社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Microsoft365参考書】Search-UnifiedAuditLogのRecordTypeについて

Microsoft365

f:id:it-bibouroku:20210404095716p:plain

コンプライアンスセンターの統合監査ログをPowershellで出力する場合、Search-UnifiedAuditLogのコマンドレットで可能ですが、"RecordType" を指定することでカテゴリー別に csv ファイルで抽出が可能であることを確認いたしました。 

  

RecordTypeの情報は、非公開のため確認した結果をご紹介したいと思います。

 

  

RecordType 対応コードと意味一覧 

以下のフォーマットで記述しております。

----------- 

コード : 対応オプション 

取得ログ内容 

-------------- 

  

1 : ExchangeAdmin 

Exchange 管理者監査ログのレコードを意味します。 

  

2 : ExchangeItem 

Exchange メールボックス監査ログの、単一のメールボックス アイテムに対して行われた操作に関するレコードを意味します。 

  

3 : ExchangeItemGroup 

Exchange メールボックス監査ログからのレコードも示します。 このレコードの種類は、ソース メールボックス内の複数のアイテムに対して操作が実行されたことを示します (削除済みアイテム フォルダーへの複数のアイテムの移動、または複数のアイテムの完全な削除など)。 

  

4 : SharePoint 

SharePoint でのサイト管理者の操作 (管理者またはユーザーがサイトに対するアクセス許可を割り当てるなど) を意味します。 

  

6 : SharePointFileOperation 

SharePoint でのファイルまたはフォルダーに関連する操作 (ユーザーの表示、ファイルの変更など) を意味します。 

  

8 : AzureActiveDirectory 

Azure Active Directory で行われた管理者の操作を意味します。 

  

9 : AzureActiveDirectoryAccountLogon 

Azure Active Directory での OrgId ログオン イベントを意味します。このレコードの種類は非推奨となっています。 

  

10 : DataCenterSecurityCmdlet 

データ センターで Microsoft 担当者が行ったセキュリティ コマンドレット イベントを意味します。 

  

11 : ComplianceDLPSharePoint 

SharePoint でのデータ損失防止 (DLP) イベントを意味します。 

  

13 : ComplianceDLPExchange 

統合 DLP ポリシーを使用して構成された場合の Exchange の DLP イベントを意味します。 Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) に基づく DLP イベントはサポートされていません。 

  

14 : SharePointSharingOperation 

SharePoint の共有イベントを意味します。 

  

15 : AzureActiveDirectoryStsLogon 

Azure Active Directory の Secure Token Service (STS) ログオン イベントを意味します。 

  

18 : SecurityComplianceCenterEOPCmdlet 

コンプライアンス センターのアイテム保持ポリシーやアクセス許可の閲覧が実行されたことを意味します。 

  

  

19 : 対応オプションは不明

非常に短い期間内に発生する反復アクティビティが集約されたExchange メールボックスの操作を意味します。 

  

20 : PowerBIAudit 

Power BI のイベントを意味します。 

  

21 : CRM 

Dynamics 365 のイベントを意味します。 

  

22 : Yammer 

Yammer のイベントを意味します。 

  

23 : SkypeForBusinessCmdlets 

Skype for Business のイベントを意味します。 

  

24 : Discovery 

コンプライアンス センターで [コンテンツ検索] を実行し、eDiscovery のケースを管理することによって実行されるアクティビティを意味します。 

   

25 : MicrosoftTeams 

Microsoft Teams のイベントを意味します。 

  

28 : MipAutoLabelExchangeItem 

Exchange Online Protection と Office 365 Advanced Threat Protection からのフィッシングとマルウェアのイベントを意味します。 

  

29 : MailSubmission 

Exchange Online Protection と Office 365 Advanced Threat Protection からのフィッシングとマルウェアの提出イベントを意味します。 

  

30 : MicrosoftFlow 

Microsoft Power Automate (旧称 Microsoft Flow) イベントを意味します。 

  

31 : AeD 

Advanced eDiscovery (高度な電子情報開示) イベントを意味します。 

 

32 : MicrosoftStream 

Microsoft Stream のイベントを意味します。 

  

33 : ComplianceDLPSharePointClassification 

SharePointDLP 分類に関連するイベントを意味します。 

  

35 : Project 

Microsoft Project のイベントを意味します。 

  

36 : SharePointListOperation 

Sharepoint リストのイベントを意味します。 

  

37 : SharePointCommentOperation 

SharePoint コメントに関連するイベントを意味します。 

  

38 : DataGovernance 

セキュリティ/コンプライアンス センターにおけるアイテム保持ポリシーと保持ラベルに関連するイベントを意味します。 

  

40 : SecurityComplianceAlerts 

コンプライアンスセンターの [アラート] が動作したことを意味します。 

※アラートが配信されることでログが記録されます。 

  

41 : ThreatIntelligenceUrl 

Office 365 Advanced Threat Protection でのブロック時の安全なリンクと上書きのブロック イベントを意味します。 

  

42 : SecurityComplianceInsights 

セキュリティ & コンプライアンスセンターの、insights およびレポートに関連するイベントを示します。 

  

43 : MIPLabel 

秘密度ラベルで (手動または自動で) タグ付けされたメール メッセージのトランスポート パイプラインでの検出に関連するイベント。 

  

44 : WorkplaceAnalytics 

Workplace Analytics のイベントを意味します。 

  

45 : PowerAppsApp 

Power アプリのイベントを意味します。 

  

48 : LabelContentExplorer 

データ分類コンテンツ エクスプローラーに関係するイベント。 

  

47 : ThreatIntelligenceAtpContent 

SharePoint、OneDrive、Microsoft Teams 内のファイルに対する、Office 365 Advanced Threat Protection からのフィッシングとマルウェアのイベントを意味します。 

  

49 : TeamsHealthcare 

医療関係向け Microsoft Teams の患者アプリケーションに関連するイベントを意味します。 

  

50 : ExchangeItemAggregated 

MailItemsAccessed メールボックス監査アクションに関連するイベントを意味します。 

  

51 : HygieneEvent 

スパム対策とメール検疫に関連するイベントを示します。 

  

52 : DataInsightsRestApiAudit 

データ インサイト REST API に関連するイベントを意味します。 

  

53 : InformationBarrierPolicy 

情報障壁ポリシーの適用に関連するイベントを意味します。 

  

54 : SharePointListItemOperation 

SharePoint リスト アイテム イベントを意味します。 

  

55 : SharePointContentTypeOperation 

SharePoint コンテンツ タイプ イベントを意味します。 

  

56 : SharePointFieldOperation 

SharePoint リスト フィールド イベントを意味します。 

  

62 : Campaign 

メール攻撃キャンペーンに関連するイベントを意味します。 

  

64 : AirAdminActionInvestigation 

自動調査および対応イベントを意味します。 

  

65 : Quarantine 

検疫監査レコードイベントを示します。 

  

66 : MicrosoftForms 

Microsoft Forms のイベントを意味します。 

  

68 : ComplianceSupervisionExchange 

Exchange の通信コンプライアンス イベントを示します。 

  

69 : CustomerKeyServiceEncryption 

カスタマー キーの暗号化に関連するイベントを意味します。 

 

 

コマンドレットの実行例 

[構文] 

Search-UnifiedAuditLog -ResultSize "5000" -StartDate <開始日> -EndDate <終了日> -RecordType "<レコードの種類>" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<ファイル名を含んだ保存先のパス.csv>" 

  

[実行例] 

Search-UnifiedAuditLog -ResultSize "5000" -StartDate "2021/06/20" -EndDate "2021/06/22" -RecordType ExchangeAdmin | Export-Csv -Encoding UTF8 -NoTypeInformation -Path C:\Temp\UnifiedAuditLogSearch.csv 

  

[解説] 

[ResultSize] パラメータにて [5000] を指定することで、つの CSV ファイルに出力ができる最大数 5,000 件分のログを出力できます。 

・上記実行例では、[C] ドライブ直下の [Temp] フォルダにログを出力してます。 

  

検索結果の確認方法 

・ CreationDate : 操作が行われた日時 

・ UserIds : 操作を実行したユーザー 

・ Operations : 何のアクティビティか 

・ AuditData : 実行された操作の詳細を確認可能 

  

docs.microsoft.com

  

docs.microsoft.com