Raccogliere i log di controllo di Microsoft Azure AD

Supportato in:

Questo documento descrive come raccogliere i log di Microsoft Azure Active Directory (AD) impostando un feed di Google Security Operations.

Azure Active Directory (AZURE_AD) ora si chiama Microsoft Entra ID. Gli audit log di Azure AD (AZURE_AD_AUDIT) ora sono audit log di Microsoft Entra ID.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato.

Prima di iniziare

Per completare le attività in questa pagina, assicurati di disporre di quanto segue:

  • Un abbonamento Azure a cui puoi accedere.
  • Un ruolo di amministratore globale o di amministratore di Azure AD.
  • Un tenant Azure AD in Azure.

Configurare Azure AD

  1. Accedi al portale Azure.
  2. Vai a Home > Registrazione app, seleziona un'applicazione registrata o registra un'applicazione se non ne hai ancora creata una.
  3. Per registrare un'applicazione, nella sezione Registrazione app, fai clic su Nuova registrazione.
  4. Nel campo Nome, fornisci il nome visualizzato per l'applicazione.
  5. Nella sezione Tipi di account supportati, seleziona l'opzione richiesta per specificare chi può utilizzare l'applicazione o accedere all'API.
  6. Fai clic su Registrati.
  7. Vai alla pagina Panoramica e copia l'ID applicazione (client) e l'ID directory (tenant), necessari per configurare il feed di Google Security Operations.
  8. Fai clic su Autorizzazioni API.
  9. Fai clic su Aggiungi un'autorizzazione e seleziona Microsoft Graph nel nuovo riquadro.
  10. Fai clic su Autorizzazioni applicazione.
  11. Seleziona le autorizzazioni AuditLog.Read.All, Directory.Read.All e SecurityEvents.Read.All. Assicurati che le autorizzazioni siano Autorizzazioni app e non Autorizzazioni delegate.
  12. Fai clic su Concedi il consenso amministratore per la directory predefinita. Le applicazioni sono autorizzate a chiamare le API quando gli utenti o gli amministratori concedono le autorizzazioni nell'ambito della procedura di consenso.
  13. Vai a Impostazioni > Gestisci.
  14. Fai clic su Certificati e secret.
  15. Fai clic su Nuovo segreto client. Nel campo Valore viene visualizzato il client secret.
  16. Copia il valore del client secret. Il valore viene visualizzato solo al momento della creazione ed è necessario per la registrazione dell'app Azure e per configurare il feed di Google Security Operations.

Configura un feed in Google Security Operations per importare gli audit log di Azure AD

  1. Seleziona Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Inserisci un nome univoco per il nome del feed.
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Controllo directory Azure AD come Tipo di log.
  6. Fai clic su Avanti.
  7. Configura i seguenti parametri di input obbligatori:
    • ID client OAuth: specifica l'ID client ottenuto in precedenza.
    • Client secret OAuth: specifica il client secret ottenuto in precedenza.
    • ID tenant: specifica l'ID tenant ottenuto in precedenza.
  8. Fai clic su Avanti e poi su Invia.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser elabora i log di controllo della directory di Azure AD in formato JSON. Estrae i campi pertinenti, li trasforma in un modello dei dati unificato (UDM) e li arricchisce con un contesto aggiuntivo, come dettagli utente, indirizzi IP e risultati di sicurezza. Il parser classifica inoltre gli eventi in base alle loro caratteristiche, mappandoli a tipi di eventi UDM specifici per facilitarne l'analisi.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
activityDateTime read_only_udm.metadata.event_timestamp Mappatura diretta dal campo del log non elaborato "activityDateTime".
activityDisplayName read_only_udm.metadata.product_event_type Mappatura diretta dal campo del log non elaborato "activityDisplayName".
additionalDetails.ApplicationId read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "ApplicationId".
additionalDetails.Client read_only_udm.network.http.user_agent Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "Client".
additionalDetails.ClientIpAddress read_only_udm.principal.ip, read_only_udm.principal.asset.ip Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "ClientIpAddress".
additionalDetails.DomainName read_only_udm.target.hostname, read_only_udm.target.asset.hostname Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "DomainName".
additionalDetails.EmailAddress read_only_udm.target.user.email_addresses Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "EmailAddress".
additionalDetails.GrantType read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "GrantType".
additionalDetails.LocalAccountUsername read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "LocalAccountUsername".
additionalDetails.PhoneNumber read_only_udm.target.user.phone_numbers Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "PhoneNumber".
additionalDetails.PolicyId read_only_udm.security_result.rule_name Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "PolicyId".
additionalDetails.Scopes read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "Scopes".
additionalDetails.TenantId read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "TenantId".
additionalDetails.VerificationMethod read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "VerificationMethod".
appId read_only_udm.target.process.pid Mappatura diretta dal campo del log non elaborato "appId".
appliedConditionalAccessPolicies read_only_udm.about Il campo "displayName" è mappato a "read_only_udm.about.user.user_display_name" e il campo "id" è mappato a "read_only_udm.about.user.userid". Il campo "result" è mappato a "read_only_udm.about.labels", con la chiave impostata su "Risultato".
categoria read_only_udm.additional.fields, read_only_udm.security_result.category_details Mappatura diretta dal campo del log non elaborato "category". La chiave per "read_only_udm.additional.fields" è impostata su "log_category".
callerIpAddress read_only_udm.principal.ip, read_only_udm.principal.asset.ip Mappatura diretta dal campo del log non elaborato "callerIpAddress".
clientAppUsed read_only_udm.principal.application Mappatura diretta dal campo del log non elaborato "clientAppUsed".
correlationId read_only_udm.network.session_id Mappatura diretta dal campo del log non elaborato "correlationId".
ID read_only_udm.metadata.product_log_id Mappatura diretta dal campo del log non elaborato "id".
identity read_only_udm.target.user.userid Mappatura diretta dal campo del log non elaborato "identity".
initiatedBy.app.appId read_only_udm.principal.resource.attribute.labels Mappatura diretta dal campo del log non elaborato "initiatedBy.app.appId". La chiave per "read_only_udm.principal.resource.attribute.labels" è impostata su "ID app".
initiatedBy.app.displayName read_only_udm.principal.application Mappatura diretta dal campo del log non elaborato "initiatedBy.app.displayName".
initiatedBy.app.servicePrincipalId read_only_udm.principal.user.product_object_id Mappatura diretta dal campo del log non elaborato "initiatedBy.app.servicePrincipalId".
initiatedBy.app.servicePrincipalName read_only_udm.principal.user.userid Mappatura diretta dal campo del log non elaborato "initiatedBy.app.servicePrincipalName".
initiatedBy.user.displayName read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.user_display_name".
initiatedBy.user.id read_only_udm.principal.user.product_object_id Mappatura diretta dal campo del log non elaborato "initiatedBy.user.id".
initiatedBy.user.ipAddress read_only_udm.principal.ip, read_only_udm.principal.asset.ip Mappatura diretta dal campo del log non elaborato "initiatedBy.user.ipAddress".
initiatedBy.user.userPrincipalName read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.userid". La parte di dominio dell'indirizzo email è mappata a "read_only_udm.principal.administrative_domain". Il valore completo viene mappato anche a "read_only_udm.principal.resource.attribute.labels" con la chiave impostata su "Nome principale utente".
ipAddress read_only_udm.principal.ip, read_only_udm.principal.asset.ip Mappatura diretta dal campo del log non elaborato "ipAddress".
Livello read_only_udm.security_result.severity, read_only_udm.security_result.severity_details Il valore viene convertito in una stringa e mappato a "read_only_udm.security_result.severity_details". Il campo "read_only_udm.security_result.severity" è impostato su "INFORMATIONAL".
location.city read_only_udm.principal.location.city Mappatura diretta dal campo del log non elaborato "location.city".
location.countryOrRegion read_only_udm.principal.location.country_or_region Mappatura diretta dal campo del log non elaborato "location.countryOrRegion".
location.geoCoordinates.latitude read_only_udm.principal.location.region_latitude Mappatura diretta dal campo del log non elaborato "location.geoCoordinates.latitude".
location.geoCoordinates.longitude read_only_udm.principal.location.region_longitude Mappatura diretta dal campo del log non elaborato "location.geoCoordinates.longitude".
location.state read_only_udm.principal.location.state Mappatura diretta dal campo del log non elaborato "location.state".
loggedByService read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "loggedByService". La chiave per "read_only_udm.additional.fields" è impostata su "loggedByService".
operationName read_only_udm.metadata.product_event_type Mappatura diretta dal campo del log non elaborato "operationName".
operationType read_only_udm.security_result.action_details Mappatura diretta dal campo del log non elaborato "operationType".
properties.activityDateTime read_only_udm.metadata.event_timestamp Mappatura diretta dal campo del log non elaborato "properties.activityDateTime".
properties.activityDisplayName read_only_udm.metadata.product_event_type Mappatura diretta dal campo del log non elaborato "properties.activityDisplayName".
properties.appDisplayName read_only_udm.target.application Mappatura diretta dal campo del log non elaborato "properties.appDisplayName".
properties.category read_only_udm.security_result.category_details Mappatura diretta dal campo del log non elaborato "properties.category".
properties.id read_only_udm.metadata.product_log_id Mappatura diretta dal campo del log non elaborato "properties.id".
properties.initiatedBy.app.appId read_only_udm.principal.resource.attribute.labels Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.appId". La chiave per "read_only_udm.principal.resource.attribute.labels" è impostata su "ID app".
properties.initiatedBy.app.displayName read_only_udm.principal.application Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.displayName".
properties.initiatedBy.app.servicePrincipalId read_only_udm.principal.user.product_object_id Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.servicePrincipalId".
properties.initiatedBy.app.servicePrincipalName read_only_udm.principal.user.userid Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.servicePrincipalName".
properties.initiatedBy.user.displayName read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.user_display_name".
properties.initiatedBy.user.id read_only_udm.principal.user.product_object_id Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.user.id".
properties.initiatedBy.user.ipAddress read_only_udm.principal.ip, read_only_udm.principal.asset.ip Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.user.ipAddress".
properties.initiatedBy.user.userPrincipalName read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.userid". La parte di dominio dell'indirizzo email è mappata a "read_only_udm.principal.administrative_domain". Il valore completo viene mappato anche a "read_only_udm.principal.resource.attribute.labels" con la chiave impostata su "Nome principale utente".
properties.loggedByService read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "properties.loggedByService". La chiave per "read_only_udm.additional.fields" è impostata su "loggedByService".
properties.operationType read_only_udm.security_result.action_details Mappatura diretta dal campo del log non elaborato "properties.operationType".
properties.result read_only_udm.security_result.summary Mappatura diretta dal campo del log non elaborato "properties.result".
properties.resultReason read_only_udm.security_result.description Mappatura diretta dal campo del log non elaborato "properties.resultReason".
properties.userPrincipalName read_only_udm.target.user.user_display_name Mappatura diretta dal campo del log non elaborato "properties.userPrincipalName".
risultato read_only_udm.security_result.summary, read_only_udm.security_result.action Mappatura diretta dal campo del log non elaborato "result". Se il valore è "success", "read_only_udm.security_result.action" è impostato su "ALLOW". Se il valore è "failure", "read_only_udm.security_result.action" viene impostato su "BLOCK".
resultDescription read_only_udm.metadata.description, read_only_udm.security_result.description Mappatura diretta dal campo del log non elaborato "resultDescription".
resultReason read_only_udm.security_result.description Mappatura diretta dal campo del log non elaborato "resultReason".
resultType read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action Mappatura diretta dal campo del log non elaborato "resultType". Se il valore è "0", "read_only_udm.security_result.action" è impostato su "ALLOW" e "read_only_udm.security_result.summary" è impostato su "Accesso riuscito". In caso contrario, "read_only_udm.security_result.action" viene impostato su "BLOCK", "read_only_udm.security_result.summary" viene impostato su "Failed login occurred", "read_only_udm.security_result.description" viene impostato sul valore di "resultDescription" e "read_only_udm.security_result.severity" viene impostato su "ERROR".
resourceDisplayName read_only_udm.target.resource.name Mappatura diretta dal campo del log non elaborato "resourceDisplayName".
resourceId read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "resourceId". La chiave per "read_only_udm.additional.fields" è impostata su "resourceId".
riskDetail read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "riskDetail". La chiave per "read_only_udm.additional.fields" è impostata su "riskDetail".
riskEventTypes read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "riskEventTypes". La chiave per "read_only_udm.additional.fields" è impostata su "riskEventTypes".
riskEventTypes_v2 read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "riskEventTypes_v2". La chiave per "read_only_udm.additional.fields" è impostata su "riskEventTypes_v2".
riskLevelAggregated read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "riskLevelAggregated". La chiave per "read_only_udm.additional.fields" è impostata su "riskLevelAggregated".
riskLevelDuringSignIn read_only_udm.additional.fields, read_only_udm.security_result.priority Mappatura diretta dal campo del log non elaborato "riskLevelDuringSignIn". La chiave per "read_only_udm.additional.fields" è impostata su "riskLevelDuringSignIn". Se il valore è "medium", "read_only_udm.security_result.priority" viene impostato su "MEDIUM_PRIORITY".
riskState read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "riskState". La chiave per "read_only_udm.additional.fields" è impostata su "riskState".
targetResources.0.displayName read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name Se il valore di "targetResources.0.type" è "Utente" o "ServicePrincipal", il valore viene mappato a "read_only_udm.target.user.user_display_name". Se il valore di "targetResources.0.type" è "Gruppo", il valore viene mappato a "read_only_udm.target.group.group_display_name". In caso contrario, il valore viene mappato a "read_only_udm.target.resource.name".
targetResources.0.groupType read_only_udm.target.group.attribute.labels Mappatura diretta dal campo del log non elaborato "targetResources.0.groupType". La chiave per "read_only_udm.target.group.attribute.labels" è impostata su "groupType".
targetResources.0.id read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id Se il valore di "targetResources.0.type" è "User" o "ServicePrincipal", il valore viene mappato a "read_only_udm.target.user.product_object_id". Se il valore di "targetResources.0.type" è "Gruppo", il valore viene mappato a "read_only_udm.target.group.product_object_id". In caso contrario, il valore viene mappato a "read_only_udm.target.resource.product_object_id".
targetResources.0.modifiedProperties.displayName read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.displayname {index}". Se il valore è "TargetId.DeviceId", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.asset.asset_id" con il prefisso "ID dispositivo:". Se il valore è "DisplayName" o "jobTitle", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.title". Se il valore è "WellKnownObjectName", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.resource.attribute.roles" con la chiave impostata su "name". Se il valore è "displayName" e "targetResources.0.displayName" è null, il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.user_display_name". Se il valore è "givenName", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.first_name". Se il valore è "cognome", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.last_name". Se il valore è "department", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.department". Se il valore è "physicalDeliveryOfficeName", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.office_address.name". Se il valore è "employeeId", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.employee_id". Se il valore è "mobile", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.phone_numbers". Se il valore è "MailNickname", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.userid". In caso contrario, il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". Il valore di "targetResources.0.modifiedProperties.oldValue" è mappato a "read_only_udm.src.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName".
targetResources.0.modifiedProperties.newValue read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields Se il valore di "targetResources.0.modifiedProperties.displayName" è "TargetId.DeviceId", il valore viene mappato a "read_only_udm.target.asset.asset_id" con il prefisso "ID dispositivo:". Se il valore di "targetResources.0.modifiedProperties.displayName" è "DisplayName" o "jobTitle", il valore viene mappato a "read_only_udm.target.user.title". Se il valore di "targetResources.0.modifiedProperties.displayName" è "WellKnownObjectName", il valore viene mappato a "read_only_udm.target.resource.attribute.roles" con la chiave impostata su "name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "displayName" e "targetResources.0.displayName" è null, il valore viene mappato a "read_only_udm.target.user.user_display_name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "givenName", il valore viene mappato a "read_only_udm.target.user.first_name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "cognome", il valore viene mappato a "read_only_udm.target.user.last_name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "department", il valore viene mappato a "read_only_udm.target.user.department". Se il valore di "targetResources.0.modifiedProperties.displayName" è "physicalDeliveryOfficeName", il valore viene mappato a "read_only_udm.target.user.office_address.name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "employeeId", il valore viene mappato a "read_only_udm.target.user.employee_id". Se il valore di "targetResources.0.modifiedProperties.displayName" è "mobile", il valore viene mappato a "read_only_udm.target.user.phone_numbers". Se il valore di "targetResources.0.modifiedProperties.displayName" è "MailNickname", il valore viene mappato a "read_only_udm.target.user.userid". In caso contrario, il valore viene mappato a "read_only_udm.target.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". Il valore viene mappato anche a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.newValue {index}".
targetResources.0.modifiedProperties.oldValue read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields Il valore viene mappato a "read_only_udm.src.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". Il valore viene mappato anche a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.oldValue {index}".
targetResources.0.type read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name Mappatura diretta dal campo del log non elaborato "targetResources.0.type". Se il valore è "ServicePrincipal", "read_only_udm.target.resource.resource_type" è impostato su "SERVICE_ACCOUNT". Se il valore è "Device", "read_only_udm.target.resource.resource_type" è impostato su "DEVICE". In caso contrario, "read_only_udm.target.resource.resource_type" viene impostato su "UNSPECIFIED". Se il valore è "Utente" o "ServicePrincipal", il valore di "targetResources.0.userPrincipalName" viene mappato a "read_only_udm.target.user.userid", il valore di "targetResources.0.id" viene mappato a "read_only_udm.target.user.product_object_id" e il valore di "targetResources.0.displayName" viene mappato a "read_only_udm.target.user.user_display_name". Se il valore è "Gruppo", il valore di "targetResources.0.id" viene mappato a "read_only_udm.target.group.product_object_id" e il valore di "targetResources.0.displayName" viene mappato a "read_only_udm.target.group.group_display_name".
targetResources.0.userPrincipalName read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.target.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.target.user.userid".
targetResources.displayName read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels Se il valore di "targetResources.type" è "Utente" o "ServicePrincipal", il valore viene mappato a "read_only_udm.about.user.user_display_name" e "read_only_udm.about.user.userid". Se il valore di "targetResources.type" è "Gruppo", il valore viene mappato a "read_only_udm.about.group.group_display_name". Il valore di "targetResources.groupType" è mappato a "read_only_udm.about.group.attribute.labels" con la chiave impostata su "groupType". In caso contrario, il valore viene mappato a "read_only_udm.about.resource.name".
targetResources.groupType read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers Mappatura diretta dal campo del log non elaborato "targetResources.groupType". La chiave per "read_only_udm.about.group.attribute.labels" è impostata su "groupType".
targetResources.id read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id Se il valore di "targetResources.type" è "User" o "ServicePrincipal", il valore viene mappato a "read_only_udm.about.user.product_object_id". Se il valore di "targetResources.type" è "Gruppo", il valore viene mappato a "read_only_udm.about.group.product_object_id". In caso contrario, il valore viene mappato a "read_only_udm.about.resource.product_object_id".
targetResources.modifiedProperties.displayName read_only_udm.additional.fields Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.displayname {index}".
targetResources.modifiedProperties.newValue read_only_udm.additional.fields Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.newValue {index}".
targetResources.modifiedProperties.oldValue read_only_udm.additional.fields Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.oldValue {index}".
targetResources.type read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name Mappatura diretta dal campo del log non elaborato "targetResources.type". Se il valore è "ServicePrincipal", "read_only_udm.about.resource.resource_type" è impostato su "SERVICE_ACCOUNT". Se il valore è "Device", "read_only_udm.about.resource.resource_type" è impostato su "DEVICE". In caso contrario, "read_only_udm.about.resource.resource_type" viene impostato su "UNSPECIFIED". Se il valore è "Utente" o "ServicePrincipal", il valore di "targetResources.userPrincipalName" viene mappato a "read_only_udm.about.user.userid", il valore di "targetResources.id" viene mappato a "read_only_udm.about.user.product_object_id" e il valore di "targetResources.displayName" viene mappato a "read_only_udm.about.user.user_display_name". Se il valore è "Gruppo", il valore di "targetResources.id" viene mappato a "read_only_udm.about.group.product_object_id" e il valore di "targetResources.displayName" viene mappato a "read_only_udm.about.group.group_display_name".
targetResources.userPrincipalName read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.about.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.about.user.userid".
tenantId read_only_udm.additional.fields Mappatura diretta dal campo del log non elaborato "tenantId". La chiave per "read_only_udm.additional.fields" è impostata su "tenantId".
tempo read_only_udm.metadata.event_timestamp Mappatura diretta dal campo del log non elaborato "time".
userId read_only_udm.target.user.product_object_id Mappatura diretta dal campo del log non elaborato "userId". Il valore viene impostato in base ai valori di altri campi, tra cui "activityDisplayName", "principal_userid_present", "target_userid_present", "principal_ip_present", "loggedByService" e "category". La logica per l'impostazione del valore è complessa e dipende dalla combinazione specifica di valori in questi campi. Il valore è impostato su "SSO" se il valore di "operationName" è "Attività di accesso". Il valore è impostato su "Microsoft". Il valore è impostato su "Azure AD Directory Audit". Il valore è impostato su "AZURE_AD_AUDIT".

Modifiche

2024-07-30

  • Quando è presente "principal.user.userid" o "target.user.userid", viene mappato solo "metadata.event_type" a "USER_CHANGE_PERMISSIONS".

2024-06-26

  • Il delta mappato tra "targetResources.modifiedProperties.newValue" e "targetResources.modifiedProperties.oldValue" in "additional.fields".

2024-06-10

  • Quando "initiatedBy.user.ipAddress" ha un indirizzo IP, imposta "principal_ip_present" su "true".
  • È stata aggiunta una condizione per impostare "metadata.event_type" su "USER_DELETION" solo quando "principal_ip_present" è "true".

2024-06-03

  • È stato aggiunto un blocco JSON per analizzare i log non analizzati.
  • È stato aggiunto un controllo condizionale per "event_type" "USER_DELETION".

2024-05-20

Correzione di bug:

  • È stata modificata la mappatura di "targetResource".
  • È stata mappata la prima iterazione di "targetResource" a "target" e la successiva iterazione di "targetResource" a "about".
  • Il nome della chiave del campo "loggedByService" è stato modificato in "loggedByService" da "log_Service".
  • È stata modificata la mappatura di "resourceId" da "target.resource.id" a "additional_fields".
  • Quando "targetResources.type" = "Application", "Policy", "Role", "Directory", "RoleAssignment", "Request", "Provider", "Other", mappa "targetResources.displayName" a "noun.resource.name"; "targetResources.id" a "noun.resource.product_object_id"; "noun.resource.resource_type" = "UNSPECIFIED" e "targetResource.type" a "noun.resource.resource_subtype".
  • Quando "targetResources.type" = "User", mappa "targetResources.displayName" a "noun.resource.name"; "targetResources.id" a "noun.resource.product_object_id"; "noun.resource.resource_type" = "UNSPECIFIED"; "targetResource.type" a "noun.resource.resource_subtype"; "targetResources.displayName" a "noun.user.user_display_name"; "targetResources.id" a "noun.user.product_object_id"; "targetResources.userPrincipalName" a "noun.user.userid".
  • Quando "targetResources.type" = "ServicePrincipal", mappa "targetResources.displayName" a "noun.resource.name", "targetResources.id" a "noun.resource.product_object_id", "noun.resource.resource_type" = "SERVICE_ACCOUNT", "targetResource.type" a "noun.resource.resource_subtype", "targetResources.displayName" a "noun.user.user_display_name", "targetResources.id" a "noun.user.product_object_id" e "targetResources.userPrincipalName" a "noun.user.userid".
  • Quando "targetResources.type" = "Group", mappa "targetResources.displayName" a "noun.resource.name", "targetResources.id" a "noun.resource.product_object_id", "noun.resource.resource_type" = "UNSPECIFIED", "targetResource.type" a "noun.resource.resource_subtype", "targetResources.displayName" a "noun.group.group_display_name", "targetResources.id" a "noun.group.product_object_id" e "groupType" a "noun.group.attribute.labels".

2024-05-17

  • "initiatedBy.user.id" è stato mappato a "principal.user.product_object_id".
  • "initiatedBy.user.userPrincipalName" è stato mappato a "principal.user.userid".

2024-03-18

  • I campi "targetResources.modifiedProperties.displayname", "targetResources.modifiedProperties.newValue" e "targetResources.modifiedProperties.oldValue" vengono visualizzati anche quando il valore è null.
  • "callerIpAddress" è stato mappato a "principal.ip".

2024-03-12

Correzione di bug:

  • Mappature sincronizzate delle mappature dei log nel formato dell'involucro di Azure Monitor ai log nel formato dell'API Microsoft Graph.
  • "target.resource.resource_type" è stato mappato in base a "targetResources.type".
  • "targetResources.type" è stato mappato a "target.resource.type".

2024-03-04

  • "user_principal_name" è stato mappato da "initiatedBy.user.userPrincipalName" a "principal.resource.attribute.labels".
  • "domain" è stato mappato da "initiatedBy.user.userPrincipalName" a "principal.administrative_domain".
  • "loggedByService" e "properties.loggedByService" sono stati mappati a "additional.fields".
  • È stata modificata la mappatura di "initiatedBy.user.id" da "principal.user.product_object_id" a "principal.user.userid".
  • "tgt_user_principal_name" è stato mappato da "target.userPrincipalName" a "target.resource.attribute.labels".
  • "domain" mappato da "target.userPrincipalName" a "target.administrative_domain".
  • "category" è stato mappato a "additional.fields".
  • Quando "additionalDetails[n].key" è "AppId", mappa "additionalDetails[n].value" a "target.process.pid".
  • Quando "additionalDetails[n].key" è "User-Agent", mappa "additionalDetails[n].value" a "network.http.user_agent" e "network.http.parsed_user_agent".
  • "metadata.event_type" è stato mappato in base a "loggedByService", "category" e "activityDisplayName".
  • Sono stati mappati "targetResources.modifiedProperties.displayname", "targetResources.modifiedProperties.newValue" e "targetResources.modifiedProperties.oldValue" a "additional.fields".

2024-02-21

  • È stato aggiunto un controllo condizionale per verificare se "principal.user.userid" è presente prima di impostare "metadata.event_type" su "USER_CREATION".
  • È stata modificata la mappatura di "initiatedBy.user.id" da "principal.user.userid" a "principal.user.product_object_id".
  • È stata modificata la mappatura di "initiatedBy.app.servicePrincipalId" da "principal.user.userid" a "principal.user.product_object_id".
  • È stata modificata la mappatura di "initiatedBy.app.servicePrincipalName" da "principal.user.user_display_name" a "principal.user.userid".
  • È stata modificata la mappatura di "properties.initiatedBy.user.id" da "principal.user.userid" a "principal.user.product_object_id".
  • È stata modificata la mappatura di "properties.initiatedBy.app.servicePrincipalId" da "principal.user.userid" a "principal.user.product_object_id".
  • È stata modificata la mappatura di "properties.initiatedBy.app.servicePrincipalName" da "principal.user.user_display_name" a "principal.user.userid".
  • Se il valore "targetResourceType" è simile a "User" o "ServicePrincipal", la mappatura di "target.id" è stata modificata da "target.user.userid" in "target.user.product_object_id".
  • Se il valore "targetResourceType" è simile a "User" o "ServicePrincipal", mappa "target.userPrincipalName" a "target.user.userid".
  • Se il valore "targetResourceType" è simile a "User" o "ServicePrincipal", mappa "target.displayName" a "target.user.user_display_name".

2024-02-12

  • È stato aggiunto il controllo condizionale per "modifiedProperty.displayName", "modifiedProperty.newValue" e "modifiedProperty.oldValue".
  • Quando "targetResource.id" è "User" o "ServicePrincipal", è stato mappato a "target.user.userid".

2024-01-08

Correzione di bug:

  • È stato aggiunto un pattern Grok per convalidare i valori email prima di mapparli su "principal.user.email_addresses" e "target.user.email_addresses".

2023-12-19

  • Sono stati mappati "targetResource.modifiedProperties.newValue", "targetResource.modifiedProperties.oldValue" e "targetResource.modifiedProperties.displayName" a "additional.fields".

2023-11-23

  • I campi "targetResources.0.modifiedProperties.newValue/oldValue" sono stati mappati a "event.idm.read_only_udm.additional.fields".
  • È stato aggiunto il controllo del formato dell'indirizzo IP a "initiatedBy.user.ipAddress" prima della mappatura a UDM.

2023-10-16

  • ha modificato le seguenti mappature:
  • Modifica di "metadata.event_type" da "USER_UNCATEGORIZED" a "USER_RESOURCE_ACCESS" se "target.type" non è "user".
  • È stata modificata la mappatura di "target.id" da "principal.user.userid" a "principal.user.group_or_identifiers" se "target.type" non è "user".
  • Il campo mappato a "target.resource.id" è stato mappato anche a "target.resource.product_object_id" perché "target.resource.id" è deprecato.

2023-08-03

  • ha modificato le seguenti mappature:
  • È stato modificato il valore "metadata.event_type" da "USER_UNCATEGORIZED" a "USER_CREATION" se "activityDisplayName" è "Aggiungi utente".
  • La mappatura di "activityDisplayName" è stata modificata da "metadata.description" a "metadata.product_event_type".
  • È stato mappato "metadata.event_type" appropriato in cui "activityDisplayName" è "Aggiungi membro al gruppo", "Aggiungi proprietario al gruppo".
  • Tutti i campi in "targetResources" devono far parte dei campi target.user. dell'UDM.
  • "target.user.userid" mappato all'ID corretto in "targetResource".
  • Per "activityDisplayName" come "Aggiungi membro al ruolo al di fuori di PIM (permanente)" in "activityDisplayName" è stato mappato "target.user.xxx" quando il tipo di risorsa è "Utente".
  • Per "activityDisplayName" come "Aggiungi membro al ruolo", è stato mappato "Role.WellKnownObjectName" a "target.resource.attribute.roles.name".

2023-07-24

  • "targetresources.modifiedproperties.newvalue" è stato mappato a "target.user.title" quando il valore "targetresources.modifiedproperties.displayname" contiene "role.displayname".

2023-05-25

  • Correzione di bug: è stata modificata la mappatura da "target.resource.attribute.labels.value" a "target.user.userid" quando "targetResources.modifiedProperties.displayName" è uguale a "mailNickname".

2023-05-05

  • ha modificato le seguenti mappature:
  • La mappatura è passata da "target.resource.attribute.labels.value" a "target.user.product_object_id" quando "targetResources.modifiedProperties.displayName" è uguale a "objectId".
  • La mappatura è stata modificata da "target.resource.attribute.labels.value" a "target.user.user_display_name" quando "targetResources.modifiedProperties.displayName" è uguale a "displayName".
  • La mappatura è stata modificata da "target.resource.attribute.labels.value" a "target.user.first_name" quando "targetResources.modifiedProperties.displayName" è uguale a "givenName".
  • È stata modificata la mappatura da "target.resource.attribute.labels.value" a "target.user.title" quando "targetResources.modifiedProperties.displayName" è uguale a "jobTitle".
  • La mappatura è stata modificata da "target.resource.attribute.labels.value" a "target.user.email_addresses" quando "targetResources.modifiedProperties.displayName" è uguale a "mail".
  • È stata modificata la mappatura da "target.resource.attribute.labels.value" a "target.user.last_name" quando "targetResources.modifiedProperties.displayName" è uguale a "surname".
  • La mappatura è passata da "target.resource.attribute.labels.value" a "target.user.department" quando "targetResources.modifiedProperties.displayName" è uguale a "department".
  • È stata modificata la mappatura da "target.resource.attribute.labels.value" a "target.user.office_address.name" quando "targetResources.modifiedProperties.displayName" è uguale a "physicalDeliveryOfficeName".
  • La mappatura è stata modificata da "target.resource.attribute.labels.value" a "target.user.employee_id" quando "targetResources.modifiedProperties.displayName" è uguale a "employeeId".
  • La mappatura è stata modificata da "target.resource.attribute.labels.value" a "target.user.phone_numbers" quando "targetResources.modifiedProperties.displayName" è uguale a "mobile".

2023-04-18

  • "initiatedBy.user.userPrincipalName" mappato a "principal.user.user_display_name" o "principal.user.userid" o "principal.user.email_addresses".
  • "targetResources.type" mappato a "target.resource.attribute.labels".

2023-04-12

Miglioramento:

  • È stata eseguita la mappatura di "initiatedBy.user.userPrincipalName" a "principal.user.email_addresses" e di "event_type" a "USER_UNCATEGORIZED".
  • quando "initiatedBy.user.userPrincipalName" non è nullo.
  • Se "targetResources.modifiedProperties.displayName" è "userPrincipalName", è stato mappato a "principal.user.email_addresses".
  • "event_type" è stato mappato a "USER_UNCATEGORIZED" quando "activityDisplayName" è in ["Issue an id_token to the application", "Set Company Information"].

2023-02-20

Correzione di bug:

  • Sono stati mappati più indirizzi IP appartenenti alla chiave "additionalDetails.ClientIpAddress" a "principal.ip".
  • metadata.event_type mappato come "USER_UNCATEGORIZED" quando "activityDisplayName" è uguale a "Delete user" e il campo "initiatedBy.user.userPrincipalName" non è presente.

2023-02-02

  • Miglioramento: è stato mappato quanto segue quando "activityDisplayName" è uguale a "Elimina utente":
  • "event_type" è stato mappato a "USER_DELETION".
  • "initiatedBy.user.userPrincipalName" è stato mappato a "principal.user.userid".

2022-11-24

Miglioramento:

  • "modifiedProperties.newValue" è stato mappato a "target.resource.attribute.labels".
  • "modifiedProperties.oldValue" è stato mappato a "src.resource.attribute.labels".

2022-11-07

Miglioramento:

  • "target.modifiedProperties.TargetId.DeviceId" è stato mappato a "event.idm.read_only_udm.target.asset.asset_id".

2022-09-16

Miglioramento:

  • "properties.initiatedBy.user.ipAddress" è stato mappato a "principal.ip".
  • "properties.initiatedBy.user.userPrincipalName" è stato mappato a "principal.user.userid".
  • "properties.resultReason" è stato mappato a "security_result.description".
  • "identity" è stato mappato a "target.user.userid".
  • "operationName" è stato mappato a "metadata.product_event_type".
  • "metadata.event_type" è stato mappato a "USER_UNCATEGORIZED" se "properties.activityDisplayName" è "Ottieni le proprietà delle risorse di un tenant".
  • "category" e "properties.category" sono stati mappati a "security_result.category_details".
  • "resultDescription" è stato mappato a "metadata.description".
  • "resultType" è stato mappato a "security_result.rule_id".

2022-06-20

  • Miglioramento: è stato migliorato il parser per analizzare i log con la categoria "AuditLogs" e "SignInLogs" aggiungendo le seguenti mappature :
  • È stato mappato il campo "properties.id" a "metadata.product_log_id".
  • È stato mappato il campo "properties.loggedByService" a "target.application".
  • È stato mappato il campo "Livello" a "security_result.severity" e "security_result.severity_details".
  • È stato mappato il campo "properties.result" a "security_result.summary" e "security_result.action".
  • È stato mappato il campo "properties.operationType" a "security_result.action_details".
  • È stato mappato il campo "properties.activityDisplayName" a "metadata.description".
  • È stato mappato il campo "properties.category" a "metadata.product_event_type".
  • È stato mappato il campo "properties.resultReason" a "security_result.description".
  • È stato mappato il campo "properties.initiatedBy.app.displayName" a "principal.application".
  • È stato mappato il campo "properties.ipAddress" a "principal.ip".
  • È stato mappato il campo "properties.initiatedBy.app.servicePrincipalId" a "principal.user.userid".
  • È stato mappato il campo "properties.initiatedBy.app.servicePrincipalName" a "principal.user.user_display_name".
  • È stato mappato il campo "properties.appId" e "properties.initiatedBy.app.appId" a "principal.resource.attribute.labels".
  • È stato mappato il campo "properties.location.city" a "principal.location.city".
  • È stato mappato il campo "properties.location.state" a "principal.location.state".
  • È stato mappato il campo "properties.location.countryOrRegion" a "principal.location.country_or_region".
  • È stato mappato il campo "properties.location.geoCoordinates.latitude" a "principal.location.region_latitude".
  • È stato mappato il campo "properties.location.geoCoordinates.longitude" a "principal.location.region_longitude".
  • I campi "properties.targetResources.modifiedProperties" sono stati mappati a "target.user.attribute.labels".
  • È stato mappato il campo "targetResources.displayName" a "target.user.user_display_name".
  • È stato mappato il campo "targetResources.id" a "target.user.userid".
  • Sono stati mappati i campi "properties.additionalDetails", "properties.riskDetail", "properties.riskEventTypes", "properties.riskEventTypes_v2", "properties.riskLevelAggregated", "properties.riskLevelDuringSignIn", "properties.riskState", "properties.conditionalAccessStatus", "tenantId" a "additional.fields".
  • È stato mappato il campo "operationVersion" a "metadata.product_version".
  • È stato mappato il campo "properties.appliedConditionalAccessPolicies.displayName" a "about.user.user_display_name".
  • È stato mappato il campo "properties.appliedConditionalAccessPolicies..id" a "about.user.userid".
  • È stato mappato il campo "properties.appliedConditionalAccessPolicies.result" a "about.labels".