Mengambil log aktivitas Microsoft Azure

Didukung di:

Dokumen ini menjelaskan langkah-langkah yang diperlukan untuk menyerap log aktivitas Microsoft Azure (AZURE_ACTIVITY) ke dalam Google Security Operations.

Mengonfigurasi Akun Penyimpanan

Selesaikan langkah-langkah berikut untuk mengonfigurasi akun Storage:

  1. Di konsol Azure, telusuri Storage accounts.
  2. Klik Create.
  3. Pilih Langganan, Grup Resource, region, performa (sebaiknya Standar), dan Redundansi (sebaiknya GRS atau LRS) yang diperlukan untuk akun, masukkan nama untuk Akun Penyimpanan baru.
  4. Klik Review + create, tinjau ringkasan akun, lalu klik Create.
  5. Di halaman Ringkasan Akun Penyimpanan, pilih Kunci akses dari navigasi sebelah kiri jendela.
  6. Klik Tampilkan kunci dan catat kunci bersama untuk akun penyimpanan.
  7. Pilih Endpoints dari navigasi kiri jendela.
  8. Catat endpoint Layanan blob. (https://<storageaccountname>.blob.core.windows.net/)

Mengonfigurasi logging aktivitas Azure

Selesaikan langkah-langkah berikut untuk mengonfigurasi logging aktivitas Azure:

  1. Di konsol Azure, telusuri Monitor.
  2. Klik link Log aktivitas di navigasi sebelah kiri halaman.
  3. Klik Ekspor Log Aktivitas di bagian atas jendela.
  4. Klik Tambahkan Setelan diagnostik.
  5. Pilih semua kategori yang ingin diekspor ke Google Security Operations.
  6. Di bagian Detail tujuan, pilih Arsipkan ke akun penyimpanan.
  7. Pilih langganan dan akun penyimpanan yang Anda buat di langkah sebelumnya.
  8. Klik Simpan.

Mengonfigurasi feed di Google Security Operations untuk menyerap log Azure

Selesaikan langkah-langkah berikut untuk mengonfigurasi feed di Google Security Operations guna menyerap log Azure:

  1. Buka Setelan SIEM > Feed.
  2. Klik Add New.
  3. Masukkan nama unik untuk Nama Kolom.
  4. Pilih Microsoft Azure Blob Storage sebagai Source Type.
  5. Pilih Microsoft Azure Activity sebagai Log Type.
  6. Klik Berikutnya.
  7. Konfigurasikan parameter input wajib berikut:
    • Azure URI: masukkan nilai endpoint Blob Service yang Anda catat sebelumnya, diakhiri dengan insights-activity-logs (misalnya, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
    • URI adalah: pilih Direktori yang menyertakan subdirektori.
    • Opsi Penghapusan Sumber: menentukan apakah akan menghapus file dan direktori setelah mentransfer.
    • Shared key: masukkan nilai shared key yang Anda ambil sebelumnya.
  8. Klik Berikutnya, lalu klik Kirim.

Referensi pemetaan kolom

Kode parser ini pertama-tama melakukan inisialisasi sejumlah besar kolom ke string kosong, lalu melakukan serangkaian manipulasi string dan operasi penguraian JSON untuk mengekstrak informasi yang relevan dari pesan log Aktivitas Azure. Terakhir, alat ini memetakan data yang diekstrak ke kolom Unified Data Model (UDM), mengategorikan jenis peristiwa, dan memperkayanya dengan detail tambahan seperti tingkat keparahan, informasi utama, dan data jaringan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
category read_only_udm.security_result.category_details Dipetakan langsung dari kolom "category" dalam log mentah.
callerIpAddress read_only_udm.principal.asset.ip, read_only_udm.principal.ip Dipetakan langsung dari kolom "callerIpAddress" dalam log mentah.
correlationId read_only_udm.security_result.detection_fields.correlationId Dipetakan langsung dari kolom "correlationId" dalam log mentah.
data.callerIpAddress read_only_udm.principal.asset.ip, read_only_udm.principal.ip Dipetakan langsung dari kolom "callerIpAddress" dalam objek "data" di log mentah.
data.correlationId read_only_udm.security_result.detection_fields.correlationId Dipetakan langsung dari kolom "correlationId" dalam objek "data" di log mentah.
data.DeploymentUnit read_only_udm.target.resource.name Dipetakan langsung dari kolom "DeploymentUnit" dalam objek "data" di log mentah.
data.details read_only_udm.metadata.description Dipetakan langsung dari kolom "details" dalam objek "data" di log mentah, hanya jika kolom "details" bukan "Unknown".
data.entity read_only_udm.additional.fields.entity Dipetakan langsung dari kolom "entity" dalam objek "data" di log mentah.
data.EventName read_only_udm.metadata.product_event_type Dipetakan langsung dari kolom "EventName" dalam objek "data" di log mentah.
data.hierarchy read_only_udm.additional.fields.hierarchy Dipetakan langsung dari kolom "hierarki" dalam objek "data" di log mentah.
data.identity.authorization.action read_only_udm.security_result.detection_fields.action Dipetakan langsung dari kolom "action" dalam objek "authorization" dari objek "identity" dalam log mentah.
data.identity.authorization.evidence.principalId read_only_udm.principal.user.product_object_id, read_only_udm.principal.resource.product_object_id, read_only_udm.principal.group.product_object_id Dipetakan langsung dari kolom "principalId" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. Kolom UDM spesifik yang dipetakan bergantung pada nilai kolom "principalType". Jika "principalType" adalah "User" atau "ServicePrincipal", nilai tersebut akan dipetakan ke principal.user.product_object_id. Jika "principalType" adalah "Group", nilai ini akan dipetakan ke principal.group.product_object_id. Jika "principalType" adalah "ServicePrincipal", nilai tersebut akan dipetakan ke principal.resource.product_object_id.
data.identity.authorization.evidence.principalType read_only_udm.principal.resource.resource_subtype Dipetakan langsung dari kolom "principalType" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah.
data.identity.authorization.evidence.role read_only_udm.principal.user.role_name Dipetakan langsung dari kolom "role" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah.
data.identity.authorization.evidence.roleAssignmentId read_only_udm.principal.resource.attribute.labels.roleAssignmentId Dipetakan langsung dari kolom "roleAssignmentId" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah.
data.identity.authorization.evidence.roleAssignmentScope read_only_udm.principal.resource.attribute.labels.roleAssignmentScope Dipetakan langsung dari kolom "roleAssignmentScope" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah.
data.identity.authorization.evidence.roleDefinitionId read_only_udm.principal.resource.attribute.labels.roleDefinitionId Dipetakan langsung dari kolom "roleDefinitionId" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah.
data.identity.authorization.scope read_only_udm.security_result.detection_fields.scope Dipetakan langsung dari kolom "scope" dalam objek "authorization" dari objek "identity" dalam log mentah.
data.identity.claims.aio read_only_udm.security_result.detection_fields.aio Dipetakan langsung dari kolom "aio" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.appid read_only_udm.security_result.detection_fields.appid Dipetakan langsung dari kolom "appid" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.appidacr read_only_udm.security_result.detection_fields.appidacr Dipetakan langsung dari kolom "appidacr" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.aud read_only_udm.security_result.detection_fields.aud Dipetakan langsung dari kolom "aud" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.exp read_only_udm.security_result.detection_fields.exp Dipetakan langsung dari kolom "exp" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.http://schemas.microsoft.com/identity/claims/identityprovider read_only_udm.security_result.detection_fields.identityprovider Dipetakan langsung dari kolom "http://schemas.microsoft.com/identity/claims/identityprovider" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.http://schemas.microsoft.com/identity/claims/objectidentifier read_only_udm.security_result.detection_fields.objectidentifier Dipetakan langsung dari kolom "http://schemas.microsoft.com/identity/claims/objectidentifier" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.http://schemas.microsoft.com/identity/claims/tenantid read_only_udm.security_result.detection_fields.tenantid Dipetakan langsung dari kolom "http://schemas.microsoft.com/identity/claims/tenantid" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier read_only_udm.security_result.detection_fields.nameidentifier Dipetakan langsung dari kolom "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.iat read_only_udm.security_result.detection_fields.iat Dipetakan langsung dari kolom "iat" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.iss read_only_udm.security_result.detection_fields.iss Dipetakan langsung dari kolom "iss" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.nbf read_only_udm.security_result.detection_fields.nbf Dipetakan langsung dari kolom "nbf" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.rh read_only_udm.security_result.detection_fields.rh Dipetakan langsung dari kolom "rh" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.uti read_only_udm.security_result.detection_fields.uti Dipetakan langsung dari kolom "uti" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.ver read_only_udm.security_result.detection_fields.ver Dipetakan langsung dari kolom "ver" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.claims.xms_tcdt read_only_udm.security_result.detection_fields.xms_tcdt Dipetakan langsung dari kolom "xms_tcdt" dalam objek "claims" dari objek "identity" dalam log mentah.
data.identity.UserName read_only_udm.principal.user.user_display_name Dipetakan langsung dari kolom "UserName" dalam objek "identity" di log mentah.
data.level read_only_udm.security_result.severity, read_only_udm.security_result.severity_details Dipetakan langsung dari kolom "level" dalam objek "data" di log mentah. Kolom "level" juga digunakan untuk menentukan nilai kolom severity. Jika "level" adalah "Information" atau "Informational", severity disetel ke "INFORMATIONAL". Jika "level" adalah "Peringatan", severity ditetapkan ke "MEDIUM". Jika "level" adalah "Error", severity ditetapkan ke "ERROR". Jika "level" adalah "Critical", severity akan disetel ke "CRITICAL".
data.location read_only_udm.target.location.name Dipetakan langsung dari kolom "location" dalam objek "data" di log mentah.
data.operationName read_only_udm.metadata.product_event_type Dipetakan langsung dari kolom "operationName" dalam objek "data" di log mentah.
data.properties.EventChannel read_only_udm.additional.fields.properties EventChannel Dipetakan langsung dari kolom "EventChannel" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.EventSource read_only_udm.additional.fields.properties EventSource Dipetakan langsung dari kolom "EventSource" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.EventId read_only_udm.metadata.product_log_id Dipetakan langsung dari kolom "EventId" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.eventProperties.cause read_only_udm.security_result.detection_fields.cause Dipetakan langsung dari kolom "cause" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah.
data.properties.eventProperties.clientIPAddress read_only_udm.principal.asset.ip, read_only_udm.principal.ip Dipetakan langsung dari kolom "clientIPAddress" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah.
data.properties.eventProperties.compromisedHost read_only_udm.principal.asset.hostname, read_only_udm.principal.hostname Dipetakan langsung dari kolom "compromisedHost" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah.
data.properties.eventProperties.currentHealthStatus read_only_udm.security_result.detection_fields.currentHealthStatus Dipetakan langsung dari kolom "currentHealthStatus" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah.
data.properties.eventProperties.previousHealthStatus read_only_udm.security_result.detection_fields.previousHealthStatus Dipetakan langsung dari kolom "previousHealthStatus" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah.
data.properties.eventProperties.type read_only_udm.security_result.detection_fields.type Dipetakan langsung dari kolom "type" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah.
data.properties.eventProperties.User read_only_udm.principal.user.userid Dipetakan langsung dari kolom "Pengguna" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah.
data.properties.eventProperties.userName read_only_udm.principal.user.user_display_name Dipetakan langsung dari kolom "userName" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah, setelah menghapus awalan "SECURE\".
data.properties.ipAddress read_only_udm.principal.asset.ip, read_only_udm.principal.ip Dipetakan langsung dari kolom "ipAddress" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.legacyChannels read_only_udm.security_result.detection_fields.legacyChannels Dipetakan langsung dari kolom "legacyChannels" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.legacyEventDataId read_only_udm.security_result.detection_fields.legacyEventDataId Dipetakan langsung dari kolom "legacyEventDataId" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.legacyResourceId read_only_udm.security_result.detection_fields.legacyResourceId Dipetakan langsung dari kolom "legacyResourceId" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.legacyResourceGroup read_only_udm.security_result.detection_fields.legacyResourceGroup Dipetakan langsung dari kolom "legacyResourceGroup" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.legacyResourceProviderName read_only_udm.security_result.detection_fields.legacyResourceProviderName Dipetakan langsung dari kolom "legacyResourceProviderName" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.legacyResourceType read_only_udm.security_result.detection_fields.legacyResourceType Dipetakan langsung dari kolom "legacyResourceType" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.legacySubscriptionId read_only_udm.security_result.detection_fields.legacySubscriptionId Dipetakan langsung dari kolom "legacySubscriptionId" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.operationId read_only_udm.security_result.detection_fields.operationId Dipetakan langsung dari kolom "operationId" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.result read_only_udm.security_result.action_details Dipetakan langsung dari kolom "result" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.statusCode read_only_udm.network.http.response_code Dipetakan langsung dari kolom "statusCode" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.suspiciousCommandLine read_only_udm.target.process.command_line Dipetakan langsung dari kolom "suspiciousCommandLine" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.suspiciousProcess read_only_udm.target.process.file.full_path Dipetakan langsung dari kolom "suspiciousProcess" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.suspiciousProcessId read_only_udm.target.process.pid Dipetakan langsung dari kolom "suspiciousProcessId" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.tlsVersion read_only_udm.network.tls.version Dipetakan langsung dari kolom "tlsVersion" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.userAgent read_only_udm.network.http.user_agent, read_only_udm.network.http.parsed_user_agent Dipetakan langsung dari kolom "userAgent" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.userAgentHeader read_only_udm.network.http.user_agent, read_only_udm.network.http.parsed_user_agent Dipetakan langsung dari kolom "userAgentHeader" dalam objek "properties" dari objek "data" dalam log mentah.
data.properties.userId read_only_udm.target.user.product_object_id Dipetakan langsung dari kolom "userId" dalam objek "properties" dari objek "data" dalam log mentah.
data.ReleaseVersion read_only_udm.metadata.product_version Dipetakan langsung dari kolom "ReleaseVersion" dalam objek "data" di log mentah.
data.resourceId read_only_udm.target.resource.name Dipetakan langsung dari kolom "resourceId" dalam objek "data" di log mentah.
data.resourceType read_only_udm.additional.fields.resourceType Dipetakan langsung dari kolom "resourceType" dalam objek "data" di log mentah.
data.resultDescription read_only_udm.metadata.description Dipetakan langsung dari kolom "resultDescription" dalam objek "data" di log mentah.
data.resultSignature read_only_udm.additional.fields.resultSignature Dipetakan langsung dari kolom "resultSignature" dalam objek "data" di log mentah.
data.resultType read_only_udm.security_result.action_details, read_only_udm.additional.fields.resultType Dipetakan langsung dari kolom "resultType" dalam objek "data" di log mentah.
data.RoleLocation read_only_udm.target.location.name Dipetakan langsung dari kolom "RoleLocation" dalam objek "data" di log mentah.
data.time read_only_udm.metadata.event_timestamp Kolom "time" dalam objek "data" di log mentah diuraikan untuk mengekstrak stempel waktu, yang kemudian dipetakan ke event_timestamp.
data.uri read_only_udm.network.http.referral_url Dipetakan langsung dari kolom "uri" dalam objek "data" di log mentah.
read_only_udm.extensions.auth.mechanism INTERACTIVE Tetapkan ke "INTERACTIVE" jika kolom "isInteractive" dalam objek "properties" dari objek "data" dalam log mentah adalah "true". Jika tidak, nilai ini akan ditetapkan ke "MECHANISM_OTHER".
read_only_udm.extensions.auth.type MACHINE Tetapkan ke "MACHINE" jika kolom "category" dalam log mentah adalah "NonInteractiveUserSignInLogs", "ManagedIdentitySignInLogs", atau "ServicePrincipalSignInLogs".
read_only_udm.metadata.log_type AZURE_ACTIVITY Di-hardcode ke "AZURE_ACTIVITY".
read_only_udm.metadata.vendor_name Microsoft Di-hardcode ke "Microsoft".
read_only_udm.principal.platform WINDOWS, MAC, LINUX, ANDROID Ditentukan berdasarkan nilai kolom "properties.test.deviceDetail.operatingSystem". Jika berisi "Win", platform ditetapkan ke "WINDOWS". Jika berisi "Mac", platform ditetapkan ke "MAC". Jika berisi "Lin", platform ditetapkan ke "LINUX". Jika berisi "Android", platform ditetapkan ke "ANDROID".
read_only_udm.principal.resource.type SERVICE_ACCOUNT, UNSPECIFIED Ditentukan berdasarkan nilai kolom "identity.authorization.evidence.principalType". Jika "ServicePrincipal", type ditetapkan ke "SERVICE_ACCOUNT". Jika tidak, nilai ini akan ditetapkan ke "UNSPECIFIED".
read_only_udm.security_result.action ALLOW, BLOCK, UNKNOWN_ACTION Ditentukan berdasarkan nilai kolom "resultType", "status_errorcode", dan "statusText". Jika "resultType" adalah salah satu dari "Success", "success", "Succeeded", "Started", "Resolved", "Active", "Updated", "Start", "Accept", "Accepted", "0", atau jika "status_errorcode" adalah 0, atau jika "statusText" adalah "Success", action ditetapkan ke "ALLOW". Jika "resultType" adalah salah satu dari "Failure", "Failed", atau jika "status_errorcode" tidak kosong, atau jika "resultType" tidak kosong, action ditetapkan ke "BLOCK". Jika tidak, nilai ini akan ditetapkan ke "UNKNOWN_ACTION".
read_only_udm.target.cloud.environment MICROSOFT_AZURE Di-hardcode ke "MICROSOFT_AZURE".

Perubahan

2024-07-10

  • Jika "identity.authorization.evidence.principalType" sama dengan "Group", petakan "identity.authorization.evidence.principalId" ke "principal.group.product_object_id".
  • Jika "identity.authorization.evidence.principalType" sama dengan "User" atau "ServicePrincipal", maka petakan "identity.authorization.evidence.principalId" ke "principal.user.product_object_id".
  • Menambahkan gsub untuk mengubah kolom "properties" menjadi "properties.test" dan menghapus kolom yang hanya dimulai dengan "properties".

2024-07-08

  • Memetakan "properties.compromisedEntity", "properties.attackedResourceType", dan "properties.intent" ke "target.resource.attribute.labels".
  • Memetakan "properties.severity" ke "security_result.severity".

2024-06-18

  • Jika "principal.user.userid" tidak ada, ubah pemetaan untuk "metadata.event_type" dari "USER_RESOURCE_ACCESS" menjadi "GENERIC_EVENT".

2024-06-18

  • Memetakan "operationVersion" ke "metadata.product_version".
  • Memetakan "properties.authenticationRequirementPolicies.requirementProvider" dan "properties.authenticationRequirementPolicies.detail" ke "security_result.detection_fields".
  • Memetakan "properties.authenticationDetails.StatusSequence", "properties.correlationId", "properties.uniqueTokenIdentifier", dan "properties.authenticationDetails.RequestSequence" ke "security_result.detection_fields".
  • Memetakan "properties.appDisplayName" ke "target.application".
  • Memetakan "properties.conditionalAccessStatus", "properties.appliedConditionalAccessPolicies", "properties.authenticationContextClassReferences", "properties.signInTokenProtectionStatus", "properties.originalRequestId", "properties.authenticationProcessingDetails", "properties.clientCredentialType", "properties.processingTimeInMilliseconds", "properties.riskDetail", "properties.riskLevelAggregated", "properties.riskLevelDuringSignIn", "properties.riskState", dan "properties.originalTransferMethod" ke "additional.fields".
  • Memetakan "properties.riskEventTypes", "properties.riskEventTypes_v2", "properties.homeTenantId", "properties.autonomousSystemNumber", "properties.autonomousSystemNumber", dan "properties.privateLinkDetails" ke "additional.fields".
  • Memetakan "properties.resourceId", "properties.resourceTenantId", dan "properties.resourceServicePrincipalId" ke "target.resource.attribute.labels".
  • Memetakan "properties.userType" ke "principal.user.attribute.roles".
  • Memetakan "properties.userPrincipalName" ke "principal.user.email_addresses".
  • Memetakan "properties.clientAppUsed" ke "principal.application".
  • Memetakan "properties.deviceDetail.deviceId" ke "principal.asset.asset_id" dan "principal.asset_id".
  • Memetakan "properties.appId" ke "target.resource.attribute.labels".
  • Memetakan "properties.status.additionalDetails" ke "security_result.description".
  • Memetakan "properties.responseBody.name" ke "security_result.rule_name".
  • Memetakan "properties.responseBody.properties.sourcePortRanges" dan "properties.responseBody.properties.destinationPortRanges" ke "additional.fields".
  • Jika "properties.responseBody.properties.sourceAddressPrefixes" adalah satu alamat IP, petakan ke "principal.ip".
  • Jika "properties.responseBody.properties.sourceAddressPrefixes" adalah rentang alamat IP, petakan ke "additional.fields".
  • Jika "properties.responseBody.properties.sourceAddressPrefix" adalah satu alamat IP atau alamat IP dengan port, petakan ke "principal.ip" dan "principal.port".
  • Jika "properties.responseBody.properties.sourceAddressPrefix" adalah rentang alamat IP, petakan ke "additional.fields".
  • Jika "properties.responseBody.properties.destinationAddressPrefixes" adalah satu alamat IP, petakan ke "target.ip".
  • Jika "properties.responseBody.properties.destinationAddressPrefixes" adalah rentang alamat IP, petakan ke "additional.fields".
  • Jika "properties.responseBody.properties.destinationAddressPrefix" adalah satu alamat IP atau alamat IP dengan port, petakan ke "target.ip" dan "target.port".
  • Jika "properties.responseBody.properties.destinationAddressPrefix" adalah rentang alamat IP, petakan ke "additional.fields".
  • Jika "properties.responseBody.properties.sourcePortRange" adalah satu port, petakan ke "principal.port".
  • Jika "properties.responseBody.properties.sourcePortRange" adalah rentang port, petakan ke "additional.fields".
  • Jika "properties.responseBody.properties.destinationPortRange" adalah satu port, petakan ke "target.port".
  • Jika "properties.responseBody.properties.destinationPortRange" adalah rentang port, petakan ke "additional.fields".
  • Memetakan "properties.id" dan "properties.status.errorCode" ke "security_result.detection_fields".
  • Memetakan "properties.isInteractive" ke "extensions.auth.mechanism".
  • Jika "properties.deviceDetail.operatingSystem" adalah "ANDROID", maka pemetaan "principal.platform" ke "ANDROID".

2024-06-03

  • Memetakan "SUBSCRIPTIONS", "RESOURCEGROUPS", "STORAGEACCOUNTS", "PROVIDERS", dan "SNAPSHOTS" dari "resourceId" ke "target.resource.attribute.labels".

2024-05-21

  • Jika "identity.authorization.evidence.principalType" sama dengan "User", "Group", "Application", petakan "principal.resource.type" ke "UNSPECIFIED".
  • Memetakan "identity.authorization.evidence.role" ke "principal.user.role_name".
  • Memetakan "identity.authorization.evidence.principalType" ke "principal.resource.resource_subtype".
  • Memetakan "identity.authorization.evidence.principalId" ke "principal.user.product_object_id".
  • Memetakan "identity.authorization.evidence.roleAssignmentId", "identity.authorization.evidence.roleAssignmentScope", "identity.authorization.evidence.roleDefinitionId" ke "principal.resource.attribute.labels".

2024-05-03

  • Jika "category" adalah "SignInLogs", maka pemetaan "properties.userDisplayName" ke "principal.user.user_display_name".
  • Memetakan "properties.requestbody.properties.priority" dan "properties.response.properties.priority" ke "security_result.detection_fields".
  • Memetakan "properties.requestbody.properties.protocol" ke "network.ip_protocol".
  • Memetakan "properties.requestbody.properties.direction" ke "network.direction".
  • Memetakan "properties.response.properties.protocol" ke "network.ip_protocol".
  • Memetakan "properties.response.properties.direction" ke "network.direction".
  • Memetakan "properties.response.properties.destinationPortRange" ke "target.port".

2024-04-26

  • Memetakan "operationName.value" ke "metadata.product_event_type".
  • Memetakan "category.value" ke "security_result.category_details".
  • Memetakan "httpRequest.uri" ke "network.http.referral_url".
  • Memetakan "httpRequest.method" ke "network.http.method".
  • Memetakan "httpRequest.clientIpAddress" ke "principal.ip" dan "principal.asset.ip".
  • Memetakan "eventDataId" ke "security_result.detection_fields".
  • Memetakan "httpRequest.clientRequestId" ke "additional.fields".

2024-04-16

  • Menambahkan dukungan untuk memetakan "network.application_protocol" jika "protocol" diketahui, jika tidak, memetakan "protocol" ke "additional.fields".

2024-04-12

  • Memetakan "properties.requestbody.properties.allowBlobPublicAccess" ke "security_result.detection_fields".

2024-04-10

  • Memetakan "resourceId" ke "target.resource.name".
  • Jika "resourceId" ada, maka pemetakan "targetResources.displayName", "identity", "Type", dan "properties.resourceDisplayName" ke "target.resource.attribute.labels".

2024-03-29

  • Memetakan "ResourceGUID" ke "target.resource.product_object_id".
  • Memetakan "Type" ke "target.resource.name".
  • Memetakan "ClientCity" ke "principal.location.city".
  • Memetakan "ClientCountryOrRegion" ke "principal.location.country_or_region".
  • Memetakan "ClientIP" ke "principal.ip" dan "principal.asset.ip".
  • Memetakan "ClientStateOrProvince" ke "principal.location.state".
  • Memetakan "ClientType" ke "principal.resource.attribute.labels".
  • Memetakan "IKey" ke "target.resource.attribute.labels".
  • Memetakan "_BilledSize" dan "DurationMs" ke "additional.fields".
  • Memetakan "OperationId", "SDKVersion", dan "ItemCount" ke "properties.operationId".
  • Memetakan "ParentId", "Properties.WebtestLocationId", "Properties.FullTestResultAvailable", "Properties.SourceId", "Properties._MS_altIds", "Properties.WebtestArmResourceName", "Properties.SyntheticMonitorId", dan "Success" ke "security_result.detection_fields".
  • Memetakan "Pesan" ke "metadata.description".
  • Memetakan "Id" ke "principal.resource.product_object_id".
  • Memetakan "Name" ke "principal.resource.name".

2024-03-25

  • Jika "category" adalah "ServicePrincipalSignInLogs" atau "NonInteractiveUserSigninLogs" atau "ManagedIdentitySignInLogs", maka pemetaan "createdDateTime" ke "metadata.event_timestamp".
  • Memetakan "properties.authenticationDetails.authenticationStepDateTime", "properties.authenticationDetails.authenticationMethod", "properties.authenticationDetails.authenticationStepResultDetail", "properties.authenticationDetails.authenticationStepRequirement", "properties.id", dan "properties.resourceServicePrincipalId" ke "security_result.detection_fields".
  • Memetakan "properties.authenticationDetails.succeeded" ke "security_result.action_details".

2024-03-25

  • Jika "properties.requestbody.Properties.RoleDefinitionId" tidak kosong, tetapkan "security_result.detection_fields.key" ke "RequestBody roleDefinitionId".
  • Memetakan "properties.roleDefinitionId", "properties.principalId", "properties.responseBody.properties.roleDefinitionId", dan "properties.requestbody.Properties.PrincipalId" ke "security_result.detection_fields".

2024-03-13

  • Memetakan "properties.requestbody.properties.roleDefinitionId" dan "properties.requestbody.properties.principalId" ke "security_result.detection_fields".

2024-03-05

  • Memetakan "resultType" ke "security_result.action_details".
  • Memetakan "properties.requestbody.Properties.PrincipalId" ke "principal.user.userid".
  • Jika "resultType" tidak kosong, maka pemeta "properties.status.failureReason" ke "security_result.detection_fields".
  • Memetakan "properties.hardwareProfile.vmSize", "properties.provisioningState", "properties.requestbody.Properties.RoleDefinitionId" ke "security_result.detection_fields".

2024-02-13

Perbaikan Bug:

  • Jika "identity.UserName" adalah email, petakan ke "principal.user.email_addresses", jika tidak, petakan ke "principal.user.user_display_name".

2024-02-12

  • Menambahkan dukungan untuk log JSON yang dihapus.
  • Memetakan "OperationNameValue" ke "metadata.product_event_type".
  • Memetakan "properties.eventDataId", "properties.subscriptionId", "properties.resourceGroup", dan "properties.resourceProviderValue" ke "security_result.detection_fields".
  • Memetakan "Pemanggil" ke "principal.user.userid".
  • Memetakan "ActivityStatusValue" ke "security_result.action".

2024-02-01

  • Perbaikan Bug:
  • Jika kolom "category" memiliki nilai "NonInteractiveUserSignInLogs" atau "OperationName" adalah "Aktivitas login", ubah "metadata.event_type" dari "USER_LOGOUT" menjadi "USER_LOGIN".
  • Memetakan "properties.incomingTokenType" dan "properties.deviceDetail.browser" ke "additional.fields".
  • Memetakan "properties.userAgent" ke "network.http.user_agent".
  • Jika nilai "properties.userAgent" tidak ada, hanya pemetakan "properties.deviceDetail.browser" ke "network.http.user_agent".
  • Memetakan "user_agent_field" yang diuraikan ke "network.http.parsed_user_agent".
  • Memetakan "properties.eventProperties.clientIPAddress" dan "callerIpAddress" ke "principal.asset.ip".
  • Memetakan "hostname", "rscname", dan "properties.eventProperties.compromisedHost" ke "principal.asset.hostname".

2024-01-07

  • Perbaikan Bug:
  • Menambahkan pola Grok untuk memvalidasi "callerIpAddress" sebagai alamat IP.
  • Memetakan "properties.accountName" ke "principal.user.userid".
  • Memetakan "uri" ke "network.http.refferal_url".
  • Memetakan "properties.userAgentHeader" ke "network.http.user_agent".
  • Memetakan "properties.tlsVersion" ke "network.tls.version".
  • Memetakan "statusCode" ke "network.http.response_code".
  • Memetakan "protocol" ke "network.application_protocol".
  • Memetakan "properties.clientRequestId", "properties.etag", "properties.objectKey", "properties.responseMd5", dan "resourceType" ke "additional.fields".

2023-10-09

  • Menambahkan dukungan untuk mengurai log yang tidak diuraikan.
  • Mengganti nama kolom berikut:
  • Dari "OperationName" menjadi "operationName".
  • Dari "CorrelationId" menjadi "correlationId".
  • Dari "Kategori" menjadi "category".
  • Dari "ResourceId" menjadi "resourceId".
  • Dari "ResultType" menjadi "resultType".
  • Memetakan "ProviderName", "ProviderGuid" ke "security_result.detection_fields".
  • Memetakan "ResultDescription" ke "metadata.description".

2023-09-13

Peningkatan -

  • Memetakan "properties.eventCategory" ke "security_result.detection_fields".
  • Memetakan "opproperties.operationIderationName" ke "security_result.detection_fields".
  • Memetakan "properties.eventName" ke "security_result.summary".
  • Memetakan "properties.EventName" ke "security_result.summary".
  • Memetakan "properties.legacyResourceType" ke "security_result.detection_fields".
  • Memetakan "properties.CallerCredentialType" ke "security_result.detection_fields".
  • Memetakan "properties.EventChannel" ke "security_result.detection_fields".
  • Memetakan "properties.EventSource" ke "security_result.detection_fields".
  • Memetakan "properties.legacyResourceId" ke "security_result.detection_fields".
  • Memetakan "properties.eventProperties.User" ke "principal.user.id" dan "principal.user.email_addresses".
  • Memetakan "properties.Caller" ke "principal.user.id" dan "principal.user.email_addresses".
  • Memetakan "pemanggil" ke "principal.user.id" dan "principal.user.email_addresses".
  • Memetakan "properties.IpAddress" ke "principal.ip".
  • Memetakan "properties.Description_scrubbed" ke "security_result.description".

2023-02-22

Peningkatan -

  • Memetakan "tenantId" ke "metadata.product_deployment_id".
  • Memetakan "operationName" ke "metadata.product_event_type".
  • Memetakan "category" ke "security_result.category_details".
  • Memetakan "callerIpAddress" ke "principal.ip".
  • Memetakan "identity" ke "target.resource.name".
  • Memetakan "result" ke "security_result.action_details".
  • Memetakan "properties.activityDisplayName" ke "security_result.summary".
  • Memetakan "location" ke "principal.location.name".
  • Memetakan "Level" ke "security_result.severity_details".
  • Memetakan "properties.initiatedBy.app.displayName" ke "principal.application".
  • Memetakan "properties.targetResources.displayName" ke "target.resource.name".
  • Memetakan "properties.targetResources.id" ke "target.resource.product_object_id".
  • Memetakan "properties.targetResources.modifiedProperties.displayName" ke "target.user.attribute.labels".
  • Memetakan "properties.additionalDetails" ke "additional.fields".
  • Memetakan "properties.loggedByService" ke "target.application".
  • Memetakan "properties.userId" ke "target.user.product_object_id".
  • Memetakan "properties.resourceDisplayName" ke "target.resource.name".
  • Memetakan "properties.location.city" ke "principal.location.city".
  • Memetakan "properties.location.state" ke "principal.location.state".
  • Memetakan "properties.location.countryOrRegion" ke "principal.location.country_or_region".
  • Memetakan "properties.ipAddress" ke "principal.ip".
  • Memetakan "properties.location.geoCoordinates.latitude" ke "principal.location.region_latitude".
  • Memetakan "properties.location.geoCoordinates.longitude" ke "principal.location.region_longitude".
  • Memetakan "properties.servicePrincipalId" ke "principal.user.userid".
  • Memetakan "properties.servicePrincipalName" ke "principal.user.user_display_name".
  • Memetakan "properties.tokenIssuerType", "properties.authenticationProcessingDetails.0.value", "properties.operationType", "properties.authenticationRequirement", "properties.deviceDetail.trustType ke "additional.fields".
  • Memetakan "resultDescription" ke "metadata.description".
  • Memetakan "properties.userDisplayName" ke "target.user.user_display_name".
  • Memetakan "properties.appDisplayName" ke "target.application".
  • Memetakan "properties.userType" ke "principal.user.attribute.roles".
  • Memetakan "properties.status.failureReason" ke "security_result.action_details".
  • Memetakan "properties.deviceDetail.operatingSystem" ke "principal.platform_version".
  • Memetakan "properties.deviceDetail.displayName" ke "principal.asset.hardware".
  • Memetakan "properties.deviceDetail.browser" ke "network.http.user_agent".
  • Memetakan "properties.userPrincipalName" ke "principal.user.email_addresses".

2022-11-28

Peningkatan -

  • Memetakan kolom 'correlationId' ke 'security_result.detection_fields'.
  • Memetakan kolom 'level' ke 'security_result.severity_details'.
  • Menambahkan pemetaan berikut untuk kategori 'ResourceHealth' :
  • Memetakan kolom 'properties.legacyEventDataId' ke 'security_result.detection_fields'.
  • Memetakan kolom 'properties.legacyChannels' ke 'security_result.detection_fields'.
  • Memetakan kolom 'properties.legacySubscriptionId' ke 'security_result.detection_fields'.
  • Memetakan kolom 'properties.legacyResourceGroup' ke 'security_result.detection_fields'.
  • Memetakan kolom 'properties.legacyResourceProviderName' ke 'security_result.detection_fields'.
  • Memetakan kolom 'properties.eventProperties.currentHealthStatus' ke 'security_result.detection_fields'.
  • Memetakan kolom 'properties.eventProperties.previousHealthStatus' ke 'security_result.detection_fields'.
  • Memetakan kolom 'properties.eventProperties.type' ke 'security_result.detection_fields'.
  • Memetakan kolom 'properties.eventProperties.cause' ke 'security_result.detection_fields'.

2022-09-26

Peningkatan - Menambahkan kolom.

  • Memetakan "tenantId " ke "metadata.product_deployment_id"

2022-06-20

Peningkatan -

  • Menambahkan pemeriksaan bersyarat untuk "entity_properties".
  • jika "category" sama dengan "Security"
  • Memetakan "properties.eventProperties.clientIPAddress" ke "principal.ip".
  • Memetakan "properties.eventProperties.accountSessionId" ke "network.session_id".
  • Memetakan "properties.eventProperties.suspiciousProcess" ke "target.process.file.full_path".
  • Memetakan "properties.eventProperties.suspiciousCommandLine" ke "target.process.command_line".
  • Memetakan "properties.eventProperties.suspiciousProcessId" ke "target.process.pid".
  • Memetakan "properties.eventProperties.compromisedHost" ke "principal.hostname".
  • Memetakan "resultDescription" ke "metadata.description"
  • Memetakan "properties.legacySubscriptionId" ke "security_result.detection_fields".
  • Memetakan "properties.legacyResourceProviderName" ke "security_result.detection_fields".

2022-05-19

Peningkatan - Menambahkan dan mengubah beberapa kolom.

  • claims, Identity, aud, tenantid, principalId, action, appidacr, iat, exp, nbf, rh, uti, ver, xms_tcdt, principalType, roleAssignmentId, appid, aio, iss, nameidentifier, roleDefinitionId, scope dipetakan ke security_result.detection_fields
  • resultSignature, resultType, hierarchy, resource_type, entity, dipetakan ke additional.fields.
  • RoleLocation dipetakan ke location.name.
  • kategori yang dipetakan ke security_result.category_details.