Microsoft Azure AD-Audit-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Azure Active Directory-Logs (AD) erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Azure Active Directory (AZURE_AD) heißt jetzt Microsoft Entra ID. Azure AD-Audit-Logs (AZURE_AD_AUDIT) sind jetzt Microsoft Entra ID-Audit-Logs.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert.
Hinweise
Für die Aufgaben auf dieser Seite benötigen Sie Folgendes:
- Ein Azure-Abo, mit dem Sie sich anmelden können.
- Die Rolle „Global Administrator“ oder „Azure AD-Administrator“.
- Ein Azure AD-Mandant in Azure.
Azure AD konfigurieren
- Melden Sie sich im Azure an.
- Gehen Sie zu Startseite > App-Registrierung, wählen Sie eine registrierte App aus oder registrieren Sie eine App, falls Sie noch keine App erstellt haben.
- Wenn Sie eine Anwendung registrieren möchten, klicken Sie im Abschnitt App-Registrierung auf Neue Registrierung.
- Geben Sie im Feld Name den Anzeigenamen für Ihre Anwendung ein.
- Wählen Sie im Abschnitt Unterstützte Kontotypen die gewünschte Option aus, um anzugeben, wer die Anwendung verwenden oder auf die API zugreifen darf.
- Klicken Sie auf Registrieren.
- Rufen Sie die Seite Übersicht auf und kopieren Sie die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Tenant-ID), die zum Konfigurieren des Google Security Operations-Feeds erforderlich sind.
- Klicken Sie auf API-Berechtigungen.
- Klicken Sie auf Berechtigung hinzufügen und wählen Sie im neuen Bereich Microsoft Graph aus.
- Klicken Sie auf Anwendungsberechtigungen.
- Wählen Sie die Berechtigungen AuditLog.Read.All, Directory.Read.All und SecurityEvents.Read.All aus. Achten Sie darauf, dass es sich bei den Berechtigungen um Anwendungsberechtigungen und nicht um delegierte Berechtigungen handelt.
- Klicken Sie auf Administratoreinwilligung für Standardverzeichnis erteilen. Anwendungen dürfen APIs aufrufen, wenn sie im Rahmen des Einwilligungsverfahrens von Nutzern oder Administratoren Berechtigungen erhalten.
- Gehen Sie zu Einstellungen > Verwalten.
- Klicken Sie auf Zertifikate und Secrets.
- Klicken Sie auf Neuer geheimer Clientschlüssel. Im Feld Wert wird der Clientschlüssel angezeigt.
- Kopieren Sie den Clientschlüsselwert. Der Wert wird nur zum Zeitpunkt der Erstellung angezeigt und ist für die Azure-App-Registrierung und die Konfiguration des Google Security Operations-Feeds erforderlich.
Feed in Google Security Operations für die Aufnahme von Azure AD-Audit-Logs konfigurieren
- Wählen Sie SIEM-Einstellungen > Feeds aus.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie einen eindeutigen Namen für den Feednamen ein.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Azure AD-Verzeichnisaudit als Protokolltyp aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- OAUTH-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
- OAUTH-Clientschlüssel: Geben Sie den Clientschlüssel an, den Sie zuvor abgerufen haben.
- Mandanten-ID: Geben Sie die zuvor abgerufene Mandanten-ID an.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser verarbeitet Azure AD-Verzeichnis-Audit-Logs im JSON-Format. Es werden relevante Felder extrahiert, in ein einheitliches Datenmodell (Unified Data Model, UDM) umgewandelt und die Daten um zusätzlichen Kontext wie Nutzerdetails, IP-Adressen und Sicherheitsergebnisse ergänzt. Der Parser kategorisiert Ereignisse auch anhand ihrer Merkmale und ordnet sie bestimmten UDM-Ereignistypen zu, um die Analyse zu vereinfachen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | Direkte Zuordnung aus dem Rohlogfeld „activityDateTime“. |
| activityDisplayName | read_only_udm.metadata.product_event_type | Direkte Zuordnung aus dem Rohlogfeld „activityDisplayName“. |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „ApplicationId“ der Schlüssel ist. |
| additionalDetails.Client | read_only_udm.network.http.user_agent | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „Client“ der Schlüssel ist. |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „ClientIpAddress“ der Schlüssel ist. |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Direkte Zuordnung aus dem Feld „additionalDetails“ des Rohlogs, wobei „DomainName“ der Schlüssel ist. |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „EmailAddress“ der Schlüssel ist. |
| additionalDetails.GrantType | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „GrantType“ der Schlüssel ist. |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „LocalAccountUsername“ der Schlüssel ist. |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „PhoneNumber“ der Schlüssel ist. |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Direkte Zuordnung aus dem Feld „additionalDetails“ des Rohlogs, wobei „PolicyId“ der Schlüssel ist. |
| additionalDetails.Scopes | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „Scopes“ der Schlüssel ist. |
| additionalDetails.TenantId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „TenantId“ der Schlüssel ist. |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „VerificationMethod“ der Schlüssel ist. |
| appId | read_only_udm.target.process.pid | Direkte Zuordnung aus dem Feld „appId“ im Rohprotokoll. |
| appliedConditionalAccessPolicies | read_only_udm.about | Das Feld „displayName“ ist „read_only_udm.about.user.user_display_name“ zugeordnet und das Feld „id“ ist „read_only_udm.about.user.userid“ zugeordnet. Das Feld „Ergebnis“ ist „read_only_udm.about.labels“ zugeordnet. Der Schlüssel ist auf „Ergebnis“ festgelegt. |
| Kategorie | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Direkte Zuordnung aus dem Feld „category“ im Rohprotokoll. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „log_category“ festgelegt. |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Rohprotokollfeld „callerIpAddress“. |
| clientAppUsed | read_only_udm.principal.application | Direkte Zuordnung aus dem Rohprotokollfeld „clientAppUsed“. |
| correlationId | read_only_udm.network.session_id | Direkte Zuordnung aus dem Rohprotokollfeld „correlationId“. |
| id | read_only_udm.metadata.product_log_id | Direkte Zuordnung aus dem Feld „id“ des Rohlogs. |
| identity | read_only_udm.target.user.userid | Direkte Zuordnung aus dem Feld „identity“ im Rohprotokoll. |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Direkte Zuordnung aus dem Feld „initiatedBy.app.appId“ im Rohprotokoll. Der Schlüssel für „read_only_udm.principal.resource.attribute.labels“ ist auf „App-ID“ festgelegt. |
| initiatedBy.app.displayName | read_only_udm.principal.application | Direkte Zuordnung aus dem Rohprotokollfeld „initiatedBy.app.displayName“. |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Rohprotokollfeld „initiatedBy.app.servicePrincipalId“. |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Direkte Zuordnung aus dem Feld „initiatedBy.app.servicePrincipalName“ des Rohlogs. |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.principal.user.user_display_name“ zugeordnet. |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Feld „initiatedBy.user.id“ im Rohprotokoll. |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Feld „initiatedBy.user.ipAddress“ des Rohlogs. |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.principal.user.userid“ zugeordnet. Der Domainteil der E-Mail-Adresse wird „read_only_udm.principal.administrative_domain“ zugeordnet. Der vollständige Wert wird auch „read_only_udm.principal.resource.attribute.labels“ zugeordnet, wobei der Schlüssel auf „User Principal Name“ festgelegt ist. |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Feld „ipAddress“ des Rohlogs. |
| Level | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | Der Wert wird in einen String konvertiert und „read_only_udm.security_result.severity_details“ zugeordnet. Das Feld „read_only_udm.security_result.severity“ ist auf „INFORMATIONAL“ gesetzt. |
| location.city | read_only_udm.principal.location.city | Direkte Zuordnung aus dem Rohprotokollfeld „location.city“. |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Direkte Zuordnung aus dem Rohprotokollfeld „location.countryOrRegion“. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Direkte Zuordnung aus dem Rohlogs-Feld „location.geoCoordinates.latitude“. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Direkte Zuordnung aus dem Rohlogs-Feld „location.geoCoordinates.longitude“. |
| location.state | read_only_udm.principal.location.state | Direkte Zuordnung aus dem Rohprotokollfeld „location.state“. |
| loggedByService | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „loggedByService“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „loggedByService“ festgelegt. |
| operationName | read_only_udm.metadata.product_event_type | Direkte Zuordnung aus dem Feld „operationName“ des Rohlogs. |
| operationType | read_only_udm.security_result.action_details | Direkte Zuordnung aus dem Feld „operationType“ des Rohlogs. |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | Direkte Zuordnung aus dem Rohlogfeld „properties.activityDateTime“. |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | Direkte Zuordnung aus dem Rohlogfeld „properties.activityDisplayName“. |
| properties.appDisplayName | read_only_udm.target.application | Direkte Zuordnung aus dem Rohprotokollfeld „properties.appDisplayName“. |
| properties.category | read_only_udm.security_result.category_details | Direkte Zuordnung aus dem Feld „properties.category“ im Rohprotokoll. |
| properties.id | read_only_udm.metadata.product_log_id | Direkte Zuordnung aus dem Feld „properties.id“ des Rohlogs. |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Direkte Zuordnung aus dem Rohprotokollfeld „properties.initiatedBy.app.appId“. Der Schlüssel für „read_only_udm.principal.resource.attribute.labels“ ist auf „App-ID“ festgelegt. |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | Direkte Zuordnung aus dem Rohprotokollfeld „properties.initiatedBy.app.displayName“. |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Feld „properties.initiatedBy.app.servicePrincipalId“ des Rohlogs. |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Direkte Zuordnung aus dem Feld „properties.initiatedBy.app.servicePrincipalName“ des Rohlogs. |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.principal.user.user_display_name“ zugeordnet. |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Rohprotokollfeld „properties.initiatedBy.user.id“. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Feld „properties.initiatedBy.user.ipAddress“ des Rohlogs. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.principal.user.userid“ zugeordnet. Der Domainteil der E-Mail-Adresse wird „read_only_udm.principal.administrative_domain“ zugeordnet. Der vollständige Wert wird auch „read_only_udm.principal.resource.attribute.labels“ zugeordnet, wobei der Schlüssel auf „User Principal Name“ festgelegt ist. |
| properties.loggedByService | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „properties.loggedByService“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „loggedByService“ festgelegt. |
| properties.operationType | read_only_udm.security_result.action_details | Direkte Zuordnung aus dem Feld „properties.operationType“ des Rohlogs. |
| properties.result | read_only_udm.security_result.summary | Direkte Zuordnung aus dem Feld „properties.result“ im Rohprotokoll. |
| properties.resultReason | read_only_udm.security_result.description | Direkte Zuordnung aus dem Feld „properties.resultReason“ im Rohprotokoll. |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | Direkte Zuordnung aus dem Feld „properties.userPrincipalName“ des Rohlogs. |
| result | read_only_udm.security_result.summary, read_only_udm.security_result.action | Direkte Zuordnung aus dem Rohprotokollfeld „result“. Wenn der Wert „success“ ist, wird „read_only_udm.security_result.action“ auf „ALLOW“ gesetzt. Wenn der Wert „failure“ ist, wird „read_only_udm.security_result.action“ auf „BLOCK“ gesetzt. |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Direkte Zuordnung aus dem Rohprotokollfeld „resultDescription“. |
| resultReason | read_only_udm.security_result.description | Direkte Zuordnung aus dem Feld „resultReason“ im Rohprotokoll. |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Direkte Zuordnung aus dem Rohprotokollfeld „resultType“. Wenn der Wert „0“ ist, wird „read_only_udm.security_result.action“ auf „ALLOW“ und „read_only_udm.security_result.summary“ auf „Successful login occurred“ gesetzt. Andernfalls wird „read_only_udm.security_result.action“ auf „BLOCK“ und „read_only_udm.security_result.summary“ auf „Failed login occurred“ gesetzt. „read_only_udm.security_result.description“ wird auf den Wert von „resultDescription“ und „read_only_udm.security_result.severity“ auf „ERROR“ gesetzt. |
| resourceDisplayName | read_only_udm.target.resource.name | Direkte Zuordnung aus dem Rohprotokollfeld „resourceDisplayName“. |
| resourceId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Feld „resourceId“ des Rohlogs. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „resourceId“ festgelegt. |
| riskDetail | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „riskDetail“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskDetail“ gesetzt. |
| riskEventTypes | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „riskEventTypes“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskEventTypes“ festgelegt. |
| riskEventTypes_v2 | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „riskEventTypes_v2“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskEventTypes_v2“ festgelegt. |
| riskLevelAggregated | read_only_udm.additional.fields | Direkte Zuordnung aus dem Feld „riskLevelAggregated“ des Rohlogs. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskLevelAggregated“ festgelegt. |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Direkte Zuordnung aus dem Rohprotokollfeld „riskLevelDuringSignIn“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskLevelDuringSignIn“ festgelegt. Wenn der Wert „medium“ ist, wird „read_only_udm.security_result.priority“ auf „MEDIUM_PRIORITY“ festgelegt. |
| riskState | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „riskState“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskState“ festgelegt. |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Wenn der Wert von „targetResources.0.type“ „User“ oder „ServicePrincipal“ ist, wird er „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert von „targetResources.0.type“ „Gruppe“ ist, wird er „read_only_udm.target.group.group_display_name“ zugeordnet. Andernfalls wird der Wert „read_only_udm.target.resource.name“ zugeordnet. |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Direkte Zuordnung aus dem Feld „targetResources.0.groupType“ im Rohprotokoll. Der Schlüssel für „read_only_udm.target.group.attribute.labels“ ist auf „groupType“ festgelegt. |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Wenn der Wert von „targetResources.0.type“ „Nutzer“ oder „ServicePrincipal“ ist, wird er „read_only_udm.target.user.product_object_id“ zugeordnet. Wenn der Wert von „targetResources.0.type“ „Gruppe“ ist, wird er „read_only_udm.target.group.product_object_id“ zugeordnet. Andernfalls wird der Wert „read_only_udm.target.resource.product_object_id“ zugeordnet. |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | Der Wert wird „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist auf „targetResources.modifiedProperties.displayname {index}“ festgelegt. Wenn der Wert „TargetId.DeviceId“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ mit dem Präfix „Device ID:“ zu „read_only_udm.target.asset.asset_id“ zugeordnet. Wenn der Wert „DisplayName“ oder „jobTitle“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.title“ zugeordnet. Wenn der Wert „WellKnownObjectName“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.resource.attribute.roles“ mit dem Schlüssel „name“ zugeordnet. Wenn der Wert „displayName“ ist und „targetResources.0.displayName“ den Wert „null“ hat, wird der Wert „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert „givenName“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ mit „read_only_udm.target.user.first_name“ abgeglichen. Wenn der Wert „Nachname“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.last_name“ zugeordnet. Wenn der Wert „Abteilung“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.department“ zugeordnet. Wenn der Wert „physicalDeliveryOfficeName“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.office_address.name“ zugeordnet. Wenn der Wert „employeeId“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.employee_id“ zugeordnet. Wenn der Wert „mobile“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.phone_numbers“ zugeordnet. Wenn der Wert „MailNickname“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.userid“ zugeordnet. Andernfalls wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.resource.attribute.labels“ zugeordnet. Der Schlüssel wird auf den Wert von „targetResources.0.modifiedProperties.displayName“ festgelegt. Der Wert von „targetResources.0.modifiedProperties.oldValue“ wird „read_only_udm.src.resource.attribute.labels“ zugeordnet. Der Schlüssel ist auf den Wert von „targetResources.0.modifiedProperties.displayName“ festgelegt. |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „TargetId.DeviceId“ ist, wird der Wert mit dem Präfix „Device ID:“ zu „read_only_udm.target.asset.asset_id“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „DisplayName“ oder „jobTitle“ ist, wird er „read_only_udm.target.user.title“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „WellKnownObjectName“ ist, wird der Wert „read_only_udm.target.resource.attribute.roles“ zugeordnet. Der Schlüssel ist dabei auf „name“ festgelegt. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „displayName“ ist und „targetResources.0.displayName“ den Wert „null“ hat, wird der Wert „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „givenName“ ist, wird der Wert „read_only_udm.target.user.first_name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „Nachname“ ist, wird der Wert „read_only_udm.target.user.last_name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „Abteilung“ ist, wird er „read_only_udm.target.user.department“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „physicalDeliveryOfficeName“ ist, wird der Wert „read_only_udm.target.user.office_address.name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „employeeId“ ist, wird der Wert „read_only_udm.target.user.employee_id“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „mobile“ ist, wird er „read_only_udm.target.user.phone_numbers“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „MailNickname“ ist, wird der Wert „read_only_udm.target.user.userid“ zugeordnet. Andernfalls wird der Wert „read_only_udm.target.resource.attribute.labels“ zugeordnet. Der Schlüssel wird auf den Wert „targetResources.0.modifiedProperties.displayName“ festgelegt. Der Wert wird auch „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist „targetResources.modifiedProperties.newValue {index}“. |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | Der Wert wird „read_only_udm.src.resource.attribute.labels“ zugeordnet. Der Schlüssel ist auf den Wert „targetResources.0.modifiedProperties.displayName“ festgelegt. Der Wert wird auch „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist dabei „targetResources.modifiedProperties.oldValue {index}“. |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Direkte Zuordnung aus dem Feld „targetResources.0.type“ im Rohprotokoll. Wenn der Wert „ServicePrincipal“ ist, wird „read_only_udm.target.resource.resource_type“ auf „SERVICE_ACCOUNT“ festgelegt. Wenn der Wert „Gerät“ ist, wird „read_only_udm.target.resource.resource_type“ auf „DEVICE“ festgelegt. Andernfalls wird „read_only_udm.target.resource.resource_type“ auf „UNSPECIFIED“ gesetzt. Wenn der Wert „Nutzer“ oder „ServicePrincipal“ ist, wird der Wert von „targetResources.0.userPrincipalName“ auf „read_only_udm.target.user.userid“, der Wert von „targetResources.0.id“ auf „read_only_udm.target.user.product_object_id“ und der Wert von „targetResources.0.displayName“ auf „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert „Gruppe“ ist, wird der Wert von „targetResources.0.id“ mit „read_only_udm.target.group.product_object_id“ und der Wert von „targetResources.0.displayName“ mit „read_only_udm.target.group.group_display_name“ abgeglichen. |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.target.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.target.user.userid“ zugeordnet. |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Wenn der Wert von „targetResources.type“ „User“ oder „ServicePrincipal“ ist, wird er „read_only_udm.about.user.user_display_name“ und „read_only_udm.about.user.userid“ zugeordnet. Wenn der Wert von „targetResources.type“ „Gruppe“ ist, wird er „read_only_udm.about.group.group_display_name“ zugeordnet. Der Wert „targetResources.groupType“ wird „read_only_udm.about.group.attribute.labels“ zugeordnet. Der Schlüssel ist auf „groupType“ festgelegt. Andernfalls wird der Wert „read_only_udm.about.resource.name“ zugeordnet. |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Direkte Zuordnung aus dem Feld „targetResources.groupType“ im Rohprotokoll. Der Schlüssel für „read_only_udm.about.group.attribute.labels“ ist auf „groupType“ festgelegt. |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Wenn der Wert von „targetResources.type“ „Nutzer“ oder „ServicePrincipal“ ist, wird er „read_only_udm.about.user.product_object_id“ zugeordnet. Wenn der Wert von „targetResources.type“ „Gruppe“ ist, wird er „read_only_udm.about.group.product_object_id“ zugeordnet. Andernfalls wird der Wert „read_only_udm.about.resource.product_object_id“ zugeordnet. |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | Der Wert wird „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist auf „targetResources.modifiedProperties.displayname {index}“ festgelegt. |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | Der Wert wird „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist „targetResources.modifiedProperties.newValue {index}“. |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | Der Wert wird „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist auf „targetResources.modifiedProperties.oldValue {index}“ festgelegt. |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Direkte Zuordnung aus dem Feld „targetResources.type“ im Rohprotokoll. Wenn der Wert „ServicePrincipal“ ist, wird „read_only_udm.about.resource.resource_type“ auf „SERVICE_ACCOUNT“ festgelegt. Wenn der Wert „Device“ ist, wird „read_only_udm.about.resource.resource_type“ auf „DEVICE“ gesetzt. Andernfalls wird „read_only_udm.about.resource.resource_type“ auf „UNSPECIFIED“ gesetzt. Wenn der Wert „Nutzer“ oder „ServicePrincipal“ ist, wird der Wert von „targetResources.userPrincipalName“ auf „read_only_udm.about.user.userid“, der Wert von „targetResources.id“ auf „read_only_udm.about.user.product_object_id“ und der Wert von „targetResources.displayName“ auf „read_only_udm.about.user.user_display_name“ zugeordnet. Wenn der Wert „Gruppe“ ist, wird der Wert von „targetResources.id“ auf „read_only_udm.about.group.product_object_id“ und der Wert von „targetResources.displayName“ auf „read_only_udm.about.group.group_display_name“ zugeordnet. |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.about.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.about.user.userid“ zugeordnet. |
| tenantId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Feld „tenantId“ des Rohlogs. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „tenantId“ festgelegt. |
| Zeit | read_only_udm.metadata.event_timestamp | Direkte Zuordnung aus dem Rohprotokollfeld „time“. |
| userId | read_only_udm.target.user.product_object_id | Direkte Zuordnung aus dem Feld „userId“ im Rohprotokoll. Der Wert wird anhand der Werte anderer Felder festgelegt, darunter „activityDisplayName“, „principal_userid_present“, „target_userid_present“, „principal_ip_present“, „loggedByService“ und „category“. Die Logik zum Festlegen des Werts ist komplex und hängt von der spezifischen Kombination der Werte in diesen Feldern ab. Der Wert wird auf „SSO“ festgelegt, wenn der Wert von „operationName“ „Anmeldeaktivität“ ist. Der Wert ist auf „Microsoft“ festgelegt. Der Wert ist auf „Azure AD-Verzeichnisaudit“ festgelegt. Der Wert ist auf „AZURE_AD_AUDIT“ festgelegt. |
Änderungen
2024-07-30
- Wenn „principal.user.userid“ oder „target.user.userid“ vorhanden ist, wird nur „metadata.event_type“ zu „USER_CHANGE_PERMISSIONS“ zugeordnet.
2024-06-26
- Delta zwischen „targetResources.modifiedProperties.newValue“ und „targetResources.modifiedProperties.oldValue“ wurde in „additional.fields“ zugeordnet.
2024-06-10
- Wenn „initiatedBy.user.ipAddress“ eine IP-Adresse hat, setze „principal_ip_present“ auf „true“.
- Es wurde eine Bedingung hinzugefügt, um „metadata.event_type“ nur dann auf „USER_DELETION“ festzulegen, wenn „principal_ip_present“ auf „true“ gesetzt ist.
2024-06-03
- Es wurde ein JSON-Block zum Parsen nicht geparster Protokolle hinzugefügt.
- Es wurde eine bedingte Prüfung für „event_type“ „USER_DELETION“ hinzugefügt.
2024-05-20
Fehlerkorrektur:
- Die Zuordnung der „targetResource“ wurde geändert.
- Die erste Iteration von „targetResource“ wurde „target“ und die folgende Iteration von „targetResource“ „about“ zugeordnet.
- Der Schlüsselname des Felds „loggedByService“ wurde von „log_Service“ in „loggedByService“ geändert.
- Die Zuordnung von „resourceId“ wurde von „target.resource.id“ zu „additional_fields“ geändert.
- Wenn „targetResources.type“ den Wert „Application“, „Policy“, „Role“, „Directory“, „RoleAssignment“, „Request“, „Provider“ oder „Other“ hat, werden „targetResources.displayName“ zu „noun.resource.name“, „targetResources.id“ zu „noun.resource.product_object_id“, „noun.resource.resource_type“ zu „UNSPECIFIED“ und „targetResource.type“ zu „noun.resource.resource_subtype“ zugeordnet.
- Wenn „targetResources.type“ = „User“, wurde „targetResources.displayName“ zu „noun.resource.name“, „targetResources.id“ zu „noun.resource.product_object_id“, „noun.resource.resource_type“ zu „UNSPECIFIED“, „targetResource.type“ zu „noun.resource.resource_subtype“, „targetResources.displayName“ zu „noun.user.user_display_name“, „targetResources.id“ zu „noun.user.product_object_id“ und „targetResources.userPrincipalName“ zu „noun.user.userid“ zugeordnet.
- Wenn „targetResources.type“ = „ServicePrincipal“, wurde „targetResources.displayName“ zu „noun.resource.name“, „targetResources.id“ zu „noun.resource.product_object_id“, „noun.resource.resource_type“ = „SERVICE_ACCOUNT“, „targetResource.type“ zu „noun.resource.resource_subtype“, „targetResources.displayName“ zu „noun.user.user_display_name“, „targetResources.id“ zu „noun.user.product_object_id“ und „targetResources.userPrincipalName“ zu „noun.user.userid“ zugeordnet.
- Wenn „targetResources.type“ = „Group“, wurde „targetResources.displayName“ zu „noun.resource.name“, „targetResources.id“ zu „noun.resource.product_object_id“, „noun.resource.resource_type“ = „UNSPECIFIED“, „targetResource.type“ zu „noun.resource.resource_subtype“, „targetResources.displayName“ zu „noun.group.group_display_name“, „targetResources.id“ zu „noun.group.product_object_id“ und „groupType“ zu „noun.group.attribute.labels“ zugeordnet.
2024-05-17
- „initiatedBy.user.id“ wurde in „principal.user.product_object_id“ umgewandelt.
- „initiatedBy.user.userPrincipalName“ wurde in „principal.user.userid“ geändert.
2024-03-18
- Die Felder „targetResources.modifiedProperties.displayname“, „targetResources.modifiedProperties.newValue“ und „targetResources.modifiedProperties.oldValue“ werden auch dann angezeigt, wenn der Wert „null“ ist.
- „callerIpAddress“ wurde zu „principal.ip“ zugeordnet.
2024-03-12
Fehlerkorrektur:
- Synchronisierte Zuordnungen von Azure Monitor-E-Mail-Format-Protokollzuordnungen zu Protokollen im Microsoft Graph API-Format.
- „target.resource.resource_type“ wurde anhand von „targetResources.type“ zugeordnet.
- „targetResources.type“ wurde in „target.resource.type“ umgewandelt.
2024-03-04
- „user_principal_name“ von „initiatedBy.user.userPrincipalName“ auf „principal.resource.attribute.labels“ zugeordnet
- „domain“ von „initiatedBy.user.userPrincipalName“ zu „principal.administrative_domain“ zugeordnet.
- „loggedByService“ und „properties.loggedByService“ wurden „additional.fields“ zugeordnet.
- Die Zuordnung von „initiatedBy.user.id“ wurde von „principal.user.product_object_id“ zu „principal.user.userid“ geändert.
- „tgt_user_principal_name“ wurde von „target.userPrincipalName“ zu „target.resource.attribute.labels“ zugeordnet.
- „domain“ von „target.userPrincipalName“ zu „target.administrative_domain“ zugeordnet.
- „category“ wurde „additional.fields“ zugeordnet.
- Wenn „additionalDetails[n].key“ „AppId“ ist, wird „additionalDetails[n].value“ mit „target.process.pid“ abgeglichen.
- Wenn „additionalDetails[n].key“ „User-Agent“ ist, wird „additionalDetails[n].value“ den Attributen „network.http.user_agent“ und „network.http.parsed_user_agent“ zugeordnet.
- „metadata.event_type“ wurde anhand von „loggedByService“, „category“ und „activityDisplayName“ zugeordnet.
- „targetResources.modifiedProperties.displayname“, „targetResources.modifiedProperties.newValue“ und „targetResources.modifiedProperties.oldValue“ wurden in „additional.fields“ zugeordnet.
2024-02-21
- Es wurde eine bedingte Prüfung hinzugefügt, ob „principal.user.userid“ vorhanden ist, bevor „metadata.event_type“ auf „USER_CREATION“ gesetzt wird.
- Die Zuordnung von „initiatedBy.user.id“ wurde von „principal.user.userid“ zu „principal.user.product_object_id“ geändert.
- Die Zuordnung von „initiatedBy.app.servicePrincipalId“ wurde von „principal.user.userid“ zu „principal.user.product_object_id“ geändert.
- Die Zuordnung von „initiatedBy.app.servicePrincipalName“ wurde von „principal.user.user_display_name“ zu „principal.user.userid“ geändert.
- Die Zuordnung von „properties.initiatedBy.user.id“ wurde von „principal.user.userid“ zu „principal.user.product_object_id“ geändert.
- Die Zuordnung von „properties.initiatedBy.app.servicePrincipalId“ wurde von „principal.user.userid“ zu „principal.user.product_object_id“ geändert.
- Die Zuordnung von „properties.initiatedBy.app.servicePrincipalName“ wurde von „principal.user.user_display_name“ zu „principal.user.userid“ geändert.
- Wenn der Wert „targetResourceType“ mit „User“ oder „ServicePrincipal“ übereinstimmt, wurde die Zuordnung von „target.id“ von „target.user.userid“ zu „target.user.product_object_id“ geändert.
- Wenn der Wert „targetResourceType“ mit „User“ oder „ServicePrincipal“ übereinstimmt, wird „target.userPrincipalName“ mit „target.user.userid“ abgeglichen.
- Wenn der Wert „targetResourceType“ mit „User“ oder „ServicePrincipal“ übereinstimmt, wird „target.displayName“ mit „target.user.user_display_name“ abgeglichen.
2024-02-12
- Bedingte Prüfung für „modifiedProperty.displayName“, „modifiedProperty.newValue“ und „modifiedProperty.oldValue“ hinzugefügt.
- Wenn „targetResource.id“ „Nutzer“ oder „ServicePrincipal“ ist, wird sie „target.user.userid“ zugeordnet.
2024-01-08
Fehlerkorrektur:
- Es wurde ein Grok-Muster hinzugefügt, um E-Mail-Werte zu validieren, bevor sie „principal.user.email_addresses“ und „target.user.email_addresses“ zugeordnet werden.
2023-12-19
- „targetResource.modifiedProperties.newValue“, „targetResource.modifiedProperties.oldValue“ und „targetResource.modifiedProperties.displayName“ wurden in „additional.fields“ umgewandelt.
2023-11-23
- Die Felder „targetResources.0.modifiedProperties.newValue/oldValue“ wurden auf „event.idm.read_only_udm.additional.fields“ umgestellt.
- Vor der Zuordnung zu UDM wurde „initiatedBy.user.ipAddress“ um eine Formatprüfung für IP-Adressen ergänzt.
2023-10-16
- die folgenden Zuordnungen geändert:
- „metadata.event_type“ wurde von „USER_UNCATEGORIZED“ in „USER_RESOURCE_ACCESS“ geändert, wenn „target.type“ nicht „user“ ist.
- Die Zuordnung von „target.id“ wurde von „principal.user.userid“ zu „principal.user.group_or_identifiers“ geändert, wenn „target.type“ nicht „user“ ist.
- Das Feld, das „target.resource.id“ zugeordnet war, wurde auch „target.resource.product_object_id“ zugeordnet, da „target.resource.id“ eingestellt wird.
2023-08-03
- die folgenden Zuordnungen geändert:
- „metadata.event_type“ wurde von „USER_UNCATEGORIZED“ in „USER_CREATION“ geändert, wenn „activityDisplayName“ „Nutzer hinzufügen“ lautet.
- Die Zuordnung von „activityDisplayName“ wurde von „metadata.description“ zu „metadata.product_event_type“ geändert.
- „metadata.event_type“ wurde korrekt zugeordnet, wenn „activityDisplayName“ „Mitglied zur Gruppe hinzufügen“ oder „Inhaber zur Gruppe hinzufügen“ lautet.
- Alle Felder unter „targetResources“ sollten zu den UDM-Feldern „target.user“ gehören.
- „target.user.userid“ muss der richtigen „id“ unter „targetResource“ zugeordnet sein.
- Für „activityDisplayName“ als „Mitglied einer Rolle außerhalb von PIM hinzufügen (dauerhaft)“ in „activityDisplayName“ wird „target.user.xxx“ zugeordnet, wenn der Ressourcentyp „Nutzer“ ist.
- Für „activityDisplayName“ als „Mitglied der Rolle hinzufügen“ wurde „Role.WellKnownObjectName“ mit „target.resource.attribute.roles.name“ verknüpft.
2023-07-24
- „targetresources.modifiedproperties.newvalue“ wurde in „target.user.title“ umgewandelt, wenn der Wert „targetresources.modifiedproperties.displayname“ „role.displayname“ enthält.
2023-05-25
- Fehlerkorrektur: Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.userid“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „mailNickname“ übereinstimmt.
2023-05-05
- die folgenden Zuordnungen geändert:
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.product_object_id“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „objectId“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.user_display_name“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „displayName“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.first_name“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „givenName“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.title“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „jobTitle“ übereinstimmt.
- Die Zuordnung wurde von „target.resource.attribute.labels.value“ zu „target.user.email_addresses“ geändert, wenn „targetResources.modifiedProperties.displayName“ mit „mail“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.last_name“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „surname“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.department“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „department“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.office_address.name“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „physicalDeliveryOfficeName“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.employee_id“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „employeeId“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.phone_numbers“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „mobile“ übereinstimmt.
2023-04-18
- „initiatedBy.user.userPrincipalName“ ist mit „principal.user.user_display_name“, „principal.user.userid“ oder „principal.user.email_addresses“ verknüpft.
- „targetResources.type“ ist auf „target.resource.attribute.labels“ zugeordnet.
2023-04-12
Verbesserung –
- „initiatedBy.user.userPrincipalName“ wurde auf „principal.user.email_addresses“ und „event_type“ auf „USER_UNCATEGORIZED“ umgestellt.
- wenn „initiatedBy.user.userPrincipalName“ nicht null ist.
- Wenn „targetResources.modifiedProperties.displayName“ „userPrincipalName“ ist, wird es „principal.user.email_addresses“ zugeordnet.
- „event_type“ wurde in „USER_UNCATEGORIZED“ umgewandelt, wenn „activityDisplayName“ zu [„Issue an id_token to the application“, „Set Company Information“] gehört.
2023-02-20
Fehlerkorrektur –
- Mehrere IP-Adressen unter dem Schlüssel „additionalDetails.ClientIpAddress“ wurden „principal.ip“ zugeordnet.
- „metadata.event_type“ wurde als „USER_UNCATEGORIZED“ zugeordnet, wenn „activityDisplayName“ dem Wert „Nutzer löschen“ entspricht und das Feld „initiatedBy.user.userPrincipalName“ nicht vorhanden ist.
2023-02-02
- Verbesserung: Wenn „activityDisplayName“ mit „Nutzer löschen“ übereinstimmt, wird Folgendes zugeordnet:
- „event_type“ wurde in „USER_DELETION“ geändert.
- „initiatedBy.user.userPrincipalName“ wurde in „principal.user.userid“ umgewandelt.
2022-11-24
Verbesserung –
- „modifiedProperties.newValue“ wurde „target.resource.attribute.labels“ zugeordnet.
- „modifiedProperties.oldValue“ wurde auf „src.resource.attribute.labels“ zugeordnet.
2022-11-07
Verbesserung –
- „target.modifiedProperties.TargetId.DeviceId“ wurde in „event.idm.read_only_udm.target.asset.asset_id“ geändert.
2022-09-16
Verbesserung –
- „properties.initiatedBy.user.ipAddress“ wurde in „principal.ip“ geändert.
- „properties.initiatedBy.user.userPrincipalName“ wurde in „principal.user.userid“ umgewandelt.
- „properties.resultReason“ wurde in „security_result.description“ umgewandelt.
- „identity“ wurde „target.user.userid“ zugeordnet.
- „operationName“ wurde auf „metadata.product_event_type“ zugeordnet.
- „metadata.event_type“ wurde „USER_UNCATEGORIZED“ zugeordnet, wobei „properties.activityDisplayName“ „Ressourceneigenschaften eines Tenants abrufen“ lautet.
- „category“ und „properties.category“ wurden in „security_result.category_details“ überführt.
- „resultDescription“ wurde „metadata.description“ zugeordnet.
- „resultType“ wurde auf „security_result.rule_id“ zugeordnet.
2022-06-20
- Verbesserung: Der Parser wurde so erweitert, dass er die Protokolle mit der Kategorie „AuditLogs“ und „SignInLogs“ parsen kann. Dazu wurden die folgenden Zuordnungen hinzugefügt :
- Das Feld „properties.id“ wurde „metadata.product_log_id“ zugeordnet.
- Das Feld „properties.loggedByService“ wurde „target.application“ zugeordnet.
- Das Feld „Level“ wurde den Feldern „security_result.severity“ und „security_result.severity_details“ zugeordnet.
- Das Feld „properties.result“ wurde den Feldern „security_result.summary“ und „security_result.action“ zugeordnet.
- Das Feld „properties.operationType“ wurde „security_result.action_details“ zugeordnet.
- Das Feld „properties.activityDisplayName“ wurde „metadata.description“ zugeordnet.
- Das Feld „properties.category“ wurde „metadata.product_event_type“ zugeordnet.
- Das Feld „properties.resultReason“ wurde in „security_result.description“ umgewandelt.
- Das Feld „properties.initiatedBy.app.displayName“ wurde „principal.application“ zugeordnet.
- Das Feld „properties.ipAddress“ wurde „principal.ip“ zugeordnet.
- Das Feld „properties.initiatedBy.app.servicePrincipalId“ wurde „principal.user.userid“ zugeordnet.
- Das Feld „properties.initiatedBy.app.servicePrincipalName“ wurde „principal.user.user_display_name“ zugeordnet.
- Die Felder „properties.appId“ und „properties.initiatedBy.app.appId“ wurden „principal.resource.attribute.labels“ zugeordnet.
- Das Feld „properties.location.city“ wurde „principal.location.city“ zugeordnet.
- Das Feld „properties.location.state“ wurde „principal.location.state“ zugeordnet.
- Das Feld „properties.location.countryOrRegion“ wurde „principal.location.country_or_region“ zugeordnet.
- Das Feld „properties.location.geoCoordinates.latitude“ wurde „principal.location.region_latitude“ zugeordnet.
- Das Feld „properties.location.geoCoordinates.longitude“ wurde „principal.location.region_longitude“ zugeordnet.
- Die Felder „properties.targetResources.modifiedProperties“ wurden „target.user.attribute.labels“ zugeordnet.
- Das Feld „targetResources.displayName“ wurde „target.user.user_display_name“ zugeordnet.
- Das Feld „targetResources.id“ wurde „target.user.userid“ zugeordnet.
- Die Felder „properties.additionalDetails“, „properties.riskDetail“, „properties.riskEventTypes“, „properties.riskEventTypes_v2“, „properties.riskLevelAggregated“, „properties.riskLevelDuringSignIn“, „properties.riskState“, „properties.conditionalAccessStatus“, „tenantId“ wurden in „additional.fields“ zugeordnet.
- Das Feld „operationVersion“ wurde „metadata.product_version“ zugeordnet.
- Das Feld „properties.appliedConditionalAccessPolicies.displayName“ wurde „about.user.user_display_name“ zugeordnet.
- Das Feld „properties.appliedConditionalAccessPolicies..id“ wurde „about.user.userid“ zugeordnet.
- Das Feld „properties.appliedConditionalAccessPolicies.result“ wurde „about.labels“ zugeordnet.