監査ログは、Microsoft サービス全体の特定のアクティビティを調査するのに役立ちます。 data lake アクティビティとグラフ アクティビティMicrosoft Sentinel監査され、監査ログで検索できます。 監査ログには、データ レイクとグラフでユーザーと管理者が実行したアクティビティの記録Microsoft Sentinel含まれます。次のような情報が含まれます。
- KQL クエリを使用して Lake 内のデータにアクセスする
- Data Lake でのノートブックの実行
- ジョブの作成/編集/実行/削除
- グラフ クエリを実行する
- MCP ツールを作成して実行する
データ レイクとグラフMicrosoft Sentinel監査が自動的に有効になります。 監査された機能は、監査ログに自動的に記録されます。
前提条件
データ レイクとグラフMicrosoft Sentinelは、Microsoft Purview 監査ソリューションを使用します。 監査データを確認する前に、Microsoft Purview ポータルで監査を有効にする必要があります。 詳細については、「監査のオンとオフを切り替える」を参照してください。
監査ログにアクセスするには、Exchange Onlineの [監査ログの表示のみ] または [監査ログ] ロールが必要です。 既定では、これらのロールはコンプライアンス管理ロール グループと組織管理ロール グループに割り当てられます。
注:
Office 365 および Microsoft 365 のグローバル管理者は自動的に、組織管理役割グループのメンバーとして Exchange Online に追加されます。
重要
グローバル管理者は高い特権を持つロールであり、既存のロールを使用できないシナリオに限定する必要があります。 Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可が低いアカウントを使用すると、organizationのセキュリティが向上します。
データ レイクとグラフ アクティビティのMicrosoft Sentinel
Microsoft Sentinel Data Lake のユーザーアクティビティと管理者アクティビティに対してログに記録されるすべてのイベントの一覧については、次の記事を参照してください。
- data Lake オンボード アクティビティのMicrosoft Sentinel
- data Lake Notebook アクティビティのMicrosoft Sentinel
- data lake ジョブ アクティビティのMicrosoft Sentinel
- データ レイク KQL アクティビティのMicrosoft Sentinel
- Microsoft Sentinel AI ツールアクティビティ
- グラフ アクティビティのMicrosoft Sentinel
監査ログ スキーマの詳細については、「data lake と graph スキーマのMicrosoft Sentinel」を参照してください。
監査ログの検索
監査ログを検索するには、次の手順に従います。
Microsoft Purview ポータルに移動し、[監査] を選択します。
[ 新しい検索 ] ページで、監査するアクティビティ、日付、ユーザーをフィルター処理します。
[検索] を選択します
さらに詳しく分析するために、結果を Excel にエクスポートします。
詳細な手順については、「 Microsoft Purview ポータルで監査サインインを検索する」を参照してください。
監査ログ レコードの保持は、Microsoft Purview の保持ポリシーに基づいています。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
PowerShell スクリプトを使用してイベントを検索する
次の PowerShell コード スニペットを使用して、Office 365 Management API に対してクエリを実行して、Microsoft Defender XDR イベントに関する情報を取得できます。
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
注:
レコードの種類の値については、監査アクティビティに含まれる API 列を参照してください。
詳細については、「PowerShell スクリプトを使用して監査ログを検索する」を参照してください。