Raccogliere i log di controllo di Microsoft Azure AD
Questo documento descrive come raccogliere i log di Microsoft Azure Active Directory (AD) impostando un feed di Google Security Operations.
Azure Active Directory (AZURE_AD
) ora si chiama Microsoft Entra ID. Gli audit log di Azure AD
(AZURE_AD_AUDIT
) ora sono audit log di Microsoft Entra ID.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato.
Prima di iniziare
Per completare le attività in questa pagina, assicurati di disporre di quanto segue:
- Un abbonamento Azure a cui puoi accedere.
- Un ruolo di amministratore globale o di amministratore di Azure AD.
- Un tenant Azure AD in Azure.
Configurare Azure AD
- Accedi al portale Azure.
- Vai a Home > Registrazione app, seleziona un'applicazione registrata o registra un'applicazione se non ne hai ancora creata una.
- Per registrare un'applicazione, nella sezione Registrazione app, fai clic su Nuova registrazione.
- Nel campo Nome, fornisci il nome visualizzato per l'applicazione.
- Nella sezione Tipi di account supportati, seleziona l'opzione richiesta per specificare chi può utilizzare l'applicazione o accedere all'API.
- Fai clic su Registrati.
- Vai alla pagina Panoramica e copia l'ID applicazione (client) e l'ID directory (tenant), necessari per configurare il feed di Google Security Operations.
- Fai clic su Autorizzazioni API.
- Fai clic su Aggiungi un'autorizzazione e seleziona Microsoft Graph nel nuovo riquadro.
- Fai clic su Autorizzazioni applicazione.
- Seleziona le autorizzazioni AuditLog.Read.All, Directory.Read.All e SecurityEvents.Read.All. Assicurati che le autorizzazioni siano Autorizzazioni app e non Autorizzazioni delegate.
- Fai clic su Concedi il consenso amministratore per la directory predefinita. Le applicazioni sono autorizzate a chiamare le API quando gli utenti o gli amministratori concedono le autorizzazioni nell'ambito della procedura di consenso.
- Vai a Impostazioni > Gestisci.
- Fai clic su Certificati e secret.
- Fai clic su Nuovo segreto client. Nel campo Valore viene visualizzato il client secret.
- Copia il valore del client secret. Il valore viene visualizzato solo al momento della creazione ed è necessario per la registrazione dell'app Azure e per configurare il feed di Google Security Operations.
Configura un feed in Google Security Operations per importare gli audit log di Azure AD
- Seleziona Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo.
- Inserisci un nome univoco per il nome del feed.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Controllo directory Azure AD come Tipo di log.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- ID client OAuth: specifica l'ID client ottenuto in precedenza.
- Client secret OAuth: specifica il client secret ottenuto in precedenza.
- ID tenant: specifica l'ID tenant ottenuto in precedenza.
- Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser elabora i log di controllo della directory di Azure AD in formato JSON. Estrae i campi pertinenti, li trasforma in un modello dei dati unificato (UDM) e li arricchisce con un contesto aggiuntivo, come dettagli utente, indirizzi IP e risultati di sicurezza. Il parser classifica inoltre gli eventi in base alle loro caratteristiche, mappandoli a tipi di eventi UDM specifici per facilitarne l'analisi.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
activityDateTime | read_only_udm.metadata.event_timestamp | Mappatura diretta dal campo del log non elaborato "activityDateTime". |
activityDisplayName | read_only_udm.metadata.product_event_type | Mappatura diretta dal campo del log non elaborato "activityDisplayName". |
additionalDetails.ApplicationId | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "ApplicationId". |
additionalDetails.Client | read_only_udm.network.http.user_agent | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "Client". |
additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "ClientIpAddress". |
additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "DomainName". |
additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "EmailAddress". |
additionalDetails.GrantType | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "GrantType". |
additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "LocalAccountUsername". |
additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "PhoneNumber". |
additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "PolicyId". |
additionalDetails.Scopes | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "Scopes". |
additionalDetails.TenantId | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "TenantId". |
additionalDetails.VerificationMethod | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "VerificationMethod". |
appId | read_only_udm.target.process.pid | Mappatura diretta dal campo del log non elaborato "appId". |
appliedConditionalAccessPolicies | read_only_udm.about | Il campo "displayName" è mappato a "read_only_udm.about.user.user_display_name" e il campo "id" è mappato a "read_only_udm.about.user.userid". Il campo "result" è mappato a "read_only_udm.about.labels", con la chiave impostata su "Risultato". |
categoria | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Mappatura diretta dal campo del log non elaborato "category". La chiave per "read_only_udm.additional.fields" è impostata su "log_category". |
callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappatura diretta dal campo del log non elaborato "callerIpAddress". |
clientAppUsed | read_only_udm.principal.application | Mappatura diretta dal campo del log non elaborato "clientAppUsed". |
correlationId | read_only_udm.network.session_id | Mappatura diretta dal campo del log non elaborato "correlationId". |
ID | read_only_udm.metadata.product_log_id | Mappatura diretta dal campo del log non elaborato "id". |
identity | read_only_udm.target.user.userid | Mappatura diretta dal campo del log non elaborato "identity". |
initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Mappatura diretta dal campo del log non elaborato "initiatedBy.app.appId". La chiave per "read_only_udm.principal.resource.attribute.labels" è impostata su "ID app". |
initiatedBy.app.displayName | read_only_udm.principal.application | Mappatura diretta dal campo del log non elaborato "initiatedBy.app.displayName". |
initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Mappatura diretta dal campo del log non elaborato "initiatedBy.app.servicePrincipalId". |
initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Mappatura diretta dal campo del log non elaborato "initiatedBy.app.servicePrincipalName". |
initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.user_display_name". |
initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Mappatura diretta dal campo del log non elaborato "initiatedBy.user.id". |
initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappatura diretta dal campo del log non elaborato "initiatedBy.user.ipAddress". |
initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.userid". La parte di dominio dell'indirizzo email è mappata a "read_only_udm.principal.administrative_domain". Il valore completo viene mappato anche a "read_only_udm.principal.resource.attribute.labels" con la chiave impostata su "Nome principale utente". |
ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappatura diretta dal campo del log non elaborato "ipAddress". |
Livello | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | Il valore viene convertito in una stringa e mappato a "read_only_udm.security_result.severity_details". Il campo "read_only_udm.security_result.severity" è impostato su "INFORMATIONAL". |
location.city | read_only_udm.principal.location.city | Mappatura diretta dal campo del log non elaborato "location.city". |
location.countryOrRegion | read_only_udm.principal.location.country_or_region | Mappatura diretta dal campo del log non elaborato "location.countryOrRegion". |
location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Mappatura diretta dal campo del log non elaborato "location.geoCoordinates.latitude". |
location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Mappatura diretta dal campo del log non elaborato "location.geoCoordinates.longitude". |
location.state | read_only_udm.principal.location.state | Mappatura diretta dal campo del log non elaborato "location.state". |
loggedByService | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "loggedByService". La chiave per "read_only_udm.additional.fields" è impostata su "loggedByService". |
operationName | read_only_udm.metadata.product_event_type | Mappatura diretta dal campo del log non elaborato "operationName". |
operationType | read_only_udm.security_result.action_details | Mappatura diretta dal campo del log non elaborato "operationType". |
properties.activityDateTime | read_only_udm.metadata.event_timestamp | Mappatura diretta dal campo del log non elaborato "properties.activityDateTime". |
properties.activityDisplayName | read_only_udm.metadata.product_event_type | Mappatura diretta dal campo del log non elaborato "properties.activityDisplayName". |
properties.appDisplayName | read_only_udm.target.application | Mappatura diretta dal campo del log non elaborato "properties.appDisplayName". |
properties.category | read_only_udm.security_result.category_details | Mappatura diretta dal campo del log non elaborato "properties.category". |
properties.id | read_only_udm.metadata.product_log_id | Mappatura diretta dal campo del log non elaborato "properties.id". |
properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.appId". La chiave per "read_only_udm.principal.resource.attribute.labels" è impostata su "ID app". |
properties.initiatedBy.app.displayName | read_only_udm.principal.application | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.displayName". |
properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.servicePrincipalId". |
properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.servicePrincipalName". |
properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.user_display_name". |
properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.user.id". |
properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.user.ipAddress". |
properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.userid". La parte di dominio dell'indirizzo email è mappata a "read_only_udm.principal.administrative_domain". Il valore completo viene mappato anche a "read_only_udm.principal.resource.attribute.labels" con la chiave impostata su "Nome principale utente". |
properties.loggedByService | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "properties.loggedByService". La chiave per "read_only_udm.additional.fields" è impostata su "loggedByService". |
properties.operationType | read_only_udm.security_result.action_details | Mappatura diretta dal campo del log non elaborato "properties.operationType". |
properties.result | read_only_udm.security_result.summary | Mappatura diretta dal campo del log non elaborato "properties.result". |
properties.resultReason | read_only_udm.security_result.description | Mappatura diretta dal campo del log non elaborato "properties.resultReason". |
properties.userPrincipalName | read_only_udm.target.user.user_display_name | Mappatura diretta dal campo del log non elaborato "properties.userPrincipalName". |
risultato | read_only_udm.security_result.summary, read_only_udm.security_result.action | Mappatura diretta dal campo del log non elaborato "result". Se il valore è "success", "read_only_udm.security_result.action" è impostato su "ALLOW". Se il valore è "failure", "read_only_udm.security_result.action" viene impostato su "BLOCK". |
resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Mappatura diretta dal campo del log non elaborato "resultDescription". |
resultReason | read_only_udm.security_result.description | Mappatura diretta dal campo del log non elaborato "resultReason". |
resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Mappatura diretta dal campo del log non elaborato "resultType". Se il valore è "0", "read_only_udm.security_result.action" è impostato su "ALLOW" e "read_only_udm.security_result.summary" è impostato su "Accesso riuscito". In caso contrario, "read_only_udm.security_result.action" viene impostato su "BLOCK", "read_only_udm.security_result.summary" viene impostato su "Failed login occurred", "read_only_udm.security_result.description" viene impostato sul valore di "resultDescription" e "read_only_udm.security_result.severity" viene impostato su "ERROR". |
resourceDisplayName | read_only_udm.target.resource.name | Mappatura diretta dal campo del log non elaborato "resourceDisplayName". |
resourceId | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "resourceId". La chiave per "read_only_udm.additional.fields" è impostata su "resourceId". |
riskDetail | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "riskDetail". La chiave per "read_only_udm.additional.fields" è impostata su "riskDetail". |
riskEventTypes | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "riskEventTypes". La chiave per "read_only_udm.additional.fields" è impostata su "riskEventTypes". |
riskEventTypes_v2 | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "riskEventTypes_v2". La chiave per "read_only_udm.additional.fields" è impostata su "riskEventTypes_v2". |
riskLevelAggregated | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "riskLevelAggregated". La chiave per "read_only_udm.additional.fields" è impostata su "riskLevelAggregated". |
riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Mappatura diretta dal campo del log non elaborato "riskLevelDuringSignIn". La chiave per "read_only_udm.additional.fields" è impostata su "riskLevelDuringSignIn". Se il valore è "medium", "read_only_udm.security_result.priority" viene impostato su "MEDIUM_PRIORITY". |
riskState | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "riskState". La chiave per "read_only_udm.additional.fields" è impostata su "riskState". |
targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Se il valore di "targetResources.0.type" è "Utente" o "ServicePrincipal", il valore viene mappato a "read_only_udm.target.user.user_display_name". Se il valore di "targetResources.0.type" è "Gruppo", il valore viene mappato a "read_only_udm.target.group.group_display_name". In caso contrario, il valore viene mappato a "read_only_udm.target.resource.name". |
targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Mappatura diretta dal campo del log non elaborato "targetResources.0.groupType". La chiave per "read_only_udm.target.group.attribute.labels" è impostata su "groupType". |
targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Se il valore di "targetResources.0.type" è "User" o "ServicePrincipal", il valore viene mappato a "read_only_udm.target.user.product_object_id". Se il valore di "targetResources.0.type" è "Gruppo", il valore viene mappato a "read_only_udm.target.group.product_object_id". In caso contrario, il valore viene mappato a "read_only_udm.target.resource.product_object_id". |
targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.displayname {index}". Se il valore è "TargetId.DeviceId", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.asset.asset_id" con il prefisso "ID dispositivo:". Se il valore è "DisplayName" o "jobTitle", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.title". Se il valore è "WellKnownObjectName", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.resource.attribute.roles" con la chiave impostata su "name". Se il valore è "displayName" e "targetResources.0.displayName" è null, il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.user_display_name". Se il valore è "givenName", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.first_name". Se il valore è "cognome", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.last_name". Se il valore è "department", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.department". Se il valore è "physicalDeliveryOfficeName", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.office_address.name". Se il valore è "employeeId", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.employee_id". Se il valore è "mobile", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.phone_numbers". Se il valore è "MailNickname", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.userid". In caso contrario, il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". Il valore di "targetResources.0.modifiedProperties.oldValue" è mappato a "read_only_udm.src.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". |
targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Se il valore di "targetResources.0.modifiedProperties.displayName" è "TargetId.DeviceId", il valore viene mappato a "read_only_udm.target.asset.asset_id" con il prefisso "ID dispositivo:". Se il valore di "targetResources.0.modifiedProperties.displayName" è "DisplayName" o "jobTitle", il valore viene mappato a "read_only_udm.target.user.title". Se il valore di "targetResources.0.modifiedProperties.displayName" è "WellKnownObjectName", il valore viene mappato a "read_only_udm.target.resource.attribute.roles" con la chiave impostata su "name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "displayName" e "targetResources.0.displayName" è null, il valore viene mappato a "read_only_udm.target.user.user_display_name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "givenName", il valore viene mappato a "read_only_udm.target.user.first_name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "cognome", il valore viene mappato a "read_only_udm.target.user.last_name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "department", il valore viene mappato a "read_only_udm.target.user.department". Se il valore di "targetResources.0.modifiedProperties.displayName" è "physicalDeliveryOfficeName", il valore viene mappato a "read_only_udm.target.user.office_address.name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "employeeId", il valore viene mappato a "read_only_udm.target.user.employee_id". Se il valore di "targetResources.0.modifiedProperties.displayName" è "mobile", il valore viene mappato a "read_only_udm.target.user.phone_numbers". Se il valore di "targetResources.0.modifiedProperties.displayName" è "MailNickname", il valore viene mappato a "read_only_udm.target.user.userid". In caso contrario, il valore viene mappato a "read_only_udm.target.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". Il valore viene mappato anche a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.newValue {index}". |
targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | Il valore viene mappato a "read_only_udm.src.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". Il valore viene mappato anche a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.oldValue {index}". |
targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Mappatura diretta dal campo del log non elaborato "targetResources.0.type". Se il valore è "ServicePrincipal", "read_only_udm.target.resource.resource_type" è impostato su "SERVICE_ACCOUNT". Se il valore è "Device", "read_only_udm.target.resource.resource_type" è impostato su "DEVICE". In caso contrario, "read_only_udm.target.resource.resource_type" viene impostato su "UNSPECIFIED". Se il valore è "Utente" o "ServicePrincipal", il valore di "targetResources.0.userPrincipalName" viene mappato a "read_only_udm.target.user.userid", il valore di "targetResources.0.id" viene mappato a "read_only_udm.target.user.product_object_id" e il valore di "targetResources.0.displayName" viene mappato a "read_only_udm.target.user.user_display_name". Se il valore è "Gruppo", il valore di "targetResources.0.id" viene mappato a "read_only_udm.target.group.product_object_id" e il valore di "targetResources.0.displayName" viene mappato a "read_only_udm.target.group.group_display_name". |
targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.target.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.target.user.userid". |
targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Se il valore di "targetResources.type" è "Utente" o "ServicePrincipal", il valore viene mappato a "read_only_udm.about.user.user_display_name" e "read_only_udm.about.user.userid". Se il valore di "targetResources.type" è "Gruppo", il valore viene mappato a "read_only_udm.about.group.group_display_name". Il valore di "targetResources.groupType" è mappato a "read_only_udm.about.group.attribute.labels" con la chiave impostata su "groupType". In caso contrario, il valore viene mappato a "read_only_udm.about.resource.name". |
targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Mappatura diretta dal campo del log non elaborato "targetResources.groupType". La chiave per "read_only_udm.about.group.attribute.labels" è impostata su "groupType". |
targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Se il valore di "targetResources.type" è "User" o "ServicePrincipal", il valore viene mappato a "read_only_udm.about.user.product_object_id". Se il valore di "targetResources.type" è "Gruppo", il valore viene mappato a "read_only_udm.about.group.product_object_id". In caso contrario, il valore viene mappato a "read_only_udm.about.resource.product_object_id". |
targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.displayname {index}". |
targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.newValue {index}". |
targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.oldValue {index}". |
targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Mappatura diretta dal campo del log non elaborato "targetResources.type". Se il valore è "ServicePrincipal", "read_only_udm.about.resource.resource_type" è impostato su "SERVICE_ACCOUNT". Se il valore è "Device", "read_only_udm.about.resource.resource_type" è impostato su "DEVICE". In caso contrario, "read_only_udm.about.resource.resource_type" viene impostato su "UNSPECIFIED". Se il valore è "Utente" o "ServicePrincipal", il valore di "targetResources.userPrincipalName" viene mappato a "read_only_udm.about.user.userid", il valore di "targetResources.id" viene mappato a "read_only_udm.about.user.product_object_id" e il valore di "targetResources.displayName" viene mappato a "read_only_udm.about.user.user_display_name". Se il valore è "Gruppo", il valore di "targetResources.id" viene mappato a "read_only_udm.about.group.product_object_id" e il valore di "targetResources.displayName" viene mappato a "read_only_udm.about.group.group_display_name". |
targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.about.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.about.user.userid". |
tenantId | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "tenantId". La chiave per "read_only_udm.additional.fields" è impostata su "tenantId". |
tempo | read_only_udm.metadata.event_timestamp | Mappatura diretta dal campo del log non elaborato "time". |
userId | read_only_udm.target.user.product_object_id | Mappatura diretta dal campo del log non elaborato "userId". Il valore viene impostato in base ai valori di altri campi, tra cui "activityDisplayName", "principal_userid_present", "target_userid_present", "principal_ip_present", "loggedByService" e "category". La logica per l'impostazione del valore è complessa e dipende dalla combinazione specifica di valori in questi campi. Il valore è impostato su "SSO" se il valore di "operationName" è "Attività di accesso". Il valore è impostato su "Microsoft". Il valore è impostato su "Azure AD Directory Audit". Il valore è impostato su "AZURE_AD_AUDIT". |
Modifiche
2024-07-30
- Quando è presente "principal.user.userid" o "target.user.userid", viene mappato solo "metadata.event_type" a "USER_CHANGE_PERMISSIONS".
2024-06-26
- Il delta mappato tra "targetResources.modifiedProperties.newValue" e "targetResources.modifiedProperties.oldValue" in "additional.fields".
2024-06-10
- Quando "initiatedBy.user.ipAddress" ha un indirizzo IP, imposta "principal_ip_present" su "true".
- È stata aggiunta una condizione per impostare "metadata.event_type" su "USER_DELETION" solo quando "principal_ip_present" è "true".
2024-06-03
- È stato aggiunto un blocco JSON per analizzare i log non analizzati.
- È stato aggiunto un controllo condizionale per "event_type" "USER_DELETION".
2024-05-20
Correzione di bug:
- È stata modificata la mappatura di "targetResource".
- È stata mappata la prima iterazione di "targetResource" a "target" e la successiva iterazione di "targetResource" a "about".
- Il nome della chiave del campo "loggedByService" è stato modificato in "loggedByService" da "log_Service".
- È stata modificata la mappatura di "resourceId" da "target.resource.id" a "additional_fields".
- Quando "targetResources.type" = "Application", "Policy", "Role", "Directory", "RoleAssignment", "Request", "Provider", "Other", mappa "targetResources.displayName" a "noun.resource.name"; "targetResources.id" a "noun.resource.product_object_id"; "noun.resource.resource_type" = "UNSPECIFIED" e "targetResource.type" a "noun.resource.resource_subtype".
- Quando "targetResources.type" = "User", mappa "targetResources.displayName" a "noun.resource.name"; "targetResources.id" a "noun.resource.product_object_id"; "noun.resource.resource_type" = "UNSPECIFIED"; "targetResource.type" a "noun.resource.resource_subtype"; "targetResources.displayName" a "noun.user.user_display_name"; "targetResources.id" a "noun.user.product_object_id"; "targetResources.userPrincipalName" a "noun.user.userid".
- Quando "targetResources.type" = "ServicePrincipal", mappa "targetResources.displayName" a "noun.resource.name", "targetResources.id" a "noun.resource.product_object_id", "noun.resource.resource_type" = "SERVICE_ACCOUNT", "targetResource.type" a "noun.resource.resource_subtype", "targetResources.displayName" a "noun.user.user_display_name", "targetResources.id" a "noun.user.product_object_id" e "targetResources.userPrincipalName" a "noun.user.userid".
- Quando "targetResources.type" = "Group", mappa "targetResources.displayName" a "noun.resource.name", "targetResources.id" a "noun.resource.product_object_id", "noun.resource.resource_type" = "UNSPECIFIED", "targetResource.type" a "noun.resource.resource_subtype", "targetResources.displayName" a "noun.group.group_display_name", "targetResources.id" a "noun.group.product_object_id" e "groupType" a "noun.group.attribute.labels".
2024-05-17
- "initiatedBy.user.id" è stato mappato a "principal.user.product_object_id".
- "initiatedBy.user.userPrincipalName" è stato mappato a "principal.user.userid".
2024-03-18
- I campi "targetResources.modifiedProperties.displayname", "targetResources.modifiedProperties.newValue" e "targetResources.modifiedProperties.oldValue" vengono visualizzati anche quando il valore è null.
- "callerIpAddress" è stato mappato a "principal.ip".
2024-03-12
Correzione di bug:
- Mappature sincronizzate delle mappature dei log nel formato dell'involucro di Azure Monitor ai log nel formato dell'API Microsoft Graph.
- "target.resource.resource_type" è stato mappato in base a "targetResources.type".
- "targetResources.type" è stato mappato a "target.resource.type".
2024-03-04
- "user_principal_name" è stato mappato da "initiatedBy.user.userPrincipalName" a "principal.resource.attribute.labels".
- "domain" è stato mappato da "initiatedBy.user.userPrincipalName" a "principal.administrative_domain".
- "loggedByService" e "properties.loggedByService" sono stati mappati a "additional.fields".
- È stata modificata la mappatura di "initiatedBy.user.id" da "principal.user.product_object_id" a "principal.user.userid".
- "tgt_user_principal_name" è stato mappato da "target.userPrincipalName" a "target.resource.attribute.labels".
- "domain" mappato da "target.userPrincipalName" a "target.administrative_domain".
- "category" è stato mappato a "additional.fields".
- Quando "additionalDetails[n].key" è "AppId", mappa "additionalDetails[n].value" a "target.process.pid".
- Quando "additionalDetails[n].key" è "User-Agent", mappa "additionalDetails[n].value" a "network.http.user_agent" e "network.http.parsed_user_agent".
- "metadata.event_type" è stato mappato in base a "loggedByService", "category" e "activityDisplayName".
- Sono stati mappati "targetResources.modifiedProperties.displayname", "targetResources.modifiedProperties.newValue" e "targetResources.modifiedProperties.oldValue" a "additional.fields".
2024-02-21
- È stato aggiunto un controllo condizionale per verificare se "principal.user.userid" è presente prima di impostare "metadata.event_type" su "USER_CREATION".
- È stata modificata la mappatura di "initiatedBy.user.id" da "principal.user.userid" a "principal.user.product_object_id".
- È stata modificata la mappatura di "initiatedBy.app.servicePrincipalId" da "principal.user.userid" a "principal.user.product_object_id".
- È stata modificata la mappatura di "initiatedBy.app.servicePrincipalName" da "principal.user.user_display_name" a "principal.user.userid".
- È stata modificata la mappatura di "properties.initiatedBy.user.id" da "principal.user.userid" a "principal.user.product_object_id".
- È stata modificata la mappatura di "properties.initiatedBy.app.servicePrincipalId" da "principal.user.userid" a "principal.user.product_object_id".
- È stata modificata la mappatura di "properties.initiatedBy.app.servicePrincipalName" da "principal.user.user_display_name" a "principal.user.userid".
- Se il valore "targetResourceType" è simile a "User" o "ServicePrincipal", la mappatura di "target.id" è stata modificata da "target.user.userid" in "target.user.product_object_id".
- Se il valore "targetResourceType" è simile a "User" o "ServicePrincipal", mappa "target.userPrincipalName" a "target.user.userid".
- Se il valore "targetResourceType" è simile a "User" o "ServicePrincipal", mappa "target.displayName" a "target.user.user_display_name".
2024-02-12
- È stato aggiunto il controllo condizionale per "modifiedProperty.displayName", "modifiedProperty.newValue" e "modifiedProperty.oldValue".
- Quando "targetResource.id" è "User" o "ServicePrincipal", è stato mappato a "target.user.userid".
2024-01-08
Correzione di bug:
- È stato aggiunto un pattern Grok per convalidare i valori email prima di mapparli su "principal.user.email_addresses" e "target.user.email_addresses".
2023-12-19
- Sono stati mappati "targetResource.modifiedProperties.newValue", "targetResource.modifiedProperties.oldValue" e "targetResource.modifiedProperties.displayName" a "additional.fields".
2023-11-23
- I campi "targetResources.0.modifiedProperties.newValue/oldValue" sono stati mappati a "event.idm.read_only_udm.additional.fields".
- È stato aggiunto il controllo del formato dell'indirizzo IP a "initiatedBy.user.ipAddress" prima della mappatura a UDM.
2023-10-16
- ha modificato le seguenti mappature:
- Modifica di "metadata.event_type" da "USER_UNCATEGORIZED" a "USER_RESOURCE_ACCESS" se "target.type" non è "user".
- È stata modificata la mappatura di "target.id" da "principal.user.userid" a "principal.user.group_or_identifiers" se "target.type" non è "user".
- Il campo mappato a "target.resource.id" è stato mappato anche a "target.resource.product_object_id" perché "target.resource.id" è deprecato.
2023-08-03
- ha modificato le seguenti mappature:
- È stato modificato il valore "metadata.event_type" da "USER_UNCATEGORIZED" a "USER_CREATION" se "activityDisplayName" è "Aggiungi utente".
- La mappatura di "activityDisplayName" è stata modificata da "metadata.description" a "metadata.product_event_type".
- È stato mappato "metadata.event_type" appropriato in cui "activityDisplayName" è "Aggiungi membro al gruppo", "Aggiungi proprietario al gruppo".
- Tutti i campi in "targetResources" devono far parte dei campi target.user. dell'UDM.
- "target.user.userid" mappato all'ID corretto in "targetResource".
- Per "activityDisplayName" come "Aggiungi membro al ruolo al di fuori di PIM (permanente)" in "activityDisplayName" è stato mappato "target.user.xxx" quando il tipo di risorsa è "Utente".
- Per "activityDisplayName" come "Aggiungi membro al ruolo", è stato mappato "Role.WellKnownObjectName" a "target.resource.attribute.roles.name".
2023-07-24
- "targetresources.modifiedproperties.newvalue" è stato mappato a "target.user.title" quando il valore "targetresources.modifiedproperties.displayname" contiene "role.displayname".
2023-05-25
- Correzione di bug: è stata modificata la mappatura da "target.resource.attribute.labels.value" a "target.user.userid" quando "targetResources.modifiedProperties.displayName" è uguale a "mailNickname".
2023-05-05
- ha modificato le seguenti mappature:
- La mappatura è passata da "target.resource.attribute.labels.value" a "target.user.product_object_id" quando "targetResources.modifiedProperties.displayName" è uguale a "objectId".
- La mappatura è stata modificata da "target.resource.attribute.labels.value" a "target.user.user_display_name" quando "targetResources.modifiedProperties.displayName" è uguale a "displayName".
- La mappatura è stata modificata da "target.resource.attribute.labels.value" a "target.user.first_name" quando "targetResources.modifiedProperties.displayName" è uguale a "givenName".
- È stata modificata la mappatura da "target.resource.attribute.labels.value" a "target.user.title" quando "targetResources.modifiedProperties.displayName" è uguale a "jobTitle".
- La mappatura è stata modificata da "target.resource.attribute.labels.value" a "target.user.email_addresses" quando "targetResources.modifiedProperties.displayName" è uguale a "mail".
- È stata modificata la mappatura da "target.resource.attribute.labels.value" a "target.user.last_name" quando "targetResources.modifiedProperties.displayName" è uguale a "surname".
- La mappatura è passata da "target.resource.attribute.labels.value" a "target.user.department" quando "targetResources.modifiedProperties.displayName" è uguale a "department".
- È stata modificata la mappatura da "target.resource.attribute.labels.value" a "target.user.office_address.name" quando "targetResources.modifiedProperties.displayName" è uguale a "physicalDeliveryOfficeName".
- La mappatura è stata modificata da "target.resource.attribute.labels.value" a "target.user.employee_id" quando "targetResources.modifiedProperties.displayName" è uguale a "employeeId".
- La mappatura è stata modificata da "target.resource.attribute.labels.value" a "target.user.phone_numbers" quando "targetResources.modifiedProperties.displayName" è uguale a "mobile".
2023-04-18
- "initiatedBy.user.userPrincipalName" mappato a "principal.user.user_display_name" o "principal.user.userid" o "principal.user.email_addresses".
- "targetResources.type" mappato a "target.resource.attribute.labels".
2023-04-12
Miglioramento:
- È stata eseguita la mappatura di "initiatedBy.user.userPrincipalName" a "principal.user.email_addresses" e di "event_type" a "USER_UNCATEGORIZED".
- quando "initiatedBy.user.userPrincipalName" non è nullo.
- Se "targetResources.modifiedProperties.displayName" è "userPrincipalName", è stato mappato a "principal.user.email_addresses".
- "event_type" è stato mappato a "USER_UNCATEGORIZED" quando "activityDisplayName" è in ["Issue an id_token to the application", "Set Company Information"].
2023-02-20
Correzione di bug:
- Sono stati mappati più indirizzi IP appartenenti alla chiave "additionalDetails.ClientIpAddress" a "principal.ip".
- metadata.event_type mappato come "USER_UNCATEGORIZED" quando "activityDisplayName" è uguale a "Delete user" e il campo "initiatedBy.user.userPrincipalName" non è presente.
2023-02-02
- Miglioramento: è stato mappato quanto segue quando "activityDisplayName" è uguale a "Elimina utente":
- "event_type" è stato mappato a "USER_DELETION".
- "initiatedBy.user.userPrincipalName" è stato mappato a "principal.user.userid".
2022-11-24
Miglioramento:
- "modifiedProperties.newValue" è stato mappato a "target.resource.attribute.labels".
- "modifiedProperties.oldValue" è stato mappato a "src.resource.attribute.labels".
2022-11-07
Miglioramento:
- "target.modifiedProperties.TargetId.DeviceId" è stato mappato a "event.idm.read_only_udm.target.asset.asset_id".
2022-09-16
Miglioramento:
- "properties.initiatedBy.user.ipAddress" è stato mappato a "principal.ip".
- "properties.initiatedBy.user.userPrincipalName" è stato mappato a "principal.user.userid".
- "properties.resultReason" è stato mappato a "security_result.description".
- "identity" è stato mappato a "target.user.userid".
- "operationName" è stato mappato a "metadata.product_event_type".
- "metadata.event_type" è stato mappato a "USER_UNCATEGORIZED" se "properties.activityDisplayName" è "Ottieni le proprietà delle risorse di un tenant".
- "category" e "properties.category" sono stati mappati a "security_result.category_details".
- "resultDescription" è stato mappato a "metadata.description".
- "resultType" è stato mappato a "security_result.rule_id".
2022-06-20
- Miglioramento: è stato migliorato il parser per analizzare i log con la categoria "AuditLogs" e "SignInLogs" aggiungendo le seguenti mappature :
- È stato mappato il campo "properties.id" a "metadata.product_log_id".
- È stato mappato il campo "properties.loggedByService" a "target.application".
- È stato mappato il campo "Livello" a "security_result.severity" e "security_result.severity_details".
- È stato mappato il campo "properties.result" a "security_result.summary" e "security_result.action".
- È stato mappato il campo "properties.operationType" a "security_result.action_details".
- È stato mappato il campo "properties.activityDisplayName" a "metadata.description".
- È stato mappato il campo "properties.category" a "metadata.product_event_type".
- È stato mappato il campo "properties.resultReason" a "security_result.description".
- È stato mappato il campo "properties.initiatedBy.app.displayName" a "principal.application".
- È stato mappato il campo "properties.ipAddress" a "principal.ip".
- È stato mappato il campo "properties.initiatedBy.app.servicePrincipalId" a "principal.user.userid".
- È stato mappato il campo "properties.initiatedBy.app.servicePrincipalName" a "principal.user.user_display_name".
- È stato mappato il campo "properties.appId" e "properties.initiatedBy.app.appId" a "principal.resource.attribute.labels".
- È stato mappato il campo "properties.location.city" a "principal.location.city".
- È stato mappato il campo "properties.location.state" a "principal.location.state".
- È stato mappato il campo "properties.location.countryOrRegion" a "principal.location.country_or_region".
- È stato mappato il campo "properties.location.geoCoordinates.latitude" a "principal.location.region_latitude".
- È stato mappato il campo "properties.location.geoCoordinates.longitude" a "principal.location.region_longitude".
- I campi "properties.targetResources.modifiedProperties" sono stati mappati a "target.user.attribute.labels".
- È stato mappato il campo "targetResources.displayName" a "target.user.user_display_name".
- È stato mappato il campo "targetResources.id" a "target.user.userid".
- Sono stati mappati i campi "properties.additionalDetails", "properties.riskDetail", "properties.riskEventTypes", "properties.riskEventTypes_v2", "properties.riskLevelAggregated", "properties.riskLevelDuringSignIn", "properties.riskState", "properties.conditionalAccessStatus", "tenantId" a "additional.fields".
- È stato mappato il campo "operationVersion" a "metadata.product_version".
- È stato mappato il campo "properties.appliedConditionalAccessPolicies.displayName" a "about.user.user_display_name".
- È stato mappato il campo "properties.appliedConditionalAccessPolicies..id" a "about.user.userid".
- È stato mappato il campo "properties.appliedConditionalAccessPolicies.result" a "about.labels".