Mengambil log aktivitas Microsoft Azure
Dokumen ini menjelaskan langkah-langkah yang diperlukan untuk menyerap log aktivitas Microsoft Azure
(AZURE_ACTIVITY
) ke dalam Google Security Operations.
Mengonfigurasi Akun Penyimpanan
Selesaikan langkah-langkah berikut untuk mengonfigurasi akun Storage:
- Di konsol Azure, telusuri Storage accounts.
- Klik Create.
- Pilih Langganan, Grup Resource, region, performa (sebaiknya Standar), dan Redundansi (sebaiknya GRS atau LRS) yang diperlukan untuk akun, masukkan nama untuk Akun Penyimpanan baru.
- Klik Review + create, tinjau ringkasan akun, lalu klik Create.
- Di halaman Ringkasan Akun Penyimpanan, pilih Kunci akses dari navigasi sebelah kiri jendela.
- Klik Tampilkan kunci dan catat kunci bersama untuk akun penyimpanan.
- Pilih Endpoints dari navigasi kiri jendela.
- Catat endpoint Layanan blob. (https://<storageaccountname>.blob.core.windows.net/)
Mengonfigurasi logging aktivitas Azure
Selesaikan langkah-langkah berikut untuk mengonfigurasi logging aktivitas Azure:
- Di konsol Azure, telusuri Monitor.
- Klik link Log aktivitas di navigasi sebelah kiri halaman.
- Klik Ekspor Log Aktivitas di bagian atas jendela.
- Klik Tambahkan Setelan diagnostik.
- Pilih semua kategori yang ingin diekspor ke Google Security Operations.
- Di bagian Detail tujuan, pilih Arsipkan ke akun penyimpanan.
- Pilih langganan dan akun penyimpanan yang Anda buat di langkah sebelumnya.
- Klik Simpan.
Mengonfigurasi feed di Google Security Operations untuk menyerap log Azure
Selesaikan langkah-langkah berikut untuk mengonfigurasi feed di Google Security Operations guna menyerap log Azure:
- Buka Setelan SIEM > Feed.
- Klik Add New.
- Masukkan nama unik untuk Nama Kolom.
- Pilih Microsoft Azure Blob Storage sebagai Source Type.
- Pilih Microsoft Azure Activity sebagai Log Type.
- Klik Berikutnya.
- Konfigurasikan parameter input wajib berikut:
- Azure URI: masukkan nilai endpoint Blob Service yang Anda catat sebelumnya, diakhiri dengan insights-activity-logs (misalnya, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
- URI adalah: pilih Direktori yang menyertakan subdirektori.
- Opsi Penghapusan Sumber: menentukan apakah akan menghapus file dan direktori setelah mentransfer.
- Shared key: masukkan nilai shared key yang Anda ambil sebelumnya.
- Klik Berikutnya, lalu klik Kirim.
Referensi pemetaan kolom
Kode parser ini pertama-tama melakukan inisialisasi sejumlah besar kolom ke string kosong, lalu melakukan serangkaian manipulasi string dan operasi penguraian JSON untuk mengekstrak informasi yang relevan dari pesan log Aktivitas Azure. Terakhir, alat ini memetakan data yang diekstrak ke kolom Unified Data Model (UDM), mengategorikan jenis peristiwa, dan memperkayanya dengan detail tambahan seperti tingkat keparahan, informasi utama, dan data jaringan.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
category | read_only_udm.security_result.category_details |
Dipetakan langsung dari kolom "category" dalam log mentah. |
callerIpAddress | read_only_udm.principal.asset.ip , read_only_udm.principal.ip |
Dipetakan langsung dari kolom "callerIpAddress" dalam log mentah. |
correlationId | read_only_udm.security_result.detection_fields.correlationId |
Dipetakan langsung dari kolom "correlationId" dalam log mentah. |
data.callerIpAddress | read_only_udm.principal.asset.ip , read_only_udm.principal.ip |
Dipetakan langsung dari kolom "callerIpAddress" dalam objek "data" di log mentah. |
data.correlationId | read_only_udm.security_result.detection_fields.correlationId |
Dipetakan langsung dari kolom "correlationId" dalam objek "data" di log mentah. |
data.DeploymentUnit | read_only_udm.target.resource.name |
Dipetakan langsung dari kolom "DeploymentUnit" dalam objek "data" di log mentah. |
data.details | read_only_udm.metadata.description |
Dipetakan langsung dari kolom "details" dalam objek "data" di log mentah, hanya jika kolom "details" bukan "Unknown". |
data.entity | read_only_udm.additional.fields.entity |
Dipetakan langsung dari kolom "entity" dalam objek "data" di log mentah. |
data.EventName | read_only_udm.metadata.product_event_type |
Dipetakan langsung dari kolom "EventName" dalam objek "data" di log mentah. |
data.hierarchy | read_only_udm.additional.fields.hierarchy |
Dipetakan langsung dari kolom "hierarki" dalam objek "data" di log mentah. |
data.identity.authorization.action | read_only_udm.security_result.detection_fields.action |
Dipetakan langsung dari kolom "action" dalam objek "authorization" dari objek "identity" dalam log mentah. |
data.identity.authorization.evidence.principalId | read_only_udm.principal.user.product_object_id , read_only_udm.principal.resource.product_object_id , read_only_udm.principal.group.product_object_id |
Dipetakan langsung dari kolom "principalId" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. Kolom UDM spesifik yang dipetakan bergantung pada nilai kolom "principalType". Jika "principalType" adalah "User" atau "ServicePrincipal", nilai tersebut akan dipetakan ke principal.user.product_object_id . Jika "principalType" adalah "Group", nilai ini akan dipetakan ke principal.group.product_object_id . Jika "principalType" adalah "ServicePrincipal", nilai tersebut akan dipetakan ke principal.resource.product_object_id . |
data.identity.authorization.evidence.principalType | read_only_udm.principal.resource.resource_subtype |
Dipetakan langsung dari kolom "principalType" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. |
data.identity.authorization.evidence.role | read_only_udm.principal.user.role_name |
Dipetakan langsung dari kolom "role" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. |
data.identity.authorization.evidence.roleAssignmentId | read_only_udm.principal.resource.attribute.labels.roleAssignmentId |
Dipetakan langsung dari kolom "roleAssignmentId" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. |
data.identity.authorization.evidence.roleAssignmentScope | read_only_udm.principal.resource.attribute.labels.roleAssignmentScope |
Dipetakan langsung dari kolom "roleAssignmentScope" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. |
data.identity.authorization.evidence.roleDefinitionId | read_only_udm.principal.resource.attribute.labels.roleDefinitionId |
Dipetakan langsung dari kolom "roleDefinitionId" dalam objek "evidence" dari objek "authorization" dari objek "identity" dalam log mentah. |
data.identity.authorization.scope | read_only_udm.security_result.detection_fields.scope |
Dipetakan langsung dari kolom "scope" dalam objek "authorization" dari objek "identity" dalam log mentah. |
data.identity.claims.aio | read_only_udm.security_result.detection_fields.aio |
Dipetakan langsung dari kolom "aio" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.appid | read_only_udm.security_result.detection_fields.appid |
Dipetakan langsung dari kolom "appid" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.appidacr | read_only_udm.security_result.detection_fields.appidacr |
Dipetakan langsung dari kolom "appidacr" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.aud | read_only_udm.security_result.detection_fields.aud |
Dipetakan langsung dari kolom "aud" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.exp | read_only_udm.security_result.detection_fields.exp |
Dipetakan langsung dari kolom "exp" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/identityprovider |
read_only_udm.security_result.detection_fields.identityprovider |
Dipetakan langsung dari kolom "http://schemas.microsoft.com/identity/claims/identityprovider" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/objectidentifier |
read_only_udm.security_result.detection_fields.objectidentifier |
Dipetakan langsung dari kolom "http://schemas.microsoft.com/identity/claims/objectidentifier" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/tenantid |
read_only_udm.security_result.detection_fields.tenantid |
Dipetakan langsung dari kolom "http://schemas.microsoft.com/identity/claims/tenantid" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
read_only_udm.security_result.detection_fields.nameidentifier |
Dipetakan langsung dari kolom "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.iat | read_only_udm.security_result.detection_fields.iat |
Dipetakan langsung dari kolom "iat" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.iss | read_only_udm.security_result.detection_fields.iss |
Dipetakan langsung dari kolom "iss" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.nbf | read_only_udm.security_result.detection_fields.nbf |
Dipetakan langsung dari kolom "nbf" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.rh | read_only_udm.security_result.detection_fields.rh |
Dipetakan langsung dari kolom "rh" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.uti | read_only_udm.security_result.detection_fields.uti |
Dipetakan langsung dari kolom "uti" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.ver | read_only_udm.security_result.detection_fields.ver |
Dipetakan langsung dari kolom "ver" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.claims.xms_tcdt | read_only_udm.security_result.detection_fields.xms_tcdt |
Dipetakan langsung dari kolom "xms_tcdt" dalam objek "claims" dari objek "identity" dalam log mentah. |
data.identity.UserName | read_only_udm.principal.user.user_display_name |
Dipetakan langsung dari kolom "UserName" dalam objek "identity" di log mentah. |
data.level | read_only_udm.security_result.severity , read_only_udm.security_result.severity_details |
Dipetakan langsung dari kolom "level" dalam objek "data" di log mentah. Kolom "level" juga digunakan untuk menentukan nilai kolom severity . Jika "level" adalah "Information" atau "Informational", severity disetel ke "INFORMATIONAL". Jika "level" adalah "Peringatan", severity ditetapkan ke "MEDIUM". Jika "level" adalah "Error", severity ditetapkan ke "ERROR". Jika "level" adalah "Critical", severity akan disetel ke "CRITICAL". |
data.location | read_only_udm.target.location.name |
Dipetakan langsung dari kolom "location" dalam objek "data" di log mentah. |
data.operationName | read_only_udm.metadata.product_event_type |
Dipetakan langsung dari kolom "operationName" dalam objek "data" di log mentah. |
data.properties.EventChannel | read_only_udm.additional.fields.properties EventChannel |
Dipetakan langsung dari kolom "EventChannel" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.EventSource | read_only_udm.additional.fields.properties EventSource |
Dipetakan langsung dari kolom "EventSource" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.EventId | read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom "EventId" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.eventProperties.cause | read_only_udm.security_result.detection_fields.cause |
Dipetakan langsung dari kolom "cause" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
data.properties.eventProperties.clientIPAddress | read_only_udm.principal.asset.ip , read_only_udm.principal.ip |
Dipetakan langsung dari kolom "clientIPAddress" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
data.properties.eventProperties.compromisedHost | read_only_udm.principal.asset.hostname , read_only_udm.principal.hostname |
Dipetakan langsung dari kolom "compromisedHost" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
data.properties.eventProperties.currentHealthStatus | read_only_udm.security_result.detection_fields.currentHealthStatus |
Dipetakan langsung dari kolom "currentHealthStatus" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
data.properties.eventProperties.previousHealthStatus | read_only_udm.security_result.detection_fields.previousHealthStatus |
Dipetakan langsung dari kolom "previousHealthStatus" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
data.properties.eventProperties.type | read_only_udm.security_result.detection_fields.type |
Dipetakan langsung dari kolom "type" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
data.properties.eventProperties.User | read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom "Pengguna" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah. |
data.properties.eventProperties.userName | read_only_udm.principal.user.user_display_name |
Dipetakan langsung dari kolom "userName" dalam objek "eventProperties" dari objek "properties" dari objek "data" dalam log mentah, setelah menghapus awalan "SECURE\". |
data.properties.ipAddress | read_only_udm.principal.asset.ip , read_only_udm.principal.ip |
Dipetakan langsung dari kolom "ipAddress" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.legacyChannels | read_only_udm.security_result.detection_fields.legacyChannels |
Dipetakan langsung dari kolom "legacyChannels" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.legacyEventDataId | read_only_udm.security_result.detection_fields.legacyEventDataId |
Dipetakan langsung dari kolom "legacyEventDataId" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.legacyResourceId | read_only_udm.security_result.detection_fields.legacyResourceId |
Dipetakan langsung dari kolom "legacyResourceId" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.legacyResourceGroup | read_only_udm.security_result.detection_fields.legacyResourceGroup |
Dipetakan langsung dari kolom "legacyResourceGroup" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.legacyResourceProviderName | read_only_udm.security_result.detection_fields.legacyResourceProviderName |
Dipetakan langsung dari kolom "legacyResourceProviderName" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.legacyResourceType | read_only_udm.security_result.detection_fields.legacyResourceType |
Dipetakan langsung dari kolom "legacyResourceType" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.legacySubscriptionId | read_only_udm.security_result.detection_fields.legacySubscriptionId |
Dipetakan langsung dari kolom "legacySubscriptionId" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.operationId | read_only_udm.security_result.detection_fields.operationId |
Dipetakan langsung dari kolom "operationId" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.result | read_only_udm.security_result.action_details |
Dipetakan langsung dari kolom "result" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.statusCode | read_only_udm.network.http.response_code |
Dipetakan langsung dari kolom "statusCode" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.suspiciousCommandLine | read_only_udm.target.process.command_line |
Dipetakan langsung dari kolom "suspiciousCommandLine" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.suspiciousProcess | read_only_udm.target.process.file.full_path |
Dipetakan langsung dari kolom "suspiciousProcess" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.suspiciousProcessId | read_only_udm.target.process.pid |
Dipetakan langsung dari kolom "suspiciousProcessId" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.tlsVersion | read_only_udm.network.tls.version |
Dipetakan langsung dari kolom "tlsVersion" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.userAgent | read_only_udm.network.http.user_agent , read_only_udm.network.http.parsed_user_agent |
Dipetakan langsung dari kolom "userAgent" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.userAgentHeader | read_only_udm.network.http.user_agent , read_only_udm.network.http.parsed_user_agent |
Dipetakan langsung dari kolom "userAgentHeader" dalam objek "properties" dari objek "data" dalam log mentah. |
data.properties.userId | read_only_udm.target.user.product_object_id |
Dipetakan langsung dari kolom "userId" dalam objek "properties" dari objek "data" dalam log mentah. |
data.ReleaseVersion | read_only_udm.metadata.product_version |
Dipetakan langsung dari kolom "ReleaseVersion" dalam objek "data" di log mentah. |
data.resourceId | read_only_udm.target.resource.name |
Dipetakan langsung dari kolom "resourceId" dalam objek "data" di log mentah. |
data.resourceType | read_only_udm.additional.fields.resourceType |
Dipetakan langsung dari kolom "resourceType" dalam objek "data" di log mentah. |
data.resultDescription | read_only_udm.metadata.description |
Dipetakan langsung dari kolom "resultDescription" dalam objek "data" di log mentah. |
data.resultSignature | read_only_udm.additional.fields.resultSignature |
Dipetakan langsung dari kolom "resultSignature" dalam objek "data" di log mentah. |
data.resultType | read_only_udm.security_result.action_details , read_only_udm.additional.fields.resultType |
Dipetakan langsung dari kolom "resultType" dalam objek "data" di log mentah. |
data.RoleLocation | read_only_udm.target.location.name |
Dipetakan langsung dari kolom "RoleLocation" dalam objek "data" di log mentah. |
data.time | read_only_udm.metadata.event_timestamp |
Kolom "time" dalam objek "data" di log mentah diuraikan untuk mengekstrak stempel waktu, yang kemudian dipetakan ke event_timestamp . |
data.uri | read_only_udm.network.http.referral_url |
Dipetakan langsung dari kolom "uri" dalam objek "data" di log mentah. |
read_only_udm.extensions.auth.mechanism |
INTERACTIVE |
Tetapkan ke "INTERACTIVE" jika kolom "isInteractive" dalam objek "properties" dari objek "data" dalam log mentah adalah "true". Jika tidak, nilai ini akan ditetapkan ke "MECHANISM_OTHER". |
read_only_udm.extensions.auth.type |
MACHINE |
Tetapkan ke "MACHINE" jika kolom "category" dalam log mentah adalah "NonInteractiveUserSignInLogs", "ManagedIdentitySignInLogs", atau "ServicePrincipalSignInLogs". |
read_only_udm.metadata.log_type |
AZURE_ACTIVITY |
Di-hardcode ke "AZURE_ACTIVITY". |
read_only_udm.metadata.vendor_name |
Microsoft |
Di-hardcode ke "Microsoft". |
read_only_udm.principal.platform |
WINDOWS , MAC , LINUX , ANDROID |
Ditentukan berdasarkan nilai kolom "properties.test.deviceDetail.operatingSystem". Jika berisi "Win", platform ditetapkan ke "WINDOWS". Jika berisi "Mac", platform ditetapkan ke "MAC". Jika berisi "Lin", platform ditetapkan ke "LINUX". Jika berisi "Android", platform ditetapkan ke "ANDROID". |
read_only_udm.principal.resource.type |
SERVICE_ACCOUNT , UNSPECIFIED |
Ditentukan berdasarkan nilai kolom "identity.authorization.evidence.principalType". Jika "ServicePrincipal", type ditetapkan ke "SERVICE_ACCOUNT". Jika tidak, nilai ini akan ditetapkan ke "UNSPECIFIED". |
read_only_udm.security_result.action |
ALLOW , BLOCK , UNKNOWN_ACTION |
Ditentukan berdasarkan nilai kolom "resultType", "status_errorcode", dan "statusText". Jika "resultType" adalah salah satu dari "Success", "success", "Succeeded", "Started", "Resolved", "Active", "Updated", "Start", "Accept", "Accepted", "0", atau jika "status_errorcode" adalah 0, atau jika "statusText" adalah "Success", action ditetapkan ke "ALLOW". Jika "resultType" adalah salah satu dari "Failure", "Failed", atau jika "status_errorcode" tidak kosong, atau jika "resultType" tidak kosong, action ditetapkan ke "BLOCK". Jika tidak, nilai ini akan ditetapkan ke "UNKNOWN_ACTION". |
read_only_udm.target.cloud.environment |
MICROSOFT_AZURE |
Di-hardcode ke "MICROSOFT_AZURE". |
Perubahan
2024-07-10
- Jika "identity.authorization.evidence.principalType" sama dengan "Group", petakan "identity.authorization.evidence.principalId" ke "principal.group.product_object_id".
- Jika "identity.authorization.evidence.principalType" sama dengan "User" atau "ServicePrincipal", maka petakan "identity.authorization.evidence.principalId" ke "principal.user.product_object_id".
- Menambahkan gsub untuk mengubah kolom "properties" menjadi "properties.test" dan menghapus kolom yang hanya dimulai dengan "properties".
2024-07-08
- Memetakan "properties.compromisedEntity", "properties.attackedResourceType", dan "properties.intent" ke "target.resource.attribute.labels".
- Memetakan "properties.severity" ke "security_result.severity".
2024-06-18
- Jika "principal.user.userid" tidak ada, ubah pemetaan untuk "metadata.event_type" dari "USER_RESOURCE_ACCESS" menjadi "GENERIC_EVENT".
2024-06-18
- Memetakan "operationVersion" ke "metadata.product_version".
- Memetakan "properties.authenticationRequirementPolicies.requirementProvider" dan "properties.authenticationRequirementPolicies.detail" ke "security_result.detection_fields".
- Memetakan "properties.authenticationDetails.StatusSequence", "properties.correlationId", "properties.uniqueTokenIdentifier", dan "properties.authenticationDetails.RequestSequence" ke "security_result.detection_fields".
- Memetakan "properties.appDisplayName" ke "target.application".
- Memetakan "properties.conditionalAccessStatus", "properties.appliedConditionalAccessPolicies", "properties.authenticationContextClassReferences", "properties.signInTokenProtectionStatus", "properties.originalRequestId", "properties.authenticationProcessingDetails", "properties.clientCredentialType", "properties.processingTimeInMilliseconds", "properties.riskDetail", "properties.riskLevelAggregated", "properties.riskLevelDuringSignIn", "properties.riskState", dan "properties.originalTransferMethod" ke "additional.fields".
- Memetakan "properties.riskEventTypes", "properties.riskEventTypes_v2", "properties.homeTenantId", "properties.autonomousSystemNumber", "properties.autonomousSystemNumber", dan "properties.privateLinkDetails" ke "additional.fields".
- Memetakan "properties.resourceId", "properties.resourceTenantId", dan "properties.resourceServicePrincipalId" ke "target.resource.attribute.labels".
- Memetakan "properties.userType" ke "principal.user.attribute.roles".
- Memetakan "properties.userPrincipalName" ke "principal.user.email_addresses".
- Memetakan "properties.clientAppUsed" ke "principal.application".
- Memetakan "properties.deviceDetail.deviceId" ke "principal.asset.asset_id" dan "principal.asset_id".
- Memetakan "properties.appId" ke "target.resource.attribute.labels".
- Memetakan "properties.status.additionalDetails" ke "security_result.description".
- Memetakan "properties.responseBody.name" ke "security_result.rule_name".
- Memetakan "properties.responseBody.properties.sourcePortRanges" dan "properties.responseBody.properties.destinationPortRanges" ke "additional.fields".
- Jika "properties.responseBody.properties.sourceAddressPrefixes" adalah satu alamat IP, petakan ke "principal.ip".
- Jika "properties.responseBody.properties.sourceAddressPrefixes" adalah rentang alamat IP, petakan ke "additional.fields".
- Jika "properties.responseBody.properties.sourceAddressPrefix" adalah satu alamat IP atau alamat IP dengan port, petakan ke "principal.ip" dan "principal.port".
- Jika "properties.responseBody.properties.sourceAddressPrefix" adalah rentang alamat IP, petakan ke "additional.fields".
- Jika "properties.responseBody.properties.destinationAddressPrefixes" adalah satu alamat IP, petakan ke "target.ip".
- Jika "properties.responseBody.properties.destinationAddressPrefixes" adalah rentang alamat IP, petakan ke "additional.fields".
- Jika "properties.responseBody.properties.destinationAddressPrefix" adalah satu alamat IP atau alamat IP dengan port, petakan ke "target.ip" dan "target.port".
- Jika "properties.responseBody.properties.destinationAddressPrefix" adalah rentang alamat IP, petakan ke "additional.fields".
- Jika "properties.responseBody.properties.sourcePortRange" adalah satu port, petakan ke "principal.port".
- Jika "properties.responseBody.properties.sourcePortRange" adalah rentang port, petakan ke "additional.fields".
- Jika "properties.responseBody.properties.destinationPortRange" adalah satu port, petakan ke "target.port".
- Jika "properties.responseBody.properties.destinationPortRange" adalah rentang port, petakan ke "additional.fields".
- Memetakan "properties.id" dan "properties.status.errorCode" ke "security_result.detection_fields".
- Memetakan "properties.isInteractive" ke "extensions.auth.mechanism".
- Jika "properties.deviceDetail.operatingSystem" adalah "ANDROID", maka pemetaan "principal.platform" ke "ANDROID".
2024-06-03
- Memetakan "SUBSCRIPTIONS", "RESOURCEGROUPS", "STORAGEACCOUNTS", "PROVIDERS", dan "SNAPSHOTS" dari "resourceId" ke "target.resource.attribute.labels".
2024-05-21
- Jika "identity.authorization.evidence.principalType" sama dengan "User", "Group", "Application", petakan "principal.resource.type" ke "UNSPECIFIED".
- Memetakan "identity.authorization.evidence.role" ke "principal.user.role_name".
- Memetakan "identity.authorization.evidence.principalType" ke "principal.resource.resource_subtype".
- Memetakan "identity.authorization.evidence.principalId" ke "principal.user.product_object_id".
- Memetakan "identity.authorization.evidence.roleAssignmentId", "identity.authorization.evidence.roleAssignmentScope", "identity.authorization.evidence.roleDefinitionId" ke "principal.resource.attribute.labels".
2024-05-03
- Jika "category" adalah "SignInLogs", maka pemetaan "properties.userDisplayName" ke "principal.user.user_display_name".
- Memetakan "properties.requestbody.properties.priority" dan "properties.response.properties.priority" ke "security_result.detection_fields".
- Memetakan "properties.requestbody.properties.protocol" ke "network.ip_protocol".
- Memetakan "properties.requestbody.properties.direction" ke "network.direction".
- Memetakan "properties.response.properties.protocol" ke "network.ip_protocol".
- Memetakan "properties.response.properties.direction" ke "network.direction".
- Memetakan "properties.response.properties.destinationPortRange" ke "target.port".
2024-04-26
- Memetakan "operationName.value" ke "metadata.product_event_type".
- Memetakan "category.value" ke "security_result.category_details".
- Memetakan "httpRequest.uri" ke "network.http.referral_url".
- Memetakan "httpRequest.method" ke "network.http.method".
- Memetakan "httpRequest.clientIpAddress" ke "principal.ip" dan "principal.asset.ip".
- Memetakan "eventDataId" ke "security_result.detection_fields".
- Memetakan "httpRequest.clientRequestId" ke "additional.fields".
2024-04-16
- Menambahkan dukungan untuk memetakan "network.application_protocol" jika "protocol" diketahui, jika tidak, memetakan "protocol" ke "additional.fields".
2024-04-12
- Memetakan "properties.requestbody.properties.allowBlobPublicAccess" ke "security_result.detection_fields".
2024-04-10
- Memetakan "resourceId" ke "target.resource.name".
- Jika "resourceId" ada, maka pemetakan "targetResources.displayName", "identity", "Type", dan "properties.resourceDisplayName" ke "target.resource.attribute.labels".
2024-03-29
- Memetakan "ResourceGUID" ke "target.resource.product_object_id".
- Memetakan "Type" ke "target.resource.name".
- Memetakan "ClientCity" ke "principal.location.city".
- Memetakan "ClientCountryOrRegion" ke "principal.location.country_or_region".
- Memetakan "ClientIP" ke "principal.ip" dan "principal.asset.ip".
- Memetakan "ClientStateOrProvince" ke "principal.location.state".
- Memetakan "ClientType" ke "principal.resource.attribute.labels".
- Memetakan "IKey" ke "target.resource.attribute.labels".
- Memetakan "_BilledSize" dan "DurationMs" ke "additional.fields".
- Memetakan "OperationId", "SDKVersion", dan "ItemCount" ke "properties.operationId".
- Memetakan "ParentId", "Properties.WebtestLocationId", "Properties.FullTestResultAvailable", "Properties.SourceId", "Properties._MS_altIds", "Properties.WebtestArmResourceName", "Properties.SyntheticMonitorId", dan "Success" ke "security_result.detection_fields".
- Memetakan "Pesan" ke "metadata.description".
- Memetakan "Id" ke "principal.resource.product_object_id".
- Memetakan "Name" ke "principal.resource.name".
2024-03-25
- Jika "category" adalah "ServicePrincipalSignInLogs" atau "NonInteractiveUserSigninLogs" atau "ManagedIdentitySignInLogs", maka pemetaan "createdDateTime" ke "metadata.event_timestamp".
- Memetakan "properties.authenticationDetails.authenticationStepDateTime", "properties.authenticationDetails.authenticationMethod", "properties.authenticationDetails.authenticationStepResultDetail", "properties.authenticationDetails.authenticationStepRequirement", "properties.id", dan "properties.resourceServicePrincipalId" ke "security_result.detection_fields".
- Memetakan "properties.authenticationDetails.succeeded" ke "security_result.action_details".
2024-03-25
- Jika "properties.requestbody.Properties.RoleDefinitionId" tidak kosong, tetapkan "security_result.detection_fields.key" ke "RequestBody roleDefinitionId".
- Memetakan "properties.roleDefinitionId", "properties.principalId", "properties.responseBody.properties.roleDefinitionId", dan "properties.requestbody.Properties.PrincipalId" ke "security_result.detection_fields".
2024-03-13
- Memetakan "properties.requestbody.properties.roleDefinitionId" dan "properties.requestbody.properties.principalId" ke "security_result.detection_fields".
2024-03-05
- Memetakan "resultType" ke "security_result.action_details".
- Memetakan "properties.requestbody.Properties.PrincipalId" ke "principal.user.userid".
- Jika "resultType" tidak kosong, maka pemeta "properties.status.failureReason" ke "security_result.detection_fields".
- Memetakan "properties.hardwareProfile.vmSize", "properties.provisioningState", "properties.requestbody.Properties.RoleDefinitionId" ke "security_result.detection_fields".
2024-02-13
Perbaikan Bug:
- Jika "identity.UserName" adalah email, petakan ke "principal.user.email_addresses", jika tidak, petakan ke "principal.user.user_display_name".
2024-02-12
- Menambahkan dukungan untuk log JSON yang dihapus.
- Memetakan "OperationNameValue" ke "metadata.product_event_type".
- Memetakan "properties.eventDataId", "properties.subscriptionId", "properties.resourceGroup", dan "properties.resourceProviderValue" ke "security_result.detection_fields".
- Memetakan "Pemanggil" ke "principal.user.userid".
- Memetakan "ActivityStatusValue" ke "security_result.action".
2024-02-01
- Perbaikan Bug:
- Jika kolom "category" memiliki nilai "NonInteractiveUserSignInLogs" atau "OperationName" adalah "Aktivitas login", ubah "metadata.event_type" dari "USER_LOGOUT" menjadi "USER_LOGIN".
- Memetakan "properties.incomingTokenType" dan "properties.deviceDetail.browser" ke "additional.fields".
- Memetakan "properties.userAgent" ke "network.http.user_agent".
- Jika nilai "properties.userAgent" tidak ada, hanya pemetakan "properties.deviceDetail.browser" ke "network.http.user_agent".
- Memetakan "user_agent_field" yang diuraikan ke "network.http.parsed_user_agent".
- Memetakan "properties.eventProperties.clientIPAddress" dan "callerIpAddress" ke "principal.asset.ip".
- Memetakan "hostname", "rscname", dan "properties.eventProperties.compromisedHost" ke "principal.asset.hostname".
2024-01-07
- Perbaikan Bug:
- Menambahkan pola Grok untuk memvalidasi "callerIpAddress" sebagai alamat IP.
- Memetakan "properties.accountName" ke "principal.user.userid".
- Memetakan "uri" ke "network.http.refferal_url".
- Memetakan "properties.userAgentHeader" ke "network.http.user_agent".
- Memetakan "properties.tlsVersion" ke "network.tls.version".
- Memetakan "statusCode" ke "network.http.response_code".
- Memetakan "protocol" ke "network.application_protocol".
- Memetakan "properties.clientRequestId", "properties.etag", "properties.objectKey", "properties.responseMd5", dan "resourceType" ke "additional.fields".
2023-10-09
- Menambahkan dukungan untuk mengurai log yang tidak diuraikan.
- Mengganti nama kolom berikut:
- Dari "OperationName" menjadi "operationName".
- Dari "CorrelationId" menjadi "correlationId".
- Dari "Kategori" menjadi "category".
- Dari "ResourceId" menjadi "resourceId".
- Dari "ResultType" menjadi "resultType".
- Memetakan "ProviderName", "ProviderGuid" ke "security_result.detection_fields".
- Memetakan "ResultDescription" ke "metadata.description".
2023-09-13
Peningkatan -
- Memetakan "properties.eventCategory" ke "security_result.detection_fields".
- Memetakan "opproperties.operationIderationName" ke "security_result.detection_fields".
- Memetakan "properties.eventName" ke "security_result.summary".
- Memetakan "properties.EventName" ke "security_result.summary".
- Memetakan "properties.legacyResourceType" ke "security_result.detection_fields".
- Memetakan "properties.CallerCredentialType" ke "security_result.detection_fields".
- Memetakan "properties.EventChannel" ke "security_result.detection_fields".
- Memetakan "properties.EventSource" ke "security_result.detection_fields".
- Memetakan "properties.legacyResourceId" ke "security_result.detection_fields".
- Memetakan "properties.eventProperties.User" ke "principal.user.id" dan "principal.user.email_addresses".
- Memetakan "properties.Caller" ke "principal.user.id" dan "principal.user.email_addresses".
- Memetakan "pemanggil" ke "principal.user.id" dan "principal.user.email_addresses".
- Memetakan "properties.IpAddress" ke "principal.ip".
- Memetakan "properties.Description_scrubbed" ke "security_result.description".
2023-02-22
Peningkatan -
- Memetakan "tenantId" ke "metadata.product_deployment_id".
- Memetakan "operationName" ke "metadata.product_event_type".
- Memetakan "category" ke "security_result.category_details".
- Memetakan "callerIpAddress" ke "principal.ip".
- Memetakan "identity" ke "target.resource.name".
- Memetakan "result" ke "security_result.action_details".
- Memetakan "properties.activityDisplayName" ke "security_result.summary".
- Memetakan "location" ke "principal.location.name".
- Memetakan "Level" ke "security_result.severity_details".
- Memetakan "properties.initiatedBy.app.displayName" ke "principal.application".
- Memetakan "properties.targetResources.displayName" ke "target.resource.name".
- Memetakan "properties.targetResources.id" ke "target.resource.product_object_id".
- Memetakan "properties.targetResources.modifiedProperties.displayName" ke "target.user.attribute.labels".
- Memetakan "properties.additionalDetails" ke "additional.fields".
- Memetakan "properties.loggedByService" ke "target.application".
- Memetakan "properties.userId" ke "target.user.product_object_id".
- Memetakan "properties.resourceDisplayName" ke "target.resource.name".
- Memetakan "properties.location.city" ke "principal.location.city".
- Memetakan "properties.location.state" ke "principal.location.state".
- Memetakan "properties.location.countryOrRegion" ke "principal.location.country_or_region".
- Memetakan "properties.ipAddress" ke "principal.ip".
- Memetakan "properties.location.geoCoordinates.latitude" ke "principal.location.region_latitude".
- Memetakan "properties.location.geoCoordinates.longitude" ke "principal.location.region_longitude".
- Memetakan "properties.servicePrincipalId" ke "principal.user.userid".
- Memetakan "properties.servicePrincipalName" ke "principal.user.user_display_name".
- Memetakan "properties.tokenIssuerType", "properties.authenticationProcessingDetails.0.value", "properties.operationType", "properties.authenticationRequirement", "properties.deviceDetail.trustType ke "additional.fields".
- Memetakan "resultDescription" ke "metadata.description".
- Memetakan "properties.userDisplayName" ke "target.user.user_display_name".
- Memetakan "properties.appDisplayName" ke "target.application".
- Memetakan "properties.userType" ke "principal.user.attribute.roles".
- Memetakan "properties.status.failureReason" ke "security_result.action_details".
- Memetakan "properties.deviceDetail.operatingSystem" ke "principal.platform_version".
- Memetakan "properties.deviceDetail.displayName" ke "principal.asset.hardware".
- Memetakan "properties.deviceDetail.browser" ke "network.http.user_agent".
- Memetakan "properties.userPrincipalName" ke "principal.user.email_addresses".
2022-11-28
Peningkatan -
- Memetakan kolom 'correlationId' ke 'security_result.detection_fields'.
- Memetakan kolom 'level' ke 'security_result.severity_details'.
- Menambahkan pemetaan berikut untuk kategori 'ResourceHealth' :
- Memetakan kolom 'properties.legacyEventDataId' ke 'security_result.detection_fields'.
- Memetakan kolom 'properties.legacyChannels' ke 'security_result.detection_fields'.
- Memetakan kolom 'properties.legacySubscriptionId' ke 'security_result.detection_fields'.
- Memetakan kolom 'properties.legacyResourceGroup' ke 'security_result.detection_fields'.
- Memetakan kolom 'properties.legacyResourceProviderName' ke 'security_result.detection_fields'.
- Memetakan kolom 'properties.eventProperties.currentHealthStatus' ke 'security_result.detection_fields'.
- Memetakan kolom 'properties.eventProperties.previousHealthStatus' ke 'security_result.detection_fields'.
- Memetakan kolom 'properties.eventProperties.type' ke 'security_result.detection_fields'.
- Memetakan kolom 'properties.eventProperties.cause' ke 'security_result.detection_fields'.
2022-09-26
Peningkatan - Menambahkan kolom.
- Memetakan "tenantId " ke "metadata.product_deployment_id"
2022-06-20
Peningkatan -
- Menambahkan pemeriksaan bersyarat untuk "entity_properties".
- jika "category" sama dengan "Security"
- Memetakan "properties.eventProperties.clientIPAddress" ke "principal.ip".
- Memetakan "properties.eventProperties.accountSessionId" ke "network.session_id".
- Memetakan "properties.eventProperties.suspiciousProcess" ke "target.process.file.full_path".
- Memetakan "properties.eventProperties.suspiciousCommandLine" ke "target.process.command_line".
- Memetakan "properties.eventProperties.suspiciousProcessId" ke "target.process.pid".
- Memetakan "properties.eventProperties.compromisedHost" ke "principal.hostname".
- Memetakan "resultDescription" ke "metadata.description"
- Memetakan "properties.legacySubscriptionId" ke "security_result.detection_fields".
- Memetakan "properties.legacyResourceProviderName" ke "security_result.detection_fields".
2022-05-19
Peningkatan - Menambahkan dan mengubah beberapa kolom.
- claims, Identity, aud, tenantid, principalId, action, appidacr, iat, exp, nbf, rh, uti, ver, xms_tcdt, principalType, roleAssignmentId, appid, aio, iss, nameidentifier, roleDefinitionId, scope dipetakan ke security_result.detection_fields
- resultSignature, resultType, hierarchy, resource_type, entity, dipetakan ke additional.fields.
- RoleLocation dipetakan ke location.name.
- kategori yang dipetakan ke security_result.category_details.