提取 Microsoft Azure 活动日志
支持的平台:
Google SecOps
SIEM
本文档介绍了将 Microsoft Azure 活动日志 (AZURE_ACTIVITY) 注入到 Google Security Operations 中所需的步骤。
配置存储账号
完成以下步骤以配置存储账号:
- 在 Azure 控制台中,搜索存储账号。
- 点击创建。
- 选择账号所需的订阅、资源组、区域、性能(建议使用“标准”)和冗余(建议使用 GRS 或 LRS),输入新存储账号的名称。
- 点击审核 + 创建,查看账号概览,然后点击创建。
- 在存储账号概览页面上,从窗口左侧导航栏中选择访问密钥。
- 点击显示密钥,然后记下存储账号的共享密钥。
- 从窗口的左侧导航栏中选择端点。
- 记下 Blob 服务端点。(https://<storageaccountname>.blob.core.windows.net/)
配置 Azure 活动日志记录
完成以下步骤以配置 Azure 活动日志记录:
- 在 Azure 控制台中,搜索监控。
- 点击页面左侧导航中的活动日志链接。
- 点击窗口顶部的导出活动日志。
- 点击添加诊断设置。
- 选择要导出到 Google Security Operations 的所有类别。
- 在目标位置详细信息下,选择归档到存储账号。
- 选择您在上一步中创建的订阅和存储账号。
- 点击保存。
在 Google Security Operations 中配置 Feed 以注入 Azure 日志
完成以下步骤,在 Google 安全运营中心中配置 Feed 以注入 Azure 日志:
- 依次前往 SIEM 设置 > Feed。
- 点击 Add New(新增)。
- 在字段名称中输入一个具有唯一性的名称。
- 选择 Microsoft Azure Blob Storage 作为来源类型。
- 选择 Microsoft Azure 活动作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- Azure URI:输入您之前记录的 Blob Service 端点值,后缀为 insights-activity-logs(例如 https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
- URI 是:选择包含子目录的目录。
- 源文件删除选项:指定是否要在转移后删除文件和目录。
- 共享密钥:输入您之前捕获的共享密钥值。
- 点击下一步,然后点击提交。
字段映射参考文档
此解析器代码会先将大量字段初始化为空字符串,然后执行一系列字符串操作和 JSON 解析操作,以从 Azure Activity 日志消息中提取相关信息。最后,它会将提取的数据映射到统一数据模型 (UDM) 字段,对事件类型进行分类,并使用严重程度、主要信息和网络数据等其他详细信息对其进行丰富。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 类别 | read_only_udm.security_result.category_details |
直接从原始日志中的“category”字段映射而来。 |
| callerIpAddress | read_only_udm.principal.asset.ip,read_only_udm.principal.ip |
直接从原始日志中的“callerIpAddress”字段映射而来。 |
| correlationId | read_only_udm.security_result.detection_fields.correlationId |
直接从原始日志中的“correlationId”字段映射而来。 |
| data.callerIpAddress | read_only_udm.principal.asset.ip,read_only_udm.principal.ip |
直接从原始日志中的“data”对象内的“callerIpAddress”字段映射而来。 |
| data.correlationId | read_only_udm.security_result.detection_fields.correlationId |
直接从原始日志中的“data”对象内的“correlationId”字段映射而来。 |
| data.DeploymentUnit | read_only_udm.target.resource.name |
直接从原始日志中的“data”对象内的“DeploymentUnit”字段映射而来。 |
| data.details | read_only_udm.metadata.description |
直接从原始日志中“data”对象的“details”字段映射而来,前提是“details”字段不为“Unknown”。 |
| data.entity | read_only_udm.additional.fields.entity |
直接从原始日志中的“data”对象内的“entity”字段映射而来。 |
| data.EventName | read_only_udm.metadata.product_event_type |
直接从原始日志中的“data”对象内的“EventName”字段映射而来。 |
| data.hierarchy | read_only_udm.additional.fields.hierarchy |
直接从原始日志中的“data”对象内的“hierarchy”字段映射而来。 |
| data.identity.authorization.action | read_only_udm.security_result.detection_fields.action |
直接从原始日志中“identity”对象的“authorization”对象内的“action”字段映射而来。 |
| data.identity.authorization.evidence.principalId | read_only_udm.principal.user.product_object_id、read_only_udm.principal.resource.product_object_id、read_only_udm.principal.group.product_object_id |
直接从原始日志中“identity”对象的“authorization”对象的“evidence”对象中的“principalId”字段映射而来。它映射到的具体 UDM 字段取决于“principalType”字段的值。如果“principalType”为“User”或“ServicePrincipal”,则会映射到 principal.user.product_object_id。如果“principalType”为“Group”,则会映射到 principal.group.product_object_id。如果“principalType”为“ServicePrincipal”,则会映射到 principal.resource.product_object_id。 |
| data.identity.authorization.evidence.principalType | read_only_udm.principal.resource.resource_subtype |
直接从原始日志中“identity”对象的“authorization”对象的“evidence”对象中的“principalType”字段映射而来。 |
| data.identity.authorization.evidence.role | read_only_udm.principal.user.role_name |
直接从原始日志中“identity”对象的“authorization”对象的“evidence”对象中的“role”字段映射而来。 |
| data.identity.authorization.evidence.roleAssignmentId | read_only_udm.principal.resource.attribute.labels.roleAssignmentId |
直接从原始日志中“identity”对象的“authorization”对象的“evidence”对象中的“roleAssignmentId”字段映射而来。 |
| data.identity.authorization.evidence.roleAssignmentScope | read_only_udm.principal.resource.attribute.labels.roleAssignmentScope |
直接从原始日志中“identity”对象的“authorization”对象的“evidence”对象内的“roleAssignmentScope”字段映射而来。 |
| data.identity.authorization.evidence.roleDefinitionId | read_only_udm.principal.resource.attribute.labels.roleDefinitionId |
直接从原始日志中“identity”对象的“authorization”对象的“evidence”对象中的“roleDefinitionId”字段映射而来。 |
| data.identity.authorization.scope | read_only_udm.security_result.detection_fields.scope |
直接从原始日志中“identity”对象的“authorization”对象内的“scope”字段映射而来。 |
| data.identity.claims.aio | read_only_udm.security_result.detection_fields.aio |
直接从原始日志中“identity”对象的“claims”对象内的“aio”字段映射而来。 |
| data.identity.claims.appid | read_only_udm.security_result.detection_fields.appid |
直接从原始日志中“identity”对象的“claims”对象内的“appid”字段映射而来。 |
| data.identity.claims.appidacr | read_only_udm.security_result.detection_fields.appidacr |
直接从原始日志中“identity”对象的“claims”对象内的“appidacr”字段映射而来。 |
| data.identity.claims.aud | read_only_udm.security_result.detection_fields.aud |
直接从原始日志中“identity”对象的“claims”对象内的“aud”字段映射而来。 |
| data.identity.claims.exp | read_only_udm.security_result.detection_fields.exp |
直接从原始日志中“identity”对象的“claims”对象内的“exp”字段映射而来。 |
data.identity.claims.http://schemas.microsoft.com/identity/claims/identityprovider |
read_only_udm.security_result.detection_fields.identityprovider |
直接从原始日志中“identity”对象的“claims”对象中的“http://schemas.microsoft.com/identity/claims/identityprovider”字段映射而来。 |
data.identity.claims.http://schemas.microsoft.com/identity/claims/objectidentifier |
read_only_udm.security_result.detection_fields.objectidentifier |
直接从原始日志中“identity”对象的“claims”对象内的“http://schemas.microsoft.com/identity/claims/objectidentifier”字段映射而来。 |
data.identity.claims.http://schemas.microsoft.com/identity/claims/tenantid |
read_only_udm.security_result.detection_fields.tenantid |
直接从原始日志中“identity”对象的“claims”对象内的“http://schemas.microsoft.com/identity/claims/tenantid”字段映射而来。 |
data.identity.claims.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
read_only_udm.security_result.detection_fields.nameidentifier |
直接从原始日志中“identity”对象的“claims”对象内的“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”字段映射而来。 |
| data.identity.claims.iat | read_only_udm.security_result.detection_fields.iat |
直接从原始日志中“identity”对象的“claims”对象内的“iat”字段映射而来。 |
| data.identity.claims.iss | read_only_udm.security_result.detection_fields.iss |
直接从原始日志中“identity”对象的“claims”对象内的“iss”字段映射而来。 |
| data.identity.claims.nbf | read_only_udm.security_result.detection_fields.nbf |
直接从原始日志中“identity”对象的“claims”对象内的“nbf”字段映射而来。 |
| data.identity.claims.rh | read_only_udm.security_result.detection_fields.rh |
直接从原始日志中“identity”对象的“claims”对象内的“rh”字段映射而来。 |
| data.identity.claims.uti | read_only_udm.security_result.detection_fields.uti |
直接从原始日志中“identity”对象的“claims”对象内的“uti”字段映射而来。 |
| data.identity.claims.ver | read_only_udm.security_result.detection_fields.ver |
直接从原始日志中“identity”对象的“claims”对象中的“ver”字段映射而来。 |
| data.identity.claims.xms_tcdt | read_only_udm.security_result.detection_fields.xms_tcdt |
直接从原始日志中“identity”对象的“claims”对象内的“xms_tcdt”字段映射而来。 |
| data.identity.UserName | read_only_udm.principal.user.user_display_name |
直接从原始日志中的“identity”对象内的“UserName”字段映射而来。 |
| data.level | read_only_udm.security_result.severity,read_only_udm.security_result.severity_details |
直接从原始日志中的“data”对象内的“level”字段映射而来。“level”字段还用于确定 severity 字段的值。如果“级别”为“信息”或“信息性”,则 severity 会设为“INFORMATIONAL”。如果“level”为“Warning”,则 severity 会设为“MEDIUM”。如果“level”为“Error”,则 severity 会设为“ERROR”。如果“level”为“Critical”,则 severity 设为“CRITICAL”。 |
| data.location | read_only_udm.target.location.name |
直接从原始日志中的“data”对象内的“location”字段映射而来。 |
| data.operationName | read_only_udm.metadata.product_event_type |
直接从原始日志中“data”对象的“operationName”字段映射而来。 |
| data.properties.EventChannel | read_only_udm.additional.fields.properties EventChannel |
直接从原始日志中“data”对象的“properties”对象中的“EventChannel”字段映射而来。 |
| data.properties.EventSource | read_only_udm.additional.fields.properties EventSource |
直接从原始日志中“data”对象的“properties”对象中的“EventSource”字段映射而来。 |
| data.properties.EventId | read_only_udm.metadata.product_log_id |
直接从原始日志中“data”对象的“properties”对象内的“EventId”字段映射而来。 |
| data.properties.eventProperties.cause | read_only_udm.security_result.detection_fields.cause |
直接从原始日志中“data”对象的“properties”对象的“eventProperties”对象中的“cause”字段映射而来。 |
| data.properties.eventProperties.clientIPAddress | read_only_udm.principal.asset.ip,read_only_udm.principal.ip |
直接从原始日志中“data”对象的“properties”对象的“eventProperties”对象中的“clientIPAddress”字段映射而来。 |
| data.properties.eventProperties.compromisedHost | read_only_udm.principal.asset.hostname,read_only_udm.principal.hostname |
直接从原始日志中“data”对象的“properties”对象的“eventProperties”对象中的“compromisedHost”字段映射而来。 |
| data.properties.eventProperties.currentHealthStatus | read_only_udm.security_result.detection_fields.currentHealthStatus |
直接从原始日志中“data”对象的“properties”对象的“eventProperties”对象中的“currentHealthStatus”字段映射而来。 |
| data.properties.eventProperties.previousHealthStatus | read_only_udm.security_result.detection_fields.previousHealthStatus |
直接从原始日志中“data”对象的“properties”对象的“eventProperties”对象中的“previousHealthStatus”字段映射而来。 |
| data.properties.eventProperties.type | read_only_udm.security_result.detection_fields.type |
直接从原始日志中“data”对象的“properties”对象的“eventProperties”对象中的“type”字段映射而来。 |
| data.properties.eventProperties.User | read_only_udm.principal.user.userid |
直接从原始日志中“data”对象的“properties”对象的“eventProperties”对象中的“User”字段映射而来。 |
| data.properties.eventProperties.userName | read_only_udm.principal.user.user_display_name |
从原始日志中“data”对象的“properties”对象的“eventProperties”对象内的“userName”字段(移除“SECURE\" 前缀后)直接映射而来。 |
| data.properties.ipAddress | read_only_udm.principal.asset.ip,read_only_udm.principal.ip |
直接从原始日志中“data”对象的“properties”对象内的“ipAddress”字段映射而来。 |
| data.properties.legacyChannels | read_only_udm.security_result.detection_fields.legacyChannels |
直接从原始日志中“data”对象的“properties”对象内的“legacyChannels”字段映射而来。 |
| data.properties.legacyEventDataId | read_only_udm.security_result.detection_fields.legacyEventDataId |
直接从原始日志中“data”对象的“properties”对象中的“legacyEventDataId”字段映射而来。 |
| data.properties.legacyResourceId | read_only_udm.security_result.detection_fields.legacyResourceId |
直接从原始日志中“data”对象的“properties”对象中的“legacyResourceId”字段映射而来。 |
| data.properties.legacyResourceGroup | read_only_udm.security_result.detection_fields.legacyResourceGroup |
直接从原始日志中“data”对象的“properties”对象中的“legacyResourceGroup”字段映射而来。 |
| data.properties.legacyResourceProviderName | read_only_udm.security_result.detection_fields.legacyResourceProviderName |
直接从原始日志中“data”对象的“properties”对象内的“legacyResourceProviderName”字段映射而来。 |
| data.properties.legacyResourceType | read_only_udm.security_result.detection_fields.legacyResourceType |
直接从原始日志中“data”对象的“properties”对象中的“legacyResourceType”字段映射而来。 |
| data.properties.legacySubscriptionId | read_only_udm.security_result.detection_fields.legacySubscriptionId |
直接从原始日志中“data”对象的“properties”对象内的“legacySubscriptionId”字段映射而来。 |
| data.properties.operationId | read_only_udm.security_result.detection_fields.operationId |
直接从原始日志中“data”对象的“properties”对象中的“operationId”字段映射而来。 |
| data.properties.result | read_only_udm.security_result.action_details |
直接从原始日志中“data”对象的“properties”对象中的“result”字段映射而来。 |
| data.properties.statusCode | read_only_udm.network.http.response_code |
直接从原始日志中“data”对象的“properties”对象内的“statusCode”字段映射而来。 |
| data.properties.suspiciousCommandLine | read_only_udm.target.process.command_line |
直接从原始日志中“data”对象的“properties”对象内的“suspiciousCommandLine”字段映射而来。 |
| data.properties.suspiciousProcess | read_only_udm.target.process.file.full_path |
直接从原始日志中“data”对象的“properties”对象内的“suspiciousProcess”字段映射而来。 |
| data.properties.suspiciousProcessId | read_only_udm.target.process.pid |
直接从原始日志中“data”对象的“properties”对象内的“suspiciousProcessId”字段映射而来。 |
| data.properties.tlsVersion | read_only_udm.network.tls.version |
直接从原始日志中“data”对象的“properties”对象内的“tlsVersion”字段映射而来。 |
| data.properties.userAgent | read_only_udm.network.http.user_agent,read_only_udm.network.http.parsed_user_agent |
直接从原始日志中“data”对象的“properties”对象内的“userAgent”字段映射而来。 |
| data.properties.userAgentHeader | read_only_udm.network.http.user_agent,read_only_udm.network.http.parsed_user_agent |
直接从原始日志中“data”对象的“properties”对象内的“userAgentHeader”字段映射而来。 |
| data.properties.userId | read_only_udm.target.user.product_object_id |
直接从原始日志中“data”对象的“properties”对象内的“userId”字段映射而来。 |
| data.ReleaseVersion | read_only_udm.metadata.product_version |
直接从原始日志中的“data”对象内的“ReleaseVersion”字段映射而来。 |
| data.resourceId | read_only_udm.target.resource.name |
直接从原始日志中的“data”对象内的“resourceId”字段映射而来。 |
| data.resourceType | read_only_udm.additional.fields.resourceType |
直接从原始日志中“data”对象的“resourceType”字段映射而来。 |
| data.resultDescription | read_only_udm.metadata.description |
直接从原始日志中的“data”对象内的“resultDescription”字段映射而来。 |
| data.resultSignature | read_only_udm.additional.fields.resultSignature |
直接从原始日志中的“data”对象内的“resultSignature”字段映射而来。 |
| data.resultType | read_only_udm.security_result.action_details,read_only_udm.additional.fields.resultType |
直接从原始日志中的“data”对象内的“resultType”字段映射而来。 |
| data.RoleLocation | read_only_udm.target.location.name |
直接从原始日志中的“data”对象内的“RoleLocation”字段映射而来。 |
| data.time | read_only_udm.metadata.event_timestamp |
系统会解析原始日志中的“data”对象内的“time”字段,以提取时间戳,然后将其映射到 event_timestamp。 |
| data.uri | read_only_udm.network.http.referral_url |
直接从原始日志中的“data”对象内的“uri”字段映射而来。 |
read_only_udm.extensions.auth.mechanism |
INTERACTIVE |
如果原始日志中“data”对象的“properties”对象中的“isInteractive”字段为“true”,则设置为“INTERACTIVE”。否则,该值会设置为“MECHANISM_OTHER”。 |
read_only_udm.extensions.auth.type |
MACHINE |
如果原始日志中的“category”字段为“NonInteractiveUserSignInLogs”“ManagedIdentitySignInLogs”或“ServicePrincipalSignInLogs”,则设置为“MACHINE”。 |
read_only_udm.metadata.log_type |
AZURE_ACTIVITY |
已硬编码为“AZURE_ACTIVITY”。 |
read_only_udm.metadata.vendor_name |
Microsoft |
已硬编码为“Microsoft”。 |
read_only_udm.principal.platform |
WINDOWS、MAC、LINUX、ANDROID |
根据“properties.test.deviceDetail.operatingSystem”字段的值确定。如果它包含“Win”,则 platform 会设置为“WINDOWS”。如果它包含“Mac”,platform 会设为“MAC”。如果它包含“Lin”,则 platform 会设置为“LINUX”。如果它包含“Android”,则 platform 会设置为“ANDROID”。 |
read_only_udm.principal.resource.type |
SERVICE_ACCOUNT,UNSPECIFIED |
根据“identity.authorization.evidence.principalType”字段的值确定。如果为“ServicePrincipal”,则 type 会设为“SERVICE_ACCOUNT”。否则,该值会设置为“UNSPECIFIED”。 |
read_only_udm.security_result.action |
ALLOW、BLOCK、UNKNOWN_ACTION |
根据“resultType”“status_errorcode”和“statusText”字段的值确定。如果“resultType”为“Success”“success”“Succeeded”“Started”“Resolved”“Active”“Updated”“Start”“Accept”“Accepted”“0”,或者“status_errorcode”为 0,或者“statusText”为“Success”,则 action 设为“ALLOW”。如果“resultType”为“Failure”“Failed”之一,或者“status_errorcode”不为空,或者“resultType”不为空,则 action 设为“BLOCK”。否则,该值会设置为“UNKNOWN_ACTION”。 |
read_only_udm.target.cloud.environment |
MICROSOFT_AZURE |
已硬编码为“MICROSOFT_AZURE”。 |
变化
2024-07-10
- 如果“identity.authorization.evidence.principalType”等于“Group”,则将“identity.authorization.evidence.principalId”映射到“principal.group.product_object_id”。
- 如果“identity.authorization.evidence.principalType”等于“User”或“ServicePrincipal”,则将“identity.authorization.evidence.principalId”映射到“principal.user.product_object_id”。
- 添加了 gsub 来将字段“properties”更改为“properties.test”,并移除了仅以“properties”开头的字段。
2024-07-08
- 将“properties.compromisedEntity”“properties.attackedResourceType”和“properties.intent”映射到“target.resource.attribute.labels”。
- 将“properties.severity”映射到“security_result.severity”。
2024-06-18
- 如果不存在“principal.user.userid”,则将“metadata.event_type”的映射从“USER_RESOURCE_ACCESS”更改为“GENERIC_EVENT”。
2024-06-18
- 将“operationVersion”映射到“metadata.product_version”。
- 将“properties.authenticationRequirementPolicies.requirementProvider”和“properties.authenticationRequirementPolicies.detail”映射到“security_result.detection_fields”。
- 将“properties.authenticationDetails.StatusSequence”“properties.correlationId”“properties.uniqueTokenIdentifier”和“properties.authenticationDetails.RequestSequence”映射到“security_result.detection_fields”。
- 将“properties.appDisplayName”映射到“target.application”。
- 将“properties.conditionalAccessStatus”“properties.appliedConditionalAccessPolicies”“properties.authenticationContextClassReferences”“properties.signInTokenProtectionStatus”“properties.originalRequestId”“properties.authenticationProcessingDetails”“properties.clientCredentialType”“properties.processingTimeInMilliseconds”“properties.riskDetail”“properties.riskLevelAggregated”“properties.riskLevelDuringSignIn”“properties.riskState”和“properties.originalTransferMethod”映射到“additional.fields”。
- 将“properties.riskEventTypes”“properties.riskEventTypes_v2”“properties.homeTenantId”“properties.autonomousSystemNumber”“properties.autonomousSystemNumber”和“properties.privateLinkDetails”映射到“additional.fields”。
- 将“properties.resourceId”“properties.resourceTenantId”和“properties.resourceServicePrincipalId”映射到“target.resource.attribute.labels”。
- 将“properties.userType”映射到“principal.user.attribute.roles”。
- 将“properties.userPrincipalName”映射到“principal.user.email_addresses”。
- 将“properties.clientAppUsed”映射到“principal.application”。
- 将“properties.deviceDetail.deviceId”映射到“principal.asset.asset_id”和“principal.asset_id”。
- 将“properties.appId”映射到“target.resource.attribute.labels”。
- 将“properties.status.additionalDetails”映射到“security_result.description”。
- 将“properties.responseBody.name”映射到“security_result.rule_name”。
- 将“properties.responseBody.properties.sourcePortRanges”和“properties.responseBody.properties.destinationPortRanges”映射到“additional.fields”。
- 如果“properties.responseBody.properties.sourceAddressPrefixes”是单个 IP 地址,则将其映射到“principal.ip”。
- 如果“properties.responseBody.properties.sourceAddressPrefixes”是 IP 地址范围,则将其映射到“additional.fields”。
- 如果“properties.responseBody.properties.sourceAddressPrefix”是单个 IP 地址或带端口的 IP 地址,则将其映射到“principal.ip”和“principal.port”。
- 如果“properties.responseBody.properties.sourceAddressPrefix”是 IP 地址范围,则将其映射到“additional.fields”。
- 如果“properties.responseBody.properties.destinationAddressPrefixes”是单个 IP 地址,则将其映射到“target.ip”。
- 如果“properties.responseBody.properties.destinationAddressPrefixes”是 IP 地址范围,则将其映射到“additional.fields”。
- 如果“properties.responseBody.properties.destinationAddressPrefix”是单个 IP 地址或带端口的 IP 地址,则将其映射到“target.ip”和“target.port”。
- 如果“properties.responseBody.properties.destinationAddressPrefix”是 IP 地址范围,则将其映射到“additional.fields”。
- 如果“properties.responseBody.properties.sourcePortRange”是单个端口,则将其映射到“principal.port”。
- 如果“properties.responseBody.properties.sourcePortRange”是端口范围,则将其映射到“additional.fields”。
- 如果“properties.responseBody.properties.destinationPortRange”是单个端口,则将其映射到“target.port”。
- 如果“properties.responseBody.properties.destinationPortRange”是端口范围,则将其映射到“additional.fields”。
- 将“properties.id”和“properties.status.errorCode”映射到“security_result.detection_fields”。
- 将“properties.isInteractive”映射到“extensions.auth.mechanism”。
- 如果“properties.deviceDetail.operatingSystem”为“ANDROID”,则将“principal.platform”映射到“ANDROID”。
2024-06-03
- 将“resourceId”中的“SUBSCRIPTIONS”“RESOURCEGROUPS”“STORAGEACCOUNTS”“PROVIDERS”和“SNAPSHOTS”映射到“target.resource.attribute.labels”。
2024-05-21
- 如果“identity.authorization.evidence.principalType”等于“User”“Group”“Application”,则将“principal.resource.type”映射到“UNSPECIFIED”。
- 将“identity.authorization.evidence.role”映射到“principal.user.role_name”。
- 将“identity.authorization.evidence.principalType”映射到“principal.resource.resource_subtype”。
- 将“identity.authorization.evidence.principalId”映射到“principal.user.product_object_id”。
- 将“identity.authorization.evidence.roleAssignmentId”“identity.authorization.evidence.roleAssignmentScope”“identity.authorization.evidence.roleDefinitionId”映射到“principal.resource.attribute.labels”。
2024-05-03
- 如果“category”为“SignInLogs”,则将“properties.userDisplayName”映射到“principal.user.user_display_name”。
- 将“properties.requestbody.properties.priority”和“properties.response.properties.priority”映射到“security_result.detection_fields”。
- 将“properties.requestbody.properties.protocol”映射到“network.ip_protocol”。
- 将“properties.requestbody.properties.direction”映射到“network.direction”。
- 将“properties.response.properties.protocol”映射到“network.ip_protocol”。
- 将“properties.response.properties.direction”映射到“network.direction”。
- 将“properties.response.properties.destinationPortRange”映射到“target.port”。
2024-04-26
- 将“operationName.value”映射到“metadata.product_event_type”。
- 将“category.value”映射到“security_result.category_details”。
- 将“httpRequest.uri”映射到“network.http.referral_url”。
- 将“httpRequest.method”映射到“network.http.method”。
- 将“httpRequest.clientIpAddress”映射到“principal.ip”和“principal.asset.ip”。
- 将“eventDataId”映射到“security_result.detection_fields”。
- 将“httpRequest.clientRequestId”映射到“additional.fields”。
2024-04-16
- 添加了对映射“network.application_protocol”的支持(如果“protocol”已知),否则将“protocol”映射到“additional.fields”。
2024-04-12
- 将“properties.requestbody.properties.allowBlobPublicAccess”映射到“security_result.detection_fields”。
2024-04-10
- 将“resourceId”映射到“target.resource.name”。
- 如果存在“resourceId”,则将“targetResources.displayName”“identity”“Type”和“properties.resourceDisplayName”映射到“target.resource.attribute.labels”。
2024-03-29
- 将“ResourceGUID”映射到“target.resource.product_object_id”。
- 将“Type”映射到“target.resource.name”。
- 将“ClientCity”映射到“principal.location.city”。
- 将“ClientCountryOrRegion”映射到“principal.location.country_or_region”。
- 将“ClientIP”映射到“principal.ip”和“principal.asset.ip”。
- 将“ClientStateOrProvince”映射到“principal.location.state”。
- 将“ClientType”映射到“principal.resource.attribute.labels”。
- 将“IKey”映射到“target.resource.attribute.labels”。
- 将“_BilledSize”和“DurationMs”映射到“additional.fields”。
- 将“OperationId”“SDKVersion”和“ItemCount”映射到“properties.operationId”。
- 将“ParentId”“Properties.WebtestLocationId”“Properties.FullTestResultAvailable”“Properties.SourceId”“Properties._MS_altIds”“Properties.WebtestArmResourceName”“Properties.SyntheticMonitorId”和“Success”映射到“security_result.detection_fields”。
- 将“Message”映射到“metadata.description”。
- 将“Id”映射到“principal.resource.product_object_id”。
- 将“名称”映射到“principal.resource.name”。
2024-03-25
- 如果“category”为“ServicePrincipalSignInLogs”“NonInteractiveUserSigninLogs”或“ManagedIdentitySignInLogs”,则将“createdDateTime”映射到“metadata.event_timestamp”。
- 将“properties.authenticationDetails.authenticationStepDateTime”“properties.authenticationDetails.authenticationMethod”“properties.authenticationDetails.authenticationStepResultDetail”“properties.authenticationDetails.authenticationStepRequirement”“properties.id”和“properties.resourceServicePrincipalId”映射到“security_result.detection_fields”。
- 将“properties.authenticationDetails.succeeded”映射到“security_result.action_details”。
2024-03-25
- 如果“properties.requestbody.Properties.RoleDefinitionId”不为空,请将“security_result.detection_fields.key”设置为“RequestBody roleDefinitionId”。
- 将“properties.roleDefinitionId”“properties.principalId”“properties.responseBody.properties.roleDefinitionId”和“properties.requestbody.Properties.PrincipalId”映射到“security_result.detection_fields”。
2024-03-13
- 将“properties.requestbody.properties.roleDefinitionId”和“properties.requestbody.properties.principalId”映射到“security_result.detection_fields”。
2024-03-05
- 将“resultType”映射到“security_result.action_details”。
- 将“properties.requestbody.Properties.PrincipalId”映射到“principal.user.userid”。
- 如果“resultType”不为空,则将“properties.status.failureReason”映射到“security_result.detection_fields”。
- 将“properties.hardwareProfile.vmSize”“properties.provisioningState”“properties.requestbody.Properties.RoleDefinitionId”映射到“security_result.detection_fields”。
2024-02-13
bug 修复:
- 如果“identity.UserName”为电子邮件地址,则映射到“principal.user.email_addresses”,否则映射到“principal.user.user_display_name”。
2024-02-12
- 添加了对要丢弃的 JSON 日志的支持。
- 将“OperationNameValue”映射到“metadata.product_event_type”。
- 将“properties.eventDataId”“properties.subscriptionId”“properties.resourceGroup”和“properties.resourceProviderValue”映射到“security_result.detection_fields”。
- 将“Caller”映射到“principal.user.userid”。
- 将“ActivityStatusValue”映射到“security_result.action”。
2024-02-01
- bug 修复:
- 如果“category”字段的值为“NonInteractiveUserSignInLogs”或“OperationName”为“Sign-in activity”,则将“metadata.event_type”从“USER_LOGOUT”更改为“USER_LOGIN”。
- 将“properties.incomingTokenType”和“properties.deviceDetail.browser”映射到“additional.fields”。
- 将“properties.userAgent”映射到“network.http.user_agent”。
- 如果“properties.userAgent”值不存在,则仅将“properties.deviceDetail.browser”映射到“network.http.user_agent”。
- 将解析后的“user_agent_field”映射到“network.http.parsed_user_agent”。
- 将“properties.eventProperties.clientIPAddress”和“callerIpAddress”映射到“principal.asset.ip”。
- 将“hostname”“rscname”和“properties.eventProperties.compromisedHost”映射到“principal.asset.hostname”。
2024-01-07
- bug 修复:
- 添加了 Grok 模式,以验证“callerIpAddress”是否为 IP 地址。
- 将“properties.accountName”映射到“principal.user.userid”。
- 将“uri”映射到“network.http.refferal_url”。
- 将“properties.userAgentHeader”映射到“network.http.user_agent”。
- 将“properties.tlsVersion”映射到“network.tls.version”。
- 将“statusCode”映射到“network.http.response_code”。
- 将“protocol”映射到“network.application_protocol”。
- 将“properties.clientRequestId”“properties.etag”“properties.objectKey”“properties.responseMd5”和“resourceType”映射到“additional.fields”。
2023-10-09
- 添加了对解析未解析日志的支持。
- 重命名了以下字段:
- 从“OperationName”更改为“operationName”。
- 从“CorrelationId”更改为“correlationId”。
- 从“Category”更改为“category”。
- 从“ResourceId”更改为“resourceId”。
- 从“ResultType”更改为“resultType”。
- 将“ProviderName”“ProviderGuid”映射到“security_result.detection_fields”。
- 将“ResultDescription”映射到“metadata.description”。
2023-09-13
增强功能 -
- 将“properties.eventCategory”映射到“security_result.detection_fields”。
- 将“opproperties.operationIderationName”映射到“security_result.detection_fields”。
- 将“properties.eventName”映射到“security_result.summary”。
- 将“properties.EventName”映射到“security_result.summary”。
- 将“properties.legacyResourceType”映射到“security_result.detection_fields”。
- 将“properties.CallerCredentialType”映射到“security_result.detection_fields”。
- 将“properties.EventChannel”映射到“security_result.detection_fields”。
- 将“properties.EventSource”映射到“security_result.detection_fields”。
- 将“properties.legacyResourceId”映射到“security_result.detection_fields”。
- 将“properties.eventProperties.User”映射到“principal.user.id”和“principal.user.email_addresses”。
- 将“properties.Caller”映射到“principal.user.id”和“principal.user.email_addresses”。
- 将“caller”映射到“principal.user.id”和“principal.user.email_addresses”。
- 将“properties.IpAddress”映射到“principal.ip”。
- 将“properties.Description_scrubbed”映射到“security_result.description”。
2023-02-22
增强功能 -
- 将“tenantId”映射到“metadata.product_deployment_id”。
- 将“operationName”映射到“metadata.product_event_type”。
- 将“category”映射到“security_result.category_details”。
- 将“callerIpAddress”映射到“principal.ip”。
- 将“identity”映射到“target.resource.name”。
- 将“result”映射到“security_result.action_details”。
- 将“properties.activityDisplayName”映射到“security_result.summary”。
- 将“location”映射到“principal.location.name”。
- 将“级别”映射到“security_result.severity_details”。
- 将“properties.initiatedBy.app.displayName”映射到“principal.application”。
- 将“properties.targetResources.displayName”映射到“target.resource.name”。
- 将“properties.targetResources.id”映射到“target.resource.product_object_id”。
- 将“properties.targetResources.modifiedProperties.displayName”映射到“target.user.attribute.labels”。
- 将“properties.additionalDetails”映射到“additional.fields”。
- 将“properties.loggedByService”映射到“target.application”。
- 将“properties.userId”映射到“target.user.product_object_id”。
- 将“properties.resourceDisplayName”映射到“target.resource.name”。
- 将“properties.location.city”映射到“principal.location.city”。
- 将“properties.location.state”映射到“principal.location.state”。
- 将“properties.location.countryOrRegion”映射到“principal.location.country_or_region”。
- 将“properties.ipAddress”映射到“principal.ip”。
- 将“properties.location.geoCoordinates.latitude”映射到“principal.location.region_latitude”。
- 将“properties.location.geoCoordinates.longitude”映射到“principal.location.region_longitude”。
- 将“properties.servicePrincipalId”映射到“principal.user.userid”。
- 将“properties.servicePrincipalName”映射到“principal.user.user_display_name”。
- 将“properties.tokenIssuerType”“properties.authenticationProcessingDetails.0.value”“properties.operationType”“properties.authenticationRequirement”“properties.deviceDetail.trustType”映射到“additional.fields”。
- 将“resultDescription”映射到“metadata.description”。
- 将“properties.userDisplayName”映射到“target.user.user_display_name”。
- 将“properties.appDisplayName”映射到“target.application”。
- 将“properties.userType”映射到“principal.user.attribute.roles”。
- 将“properties.status.failureReason”映射到“security_result.action_details”。
- 将“properties.deviceDetail.operatingSystem”映射到“principal.platform_version”。
- 将“properties.deviceDetail.displayName”映射到“principal.asset.hardware”。
- 将“properties.deviceDetail.browser”映射到“network.http.user_agent”。
- 将“properties.userPrincipalName”映射到“principal.user.email_addresses”。
2022-11-28
增强功能 -
- 将字段“correlationId”映射到“security_result.detection_fields”。
- 将字段“level”映射到“security_result.severity_details”。
- 为类别“ResourceHealth”添加了以下映射:
- 将字段“properties.legacyEventDataId”映射到了“security_result.detection_fields”。
- 将字段“properties.legacyChannels”映射到了“security_result.detection_fields”。
- 将字段“properties.legacySubscriptionId”映射到“security_result.detection_fields”。
- 将字段“properties.legacyResourceGroup”映射到“security_result.detection_fields”。
- 将“properties.legacyResourceProviderName”字段映射到了“security_result.detection_fields”。
- 将字段“properties.eventProperties.currentHealthStatus”映射到“security_result.detection_fields”。
- 将字段“properties.eventProperties.previousHealthStatus”映射到“security_result.detection_fields”。
- 将字段“properties.eventProperties.type”映射到“security_result.detection_fields”。
- 将字段“properties.eventProperties.cause”映射到“security_result.detection_fields”。
2022-09-26
增强功能 - 添加了字段。
- 将“tenantId”映射到“metadata.product_deployment_id”
2022-06-20
增强功能 -
- 添加了针对“entity_properties”的条件检查。
- 如果“category”等于“Security”
- 将“properties.eventProperties.clientIPAddress”映射到“principal.ip”。
- 将“properties.eventProperties.accountSessionId”映射到“network.session_id”。
- 将“properties.eventProperties.suspiciousProcess”映射到“target.process.file.full_path”。
- 将“properties.eventProperties.suspiciousCommandLine”映射到“target.process.command_line”。
- 将“properties.eventProperties.suspiciousProcessId”映射到“target.process.pid”。
- 将“properties.eventProperties.compromisedHost”映射到“principal.hostname”。
- 将“resultDescription”映射到“metadata.description”
- 将“properties.legacySubscriptionId”映射到“security_result.detection_fields”。
- 将“properties.legacyResourceProviderName”映射到“security_result.detection_fields”。
2022-05-19
增强功能 - 添加和修改了多个字段。
- claims、Identity、aud、tenantid、principalId、action、appidacr、iat、exp、nbf、rh、uti、ver、xms_tcdt、principalType、roleAssignmentId、appid、aio、iss、nameidentifier、roleDefinitionId、scope 已映射到 security_result.detection_fields
- resultSignature、resultType、hierarchy、resource_type、entity,已映射到 additional.fields。
- RoleLocation 已映射到 location.name。
- 已映射到 security_result.category_details 的类别。