Microsoft Azure-Aktivitätsprotokolle aufnehmen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument werden die Schritte beschrieben, die erforderlich sind, um Microsoft Azure-Aktivitätsprotokolle (AZURE_ACTIVITY) in Google Security Operations aufzunehmen.
Speicherkonto konfigurieren
So konfigurieren Sie ein Speicherkonto:
- Suchen Sie in der Azure-Konsole nach Speicherkonten.
- Klicken Sie auf Erstellen.
- Wählen Sie das Abo, die Ressourcengruppe, die Region, die Leistung (wir empfehlen „Standard“) und die Redundanz (wir empfehlen „GRS“ oder „LRS“) für das Konto aus und geben Sie einen Namen für das neue Speicherkonto ein.
- Klicken Sie auf Überprüfen + erstellen, sehen Sie sich die Kontoübersicht an und klicken Sie auf Erstellen.
- Wählen Sie auf der Seite Speicherkontoübersicht im linken Navigationsbereich des Fensters Zugriffsschlüssel aus.
- Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
- Wählen Sie im linken Navigationsbereich des Fensters Endpunkte aus.
- Notieren Sie sich den Endpunkt des Blob-Diensts. (https://<storageaccountname>.blob.core.windows.net/)
Azure-Aktivitätsprotokolle konfigurieren
Führen Sie die folgenden Schritte aus, um das Azure-Aktivitäts-Logging zu konfigurieren:
- Suchen Sie in der Azure-Konsole nach Monitor.
- Klicken Sie links auf der Seite auf den Link Aktivitätsprotokoll.
- Klicken Sie oben im Fenster auf Aktivitätsprotokolle exportieren.
- Klicken Sie auf Diagnoseeinstellung hinzufügen.
- Wählen Sie alle Kategorien aus, die Sie nach Google Security Operations exportieren möchten.
- Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
- Wählen Sie das Abo und das Speicherkonto aus, die Sie im vorherigen Schritt erstellt haben.
- Klicken Sie auf Speichern.
Feed in Google Security Operations für die Aufnahme der Azure-Protokolle konfigurieren
Führen Sie die folgenden Schritte aus, um einen Feed in Google Security Operations zu konfigurieren, um die Azure-Protokolle zu übernehmen:
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
- Geben Sie einen eindeutigen Namen für das Feld ein.
- Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
- Wählen Sie als Log-Typ Microsoft Azure-Aktivität aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Azure-URI: Geben Sie den zuvor erfassten Endpunktwert für den Blob-Dienst mit dem Suffix insights-activity-logs ein (z. B. https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs).
- URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
- Option zum Löschen der Quelle: Legen Sie fest, ob Dateien und Verzeichnisse nach der Übertragung gelöscht werden sollen.
- Shared Key (Gemeinsamer Schlüssel): Geben Sie den zuvor erfassten Wert für den gemeinsamen Schlüssel ein.
- Klicken Sie auf Weiter und dann auf Senden.
Referenz für die Feldzuordnung
In diesem Parsercode werden zuerst eine große Anzahl von Feldern mit leeren Strings initialisiert und dann eine Reihe von Stringmanipulationen und JSON-Parsing-Vorgängen ausgeführt, um relevante Informationen aus der Azure-Aktivitätsprotokollnachricht zu extrahieren. Schließlich werden die extrahierten Daten den UDM-Feldern (Unified Data Model) zugeordnet, der Ereignistyp kategorisiert und mit zusätzlichen Details wie Schweregrad, Hauptinformationen und Netzwerkdaten angereichert.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Kategorie | read_only_udm.security_result.category_details |
Direkt aus dem Feld „category“ im Rohprotokoll zugeordnet. |
| callerIpAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Wird direkt aus dem Feld „callerIpAddress“ im Rohprotokoll zugeordnet. |
| correlationId | read_only_udm.security_result.detection_fields.correlationId |
Wird direkt aus dem Feld „correlationId“ im Rohprotokoll zugeordnet. |
| data.callerIpAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Wird direkt aus dem Feld „callerIpAddress“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.correlationId | read_only_udm.security_result.detection_fields.correlationId |
Wird direkt aus dem Feld „correlationId“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.DeploymentUnit | read_only_udm.target.resource.name |
Wird direkt aus dem Feld „DeploymentUnit“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.details | read_only_udm.metadata.description |
Wird direkt aus dem Feld „details“ im Objekt „data“ im Rohprotokoll zugeordnet, sofern das Feld „details“ nicht „Unbekannt“ lautet. |
| data.entity | read_only_udm.additional.fields.entity |
Direkt aus dem Feld „entity“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.EventName | read_only_udm.metadata.product_event_type |
Wird direkt aus dem Feld „EventName“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.hierarchy | read_only_udm.additional.fields.hierarchy |
Wird direkt aus dem Feld „hierarchy“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.identity.authorization.action | read_only_udm.security_result.detection_fields.action |
Wird direkt aus dem Feld „action“ im Objekt „authorization“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.authorization.evidence.principalId | read_only_udm.principal.user.product_object_id, read_only_udm.principal.resource.product_object_id, read_only_udm.principal.group.product_object_id |
Wird direkt aus dem Feld „principalId“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohprotokoll zugeordnet. Das UDM-Feld, dem es zugeordnet wird, hängt vom Wert des Felds „principalType“ ab. Wenn „principalType“ „User“ oder „ServicePrincipal“ ist, wird es principal.user.product_object_id zugeordnet. Wenn „principalType“ „Gruppe“ ist, wird principal.group.product_object_id zugeordnet. Wenn „principalType“ „ServicePrincipal“ ist, wird es principal.resource.product_object_id zugeordnet. |
| data.identity.authorization.evidence.principalType | read_only_udm.principal.resource.resource_subtype |
Wird direkt aus dem Feld „principalType“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.authorization.evidence.role | read_only_udm.principal.user.role_name |
Wird direkt aus dem Feld „role“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.authorization.evidence.roleAssignmentId | read_only_udm.principal.resource.attribute.labels.roleAssignmentId |
Wird direkt aus dem Feld „roleAssignmentId“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.authorization.evidence.roleAssignmentScope | read_only_udm.principal.resource.attribute.labels.roleAssignmentScope |
Wird direkt aus dem Feld „roleAssignmentScope“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.authorization.evidence.roleDefinitionId | read_only_udm.principal.resource.attribute.labels.roleDefinitionId |
Wird direkt aus dem Feld „roleDefinitionId“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.authorization.scope | read_only_udm.security_result.detection_fields.scope |
Wird direkt aus dem Feld „scope“ im Objekt „authorization“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.aio | read_only_udm.security_result.detection_fields.aio |
Wird direkt aus dem Feld „aio“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.appid | read_only_udm.security_result.detection_fields.appid |
Wird direkt aus dem Feld „appid“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.appidacr | read_only_udm.security_result.detection_fields.appidacr |
Wird direkt aus dem Feld „appidacr“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.aud | read_only_udm.security_result.detection_fields.aud |
Wird direkt aus dem Feld „aud“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.exp | read_only_udm.security_result.detection_fields.exp |
Wird direkt aus dem Feld „exp“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/identityprovider |
read_only_udm.security_result.detection_fields.identityprovider |
Wird direkt aus dem Feld „http://schemas.microsoft.com/identity/claims/identityprovider“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/objectidentifier |
read_only_udm.security_result.detection_fields.objectidentifier |
Wird direkt aus dem Feld „http://schemas.microsoft.com/identity/claims/objectidentifier“ im „claims“-Objekt des „identity“-Objekts im Rohprotokoll zugeordnet. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/tenantid |
read_only_udm.security_result.detection_fields.tenantid |
Wird direkt aus dem Feld „http://schemas.microsoft.com/identity/claims/tenantid“ im „claims“-Objekt des „identity“-Objekts im Rohprotokoll zugeordnet. |
data.identity.claims.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
read_only_udm.security_result.detection_fields.nameidentifier |
Wird direkt aus dem Feld „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.iat | read_only_udm.security_result.detection_fields.iat |
Wird direkt aus dem Feld „iat“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.iss | read_only_udm.security_result.detection_fields.iss |
Wird direkt aus dem Feld „iss“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.nbf | read_only_udm.security_result.detection_fields.nbf |
Wird direkt aus dem Feld „nbf“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.rh | read_only_udm.security_result.detection_fields.rh |
Wird direkt aus dem Feld „rh“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.uti | read_only_udm.security_result.detection_fields.uti |
Wird direkt aus dem Feld „uti“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.ver | read_only_udm.security_result.detection_fields.ver |
Wird direkt aus dem Feld „ver“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.claims.xms_tcdt | read_only_udm.security_result.detection_fields.xms_tcdt |
Wird direkt aus dem Feld „xms_tcdt“ im Objekt „claims“ des Objekts „identity“ im Rohprotokoll zugeordnet. |
| data.identity.UserName | read_only_udm.principal.user.user_display_name |
Wird direkt aus dem Feld „UserName“ im Objekt „identity“ im Rohprotokoll zugeordnet. |
| data.level | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details |
Wird direkt aus dem Feld „level“ im Objekt „data“ im Rohprotokoll zugeordnet. Das Feld „level“ wird auch verwendet, um den Wert des Felds severity zu bestimmen. Wenn „level“ „Information“ oder „Informations“ ist, wird severity auf „INFORMATIONS“ gesetzt. Wenn „level“ „Warnung“ ist, wird severity auf „MEDIUM“ gesetzt. Wenn „level“ „Error“ ist, wird severity auf „ERROR“ gesetzt. Wenn „level“ auf „Critical“ festgelegt ist, wird severity auf „CRITICAL“ gesetzt. |
| data.location | read_only_udm.target.location.name |
Wird direkt aus dem Feld „location“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.operationName | read_only_udm.metadata.product_event_type |
Wird direkt aus dem Feld „operationName“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.properties.EventChannel | read_only_udm.additional.fields.properties EventChannel |
Wird direkt aus dem Feld „EventChannel“ im „properties“-Objekt des „data“-Objekts im Rohprotokoll zugeordnet. |
| data.properties.EventSource | read_only_udm.additional.fields.properties EventSource |
Wird direkt aus dem Feld „EventSource“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.EventId | read_only_udm.metadata.product_log_id |
Wird direkt aus dem Feld „EventId“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.eventProperties.cause | read_only_udm.security_result.detection_fields.cause |
Wird direkt aus dem Feld „cause“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.eventProperties.clientIPAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Wird direkt aus dem Feld „clientIPAddress“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.eventProperties.compromisedHost | read_only_udm.principal.asset.hostname, read_only_udm.principal.hostname |
Wird direkt aus dem Feld „compromisedHost“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.eventProperties.currentHealthStatus | read_only_udm.security_result.detection_fields.currentHealthStatus |
Wird direkt aus dem Feld „currentHealthStatus“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.eventProperties.previousHealthStatus | read_only_udm.security_result.detection_fields.previousHealthStatus |
Wird direkt aus dem Feld „previousHealthStatus“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.eventProperties.type | read_only_udm.security_result.detection_fields.type |
Wird direkt aus dem Feld „type“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.eventProperties.User | read_only_udm.principal.user.userid |
Wird direkt aus dem Feld „Nutzer“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.eventProperties.userName | read_only_udm.principal.user.user_display_name |
Wird direkt aus dem Feld „userName“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohprotokoll zugeordnet, nachdem das Präfix „SECURE“ entfernt wurde. |
| data.properties.ipAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Wird direkt aus dem Feld „ipAddress“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.legacyChannels | read_only_udm.security_result.detection_fields.legacyChannels |
Wird direkt aus dem Feld „legacyChannels“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.legacyEventDataId | read_only_udm.security_result.detection_fields.legacyEventDataId |
Wird direkt aus dem Feld „legacyEventDataId“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.legacyResourceId | read_only_udm.security_result.detection_fields.legacyResourceId |
Wird direkt aus dem Feld „legacyResourceId“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.legacyResourceGroup | read_only_udm.security_result.detection_fields.legacyResourceGroup |
Wird direkt aus dem Feld „legacyResourceGroup“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.legacyResourceProviderName | read_only_udm.security_result.detection_fields.legacyResourceProviderName |
Wird direkt aus dem Feld „legacyResourceProviderName“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.legacyResourceType | read_only_udm.security_result.detection_fields.legacyResourceType |
Wird direkt aus dem Feld „legacyResourceType“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.legacySubscriptionId | read_only_udm.security_result.detection_fields.legacySubscriptionId |
Wird direkt aus dem Feld „legacySubscriptionId“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.operationId | read_only_udm.security_result.detection_fields.operationId |
Wird direkt aus dem Feld „operationId“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.result | read_only_udm.security_result.action_details |
Wird direkt aus dem Feld „result“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.statusCode | read_only_udm.network.http.response_code |
Wird direkt aus dem Feld „statusCode“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.suspiciousCommandLine | read_only_udm.target.process.command_line |
Wird direkt aus dem Feld „suspiciousCommandLine“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.suspiciousProcess | read_only_udm.target.process.file.full_path |
Wird direkt aus dem Feld „suspiciousProcess“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.suspiciousProcessId | read_only_udm.target.process.pid |
Wird direkt aus dem Feld „suspiciousProcessId“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.tlsVersion | read_only_udm.network.tls.version |
Wird direkt aus dem Feld „tlsVersion“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.userAgent | read_only_udm.network.http.user_agent, read_only_udm.network.http.parsed_user_agent |
Wird direkt aus dem Feld „userAgent“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.userAgentHeader | read_only_udm.network.http.user_agent, read_only_udm.network.http.parsed_user_agent |
Wird direkt aus dem Feld „userAgentHeader“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.properties.userId | read_only_udm.target.user.product_object_id |
Wird direkt aus dem Feld „userId“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll zugeordnet. |
| data.ReleaseVersion | read_only_udm.metadata.product_version |
Wird direkt aus dem Feld „ReleaseVersion“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.resourceId | read_only_udm.target.resource.name |
Wird direkt aus dem Feld „resourceId“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.resourceType | read_only_udm.additional.fields.resourceType |
Wird direkt aus dem Feld „resourceType“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.resultDescription | read_only_udm.metadata.description |
Wird direkt aus dem Feld „resultDescription“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.resultSignature | read_only_udm.additional.fields.resultSignature |
Wird direkt aus dem Feld „resultSignature“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.resultType | read_only_udm.security_result.action_details, read_only_udm.additional.fields.resultType |
Wird direkt aus dem Feld „resultType“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.RoleLocation | read_only_udm.target.location.name |
Wird direkt aus dem Feld „RoleLocation“ im Objekt „data“ im Rohprotokoll zugeordnet. |
| data.time | read_only_udm.metadata.event_timestamp |
Das Feld „time“ im Objekt „data“ im Rohprotokoll wird analysiert, um den Zeitstempel zu extrahieren, der dann event_timestamp zugeordnet wird. |
| data.uri | read_only_udm.network.http.referral_url |
Wird direkt aus dem Feld „uri“ im Objekt „data“ im Rohprotokoll zugeordnet. |
read_only_udm.extensions.auth.mechanism |
INTERACTIVE |
Wird auf „INTERAKTIV“ gesetzt, wenn das Feld „isInteractive“ im Objekt „properties“ des Objekts „data“ im Rohprotokoll den Wert „true“ hat. Andernfalls wird er auf „MECHANISM_OTHER“ gesetzt. |
read_only_udm.extensions.auth.type |
MACHINE |
Legen Sie „MACHINE“ fest, wenn das Feld „category“ im Rohprotokoll „NonInteractiveUserSignInLogs“, „ManagedIdentitySignInLogs“ oder „ServicePrincipalSignInLogs“ lautet. |
read_only_udm.metadata.log_type |
AZURE_ACTIVITY |
Hartcodiert auf „AZURE_ACTIVITY“. |
read_only_udm.metadata.vendor_name |
Microsoft |
„Microsoft“ ist hartcodiert. |
read_only_udm.principal.platform |
WINDOWS, MAC, LINUX, ANDROID |
Wird anhand des Werts des Felds „properties.test.deviceDetail.operatingSystem“ ermittelt. Wenn er „Win“ enthält, wird platform auf „WINDOWS“ gesetzt. Wenn der Name „Mac“ enthält, wird platform auf „MAC“ gesetzt. Wenn er „Lin“ enthält, wird platform auf „LINUX“ gesetzt. Wenn er „Android“ enthält, wird platform auf „ANDROID“ festgelegt. |
read_only_udm.principal.resource.type |
SERVICE_ACCOUNT, UNSPECIFIED |
Wird anhand des Werts des Felds „identity.authorization.evidence.principalType“ bestimmt. Wenn es sich um „ServicePrincipal“ handelt, wird type auf „SERVICE_ACCOUNT“ festgelegt. Andernfalls wird „UNBESCHRIEBEN“ festgelegt. |
read_only_udm.security_result.action |
ALLOW, BLOCK, UNKNOWN_ACTION |
Wird anhand der Werte der Felder „resultType“, „status_errorcode“ und „statusText“ bestimmt. Wenn „resultType“ eine der folgenden Optionen ist: „Success“, „success“, „Succeeded“, „Started“, „Resolved“, „Active“, „Updated“, „Start“, „Accept“, „Accepted“, „0“, oder wenn „status_errorcode“ den Wert 0 hat oder „statusText“ den Wert „Success“ hat, wird action auf „ALLOW“ gesetzt. Wenn „resultType“ einen der Werte „Failure“ oder „Failed“ hat oder „status_errorcode“ oder „resultType“ nicht leer ist, wird action auf „BLOCK“ gesetzt. Andernfalls wird „UNKNOWN_ACTION“ festgelegt. |
read_only_udm.target.cloud.environment |
MICROSOFT_AZURE |
Hartcodiert auf „MICROSOFT_AZURE“. |
Änderungen
2024-07-10
- Wenn „identity.authorization.evidence.principalType“ mit „Gruppe“ übereinstimmt, wird „identity.authorization.evidence.principalId“ mit „principal.group.product_object_id“ abgeglichen.
- Wenn „identity.authorization.evidence.principalType“ mit „User“ oder „ServicePrincipal“ übereinstimmt, wird „identity.authorization.evidence.principalId“ mit „principal.user.product_object_id“ abgeglichen.
- Gsub wurde hinzugefügt, um das Feld „properties“ in „properties.test“ zu ändern. Das Feld, das nur mit „properties“ beginnt, wurde entfernt.
2024-07-08
- „properties.compromisedEntity“, „properties.attackedResourceType“ und „properties.intent“ wurden in „target.resource.attribute.labels“ umgewandelt.
- „properties.severity“ wurde „security_result.severity“ zugeordnet.
2024-06-18
- Wenn „principal.user.userid“ nicht vorhanden ist, wurde die Zuordnung für „metadata.event_type“ von „USER_RESOURCE_ACCESS“ zu „GENERIC_EVENT“ geändert.
2024-06-18
- „operationVersion“ wurde mit „metadata.product_version“ abgeglichen.
- „properties.authenticationRequirementPolicies.requirementProvider“ und „properties.authenticationRequirementPolicies.detail“ wurden in „security_result.detection_fields“ zugeordnet.
- „properties.authenticationDetails.StatusSequence“, „properties.correlationId“, „properties.uniqueTokenIdentifier“ und „properties.authenticationDetails.RequestSequence“ wurden in „security_result.detection_fields“ zugeordnet.
- „properties.appDisplayName“ wurde „target.application“ zugeordnet.
- „properties.conditionalAccessStatus“, „properties.appliedConditionalAccessPolicies“, „properties.authenticationContextClassReferences“, „properties.signInTokenProtectionStatus“, „properties.originalRequestId“, „properties.authenticationProcessingDetails“, „properties.clientCredentialType“, „properties.processingTimeInMilliseconds“, „properties.riskDetail“, „properties.riskLevelAggregated“, „properties.riskLevelDuringSignIn“, „properties.riskState“ und „properties.originalTransferMethod“ wurden in „additional.fields“ umgewandelt.
- Die Felder „properties.riskEventTypes“, „properties.riskEventTypes_v2“, „properties.homeTenantId“, „properties.autonomousSystemNumber“, „properties.autonomousSystemNumber“ und „properties.privateLinkDetails“ wurden in „additional.fields“ aufgenommen.
- „properties.resourceId“, „properties.resourceTenantId“ und „properties.resourceServicePrincipalId“ wurden auf „target.resource.attribute.labels“ zugeordnet.
- „properties.userType“ wurde auf „principal.user.attribute.roles“ zugeordnet.
- „properties.userPrincipalName“ wurde in „principal.user.email_addresses“ geändert.
- „properties.clientAppUsed“ wurde auf „principal.application“ zugeordnet.
- „properties.deviceDetail.deviceId“ wurde „principal.asset.asset_id“ und „principal.asset_id“ zugeordnet.
- „properties.appId“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- „properties.status.additionalDetails“ wurde in „security_result.description“ umgewandelt.
- „properties.responseBody.name“ wurde in „security_result.rule_name“ umgewandelt.
- „properties.responseBody.properties.sourcePortRanges“ und „properties.responseBody.properties.destinationPortRanges“ wurden in „additional.fields“ umgewandelt.
- Wenn „properties.responseBody.properties.sourceAddressPrefixes“ eine einzelne IP-Adresse ist, wird sie „principal.ip“ zugeordnet.
- Wenn „properties.responseBody.properties.sourceAddressPrefixes“ ein IP-Adressbereich ist, wird er „additional.fields“ zugeordnet.
- Wenn „properties.responseBody.properties.sourceAddressPrefix“ eine einzelne IP-Adresse oder eine IP-Adresse mit Port ist, wird sie „principal.ip“ und „principal.port“ zugeordnet.
- Wenn „properties.responseBody.properties.sourceAddressPrefix“ ein IP-Adressbereich ist, wird er „additional.fields“ zugeordnet.
- Wenn „properties.responseBody.properties.destinationAddressPrefixes“ eine einzelne IP-Adresse ist, wird sie „target.ip“ zugeordnet.
- Wenn „properties.responseBody.properties.destinationAddressPrefixes“ ein IP-Adressbereich ist, wird er „additional.fields“ zugeordnet.
- Wenn „properties.responseBody.properties.destinationAddressPrefix“ eine einzelne IP-Adresse oder eine IP-Adresse mit Port ist, wird sie „target.ip“ und „target.port“ zugeordnet.
- Wenn „properties.responseBody.properties.destinationAddressPrefix“ ein IP-Adressbereich ist, wurde er „additional.fields“ zugeordnet.
- Wenn „properties.responseBody.properties.sourcePortRange“ ein einzelner Port ist, ordnen Sie ihn „principal.port“ zu.
- Wenn „properties.responseBody.properties.sourcePortRange“ ein Portbereich ist, ordnen Sie ihn „additional.fields“ zu.
- Wenn „properties.responseBody.properties.destinationPortRange“ ein einzelner Port ist, wird er „target.port“ zugeordnet.
- Wenn „properties.responseBody.properties.destinationPortRange“ ein Portbereich ist, wird er „additional.fields“ zugeordnet.
- „properties.id“ und „properties.status.errorCode“ wurden auf „security_result.detection_fields“ zugeordnet.
- „properties.isInteractive“ wurde in „extensions.auth.mechanism“ geändert.
- Wenn „properties.deviceDetail.operatingSystem“ „ANDROID“ ist, wird „principal.platform“ mit „ANDROID“ abgeglichen.
2024-06-03
- Die Ressourcen „ABOS“, „RESSOURCENGRUPPEN“, „SPEICHERKONTEN“, „ANBIETER“ und „SNAPSHOTS“ wurden von „resourceId“ zu „target.resource.attribute.labels“ zugeordnet.
2024-05-21
- Wenn „identity.authorization.evidence.principalType“ mit „Nutzer“, „Gruppe“ oder „Anwendung“ übereinstimmt, ordnen Sie „principal.resource.type“ dem Wert „UNBESTEMMT“ zu.
- „identity.authorization.evidence.role“ wurde in „principal.user.role_name“ geändert.
- „identity.authorization.evidence.principalType“ wurde in „principal.resource.resource_subtype“ umgewandelt.
- „identity.authorization.evidence.principalId“ wurde in „principal.user.product_object_id“ geändert.
- „identity.authorization.evidence.roleAssignmentId“, „identity.authorization.evidence.roleAssignmentScope“ und „identity.authorization.evidence.roleDefinitionId“ wurden in „principal.resource.attribute.labels“ umgewandelt.
2024-05-03
- Wenn „category“ „SignInLogs“ ist, wird „properties.userDisplayName“ mit „principal.user.user_display_name“ abgeglichen.
- „properties.requestbody.properties.priority“ und „properties.response.properties.priority“ wurden in „security_result.detection_fields“ zugeordnet.
- „properties.requestbody.properties.protocol“ wurde in „network.ip_protocol“ geändert.
- „properties.requestbody.properties.direction“ wurde in „network.direction“ geändert.
- „properties.response.properties.protocol“ wurde in „network.ip_protocol“ umgewandelt.
- „properties.response.properties.direction“ wurde in „network.direction“ umgewandelt.
- „properties.response.properties.destinationPortRange“ wurde in „target.port“ umgewandelt.
2024-04-26
- „operationName.value“ wurde auf „metadata.product_event_type“ zugeordnet.
- „category.value“ wurde in „security_result.category_details“ umgewandelt.
- „httpRequest.uri“ wurde in „network.http.referral_url“ umgewandelt.
- „httpRequest.method“ wurde in „network.http.method“ umgewandelt.
- „httpRequest.clientIpAddress“ wurde auf „principal.ip“ und „principal.asset.ip“ zugeordnet.
- „eventDataId“ wurde auf „security_result.detection_fields“ zugeordnet.
- „httpRequest.clientRequestId“ wurde auf „additional.fields“ zugeordnet.
2024-04-16
- Es wird jetzt unterstützt, „network.application_protocol“ zuzuordnen, wenn „protocol“ bekannt ist. Andernfalls wird „protocol“ zu „additional.fields“ zugeordnet.
2024-04-12
- „properties.requestbody.properties.allowBlobPublicAccess“ wurde in „security_result.detection_fields“ geändert.
2024-04-10
- „resourceId“ wurde „target.resource.name“ zugeordnet.
- Wenn „resourceId“ vorhanden ist, werden „targetResources.displayName“, „identity“, „Type“ und „properties.resourceDisplayName“ mit „target.resource.attribute.labels“ abgeglichen.
2024-03-29
- „ResourceGUID“ wurde „target.resource.product_object_id“ zugeordnet.
- „Typ“ wurde auf „target.resource.name“ zugeordnet.
- „ClientCity“ wurde „principal.location.city“ zugeordnet.
- „ClientCountryOrRegion“ wurde in „principal.location.country_or_region“ geändert.
- „ClientIP“ wurde „principal.ip“ und „principal.asset.ip“ zugeordnet.
- „ClientStateOrProvince“ wurde „principal.location.state“ zugeordnet.
- „ClientType“ wurde auf „principal.resource.attribute.labels“ zugeordnet.
- „IKey“ wurde „target.resource.attribute.labels“ zugeordnet.
- „_BilledSize“ und „DurationMs“ wurden „additional.fields“ zugeordnet.
- „OperationId“, „SDKVersion“ und „ItemCount“ wurden in „properties.operationId“ zugeordnet.
- „ParentId“, „Properties.WebtestLocationId“, „Properties.FullTestResultAvailable“, „Properties.SourceId“, „Properties._MS_altIds“, „Properties.WebtestArmResourceName“, „Properties.SyntheticMonitorId“ und „Success“ wurden in „security_result.detection_fields“ zugeordnet.
- „Message“ wurde auf „metadata.description“ zugeordnet.
- „Id“ wurde „principal.resource.product_object_id“ zugeordnet.
- „Name“ wurde „principal.resource.name“ zugeordnet.
2024-03-25
- Wenn „category“ „ServicePrincipalSignInLogs“, „NonInteractiveUserSigninLogs“ oder „ManagedIdentitySignInLogs“ ist, wird „createdDateTime“ mit „metadata.event_timestamp“ abgeglichen.
- Die folgenden Werte wurden auf „security_result.detection_fields“ umgestellt: „properties.authenticationDetails.authenticationStepDateTime“, „properties.authenticationDetails.authenticationMethod“, „properties.authenticationDetails.authenticationStepResultDetail“, „properties.authenticationDetails.authenticationStepRequirement“, „properties.id“ und „properties.resourceServicePrincipalId“.
- „properties.authenticationDetails.succeeded“ wurde in „security_result.action_details“ geändert.
2024-03-25
- Wenn „properties.requestbody.Properties.RoleDefinitionId“ nicht leer ist, legen Sie „security_result.detection_fields.key“ auf „RequestBody roleDefinitionId“ fest.
- „properties.roleDefinitionId“, „properties.principalId“, „properties.responseBody.properties.roleDefinitionId“ und „properties.requestbody.Properties.PrincipalId“ wurden in „security_result.detection_fields“ zugeordnet.
2024-03-13
- „properties.requestbody.properties.roleDefinitionId“ und „properties.requestbody.properties.principalId“ wurden auf „security_result.detection_fields“ zugeordnet.
2024-03-05
- „resultType“ wurde auf „security_result.action_details“ zugeordnet.
- „properties.requestbody.Properties.PrincipalId“ wurde in „principal.user.userid“ umgewandelt.
- Wenn „resultType“ nicht leer ist, wird „properties.status.failureReason“ mit „security_result.detection_fields“ abgeglichen.
- „properties.hardwareProfile.vmSize“, „properties.provisioningState“ und „properties.requestbody.Properties.RoleDefinitionId“ wurden in „security_result.detection_fields“ zugeordnet.
2024-02-13
Fehlerkorrektur:
- Wenn „identity.UserName“ eine E-Mail-Adresse ist, ordnen Sie sie „principal.user.email_addresses“ zu. Andernfalls ordnen Sie sie „principal.user.user_display_name“ zu.
2024-02-12
- Unterstützung für JSON-Protokolle hinzugefügt, die verworfen werden.
- „OperationNameValue“ wurde auf „metadata.product_event_type“ zugeordnet.
- „properties.eventDataId“, „properties.subscriptionId“, „properties.resourceGroup“ und „properties.resourceProviderValue“ wurden in „security_result.detection_fields“ zugeordnet.
- „Caller“ wurde auf „principal.user.userid“ zugeordnet.
- „ActivityStatusValue“ wurde in „security_result.action“ geändert.
2024-02-01
- Fehlerkorrektur:
- Wenn das Feld „category“ den Wert „NonInteractiveUserSignInLogs“ hat oder „OperationName“ „Anmeldeaktivität“ lautet, ändern Sie „metadata.event_type“ von „USER_LOGOUT“ zu „USER_LOGIN“.
- „properties.incomingTokenType“ und „properties.deviceDetail.browser“ wurden auf „additional.fields“ zugeordnet.
- „properties.userAgent“ wurde in „network.http.user_agent“ geändert.
- Wenn der Wert „properties.userAgent“ nicht vorhanden ist, wird nur „properties.deviceDetail.browser“ zu „network.http.user_agent“ zugeordnet.
- „user_agent_field“ wurde in „network.http.parsed_user_agent“ umgewandelt.
- „properties.eventProperties.clientIPAddress“ und „callerIpAddress“ wurden auf „principal.asset.ip“ zugeordnet.
- „hostname“, „rscname“ und „properties.eventProperties.compromisedHost“ wurden „principal.asset.hostname“ zugeordnet.
2024-01-07
- Fehlerkorrektur:
- Es wurde ein Grok-Muster hinzugefügt, um „callerIpAddress“ als IP-Adresse zu validieren.
- „properties.accountName“ wurde „principal.user.userid“ zugeordnet.
- „uri“ wurde zu „network.http.refferal_url“ zugeordnet.
- „properties.userAgentHeader“ wurde „network.http.user_agent“ zugeordnet.
- „properties.tlsVersion“ wurde in „network.tls.version“ geändert.
- „statusCode“ wurde in „network.http.response_code“ geändert.
- „protocol“ wurde in „network.application_protocol“ geändert.
- „properties.clientRequestId“, „properties.etag“, „properties.objectKey“, „properties.responseMd5“ und „resourceType“ wurden in „additional.fields“ umgewandelt.
2023-10-09
- Unterstützung für das Parsen nicht geparster Protokolle hinzugefügt.
- Die folgenden Felder wurden umbenannt:
- Von „OperationName“ zu „operationName“.
- Von „CorrelationId“ zu „correlationId“.
- Von „Kategorie“ zu „category“
- Von „ResourceId“ zu „resourceId“.
- Von „ResultType“ zu „resultType“.
- „ProviderName“ und „ProviderGuid“ wurden „security_result.detection_fields“ zugeordnet.
- „ResultDescription“ wurde „metadata.description“ zugeordnet.
2023-09-13
Verbesserung –
- „properties.eventCategory“ wurde in „security_result.detection_fields“ geändert.
- „opproperties.operationIderationName“ wurde in „security_result.detection_fields“ geändert.
- „properties.eventName“ wurde in „security_result.summary“ geändert.
- „properties.EventName“ wurde in „security_result.summary“ geändert.
- „properties.legacyResourceType“ wurde in „security_result.detection_fields“ umgewandelt.
- „properties.CallerCredentialType“ wurde in „security_result.detection_fields“ umgewandelt.
- „properties.EventChannel“ wurde in „security_result.detection_fields“ überführt.
- „properties.EventSource“ wurde in „security_result.detection_fields“ umgewandelt.
- „properties.legacyResourceId“ wurde in „security_result.detection_fields“ umgewandelt.
- „properties.eventProperties.User“ wurde auf „principal.user.id“ und „principal.user.email_addresses“ zugeordnet.
- „properties.Caller“ wurde auf „principal.user.id“ und „principal.user.email_addresses“ zugeordnet.
- „caller“ wurde auf „principal.user.id“ und „principal.user.email_addresses“ zugeordnet.
- „properties.IpAddress“ wurde auf „principal.ip“ zugeordnet.
- „properties.Description_scrubbed“ wurde in „security_result.description“ umgewandelt.
2023-02-22
Verbesserung –
- „tenantId“ wurde „metadata.product_deployment_id“ zugeordnet.
- „operationName“ wurde auf „metadata.product_event_type“ zugeordnet.
- „category“ wurde „security_result.category_details“ zugeordnet.
- „callerIpAddress“ wurde „principal.ip“ zugeordnet.
- „identity“ wurde „target.resource.name“ zugeordnet.
- „result“ wurde „security_result.action_details“ zugeordnet.
- „properties.activityDisplayName“ wurde „security_result.summary“ zugeordnet.
- „location“ wurde in „principal.location.name“ geändert.
- „Level“ wurde „security_result.severity_details“ zugeordnet.
- „properties.initiatedBy.app.displayName“ wurde auf „principal.application“ zugeordnet.
- „properties.targetResources.displayName“ wurde in „target.resource.name“ umgewandelt.
- „properties.targetResources.id“ wurde in „target.resource.product_object_id“ umgewandelt.
- „properties.targetResources.modifiedProperties.displayName“ wurde in „target.user.attribute.labels“ geändert.
- „properties.additionalDetails“ wurde in „additional.fields“ umgewandelt.
- „properties.loggedByService“ wurde auf „target.application“ zugeordnet.
- „properties.userId“ wurde „target.user.product_object_id“ zugeordnet.
- „properties.resourceDisplayName“ wurde „target.resource.name“ zugeordnet.
- „properties.location.city“ wurde „principal.location.city“ zugeordnet.
- „properties.location.state“ wurde „principal.location.state“ zugeordnet.
- „properties.location.countryOrRegion“ wurde in „principal.location.country_or_region“ umgewandelt.
- „properties.ipAddress“ wurde „principal.ip“ zugeordnet.
- „properties.location.geoCoordinates.latitude“ wurde in „principal.location.region_latitude“ umgewandelt.
- „properties.location.geoCoordinates.longitude“ wurde in „principal.location.region_longitude“ umgewandelt.
- „properties.servicePrincipalId“ wurde „principal.user.userid“ zugeordnet.
- „properties.servicePrincipalName“ wurde in „principal.user.user_display_name“ geändert.
- Die folgenden Unterkünfte wurden zu „additional.fields“ zugeordnet: „properties.tokenIssuerType“, „properties.authenticationProcessingDetails.0.value“, „properties.operationType“, „properties.authenticationRequirement“ und „properties.deviceDetail.trustType“.
- „resultDescription“ wurde in „metadata.description“ geändert.
- „properties.userDisplayName“ wurde „target.user.user_display_name“ zugeordnet.
- „properties.appDisplayName“ wurde „target.application“ zugeordnet.
- „properties.userType“ wurde auf „principal.user.attribute.roles“ zugeordnet.
- „properties.status.failureReason“ wurde in „security_result.action_details“ umgewandelt.
- „properties.deviceDetail.operatingSystem“ wurde in „principal.platform_version“ umgewandelt.
- „properties.deviceDetail.displayName“ wurde „principal.asset.hardware“ zugeordnet.
- „properties.deviceDetail.browser“ wurde in „network.http.user_agent“ geändert.
- „properties.userPrincipalName“ wurde in „principal.user.email_addresses“ geändert.
2022-11-28
Verbesserung –
- Das Feld „correlationId“ wurde „security_result.detection_fields“ zugeordnet.
- Das Feld „level“ wurde „security_result.severity_details“ zugeordnet.
- Die folgende Zuordnung für die Kategorie „Ressourcenstatus“ wurde hinzugefügt:
- Das Feld „properties.legacyEventDataId“ wurde in „security_result.detection_fields“ überführt.
- Das Feld „properties.legacyChannels“ wurde in „security_result.detection_fields“ umgewandelt.
- Das Feld „properties.legacySubscriptionId“ wurde in „security_result.detection_fields“ überführt.
- Das Feld „properties.legacyResourceGroup“ wurde in „security_result.detection_fields“ umgewandelt.
- Das Feld „properties.legacyResourceProviderName“ wurde „security_result.detection_fields“ zugeordnet.
- Das Feld „properties.eventProperties.currentHealthStatus“ wurde in „security_result.detection_fields“ umgewandelt.
- Das Feld „properties.eventProperties.previousHealthStatus“ wurde in „security_result.detection_fields“ überführt.
- Das Feld „properties.eventProperties.type“ wurde in „security_result.detection_fields“ umgewandelt.
- Das Feld „properties.eventProperties.cause“ wurde in „security_result.detection_fields“ überführt.
2022-09-26
Verbesserung: Felder hinzugefügt.
- „tenantId“ wurde „metadata.product_deployment_id“ zugeordnet
2022-06-20
Verbesserung –
- Bedingte Prüfung für „entity_properties“ hinzugefügt.
- wenn „category“ mit „Sicherheit“ übereinstimmt
- „properties.eventProperties.clientIPAddress“ wurde „principal.ip“ zugeordnet.
- „properties.eventProperties.accountSessionId“ wurde in „network.session_id“ umgewandelt.
- „properties.eventProperties.suspiciousProcess“ wurde in „target.process.file.full_path“ geändert.
- „properties.eventProperties.suspiciousCommandLine“ wurde in „target.process.command_line“ geändert.
- „properties.eventProperties.suspiciousProcessId“ wurde in „target.process.pid“ umgewandelt.
- „properties.eventProperties.compromisedHost“ wurde „principal.hostname“ zugeordnet.
- „resultDescription“ wurde „metadata.description“ zugeordnet
- „properties.legacySubscriptionId“ wurde in „security_result.detection_fields“ umgewandelt.
- „properties.legacyResourceProviderName“ wurde in „security_result.detection_fields“ umgewandelt.
2022-05-19
Verbesserung: Mehrere Felder hinzugefügt und geändert.
- claims, Identity, aud, tenantid, principalId, action, appidacr, iat, exp, nbf, rh, uti, ver, xms_tcdt, principalType, roleAssignmentId, appid, aio, iss, nameidentifier, roleDefinitionId, scope zu security_result.detection_fields
- resultSignature, resultType, hierarchy, resource_type, entity, zugeordnet zu additional.fields.
- „RoleLocation“ ist „location.name“ zugeordnet.
- Kategorie, die security_result.category_details zugeordnet ist.