Microsoft Azure アクティビティ ログを取り込む

以下でサポートされています。

このドキュメントでは、Microsoft Azure アクティビティ ログ(AZURE_ACTIVITY)を Google Security Operations に取り込むために必要な手順について説明します。

ストレージ アカウントを構成する

次の手順でストレージ アカウントを構成します。

  1. Azure コンソールで、[ストレージ アカウント] を検索します。
  2. [作成] をクリックします。
  3. アカウントに必要なサブスクリプション、リソース グループ、リージョン、パフォーマンス(標準を推奨)、冗長性(GRS または LRS を推奨)を選択し、新しいストレージ アカウントの名前を入力します。
  4. [確認 + 作成] をクリックし、アカウントの概要を確認して、[作成] をクリックします。
  5. [ストレージ アカウントの概要] ページで、ウィンドウの左側のナビゲーションから [アクセスキー] を選択します。
  6. [キーを表示] をクリックし、ストレージ アカウントの共有鍵をメモします。
  7. ウィンドウの左側のナビゲーションから [エンドポイント] を選択します。
  8. Blob サービスのエンドポイントをメモしておきます(https://<storageaccountname>.blob.core.windows.net/)

Azure アクティビティ ログを構成する

次の手順に沿って、Azure アクティビティ ログを構成します。

  1. Azure コンソールで、[モニタリング] を検索します。
  2. ページの左側のナビゲーションで [アクティビティ ログ] リンクをクリックします。
  3. ウィンドウ上部の [アクティビティ ログをエクスポート] をクリックします。
  4. [診断設定を追加] をクリックします。
  5. Google Security Operations にエクスポートするカテゴリをすべて選択します。
  6. [宛先の詳細] で、[ストレージ アカウントにアーカイブ] を選択します。
  7. 前のステップで作成したサブスクリプションとストレージ アカウントを選択します。
  8. [Save] をクリックします。

Azure のログを取り込むように Google Security Operations でフィードを構成する

Azure ログを取り込むように Google Security Operations でフィードを構成する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New] をクリックします。
  3. [フィールド名] に一意の名前を入力します。
  4. [ソースタイプ] として [Microsoft Azure Blob Storage] を選択します。
  5. [ログタイプ] として [Microsoft Azure Activity] を選択します。
  6. [次へ] をクリックします。
  7. 次の必須入力パラメータを構成します。
    • Azure URI: 先ほど記録した Blob Service エンドポイントの値を入力し、末尾に insights-activity-logs を入力します(例: https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)。
    • URI is a: [サブディレクトリを含むディレクトリ] を選択します。
    • ソース削除オプション: 転送後にファイルとディレクトリを削除するかどうかを指定します。
    • [共有キー] に、以前に記録した共有キーの値を入力します。
  8. [次へ] をクリックしてから、[送信] をクリックします。

フィールド マッピング リファレンス

このパーサー コードは、まず多数のフィールドを空の文字列に初期化してから、一連の文字列操作と JSON 解析オペレーションを実行して Azure アクティビティ ログ メッセージから関連情報を抽出します。最後に、抽出されたデータを統合データモデル(UDM)フィールドにマッピングし、イベントタイプを分類し、重大度、プリンシパル情報、ネットワーク データなどの詳細情報を追加します。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
カテゴリ read_only_udm.security_result.category_details 未加工ログの「category」フィールドから直接マッピングされます。
callerIpAddress read_only_udm.principal.asset.ipread_only_udm.principal.ip 未加工ログの「callerIpAddress」フィールドから直接マッピングされます。
correlationId read_only_udm.security_result.detection_fields.correlationId 未加工ログの「correlationId」フィールドから直接マッピングされます。
data.callerIpAddress read_only_udm.principal.asset.ipread_only_udm.principal.ip 未加工ログの「data」オブジェクト内の「callerIpAddress」フィールドから直接マッピングされます。
data.correlationId read_only_udm.security_result.detection_fields.correlationId 未加工ログの「data」オブジェクト内の「correlationId」フィールドから直接マッピングされます。
data.DeploymentUnit read_only_udm.target.resource.name 未加工ログの「data」オブジェクト内の「DeploymentUnit」フィールドから直接マッピングされます。
data.details read_only_udm.metadata.description 未加工ログの「data」オブジェクト内の「details」フィールドから直接マッピングされます(「details」フィールドが「不明」でない場合のみ)。
data.entity read_only_udm.additional.fields.entity 未加工ログの「data」オブジェクト内の「entity」フィールドから直接マッピングされます。
data.EventName read_only_udm.metadata.product_event_type 未加工ログの「data」オブジェクト内の「EventName」フィールドから直接マッピングされます。
data.hierarchy read_only_udm.additional.fields.hierarchy 未加工ログの「data」オブジェクト内の「hierarchy」フィールドから直接マッピングされます。
data.identity.authorization.action read_only_udm.security_result.detection_fields.action 未加工ログの「identity」オブジェクトの「authorization」オブジェクト内の「action」フィールドから直接マッピングされます。
data.identity.authorization.evidence.principalId read_only_udm.principal.user.product_object_idread_only_udm.principal.resource.product_object_idread_only_udm.principal.group.product_object_id 未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「principalId」フィールドから直接マッピングされます。どの UDM フィールドにマッピングされるかは、「principalType」フィールドの値によって異なります。「principalType」が「User」または「ServicePrincipal」の場合、principal.user.product_object_id にマッピングされます。「principalType」が「Group」の場合、principal.group.product_object_id にマッピングされます。「principalType」が「ServicePrincipal」の場合、principal.resource.product_object_id にマッピングされます。
data.identity.authorization.evidence.principalType read_only_udm.principal.resource.resource_subtype 未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「principalType」フィールドから直接マッピングされます。
data.identity.authorization.evidence.role read_only_udm.principal.user.role_name 未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「role」フィールドから直接マッピングされます。
data.identity.authorization.evidence.roleAssignmentId read_only_udm.principal.resource.attribute.labels.roleAssignmentId 未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「roleAssignmentId」フィールドから直接マッピングされます。
data.identity.authorization.evidence.roleAssignmentScope read_only_udm.principal.resource.attribute.labels.roleAssignmentScope 未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「roleAssignmentScope」フィールドから直接マッピングされます。
data.identity.authorization.evidence.roleDefinitionId read_only_udm.principal.resource.attribute.labels.roleDefinitionId 未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「roleDefinitionId」フィールドから直接マッピングされます。
data.identity.authorization.scope read_only_udm.security_result.detection_fields.scope 未加工ログの「identity」オブジェクトの「authorization」オブジェクト内の「scope」フィールドから直接マッピングされます。
data.identity.claims.aio read_only_udm.security_result.detection_fields.aio 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「aio」フィールドから直接マッピングされます。
data.identity.claims.appid read_only_udm.security_result.detection_fields.appid 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「appid」フィールドから直接マッピングされます。
data.identity.claims.appidacr read_only_udm.security_result.detection_fields.appidacr 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「appidacr」フィールドから直接マッピングされます。
data.identity.claims.aud read_only_udm.security_result.detection_fields.aud 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「aud」フィールドから直接マッピングされます。
data.identity.claims.exp read_only_udm.security_result.detection_fields.exp 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「exp」フィールドから直接マッピングされます。
data.identity.claims.http://schemas.microsoft.com/identity/claims/identityprovider read_only_udm.security_result.detection_fields.identityprovider 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「http://schemas.microsoft.com/identity/claims/identityprovider」フィールドから直接マッピングされます。
data.identity.claims.http://schemas.microsoft.com/identity/claims/objectidentifier read_only_udm.security_result.detection_fields.objectidentifier 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「http://schemas.microsoft.com/identity/claims/objectidentifier」フィールドから直接マッピングされます。
data.identity.claims.http://schemas.microsoft.com/identity/claims/tenantid read_only_udm.security_result.detection_fields.tenantid 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「http://schemas.microsoft.com/identity/claims/tenantid」フィールドから直接マッピングされます。
data.identity.claims.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier read_only_udm.security_result.detection_fields.nameidentifier 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier」フィールドから直接マッピングされます。
data.identity.claims.iat read_only_udm.security_result.detection_fields.iat 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「iat」フィールドから直接マッピングされます。
data.identity.claims.iss read_only_udm.security_result.detection_fields.iss 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「iss」フィールドから直接マッピングされます。
data.identity.claims.nbf read_only_udm.security_result.detection_fields.nbf 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「nbf」フィールドから直接マッピングされます。
data.identity.claims.rh read_only_udm.security_result.detection_fields.rh 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「rh」フィールドから直接マッピングされます。
data.identity.claims.uti read_only_udm.security_result.detection_fields.uti 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「uti」フィールドから直接マッピングされます。
data.identity.claims.ver read_only_udm.security_result.detection_fields.ver 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「ver」フィールドから直接マッピングされます。
data.identity.claims.xms_tcdt read_only_udm.security_result.detection_fields.xms_tcdt 未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「xms_tcdt」フィールドから直接マッピングされます。
data.identity.UserName read_only_udm.principal.user.user_display_name 未加工ログの「identity」オブジェクト内の「UserName」フィールドから直接マッピングされます。
data.level read_only_udm.security_result.severityread_only_udm.security_result.severity_details 未加工ログの「data」オブジェクト内の「level」フィールドから直接マッピングされます。「level」フィールドは、severity フィールドの値を決定するためにも使用されます。「level」が「Information」または「Informational」の場合、severity は「INFORMATIONAL」に設定されます。「level」が「Warning」の場合、severity は「MEDIUM」に設定されます。「level」が「Error」の場合、severity は「ERROR」に設定されます。level が「Critical」の場合、severity は「CRITICAL」に設定されます。
data.location read_only_udm.target.location.name 未加工ログの「data」オブジェクト内の「location」フィールドから直接マッピングされます。
data.operationName read_only_udm.metadata.product_event_type 未加工ログの「data」オブジェクト内の「operationName」フィールドから直接マッピングされます。
data.properties.EventChannel read_only_udm.additional.fields.properties EventChannel 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「EventChannel」フィールドから直接マッピングされます。
data.properties.EventSource read_only_udm.additional.fields.properties EventSource 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「EventSource」フィールドから直接マッピングされます。
data.properties.EventId read_only_udm.metadata.product_log_id 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「EventId」フィールドから直接マッピングされます。
data.properties.eventProperties.cause read_only_udm.security_result.detection_fields.cause 未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「cause」フィールドから直接マッピングされます。
data.properties.eventProperties.clientIPAddress read_only_udm.principal.asset.ipread_only_udm.principal.ip 未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「clientIPAddress」フィールドから直接マッピングされます。
data.properties.eventProperties.compromisedHost read_only_udm.principal.asset.hostnameread_only_udm.principal.hostname 未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「compromisedHost」フィールドから直接マッピングされます。
data.properties.eventProperties.currentHealthStatus read_only_udm.security_result.detection_fields.currentHealthStatus 未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「currentHealthStatus」フィールドから直接マッピングされます。
data.properties.eventProperties.previousHealthStatus read_only_udm.security_result.detection_fields.previousHealthStatus 未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「previousHealthStatus」フィールドから直接マッピングされます。
data.properties.eventProperties.type read_only_udm.security_result.detection_fields.type 未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「type」フィールドから直接マッピングされます。
data.properties.eventProperties.User read_only_udm.principal.user.userid 未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「User」フィールドから直接マッピングされます。
data.properties.eventProperties.userName read_only_udm.principal.user.user_display_name 未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「userName」フィールドから直接マッピングされます(「SECURE\」接頭辞を削除した後)。
data.properties.ipAddress read_only_udm.principal.asset.ipread_only_udm.principal.ip 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「ipAddress」フィールドから直接マッピングされます。
data.properties.legacyChannels read_only_udm.security_result.detection_fields.legacyChannels 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyChannels」フィールドから直接マッピングされます。
data.properties.legacyEventDataId read_only_udm.security_result.detection_fields.legacyEventDataId 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyEventDataId」フィールドから直接マッピングされます。
data.properties.legacyResourceId read_only_udm.security_result.detection_fields.legacyResourceId 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyResourceId」フィールドから直接マッピングされます。
data.properties.legacyResourceGroup read_only_udm.security_result.detection_fields.legacyResourceGroup 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyResourceGroup」フィールドから直接マッピングされます。
data.properties.legacyResourceProviderName read_only_udm.security_result.detection_fields.legacyResourceProviderName 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyResourceProviderName」フィールドから直接マッピングされます。
data.properties.legacyResourceType read_only_udm.security_result.detection_fields.legacyResourceType 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyResourceType」フィールドから直接マッピングされます。
data.properties.legacySubscriptionId read_only_udm.security_result.detection_fields.legacySubscriptionId 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacySubscriptionId」フィールドから直接マッピングされます。
data.properties.operationId read_only_udm.security_result.detection_fields.operationId 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「operationId」フィールドから直接マッピングされます。
data.properties.result read_only_udm.security_result.action_details 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「result」フィールドから直接マッピングされます。
data.properties.statusCode read_only_udm.network.http.response_code 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「statusCode」フィールドから直接マッピングされます。
data.properties.suspiciousCommandLine read_only_udm.target.process.command_line 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「suspiciousCommandLine」フィールドから直接マッピングされます。
data.properties.suspiciousProcess read_only_udm.target.process.file.full_path 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「suspiciousProcess」フィールドから直接マッピングされます。
data.properties.suspiciousProcessId read_only_udm.target.process.pid 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「suspiciousProcessId」フィールドから直接マッピングされます。
data.properties.tlsVersion read_only_udm.network.tls.version 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「tlsVersion」フィールドから直接マッピングされます。
data.properties.userAgent read_only_udm.network.http.user_agentread_only_udm.network.http.parsed_user_agent 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「userAgent」フィールドから直接マッピングされます。
data.properties.userAgentHeader read_only_udm.network.http.user_agentread_only_udm.network.http.parsed_user_agent 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「userAgentHeader」フィールドから直接マッピングされます。
data.properties.userId read_only_udm.target.user.product_object_id 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「userId」フィールドから直接マッピングされます。
data.ReleaseVersion read_only_udm.metadata.product_version 未加工ログの「data」オブジェクト内の「ReleaseVersion」フィールドから直接マッピングされます。
data.resourceId read_only_udm.target.resource.name 未加工ログの「data」オブジェクト内の「resourceId」フィールドから直接マッピングされます。
data.resourceType read_only_udm.additional.fields.resourceType 未加工ログの「data」オブジェクト内の「resourceType」フィールドから直接マッピングされます。
data.resultDescription read_only_udm.metadata.description 未加工ログの「data」オブジェクト内の「resultDescription」フィールドから直接マッピングされます。
data.resultSignature read_only_udm.additional.fields.resultSignature 未加工ログの「data」オブジェクト内の「resultSignature」フィールドから直接マッピングされます。
data.resultType read_only_udm.security_result.action_detailsread_only_udm.additional.fields.resultType 未加工ログの「data」オブジェクト内の「resultType」フィールドから直接マッピングされます。
data.RoleLocation read_only_udm.target.location.name 未加工ログの「data」オブジェクト内の「RoleLocation」フィールドから直接マッピングされます。
data.time read_only_udm.metadata.event_timestamp 未加工ログの「data」オブジェクト内の「time」フィールドが解析されてタイムスタンプが抽出され、このタイムスタンプが event_timestamp にマッピングされます。
data.uri read_only_udm.network.http.referral_url 未加工ログの「data」オブジェクト内の「uri」フィールドから直接マッピングされます。
read_only_udm.extensions.auth.mechanism INTERACTIVE 未加工ログの「data」オブジェクトの「properties」オブジェクト内の「isInteractive」フィールドが「true」の場合は、「INTERACTIVE」に設定されます。それ以外の場合は、「MECHANISM_OTHER」に設定されます。
read_only_udm.extensions.auth.type MACHINE 未加工ログの「category」フィールドが「NonInteractiveUserSignInLogs」、「ManagedIdentitySignInLogs」、または「ServicePrincipalSignInLogs」の場合は「MACHINE」に設定されます。
read_only_udm.metadata.log_type AZURE_ACTIVITY 「AZURE_ACTIVITY」にハードコードされています。
read_only_udm.metadata.vendor_name Microsoft 「Microsoft」にハードコードされています。
read_only_udm.principal.platform WINDOWSMACLINUXANDROID 「properties.test.deviceDetail.operatingSystem」フィールドの値に基づいて決定されます。「Win」が含まれている場合、platform は「WINDOWS」に設定されます。「Mac」が含まれている場合、platform は「MAC」に設定されます。「Lin」が含まれている場合、platform は「LINUX」に設定されます。「Android」が含まれている場合、platform は「ANDROID」に設定されます。
read_only_udm.principal.resource.type SERVICE_ACCOUNTUNSPECIFIED 「identity.authorization.evidence.principalType」フィールドの値に基づいて決定されます。「ServicePrincipal」の場合、type は「SERVICE_ACCOUNT」に設定されます。それ以外の場合は「UNSPECIFIED」に設定されます。
read_only_udm.security_result.action ALLOWBLOCKUNKNOWN_ACTION 「resultType」、「status_errorcode」、「statusText」フィールドの値に基づいて決定されます。「resultType」が「Success」、「success」、「Succeeded」、「Started」、「Resolved」、「Active」、「Updated」、「Start」、「Accept」、「Accepted」、「0」のいずれかである場合、または「status_errorcode」が 0 の場合、または「statusText」が「Success」の場合、action は「ALLOW」に設定されます。「resultType」が「Failure」、「Failed」のいずれかの場合、または「status_errorcode」が空でない場合、または「resultType」が空でない場合、action は「BLOCK」に設定されます。それ以外の場合は「UNKNOWN_ACTION」に設定されます。
read_only_udm.target.cloud.environment MICROSOFT_AZURE 「MICROSOFT_AZURE」にハードコードされています。

変更

2024-07-10

  • 「identity.authorization.evidence.principalType」が「Group」の場合、「identity.authorization.evidence.principalId」を「principal.group.product_object_id」にマッピングしました。
  • 「identity.authorization.evidence.principalType」が「User」または「ServicePrincipal」の場合、「identity.authorization.evidence.principalId」を「principal.user.product_object_id」にマッピングしました。
  • gsub を追加してフィールド「properties」を「properties.test」に変更し、「properties」のみで始まるフィールドを削除しました。

2024-07-08

  • 「properties.compromisedEntity」、「properties.attackedResourceType」、「properties.intent」を「target.resource.attribute.labels」にマッピングしました。
  • 「properties.severity」を「security_result.severity」にマッピングしました。

2024-06-18

  • 「principal.user.userid」が存在しない場合、「metadata.event_type」のマッピングを「USER_RESOURCE_ACCESS」から「GENERIC_EVENT」に変更しました。

2024-06-18

  • 「operationVersion」を「metadata.product_version」にマッピングしました。
  • 「properties.authenticationRequirementPolicies.requirementProvider」と「properties.authenticationRequirementPolicies.detail」を「security_result.detection_fields」にマッピングしました。
  • 「properties.authenticationDetails.StatusSequence」、「properties.correlationId」、「properties.uniqueTokenIdentifier」、「properties.authenticationDetails.RequestSequence」を「security_result.detection_fields」にマッピングしました。
  • 「properties.appDisplayName」を「target.application」にマッピングしました。
  • 「properties.conditionalAccessStatus」、「properties.appliedConditionalAccessPolicies」、「properties.authenticationContextClassReferences」、「properties.signInTokenProtectionStatus」、「properties.originalRequestId」、「properties.authenticationProcessingDetails」、「properties.clientCredentialType」、「properties.processingTimeInMilliseconds」、「properties.riskDetail」、「properties.riskLevelAggregated」、「properties.riskLevelDuringSignIn」、「properties.riskState」、「properties.originalTransferMethod」を「additional.fields」にマッピングしました。
  • 「properties.riskEventTypes」、「properties.riskEventTypes_v2」、「properties.homeTenantId」、「properties.autonomousSystemNumber」、「properties.autonomousSystemNumber」、「properties.privateLinkDetails」を「additional.fields」にマッピングしました。
  • 「properties.resourceId」、「properties.resourceTenantId」、「properties.resourceServicePrincipalId」を「target.resource.attribute.labels」にマッピングしました。
  • 「properties.userType」を「principal.user.attribute.roles」にマッピングしました。
  • 「properties.userPrincipalName」を「principal.user.email_addresses」にマッピングしました。
  • 「properties.clientAppUsed」を「principal.application」にマッピングしました。
  • 「properties.deviceDetail.deviceId」を「principal.asset.asset_id」と「principal.asset_id」にマッピングしました。
  • 「properties.appId」を「target.resource.attributes.labels」にマッピングしました。
  • 「properties.status.additionalDetails」を「security_result.description」にマッピングしました。
  • 「properties.responseBody.name」を「security_result.rule_name」にマッピングしました。
  • 「properties.responseBody.properties.sourcePortRanges」と「properties.responseBody.properties.destinationPortRanges」を「additional.fields」にマッピングしました。
  • 「properties.responseBody.properties.sourceAddressPrefixes」が単一の IP アドレスの場合、「principal.ip」にマッピングしました。
  • 「properties.responseBody.properties.sourceAddressPrefixes」が IP アドレスの範囲の場合、「additional.fields」にマッピングしました。
  • 「properties.responseBody.properties.sourceAddressPrefix」が単一の IP アドレスまたはポート付きの IP アドレスの場合、「principal.ip」と「principal.port」にマッピングしました。
  • 「properties.responseBody.properties.sourceAddressPrefix」が IP アドレスの範囲の場合、「additional.fields」にマッピングしました。
  • 「properties.responseBody.properties.destinationAddressPrefixes」が単一の IP アドレスの場合、「target.ip」にマッピングしました。
  • 「properties.responseBody.properties.destinationAddressPrefixes」が IP アドレスの範囲の場合、「additional.fields」にマッピングしました。
  • 「properties.responseBody.properties.destinationAddressPrefix」が単一の IP アドレスまたはポート付きの IP アドレスの場合、「target.ip」と「target.port」にマッピングしました。
  • 「properties.responseBody.properties.destinationAddressPrefix」が IP アドレスの範囲の場合、「additional.fields」にマッピングしました。
  • 「properties.responseBody.properties.sourcePortRange」が単一のポートの場合は、「principal.port」にマッピングしました。
  • 「properties.responseBody.properties.sourcePortRange」がポート範囲の場合、「additional.fields」にマッピングしました。
  • 「properties.responseBody.properties.destinationPortRange」が単一ポートの場合、「target.port」にマッピングしました。
  • 「properties.responseBody.properties.destinationPortRange」がポート範囲の場合、「additional.fields」にマッピングしました。
  • 「properties.id」と「properties.status.errorCode」を「security_result.detection_fields」にマッピングしました。
  • 「properties.isInteractive」を「extensions.auth.mechanism」にマッピングしました。
  • 「properties.deviceDetail.operatingSystem」が「ANDROID」の場合、「principal.platform」を「ANDROID」にマッピングしました。

2024-06-03

  • 「SUBSCRIPTIONS」、「RESOURCEGROUPS」、「STORAGEACCOUNTS」、「PROVIDERS」、「SNAPSHOTS」を「resourceId」から「target.resource.attribute.labels」にマッピングしました。

2024-05-21

  • 「identity.authorization.evidence.principalType」が「User」、「Group」、「Application」の場合、「principal.resource.type」を「UNSPECIFIED」にマッピングします。
  • 「identity.authorization.evidence.role」を「principal.user.role_name」にマッピングしました。
  • 「identity.authorization.evidence.principalType」を「principal.resource.resource_subtype」にマッピングしました。
  • 「identity.authorization.evidence.principalId」を「principal.user.product_object_id」にマッピングしました。
  • 「identity.authorization.evidence.roleAssignmentId」、「identity.authorization.evidence.roleAssignmentScope」、「identity.authorization.evidence.roleDefinitionId」を「principal.resource.attribute.labels」にマッピングしました。

2024-05-03

  • 「category」が「SignInLogs」の場合、「properties.userDisplayName」を「principal.user.user_display_name」にマッピングしました。
  • 「properties.requestbody.properties.priority」と「properties.response.properties.priority」を「security_result.detection_fields」にマッピングしました。
  • 「properties.requestbody.properties.protocol」を「network.ip_protocol」にマッピングしました。
  • 「properties.requestbody.properties.direction」を「network.direction」にマッピングしました。
  • 「properties.response.properties.protocol」を「network.ip_protocol」にマッピングしました。
  • 「properties.response.properties.direction」を「network.direction」にマッピングしました。
  • 「properties.response.properties.destinationPortRange」を「target.port」にマッピングしました。

2024-04-26

  • 「operationName.value」を「metadata.product_event_type」にマッピングしました。
  • 「category.value」を「security_result.category_details」にマッピングしました。
  • 「httpRequest.uri」を「network.http.referral_url」にマッピングしました。
  • 「httpRequest.method」を「network.http.method」にマッピングしました。
  • 「httpRequest.clientIpAddress」を「principal.ip」と「principal.asset.ip」にマッピングしました。
  • 「eventDataId」を「security_result.detection_fields」にマッピングしました。
  • 「httpRequest.clientRequestId」を「additional.fields」にマッピングしました。

2024-04-16

  • 「protocol」が既知の場合に「network.application_protocol」をマッピングするサポートを追加しました。それ以外の場合は、「protocol」を「additional.fields」にマッピングします。

2024-04-12

  • 「properties.requestbody.properties.allowBlobPublicAccess」を「security_result.detection_fields」にマッピングしました。

2024-04-10

  • 「resourceId」を「target.resource.name」にマッピングしました。
  • 「resourceId」が存在する場合は、「targetResources.displayName」、「identity」、「Type」、「properties.resourceDisplayName」を「target.resource.attribute.labels」にマッピングしました。

2024-03-29

  • 「ResourceGUID」を「target.resource.product_object_id」にマッピングしました。
  • 「Type」を「target.resource.name」にマッピングしました。
  • 「ClientCity」を「principal.location.city」にマッピングしました。
  • 「ClientCountryOrRegion」を「principal.location.country_or_region」にマッピングしました。
  • 「ClientIP」を「principal.ip」と「principal.asset.ip」にマッピングしました。
  • 「ClientStateOrProvince」を「principal.location.state」にマッピングしました。
  • 「ClientType」を「principal.resource.attribute.labels」にマッピングしました。
  • 「IKey」を「target.resource.attribute.labels」にマッピングしました。
  • 「_BilledSize」と「DurationMs」を「additional.fields」にマッピングしました。
  • 「OperationId」、「SDKVersion」、「ItemCount」を「properties.operationId」にマッピングしました。
  • 「ParentId」、「Properties.WebtestLocationId」、「Properties.FullTestResultAvailable」、「Properties.SourceId」、「Properties._MS_altIds」、「Properties.WebtestArmResourceName」、「Properties.SyntheticMonitorId」、「Success」を「security_result.detection_fields」にマッピングしました。
  • 「Message」を「metadata.description」にマッピングしました。
  • 「Id」を「principal.resource.product_object_id」にマッピングしました。
  • 「Name」を「principal.resource.name」にマッピングしました。

2024-03-25

  • 「category」が「ServicePrincipalSignInLogs」または「NonInteractiveUserSigninLogs」または「ManagedIdentitySignInLogs」の場合、「createdDateTime」を「metadata.event_timestamp」にマッピングしました。
  • 「properties.authenticationDetails.authenticationStepDateTime」、「properties.authenticationDetails.authenticationMethod」、「properties.authenticationDetails.authenticationStepResultDetail」、「properties.authenticationDetails.authenticationStepRequirement」、「properties.id」、「properties.resourceServicePrincipalId」を「security_result.detection_fields」にマッピングしました。
  • 「properties.authenticationDetails.succeeded」を「security_result.action_details」にマッピングしました。

2024-03-25

  • 「properties.requestbody.Properties.RoleDefinitionId」が空でない場合、「security_result.detection_fields.key」を「RequestBody roleDefinitionId」に設定します。
  • 「properties.roleDefinitionId」、「properties.principalId」、「properties.responseBody.properties.roleDefinitionId」、「properties.requestbody.Properties.PrincipalId」を「security_result.detection_fields」にマッピングしました。

2024-03-13

  • 「properties.requestbody.properties.roleDefinitionId」と「properties.requestbody.properties.principalId」を「security_result.detection_fields」にマッピングしました。

2024-03-05

  • 「resultType」を「security_result.action_details」にマッピングしました。
  • 「properties.requestbody.Properties.PrincipalId」を「principal.user.userid」にマッピングしました。
  • 「resultType」が空でない場合、「properties.status.failureReason」を「security_result.detection_fields」にマッピングしました。
  • 「properties.hardwareProfile.vmSize」、「properties.provisioningState」、「properties.requestbody.Properties.RoleDefinitionId」を「security_result.detection_fields」にマッピングしました。

2024-02-13

バグの修正:

  • 「identity.UserName」がメールの場合は「principal.user.email_addresses」にマッピングし、それ以外の場合は「principal.user.user_display_name」にマッピングします。

2024-02-12

  • 破棄される JSON ログのサポートを追加しました。
  • 「OperationNameValue」を「metadata.product_event_type」にマッピングしました。
  • 「properties.eventDataId」、「properties.subscriptionId」、「properties.resourceGroup」、「properties.resourceProviderValue」を「security_result.detection_fields」にマッピングしました。
  • 「Caller」を「principal.user.userid」にマッピングしました。
  • 「ActivityStatusValue」を「security_result.action」にマッピングしました。

2024-02-01

  • バグの修正:
  • 「category」フィールドの値が「NonInteractiveUserSignInLogs」の場合、または「OperationName」が「Sign-in activity」の場合、「metadata.event_type」を「USER_LOGOUT」から「USER_LOGIN」に変更します。
  • 「properties.incomingTokenType」と「properties.deviceDetail.browser」を「additional.fields」にマッピングしました。
  • 「properties.userAgent」を「network.http.user_agent」にマッピングしました。
  • 「properties.userAgent」の値が存在しない場合、「properties.deviceDetail.browser」のみを「network.http.user_agent」にマッピングしました。
  • 解析された「user_agent_field」を「network.http.parsed_user_agent」にマッピングしました。
  • 「properties.eventProperties.clientIPAddress」と「callerIpAddress」を「principal.asset.ip」にマッピングしました。
  • 「hostname」、「rscname」、「properties.eventProperties.compromisedHost」を「principal.asset.hostname」にマッピングしました。

2024-01-07

  • バグの修正:
  • 「callerIpAddress」を IP アドレスとして検証するための Grok パターンを追加しました。
  • 「properties.accountName」を「principal.user.userid」にマッピングしました。
  • 「uri」を「network.http.refferal_url」にマッピングしました。
  • 「properties.userAgentHeader」を「network.http.user_agent」にマッピングしました。
  • 「properties.tlsVersion」を「network.tls.version」にマッピングしました。
  • 「statusCode」を「network.http.response_code」にマッピングしました。
  • 「protocol」を「network.application_protocol」にマッピングしました。
  • 「properties.clientRequestId」、「properties.etag」、「properties.objectKey」、「properties.responseMd5」、「resourceType」を「additional.fields」にマッピングしました。

2023-10-09

  • 未解析ログの解析サポートを追加しました。
  • 次のフィールドの名前を変更しました。
  • 「OperationName」から「operationName」に変更しました。
  • 「CorrelationId」から「correlationId」に変更しました。
  • 「Category」から「category」に変更しました。
  • 「ResourceId」から「resourceId」に変更しました。
  • 「ResultType」から「resultType」に変更しました。
  • 「ProviderName」、「ProviderGuid」を「security_result.detection_fields」にマッピングしました。
  • 「ResultDescription」を「metadata.description」にマッピングしました。

2023-09-13

機能強化 -

  • 「properties.eventCategory」を「security_result.detection_fields」にマッピングしました。
  • 「opproperties.operationIderationName」を「security_result.detection_fields」にマッピングしました。
  • 「properties.eventName」を「security_result.summary」にマッピングしました。
  • 「properties.EventName」を「security_result.summary」にマッピングしました。
  • 「properties.legacyResourceType」を「security_result.detection_fields」にマッピングしました。
  • 「properties.CallerCredentialType」を「security_result.detection_fields」にマッピングしました。
  • 「properties.EventChannel」を「security_result.detection_fields」にマッピングしました。
  • 「properties.EventSource」を「security_result.detection_fields」にマッピングしました。
  • 「properties.legacyResourceId」を「security_result.detection_fields」にマッピングしました。
  • 「properties.eventProperties.User」を「principal.user.id」と「principal.user.email_addresses」にマッピングしました。
  • 「properties.Caller」を「principal.user.id」と「principal.user.email_addresses」にマッピングしました。
  • 「caller」を「principal.user.id」と「principal.user.email_addresses」にマッピングしました。
  • 「properties.IpAddress」を「principal.ip」にマッピングしました。
  • 「properties.Description_scrubbed」を「security_result.description」にマッピングしました。

2023-02-22

機能強化 -

  • 「tenantId」を「metadata.product_deployment_id」にマッピングしました。
  • 「operationName」を「metadata.product_event_type」にマッピングしました。
  • 「category」を「security_result.category_details」にマッピングしました。
  • 「callerIpAddress」を「principal.ip」にマッピングしました。
  • 「identity」を「target.resource.name」にマッピングしました。
  • 「result」を「security_result.action_details」にマッピングしました。
  • 「properties.activityDisplayName」を「security_result.summary」にマッピングしました。
  • 「location」を「principal.location.name」にマッピングしました。
  • 「Level」を「security_result.severity_details」にマッピングしました。
  • 「properties.initiatedBy.app.displayName」を「principal.application」にマッピングしました。
  • 「properties.targetResources.displayName」を「target.resource.name」にマッピングしました。
  • 「properties.targetResources.id」を「target.resource.product_object_id」にマッピングしました。
  • 「properties.targetResources.modifiedProperties.displayName」を「target.user.attribute.labels」にマッピングしました。
  • 「properties.additionalDetails」を「additional.fields」にマッピングしました。
  • 「properties.loggedByService」を「target.application」にマッピングしました。
  • 「properties.userId」を「target.user.product_object_id」にマッピングしました。
  • 「properties.resourceDisplayName」を「target.resource.name」にマッピングしました。
  • 「properties.location.city」を「principal.location.city」にマッピングしました。
  • 「properties.location.state」を「principal.location.state」にマッピングしました。
  • 「properties.location.countryOrRegion」を「principal.location.country_or_region」にマッピングしました。
  • 「properties.ipAddress」を「principal.ip」にマッピングしました。
  • 「properties.location.geoCoordinates.latitude」を「principal.location.region_latitude」にマッピングしました。
  • 「properties.location.geoCoordinates.longitude」を「principal.location.region_longitude」にマッピングしました。
  • 「properties.servicePrincipalId」を「principal.user.userid」にマッピングしました。
  • 「properties.servicePrincipalName」を「principal.user.user_display_name」にマッピングしました。
  • 「properties.tokenIssuerType」、「properties.authenticationProcessingDetails.0.value」、「properties.operationType」、「properties.authenticationRequirement」、「properties.deviceDetail.trustType」を「additional.fields」にマッピングしました。
  • 「resultDescription」を「metadata.description」にマッピングしました。
  • 「properties.userDisplayName」を「target.user.user_display_name」にマッピングしました。
  • 「properties.appDisplayName」を「target.application」にマッピングしました。
  • 「properties.userType」を「principal.user.attribute.roles」にマッピングしました。
  • 「properties.status.failureReason」を「security_result.action_details」にマッピングしました。
  • 「properties.deviceDetail.operatingSystem」を「principal.platform_version」にマッピングしました。
  • 「properties.deviceDetail.displayName」を「principal.asset.hardware」にマッピングしました。
  • 「properties.deviceDetail.browser」を「network.http.user_agent」にマッピングしました。
  • 「properties.userPrincipalName」を「principal.user.email_addresses」にマッピングしました。

2022-11-28

機能強化 -

  • フィールド「correlationId」を「security_result.detection_fields」にマッピングしました。
  • フィールド「level」を「security_result.severity_details」にマッピングしました。
  • カテゴリ「ResourceHealth」に関する次のマッピングを追加しました。
  • フィールド「properties.legacyEventDataId」を「security_result.detection_fields」にマッピングしました。
  • フィールド「properties.legacyChannels」を「security_result.detection_fields」にマッピングしました。
  • フィールド「properties.legacySubscriptionId」を「security_result.detection_fields」にマッピングしました。
  • フィールド「properties.legacyResourceGroup」を「security_result.detection_fields」にマッピングしました。
  • フィールド「properties.legacyResourceProviderName」を「security_result.detection_fields」にマッピングしました。
  • フィールド「properties.eventProperties.currentHealthStatus」を「security_result.detection_fields」にマッピングしました。
  • フィールド「properties.eventProperties.previousHealthStatus」を「security_result.detection_fields」にマッピングしました。
  • フィールド「properties.eventProperties.type」を「security_result.detection_fields」にマッピングしました。
  • フィールド「properties.eventProperties.cause」を「security_result.detection_fields」にマッピングしました。

2022-09-26

機能強化 - フィールドを追加しました。

  • 「tenantId」を「metadata.product_deployment_id」にマッピングしました

2022-06-20

機能強化 -

  • 「entity_properties」の条件付きチェックを追加しました。
  • 「category」が「Security」の場合
  • 「properties.eventProperties.clientIPAddress」を「principal.ip」にマッピングしました。
  • 「properties.eventProperties.accountSessionId」を「network.session_id」にマッピングしました。
  • 「properties.eventProperties.suspiciousProcess」を「target.process.file.full_path」にマッピングしました。
  • 「properties.eventProperties.suspiciousCommandLine」を「target.process.command_line」にマッピングしました。
  • 「properties.eventProperties.suspiciousProcessId」を「target.process.pid」にマッピングしました。
  • 「properties.eventProperties.compromisedHost」を「principal.hostname」にマッピングしました。
  • 「resultDescription」を「metadata.description」にマッピングしました
  • 「properties.legacySubscriptionId」を「security_result.detection_fields」にマッピングしました。
  • 「properties.legacyResourceProviderName」を「security_result.detection_fields」にマッピングしました。

2022-05-19

機能強化 - 複数のフィールドを追加および変更しました。

  • claims、Identity、aud、tenantid、principalId、action、appidacr、iat、exp、nbf、rh、uti、ver、xms_tcdt、principalType、roleAssignmentId、appid、aio、iss、nameidentifier、roleDefinitionId、scope が security_result.detection_fields にマッピングされました。
  • resultSignature、resultType、hierarchy、resource_type、entity が additional.fields にマッピングされました。
  • RoleLocation が location.name にマッピングされました。
  • category が security_result.category_details にマッピングされました。