この記事では、Microsoft Sentinel で Microsoft Purview Information Protection コネクタを使用する際にサポートされる監査ログ レコードの種類とアクティビティの一覧を示します。
Microsoft Purview Information コネクタを使用するときは、
MicrosoftPurviewInformationProtection 標準化テーブルに監査ログをストリーミングします。 データは、構造化スキーマを使用する Office Management API を介して収集されます。
サポートされている監査ログ レコードの種類
| 値 | メンバー | Name | 説明 | 操作 |
|---|---|---|---|---|
| 93 | AipDiscover |
Microsoft Purview スキャナー イベント。 | アクセスの種類を表します。 | |
| 94 | AipSensitivityLabelAction |
Microsoft Purview 秘密度ラベル イベント。 | 監査ログの操作の種類。 最も一般的な操作を表す、ユーザーまたは管理者アクティビティの名前。
|
|
| 95 | AipProtectionAction |
Microsoft Purview 保護イベント。 | Microsoft Purview 保護イベントに関連する情報が含まれます。 | |
| 96 | AipFileDeleted |
Microsoft Purview ファイル削除イベント。 | Microsoft Purview ファイル削除イベントに関連する情報が含まれます。 | |
| 97 | AipHeartBeat |
Microsoft Purview ハートビート イベント。 | 監査ログの操作の種類。 最も一般的な操作またはアクティビティを表す、ユーザーまたは管理者アクティビティの名前。
SensitivityLabelUpdated |
|
| 43 | MipLabel |
秘密度ラベルのタグが (手動で、または自動的に) 付けられた電子メール メッセージのトランスポート パイプラインで検出されたイベント。 | ||
| 82 | SensitivityLabelPolicyMatch |
秘密度ラベルが付けられたファイルが開かれるか、その名前が変更されたときに生成されるイベント。 | ||
| 83 | SensitivityLabelAction |
秘密度ラベルの適用、更新、または削除が行われたときに生成されるイベント。 | ||
| 84 | SensitivityLabeledFileAction |
秘密度ラベルが付けられたファイルが開かれるか、その名前が変更されたときに生成されるイベント。 | ||
| 71 | MipAutoLabelSharePointItem |
SharePoint での自動ラベル付けイベント | ||
| 72 | MipAutoLabelSharePointPolicyLocation |
SharePoint での自動ラベル付けポリシー イベント。 | ||
| 75 | MipAutoLabelExchangeItem |
Microsoft Exchange での自動ラベル付けイベント。 |
サポートされているアクティビティ
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 秘密度ラベルをファイルに適用済み | FileSensitivityLabelApplied |
Microsoft 365 アプリ、Office on the web、または自動ラベル付けポリシーを使用して秘密度ラベルがドキュメントに適用されました。 |
| ファイルに適用された秘密度ラベルを変更済み | FileSensitivityLabelChanged |
別の秘密度ラベルがドキュメントに適用されました。 Office on the web または自動ラベル付けポリシーが変更されました。 |
| ファイルから秘密度ラベルを削除済み | FileSensitivityLabelRemoved |
Microsoft 365 アプリ、Office on the web、自動ラベル付けポリシー、または Unlock-SPOSensitivityLabelEncryptedFile コマンドレットを使用してドキュメントから秘密度ラベルが削除されました。 |
| 秘密度ラベルをサイトに適用済み | SensitivityLabelApplied |
SharePoint または Teams サイトに秘密度ラベルが適用されました。 |
| ファイルに適用された秘密度ラベルを変更済み | SensitivityLabelUpdated |
別の秘密度ラベルがドキュメントに適用されました。 |
| サイトから秘密度ラベルを削除済み | SensitivityLabelRemoved |
SharePoint または Teams サイトから秘密度ラベルが削除されました。 |
SiteSensitivityLabelApplied |
SharePoint または Teams サイトに秘密度ラベルが適用されました。 | |
| サイトで秘密度ラベルを変更済み | SensitivityLabelChanged |
SharePoint または Teams サイトに別の秘密度ラベルが適用されました。 |
| サイトから秘密度ラベルを削除済み | SiteSensitivityLabelRemoved |
SharePoint または Teams サイトから秘密度ラベルが削除されました。 |
| ドキュメント | DocumentSensitivityMismatchDetected |
監査の対象外のアクティビティ。 SharedWithMe ビューから項目が削除されていることを Substrate に通知します。 これは、RemovedFromSharedWithMe 操作と同じですが、監査はありません。 |
次のステップ
この記事では、Microsoft Purview Information Protection コネクタの使用時にサポートされる監査ログ レコードの種類とアクティビティについて説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法についての説明。
- Microsoft Sentinel を使用した脅威の検出の概要。
- ブックを使用してデータを監視する。