Microsoft Sentinel 内で利用する、Copilot Studioイベント用のサンプルKQLです。
その他のイベントのタイプはこちらを参照してください:https://learn.microsoft.com/ja-jp/microsoft-copilot-studio/admin-logging-copilot-studio#see-audited-events-agent-authoring
// Copilot Studioに関連するボットのイベントタイプを定義する
let BotEvents = dynamic([
"BotCreate",
"BotDelete",
"BotUpdateOperation-BotIconUpdate"
]);
// PowerPlatformAdminActivityテーブルからボットの作成、削除、更新のイベントをフィルターする
PowerPlatformAdminActivity
| where EventOriginalType in (BotEvents)
| where TimeGenerated >= ago(1h) // 必要に応じて時間ウィンドウを調整してください
| project
TimeGenerated,
TenantId,
EventOriginalUid,
EventOriginalType,
ActorUserId,
ActorName,
EventResult,
PropertyCollection