합니다: **추가**.
* 이 페이지를 벗어나면 클라이언트 비밀이 숨겨지므로, 다음을 적어 두십시오. **값** 필드(아닌 **비밀 ID** 필드)를 계속하기 전에.
7. 왼쪽 사이드바에서 **API 권한** 그런 다음 **권한 추가**. 다음을 찾아 클릭합니다 **Office 365 Management APIs**.
8. 다음을 클릭합니다: **위임된 권한** 그런 다음 모든 권한을 선택합니다: *ActivityFeed.Read, ActivityFeed.ReadDlp, ServiceHealth.Read*.\
9. 다음을 클릭합니다: **애플리케이션 권한** 그런 다음 모든 권한을 선택합니다: *ActivityFeed.Read, ActivityFeed.ReadDlp, ServiceHealth.Read*.
10. 다음을 클릭합니다: **권한 추가** 하단에서.
* 다음 두 가지를 모두 추가해야 합니다: **위임됨** 그리고 **애플리케이션** 권한을 이전 두 단계에서.
11. 다음을 클릭합니다: **관리자 동의 부여** API 권한 페이지에서.\
12. 동의가 부여되면 다음을 클릭합니다 **개요** 탭을 왼쪽 사이드바에서 열어 다음을 확인합니다 **애플리케이션(클라이언트) ID** 그리고 **디렉터리(테넌트) ID**. 다음 단계에서 이를 Panther에 제공해야 합니다.\
### 2단계: Panther에서 새 Microsoft 소스 만들기
1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**.
2. 다음을 클릭합니다: **새로 만들기.**
3. "Microsoft 365"를 검색한 다음 타일을 클릭합니다.
4. 슬라이드아웃 패널에서 다음을 클릭합니다 **설정 시작**.
5. 다음 화면에서 예를 들어 소스에 대한 설명적인 이름을 입력하세요 `내 Microsoft 365 로그` 그리고 수집할 로그 유형을 선택합니다.
6. 다음을 클릭합니다: **설정**.
7. 다음에서 **자격 증명** 페이지에서 다음 필드의 값을 입력합니다:
* **클라이언트 ID**
* **테넌트 ID**
* **클라이언트 시크릿**
8. 다음을 클릭합니다: **설정**. 성공 화면으로 이동합니다:\\
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs).
* 해당 **이벤트가 처리되지 않을 때 알러트를 트리거** 설정의 기본값은 **YES**. 일정 시간이 지나 로그 소스에서 데이터 흐름이 중지되면 알림을 받게 되므로 이 기능을 활성화한 상태로 두는 것을 권장합니다. 기간은 구성 가능하며 기본값은 24시간입니다.\\\\
{% hint style="warning" %}
통합이 생성된 후 Microsoft API가 데이터를 처음으로 사용할 수 있게 되기까지 최대 12시간이 걸릴 수 있습니다.
{% endhint %}
## 지원되는 로그 유형
### Microsoft365.Audit.AzureActiveDirectory
Azure Active Directory 감사 이벤트.
참조: [Management Activity API 스키마에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema)
```yaml
스키마: Microsoft365.Audit.AzureActiveDirectory
파서:
native:
이름: Microsoft365.Audit.AzureActiveDirectory
설명: Azure Active Directory 감사 이벤트.
참조 URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
fields:
- 이름: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드에 표시된 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 해당 활동을 수행한 협정 세계시(UTC)의 날짜와 시간.
type: timestamp
시간 형식: layout=2006-01-02T15:04:05
isEventTime: true
- 이름: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 발생한 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business, Exchange에서 사용자가 수행한 이벤트에 대해 이 속성은 passport 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생한 이벤트나 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값일 수도 있습니다.
type: string
표시자:
- 사용자명
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
type: string
- 이름: UserId
설명: 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(User Principal Name)입니다. 예: my_name@my_domain_name. 시스템 계정(SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM 등)이 수행한 활동의 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 표시되는 다른 값으로 app@sharepoint가 있습니다. 이는 해당 활동을 수행한 "사용자"가 사용자를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 SharePoint 권한을 가진 애플리케이션임을 나타냅니다.
type: string
표시자:
- 사용자명
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 신뢰할 수 있는 애플리케이션(예: Office on the web apps)이 사용자 대신 서비스에 호출하는 데 사용하는 IP 주소일 수 있으며, 활동을 수행한 사람이 사용한 장치의 IP 주소가 아닐 수도 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소는 기록되지 않으며 ClientIP 속성의 값은 null입니다.
type: string
표시자:
- ip
- 이름: Scope
설명: 이 이벤트는 호스팅된 M365 서비스에서 생성되었습니까, 아니면 온프레미스 서버에서 생성되었습니까? 가능한 값은 online 및 onprem입니다. 현재 온프레미스에서 M365로 이벤트를 전송하는 유일한 워크로드는 SharePoint입니다.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트입니다.
type: object
fields:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD 로그인의 Azure Active Directory(AAD) SessionId입니다.
type: string
- 이름: APIId
설명: 리소스에 액세스하는 데 사용된 API 경로의 Id입니다. 예: Microsoft Graph API를 통한 액세스.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id입니다.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름입니다.
type: string
- 이름: CorrelationId
설명: Microsoft 365 서비스 전반에서 특정 사용자의 작업을 연관시키는 데 사용할 수 있는 식별자입니다.
type: string
표시자:
- trace_id
- 이름: AzureActiveDirectoryEventType
required: true
설명: Azure AD 이벤트 유형입니다.
유형: int
- 이름: ExtendedProperties
설명: Azure AD 이벤트의 확장 속성입니다.
type: array
element:
type: object
fields:
- name: Name
설명: 이름 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: ModifiedProperties
설명: 이 속성은 관리자 이벤트에 포함됩니다. 이 속성에는 수정된 속성의 이름, 수정된 속성의 새 값, 수정된 속성의 이전 값이 포함됩니다.
type: array
element:
유형: json
- 이름: DeviceProperties
설명: Azure AD 이벤트의 장치 속성입니다.
type: array
element:
type: object
fields:
- name: Name
설명: 이름 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: Application
설명: Office 15와 같이 계정 로그인 이벤트를 트리거하는 애플리케이션입니다.
type: string
- 이름: Client
설명: 계정 로그인 이벤트에 사용된 클라이언트 장치, 장치 OS 및 장치 브라우저에 대한 세부 정보입니다.
type: string
- 이름: LoginStatus
설명: 이 속성은 OrgIdLogon.LoginStatus에서 직접 가져옵니다. 다양한 흥미로운 로그인 실패의 매핑은 경고 알고리즘으로 수행할 수 있습니다.
유형: int
- 이름: UserDomain
설명: 테넌트 신원 정보(TII).
type: string
- 이름: Actor
설명: 작업을 수행한 사용자 또는 서비스 주체입니다.
type: array
element:
type: object
fields:
- 이름: ID
설명: 유형에 따라 주어진 ID의 값입니다.
type: string
표시자:
- 사용자명
- 이름: Type
설명: ID의 유형입니다.
유형: int
- 이름: ActorContextId
설명: 행위자가 속한 조직의 GUID입니다.
type: string
- 이름: ActorIpAddress
설명: IPV4 또는 IPV6 주소 형식의 행위자 IP 주소입니다.
type: string
표시자:
- ip
- 이름: InterSystemsId
설명: Office 365 서비스 내 구성 요소 전반에서 작업을 추적하는 GUID입니다.
type: string
- 이름: IntraSystemId
설명: 작업 추적을 위해 Azure Active Directory에서 생성한 GUID입니다.
type: string
- 이름: SupportTicketId
설명: "act-on-behalf-of" 상황에서 해당 작업에 대한 고객 지원 티켓 ID입니다.
type: string
- 이름: Target
설명: 작업(Operation 속성으로 식별됨)이 수행된 사용자입니다.
type: array
element:
type: object
fields:
- 이름: ID
설명: 유형에 따라 주어진 ID의 값입니다.
type: string
표시자:
- 사용자명
- 이름: Type
설명: ID의 유형입니다.
유형: int
- 이름: TargetContextId
설명: 대상 사용자가 속한 조직의 GUID입니다.
type: string
- 이름: ApplicationId
설명: 로그인을 요청하는 애플리케이션을 나타내는 GUID입니다. 표시 이름은 Azure Active Directory Graph API를 통해 조회할 수 있습니다.
type: string
- 이름: ErrorCode
설명: 실패한 로그인(Operation 속성 값이 UserLoginFailed인 경우)에 대해 이 속성에는 Azure Active Directory STS(AADSTS) 오류 코드가 포함됩니다. 값이 0이면 성공적인 로그인을 의미합니다.
type: string
- 이름: LogonError
설명: 실패한 로그인의 경우 이 속성에는 실패한 로그인 사유에 대한 사용자에게 읽기 쉬운 설명이 포함됩니다.
type: string
```
### Microsoft365.Audit.Exchange
Microsoft Exchange 감사 이벤트.
참조: [Management Activity API 스키마에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema)
```yaml
스키마: Microsoft365.Audit.Exchange
파서:
native:
이름: Microsoft365.Audit.Exchange
설명: Microsoft Exchange 감사 이벤트.
참조 URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
fields:
- 이름: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드에 표시된 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 해당 활동을 수행한 협정 세계시(UTC)의 날짜와 시간.
type: timestamp
시간 형식: layout=2006-01-02T15:04:05
isEventTime: true
- 이름: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 발생한 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business, Exchange에서 사용자가 수행한 이벤트에 대해 이 속성은 passport 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생한 이벤트나 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값일 수도 있습니다.
type: string
표시자:
- 사용자명
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
type: string
- 이름: UserId
설명: 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(User Principal Name)입니다. 예: my_name@my_domain_name. 시스템 계정(SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM 등)이 수행한 활동의 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 표시되는 다른 값으로 app@sharepoint가 있습니다. 이는 해당 활동을 수행한 "사용자"가 사용자를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 SharePoint 권한을 가진 애플리케이션임을 나타냅니다.
type: string
표시자:
- 사용자명
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 신뢰할 수 있는 애플리케이션(예: Office on the web apps)이 사용자 대신 서비스에 호출하는 데 사용하는 IP 주소일 수 있으며, 활동을 수행한 사람이 사용한 장치의 IP 주소가 아닐 수도 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소는 기록되지 않으며 ClientIP 속성의 값은 null입니다.
type: string
표시자:
- ip
- 이름: Scope
설명: 이 이벤트는 호스팅된 M365 서비스에서 생성되었습니까, 아니면 온프레미스 서버에서 생성되었습니까? 가능한 값은 online 및 onprem입니다. 현재 온프레미스에서 M365로 이벤트를 전송하는 유일한 워크로드는 SharePoint입니다.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트입니다.
type: object
fields:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD 로그인의 Azure Active Directory(AAD) SessionId입니다.
type: string
- 이름: APIId
설명: 리소스에 액세스하는 데 사용된 API 경로의 Id입니다. 예: Microsoft Graph API를 통한 액세스.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id입니다.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름입니다.
type: string
- 이름: CorrelationId
설명: Microsoft 365 서비스 전반에서 특정 사용자의 작업을 연관시키는 데 사용할 수 있는 식별자입니다.
type: string
표시자:
- trace_id
- 이름: ModifiedObjectResolvedName
설명: cmdlet에 의해 수정된 개체의 사용자 친화적 이름입니다. 이는 cmdlet이 개체를 수정하는 경우에만 기록됩니다.
type: string
- 이름: Parameters
설명: Operations 속성에 식별된 cmdlet과 함께 사용된 모든 매개변수의 이름과 값입니다.
type: array
element:
type: object
fields:
- name: Name
설명: 이름 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: ModifiedProperties
설명: 이 속성은 관리자 이벤트에 포함됩니다. 이 속성에는 수정된 속성의 이름, 수정된 속성의 새 값, 수정된 개체의 이전 값이 포함됩니다.
type: array
element:
유형: json
- 이름: ExternalAccess
required: true
설명: cmdlet이 조직의 사용자, Microsoft 데이터 센터 직원 또는 데이터 센터 서비스 계정, 혹은 위임된 관리자에 의해 실행되었는지 지정합니다. False 값은 cmdlet이 조직 내의 누군가에 의해 실행되었음을 나타냅니다. True 값은 cmdlet이 데이터 센터 직원, 데이터 센터 서비스 계정 또는 위임된 관리자에 의해 실행되었음을 나타냅니다.
유형: boolean
- 이름: OriginatingServer
설명: cmdlet이 실행된 서버의 이름입니다.
type: string
- 이름: OrganizationName
설명: 테넌트의 이름입니다.
type: string
표시자:
- 사용자명
- 이름: LogonType
설명: 사서함에 액세스하고 기록된 작업을 수행한 사용자 유형을 나타냅니다.
유형: int
- 이름: InternalLogonType
설명: 내부 사용 전용입니다.
유형: int
- 이름: MailboxGuid
설명: 액세스한 사서함의 Exchange GUID입니다.
type: string
- 이름: MailboxOwnerUPN
설명: 액세스한 사서함의 소유자 이메일 주소입니다.
type: string
표시자:
- 사용자명
- 이름: MailboxOwnerSid
설명: 사서함 소유자의 SID입니다.
type: string
표시자:
- 사용자명
- 이름: MailboxOwnerMasterAccountSid
설명: 사서함 소유자 계정의 마스터 계정 SID입니다.
type: string
표시자:
- 사용자명
- 이름: LogonUserSid
설명: 작업을 수행한 사용자의 SID입니다.
type: string
표시자:
- 사용자명
- 이름: LogonUserDisplayName
설명: 작업을 수행한 사용자의 사용자 친화적 이름입니다.
type: string
- 이름: ClientInfoString
설명: 작업 수행에 사용된 이메일 클라이언트 정보입니다. 예: 브라우저 버전, Outlook 버전, 모바일 장치 정보.
type: string
- 이름: ClientIPAddress
설명: 작업이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다.
type: string
표시자:
- ip
- 이름: ClientMachineName
설명: Outlook 클라이언트를 호스팅하는 컴퓨터 이름입니다.
type: string
표시자:
- 호스트 이름
- 이름: ClientProcessName
설명: 사서함에 액세스하는 데 사용된 이메일 클라이언트입니다.
type: string
- 이름: ClientVersion
설명: 이메일 클라이언트 버전입니다.
type: string
- 이름: Folder
설명: 항목 그룹이 위치한 폴더입니다.
type: object
fields:
- 이름: Id
설명: 폴더 개체의 저장소 ID입니다.
type: string
- 이름: Path
설명: 액세스한 메시지가 있는 사서함 폴더의 이름입니다.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: CrossMailboxOperations
설명: 작업에 둘 이상의 사서함이 관련되었는지 나타냅니다.
유형: boolean
- 이름: DestMailboxId
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함 GUID를 지정합니다.
type: string
- 이름: DestMailboxOwnerUPN
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함 소유자의 UPN을 지정합니다.
type: string
- 이름: DestMailboxOwnerSid
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함의 SID를 지정합니다.
type: string
- 이름: DestMailboxOwnerMasterAccountSid
설명: CrossMailboxOperations 매개변수가 True인 경우에만 설정됩니다. 대상 사서함 소유자의 마스터 계정 SID에 대한 SID를 지정합니다.
type: string
표시자:
- 사용자명
- 이름: DestFolder
설명: Move와 같은 작업의 대상 폴더입니다.
type: object
fields:
- 이름: Id
설명: 폴더 개체의 저장소 ID입니다.
type: string
- 이름: Path
설명: 액세스한 메시지가 있는 사서함 폴더의 이름입니다.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: Folders
설명: 작업에 포함된 원본 폴더에 대한 정보입니다. 예: 폴더를 선택한 다음 삭제하는 경우.
type: array
element:
type: object
fields:
- 이름: Id
설명: 폴더 개체의 저장소 ID입니다.
type: string
- 이름: Path
설명: 액세스한 메시지가 있는 사서함 폴더의 이름입니다.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: AffectedItems
설명: 그룹 내 각 항목에 대한 정보입니다.
type: array
element:
type: object
fields:
- 이름: Id
설명: 저장소 ID입니다.
type: string
- 이름: Subject
설명: 액세스한 메시지의 제목 줄입니다.
type: string
- 이름: ParentFolder
설명: 항목이 위치한 폴더의 이름입니다.
type: object
fields:
- 이름: Id
설명: 폴더 개체의 저장소 ID입니다.
type: string
- 이름: Path
설명: 액세스한 메시지가 있는 사서함 폴더의 이름입니다.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: Attachments
설명: 메시지에 첨부된 모든 항목의 이름과 파일 크기 목록입니다.
type: string
- 이름: Item
설명: 작업이 수행된 항목을 나타냅니다.
type: object
fields:
- 이름: Id
설명: 저장소 ID입니다.
type: string
- 이름: Subject
설명: 액세스한 메시지의 제목 줄입니다.
type: string
- 이름: ParentFolder
설명: 항목이 위치한 폴더의 이름입니다.
type: object
fields:
- 이름: Id
설명: 폴더 개체의 저장소 ID입니다.
type: string
- 이름: Path
설명: 액세스한 메시지가 있는 사서함 폴더의 이름입니다.
type: string
- 이름: FolderItems
설명: FolderItems 필드
유형: json
- 이름: Attachments
설명: 메시지에 첨부된 모든 항목의 이름과 파일 크기 목록입니다.
type: string
- 이름: SendAsUserSmtp
설명: 가장되는 사용자의 SMTP 주소입니다.
type: string
표시자:
- 호스트 이름
- 이름: SendAsUserMailboxGuid
설명: 보내는 사람으로 이메일을 보내기 위해 액세스한 사서함의 Exchange GUID입니다.
type: string
- 이름: SendOnBehalfOfUserSmtp
설명: 이메일이 대신 전송되는 사용자의 SMTP 주소입니다.
type: string
표시자:
- 호스트 이름
- 이름: SendOnBehalfOfUserMailboxGuid
설명: 대리 전송을 위해 액세스한 사서함의 Exchange GUID입니다.
유형: strin
```
### Microsoft365.Audit.General
다른 로그 유형에 포함되지 않은 Office 365 서비스의 일반 감사 이벤트입니다. 예를 들어 다음이 포함될 수 있습니다. [Microsoft Teams 로그](https://learn.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#microsoft-teams-schema).
참조: [Management Activity API 스키마에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema)
```yaml
스키마: Microsoft365.Audit.General
파서:
native:
이름: Microsoft365.Audit.General
설명: 다른 로그 유형에 포함되지 않은 일반 감사 이벤트입니다.
참조 URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
fields:
- 이름: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드에 표시된 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 해당 활동을 수행한 협정 세계시(UTC)의 날짜와 시간.
type: timestamp
시간 형식: layout=2006-01-02T15:04:05
isEventTime: true
- 이름: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 발생한 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business, Exchange에서 사용자가 수행한 이벤트에 대해 이 속성은 passport 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생한 이벤트나 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값일 수도 있습니다.
type: string
표시자:
- 사용자명
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
type: string
- 이름: UserId
설명: 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(User Principal Name)입니다. 예: my_name@my_domain_name. 시스템 계정(SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM 등)이 수행한 활동의 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 표시되는 다른 값으로 app@sharepoint가 있습니다. 이는 해당 활동을 수행한 "사용자"가 사용자를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 SharePoint 권한을 가진 애플리케이션임을 나타냅니다.
type: string
표시자:
- 사용자명
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 신뢰할 수 있는 애플리케이션(예: Office on the web apps)이 사용자 대신 서비스에 호출하는 데 사용하는 IP 주소일 수 있으며, 활동을 수행한 사람이 사용한 장치의 IP 주소가 아닐 수도 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소는 기록되지 않으며 ClientIP 속성의 값은 null입니다.
type: string
표시자:
- ip
- 이름: Scope
설명: 이 이벤트는 호스팅된 M365 서비스에서 생성되었습니까, 아니면 온프레미스 서버에서 생성되었습니까? 가능한 값은 online 및 onprem입니다. 현재 온프레미스에서 M365로 이벤트를 전송하는 유일한 워크로드는 SharePoint입니다.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트입니다.
type: object
fields:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD 로그인의 Azure Active Directory(AAD) SessionId입니다.
type: string
- 이름: APIId
설명: 리소스에 액세스하는 데 사용된 API 경로의 Id입니다. 예: Microsoft Graph API를 통한 액세스.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id입니다.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름입니다.
type: string
- 이름: CorrelationId
설명: Microsoft 365 서비스 전반에서 특정 사용자의 작업을 연관시키는 데 사용할 수 있는 식별자입니다.
type: string
표시자:
- trace_id
- 이름: payload
설명: 이벤트의 전체 JSON 페이로드입니다.
유형: json
```
### Microsoft365.Audit.SharePoint
Microsoft SharePoint 감사 이벤트.
참조: [Management Activity API 스키마에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema)
```yaml
스키마: Microsoft365.Audit.SharePoint
파서:
native:
이름: Microsoft365.Audit.SharePoint
설명: Microsoft SharePoint 감사 이벤트.
참조 URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema
fields:
- 이름: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드에 표시된 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 해당 활동을 수행한 협정 세계시(UTC)의 날짜와 시간.
type: timestamp
시간 형식: layout=2006-01-02T15:04:05
isEventTime: true
- 이름: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 발생한 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business, Exchange에서 사용자가 수행한 이벤트에 대해 이 속성은 passport 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생한 이벤트나 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값일 수도 있습니다.
type: string
표시자:
- 사용자명
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
type: string
- 이름: UserId
설명: 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(User Principal Name)입니다. 예: my_name@my_domain_name. 시스템 계정(SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM 등)이 수행한 활동의 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 표시되는 다른 값으로 app@sharepoint가 있습니다. 이는 해당 활동을 수행한 "사용자"가 사용자를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 SharePoint 권한을 가진 애플리케이션임을 나타냅니다.
type: string
표시자:
- 사용자명
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 신뢰할 수 있는 애플리케이션(예: Office on the web apps)이 사용자 대신 서비스에 호출하는 데 사용하는 IP 주소일 수 있으며, 활동을 수행한 사람이 사용한 장치의 IP 주소가 아닐 수도 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소는 기록되지 않으며 ClientIP 속성의 값은 null입니다.
type: string
표시자:
- ip
- 이름: Scope
설명: 이 이벤트는 호스팅된 M365 서비스에서 생성되었습니까, 아니면 온프레미스 서버에서 생성되었습니까? 가능한 값은 online 및 onprem입니다. 현재 온프레미스에서 M365로 이벤트를 전송하는 유일한 워크로드는 SharePoint입니다.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트입니다.
type: object
fields:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD 로그인의 Azure Active Directory(AAD) SessionId입니다.
type: string
- 이름: APIId
설명: 리소스에 액세스하는 데 사용된 API 경로의 Id입니다. 예: Microsoft Graph API를 통한 액세스.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id입니다.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름입니다.
type: string
- 이름: CorrelationId
설명: Microsoft 365 서비스 전반에서 특정 사용자의 작업을 연관시키는 데 사용할 수 있는 식별자입니다.
type: string
표시자:
- trace_id
- 이름: Site
설명: 사용자가 액세스한 파일 또는 폴더가 위치한 사이트의 GUID입니다.
type: string
- 이름: ItemType
설명: 액세스되거나 수정된 개체의 유형입니다.
type: string
- 이름: EventSource
설명: 이벤트가 SharePoint에서 발생했음을 식별합니다. 가능한 값은 SharePoint 또는 ObjectModel입니다.
type: string
- 이름: SourceName
설명: 감사된 작업을 트리거한 엔터티입니다. 가능한 값은 SharePoint 또는 ObjectModel입니다.
type: string
- 이름: UserAgent
설명: 사용자의 클라이언트 또는 브라우저에 대한 정보입니다. 이 정보는 클라이언트 또는 브라우저에서 제공됩니다.
type: string
- 이름: MachineDomainInfo
설명: 장치 동기화 작업에 대한 정보입니다. 이 정보는 요청에 존재하는 경우에만 보고됩니다.
type: string
- 이름: MachineId
설명: 장치 동기화 작업에 대한 정보입니다. 이 정보는 요청에 존재하는 경우에만 보고됩니다.
type: string
- 이름: SiteUrl
설명: 사용자가 액세스한 파일 또는 폴더가 위치한 사이트의 URL입니다.
type: string
표시자:
- url
- 이름: SourceRelativeUrl
설명: 사용자가 액세스한 파일을 포함하는 폴더의 URL입니다. SiteURL, SourceRelativeURL 및 SourceFileName 매개변수의 값 조합은 사용자가 액세스한 파일의 전체 경로 이름인 ObjectID 속성의 값과 같습니다.
type: string
표시자:
- url
- 이름: SourceFileName
설명: 사용자가 액세스한 파일 또는 폴더의 이름입니다.
type: string
- 이름: SourceFileExtension
설명: 사용자가 액세스한 파일의 파일 확장명입니다. 액세스한 개체가 폴더인 경우 이 속성은 비어 있습니다.
type: string
- 이름: DestinationRelativeUrl
설명: 파일이 복사되거나 이동되는 대상 폴더의 URL입니다. SiteURL, DestinationRelativeURL 및 DestinationFileName 매개변수의 값 조합은 복사된 파일의 전체 경로 이름인 ObjectID 속성의 값과 같습니다. 이 속성은 FileCopied 및 FileMoved 이벤트에만 표시됩니다.
type: string
표시자:
- url
- 이름: DestinationFileName
설명: 복사되거나 이동된 파일의 이름입니다. 이 속성은 FileCopied 및 FileMoved 이벤트에만 표시됩니다.
type: string
- 이름: DestinationFileExtension
설명: 복사되거나 이동된 파일의 파일 확장명입니다. 이 속성은 FileCopied 및 FileMoved 이벤트에만 표시됩니다.
type: string
- 이름: UserSharedWith
설명: 리소스가 공유된 사용자입니다.
type: string
표시자:
- 사용자명
- 이름: SharingType
설명: 리소스가 공유된 사용자에게 할당된 공유 권한 유형입니다. 이 사용자는 UserSharedWith 매개변수로 식별됩니다.
type: string
- 이름: TargetUserOrGroupName
설명: 리소스가 공유된 대상 사용자 또는 그룹의 UPN 또는 이름을 저장합니다.
type: string
- 이름: TargetUserOrGroupType
설명: 대상 사용자 또는 그룹이 Member, Guest, Group 또는 Partner인지 식별합니다.
type: string
- 이름: EventData
설명: 사용자를 그룹에 추가하거나 편집 권한을 부여하는 등 발생한 공유 작업에 대한 후속 정보를 전달합니다.
type: string
- 이름: CustomEvent
설명: 사용자 지정 이벤트용 선택적 문자열입니다.
type: string
- 이름: ModifiedProperties
설명: 이 속성은 사이트 또는 사이트 모음 관리 그룹의 멤버로 사용자를 추가하는 등 관리자 이벤트에 포함됩니다. 이 속성에는 수정된 속성의 이름(예: Site Admin 그룹), 수정된 속성의 새 값(예: 사이트 관리자로 추가된 사용자), 그리고 수정된 개체의 이전 값이 포함됩니다.
type: array
element:
유형: json
```
### Microsoft365.DLP.All
모든 워크로드에 대한 DLP 이벤트입니다.
참조: [DLP 스키마에 대한 Microsoft 문서.](https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#dlp-schema)
```yaml
스키마: Microsoft365.DLP.All
파서:
native:
이름: Microsoft365.DLP.All
설명: 모든 워크로드에 대한 DLP 이벤트입니다.
참조 URL: https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#dlp-schema
fields:
- 이름: Id
required: true
설명: 감사 레코드의 고유 식별자.
type: string
- 이름: RecordType
required: true
설명: 레코드에 표시된 작업 유형입니다. 감사 로그 레코드 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype 를 참조하세요.
유형: int
- 이름: CreationTime
required: true
설명: 사용자가 해당 활동을 수행한 협정 세계시(UTC)의 날짜와 시간.
type: timestamp
시간 형식: layout=2006-01-02T15:04:05
isEventTime: true
- 이름: Operation
required: true
설명: 사용자 또는 관리자 활동의 이름.
type: string
- 이름: OrganizationId
required: true
설명: 조직의 Office 365 테넌트에 대한 GUID입니다. 이 값은 발생한 Office 365 서비스와 관계없이 조직에 대해 항상 동일합니다.
type: string
- 이름: UserType
required: true
설명: 작업을 수행한 사용자 유형입니다. 사용자 유형에 대한 자세한 내용은 https://docs.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-schema#user-type 를 참조하세요.
유형: int
- 이름: UserKey
설명: UserId 속성에 식별된 사용자의 대체 ID입니다. 예를 들어 SharePoint, OneDrive for Business, Exchange에서 사용자가 수행한 이벤트에 대해 이 속성은 passport 고유 ID(PUID)로 채워집니다. 이 속성은 다른 서비스에서 발생한 이벤트나 시스템 계정이 수행한 이벤트의 경우 UserID 속성과 동일한 값일 수도 있습니다.
type: string
표시자:
- 사용자명
- 이름: Workload
설명: 활동이 발생한 Office 365 서비스.
type: string
- 이름: ResultStatus
설명: 작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. 가능한 값은 Succeeded, PartiallySucceeded 또는 Failed입니다. Exchange 관리자 활동의 경우 값은 True 또는 False입니다.
type: string
- 이름: ObjectId
설명: SharePoint 및 OneDrive for Business 활동의 경우 사용자가 액세스한 파일 또는 폴더의 전체 경로 이름입니다. Exchange 관리자 감사 로깅의 경우 cmdlet에 의해 수정된 개체의 이름입니다.
type: string
- 이름: UserId
설명: 작업(Operation 속성에 지정됨)을 수행한 사용자의 UPN(User Principal Name)입니다. 예: my_name@my_domain_name. 시스템 계정(SHAREPOINT\system 또는 NT AUTHORITY\SYSTEM 등)이 수행한 활동의 레코드도 포함됩니다. SharePoint에서는 UserId 속성에 표시되는 다른 값으로 app@sharepoint가 있습니다. 이는 해당 활동을 수행한 "사용자"가 사용자를 대신하여 조직 전체 작업(예: SharePoint 사이트 또는 OneDrive 계정 검색)을 수행하는 데 필요한 SharePoint 권한을 가진 애플리케이션임을 나타냅니다.
type: string
표시자:
- 사용자명
- name: ClientIP
설명: 활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. 일부 서비스의 경우 이 속성에 표시되는 값은 신뢰할 수 있는 애플리케이션(예: Office on the web apps)이 사용자 대신 서비스에 호출하는 데 사용하는 IP 주소일 수 있으며, 활동을 수행한 사람이 사용한 장치의 IP 주소가 아닐 수도 있습니다. 또한 Azure Active Directory 관련 이벤트의 경우 IP 주소는 기록되지 않으며 ClientIP 속성의 값은 null입니다.
type: string
표시자:
- ip
- 이름: Scope
설명: 이 이벤트는 호스팅된 M365 서비스에서 생성되었습니까, 아니면 온프레미스 서버에서 생성되었습니까? 가능한 값은 online 및 onprem입니다. 현재 온프레미스에서 M365로 이벤트를 전송하는 유일한 워크로드는 SharePoint입니다.
type: string
- 이름: AppAccessContext
설명: 작업을 수행한 사용자 또는 서비스 주체의 애플리케이션 컨텍스트입니다.
type: object
fields:
- 이름: AADSessionId
설명: 앱이 사용자를 대신하여 수행한 AAD 로그인의 Azure Active Directory(AAD) SessionId입니다.
type: string
- 이름: APIId
설명: 리소스에 액세스하는 데 사용된 API 경로의 Id입니다. 예: Microsoft Graph API를 통한 액세스.
type: string
- 이름: ClientAppId
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 Id입니다.
type: string
- 이름: ClientAppName
설명: 사용자를 대신하여 액세스를 수행한 AAD 앱의 이름입니다.
type: string
- 이름: CorrelationId
설명: Microsoft 365 서비스 전반에서 특정 사용자의 작업을 연관시키는 데 사용할 수 있는 식별자입니다.
type: string
표시자:
- trace_id
- 이름: SharePointMetaData
설명: 민감한 정보를 포함하고 있던 SharePoint 또는 OneDrive for Business의 문서에 대한 메타데이터를 설명합니다.
type: object
fields:
- 이름: From
설명: 이벤트를 트리거한 사용자입니다. FileOwner, LastModifier 또는 LastSharer 중 하나입니다.
type: string
표시자:
- 사용자명
- 이름: itemCreationTime
설명: 이벤트가 기록된 UTC 날짜 및 타임스탬프입니다.
type: timestamp
시간 형식: layout=2006-01-02T15:04:05
- 이름: SiteCollectionGuid
설명: 사이트 모음의 GUID입니다.
type: string
- 이름: SiteCollectionUrl
설명: SharePoint 사이트의 이름입니다.
type: string
- 이름: FileName
설명: 경로의 이름입니다.
type: string
- 이름: FileOwner
설명: 문서 소유자입니다.
type: string
표시자:
- 사용자명
- 이름: FilePathUrl
설명: 문서의 URL입니다
type: string
- 이름: DocumentLastModifier
설명: 문서를 마지막으로 수정한 사용자입니다.
type: string
표시자:
- 사용자명
- 이름: DocumentSharer
설명: 문서 공유를 마지막으로 수정한 사용자입니다.
type: string
표시자:
- 사용자명
- 이름: UniqueId
설명: 파일을 식별하는 GUID입니다.
type: string
- 이름: LastModifiedTime
설명: 문서가 마지막으로 수정된 UTC 타임스탬프입니다.
type: timestamp
시간 형식: layout=2006-01-02T15:04:05
- 이름: IsViewableByExternalUsers
설명: 파일이 외부 사용자가 액세스할 수 있는지 여부를 결정합니다.
유형: boolean
- 이름: ExchangeMetaData
설명: 민감한 정보가 포함된 이메일 메시지에 대한 메타데이터를 설명합니다.
type: object
fields:
- 이름: MessageID
설명: 이벤트를 트리거한 이메일의 메시지 ID입니다.
type: string
- 이름: From
설명: 이메일을 보낸 사용자입니다.
type: string
표시자:
- 사용자명
- 이메일
- 이름: To
설명: 메시지의 To 줄에 있던 이메일 주소 모음입니다.
type: array
element:
type: string
표시자:
- 이메일
- 이름: CC
설명: 메시지의 CC 줄에 있던 이메일 주소 모음입니다.
type: array
element:
type: string
표시자:
- 이메일
- 이름: BCC
설명: 메시지의 BCC 줄에 있던 이메일 주소 모음입니다.
type: array
element:
type: string
표시자:
- 이메일
- 이름: Subject
설명: 이메일 메시지의 제목입니다.
type: string
- 이름: Sent
설명: 이메일이 전송된 UTC 시각입니다.
type: timestamp
시간 형식: layout=2006-01-02T15:04:05
- 이름: RecipientCount
설명: 메시지의 TO, CC, BCC 줄에 있는 모든 수신자의 총 수입니다.
유형: int
- 이름: UniqueId
설명: 파일을 식별하는 GUID입니다.
type: string
- 이름: ExceptionInfo
설명: 정책이 더 이상 적용되지 않는 이유 및/또는 최종 사용자가 확인한 오탐지 및/또는 재정의에 대한 정보를 식별합니다.
type: string
- 이름: PolicyDetails
required: true
설명: DLP 이벤트를 트리거한 하나 이상의 정책에 대한 정보입니다.
type: array
element:
type: object
fields:
- 이름: PolicyId
설명: 이 이벤트에 대한 DLP 정책의 GUID입니다.
type: string
- 이름: PolicyName
설명: 이 이벤트에 대한 DLP 정책의 친숙한 이름입니다.
type: string
- 이름: 룰
설명: 이 이벤트에 대해 정책 내에서 일치한 룰에 대한 정보입니다.
type: array
element:
type: object
fields:
- 이름: 룰 ID
설명: 이 이벤트에 대한 DLP 룰의 GUID입니다.
type: string
- 이름: 룰 이름
설명: 이 이벤트에 대한 DLP 룰의 친숙한 이름입니다.
type: string
- 이름: Actions
설명: DLP 룰 일치 이벤트의 결과로 수행된 작업 목록입니다.
type: array
element:
type: string
- 이름: OverriddenActions
설명: DLP 룰 취소 이벤트의 결과로 이전에 수행되었지만 이제 취소된 작업 목록입니다.
type: array
element:
type: string
- 이름: Severity
설명: 룰 일치의 심각도(Low, Medium, High)입니다.
type: string
- 이름: 룰 모드
설명: DLP 룰이 Enforce, Audit with Notify, 또는 Audit only로 설정되었는지 여부를 나타냅니다.
type: string
- 이름: ConditionsMatched
설명: 이 이벤트에 대해 룰의 어떤 조건이 일치했는지에 대한 세부 정보입니다.
type: object
fields:
- 이름: SensitiveInformation
설명: 감지된 민감한 정보 유형에 대한 정보입니다.
type: array
element:
type: object
fields:
- 이름: Confidence
설명: 디택션과 일치한 패턴의 신뢰도입니다.
type: bigint
- 이름: Count
설명: 감지된 민감한 인스턴스 수입니다.
type: bigint
- 이름: Location
설명: 위치 필드
type: string
- 이름: SensitiveType
설명: 감지된 민감한 데이터 유형을 식별하는 GUID입니다.
type: string
- 이름: SensitiveInformation디택션s
설명: 다음 세부 정보—일치한 값 및 일치한 값의 문맥—을 포함하는 객체 배열입니다.
type: object
fields:
- 이름: DetectedValues
설명: 감지된 민감한 정보의 배열입니다. 정보에는 Value = 일치한 값(예: 신용카드 값 또는 SSN 값), Context = 일치한 값을 포함하는 원본 콘텐츠의 발췌문인 키-값 쌍이 들어 있습니다.
type: array
element:
type: object
fields:
- name: Name
설명: 이름 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: ResultsTruncated
설명: 결과 수가 너무 많아 로그가 잘렸는지 여부를 나타냅니다.
유형: boolean
- 이름: SensitiveInformationDetailedClassificationAttributes
설명: 세 가지 신뢰도 수준(High, Medium, Low) 각각에서 감지된 민감한 정보 유형의 개수와 그것이 DLP 룰과 일치하는지 여부에 대한 정보입니다.
type: array
element:
유형: json
- 이름: SensitiveInformationTypeName
설명: 민감한 정보 유형의 이름입니다.
type: string
- 이름: UniqueCount
설명: 감지된 민감한 인스턴스의 고유 개수입니다.
type: bigint
- 이름: DocumentProperties
설명: 룰 일치를 트리거한 문서 속성에 대한 정보입니다.
type: array
element:
type: object
fields:
- name: Name
설명: 이름 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: OtherConditions
설명: 일치한 다른 조건을 설명하는 키-값 쌍 목록입니다.
type: array
element:
type: object
fields:
- name: Name
설명: 이름 필드
type: string
- 이름: Value
설명: Value 필드
type: string
- 이름: SensitiveInfo디택션IsIncluded
required: true
설명: 이벤트에 민감한 데이터 유형의 값과 원본 콘텐츠의 주변 문맥이 포함되어 있는지 여부를 나타냅니다. 민감한 데이터에 액세스하려면 Azure Active Directory에서 "민감한 세부 정보를 포함한 DLP 정책 이벤트 읽기" 권한이 필요합니다.
유형: boolean
```
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/microsoft365.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.