Microsoft Entra ID 감사 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 피드를 설정하여 Microsoft Entra ID (AD) 로그를 수집하는 방법을 설명합니다.
Azure Active Directory (AZURE_AD)의 이름이 Microsoft Entra ID로 변경되었습니다. Azure AD 감사 로그(AZURE_AD_AUDIT)가 이제 Microsoft Entra ID 감사 로그로 변경되었습니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- 로그인할 수 있는 Azure 구독
- 전역 관리자 또는 Azure AD 관리자 역할
- Azure의 Azure AD (테넌트)
Azure AD 구성 방법
- Azure 포털에 로그인합니다.
- 홈 > 앱 등록으로 이동하여 등록된 애플리케이션을 선택하거나 아직 애플리케이션을 만들지 않은 경우 애플리케이션을 등록합니다.
- 애플리케이션을 등록하려면 앱 등록 섹션에서 새 등록을 클릭합니다.
- 이름 필드에 애플리케이션의 표시 이름을 입력합니다.
- 지원되는 계정 유형 섹션에서 애플리케이션을 사용하거나 API에 액세스할 수 있는 사용자를 지정하는 데 필요한 옵션을 선택합니다.
- 등록을 클릭합니다.
- 개요 페이지로 이동하여 Google Security Operations 피드를 구성하는 데 필요한 애플리케이션 (클라이언트) ID와 디렉터리(테넌트) ID를 복사합니다.
- API 권한을 클릭합니다.
- 권한 추가를 클릭한 다음 새 창에서 Microsoft Graph를 선택합니다.
- 애플리케이션 권한을 클릭합니다.
- AuditLog.Read.All, Directory.Read.All, SecurityEvents.Read.All 권한을 선택합니다. 권한이 위임된 권한이 아닌 애플리케이션 권한인지 확인합니다.
- 기본 디렉터리에 대한 관리자 동의 부여를 클릭합니다. 동의 프로세스의 일환으로 사용자 또는 관리자가 권한을 부여하면 애플리케이션이 API를 호출할 수 있습니다.
- 설정 > 관리로 이동합니다.
- 인증서 및 보안 비밀을 클릭합니다.
- '새 클라이언트 암호'를 클릭합니다. 값 필드에 클라이언트 보안 비밀이 표시됩니다.
- 클라이언트 보안 비밀번호 값을 복사합니다. 이 값은 생성 시에만 표시되며 Azure 앱 등록 및 Google Security Operations 피드 구성에 필요합니다.
자세한 내용은 Microsoft Entra ID 앱 설정 방법을 참고하세요.
권한에 관한 Microsoft Entra에 대한 자세한 내용은 권한에 관한 Microsoft Entra를 참고하세요.
피드 설정
Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.
- SIEM 설정 > 피드 > 새 피드 추가
- 콘텐츠 허브 > 콘텐츠 팩 > 시작하기
Microsoft Entra ID (Azure AD) 감사 피드를 설정하는 방법
- Azure 플랫폼 팩을 클릭합니다.
- Azure AD Directory Audit 로그 유형을 찾습니다.
다음 필드의 값을 지정합니다.
- 소스 유형: 서드 파티 API (권장)
- OAuth 클라이언트 ID: 이전에 가져온 클라이언트 ID를 지정합니다.
- OAUTH 클라이언트 보안 비밀번호: 이전에 가져온 클라이언트 보안 비밀번호를 지정합니다.
- 테넌트 ID: 이전에 가져온 테넌트 ID를 지정합니다.
- API 전체 경로: Microsoft Graph REST API 엔드포인트 URL입니다.
- API 인증 엔드포인트: Microsoft Active Directory 인증 엔드포인트입니다.
고급 옵션
- 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
- 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
- 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.
피드 만들기를 클릭합니다.
이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.
Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참조하세요. 피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 JSON 형식의 Azure AD 디렉터리 감사 로그를 처리합니다. 관련 필드를 추출하고, 통합 데이터 모델 (UDM)로 변환하고, 사용자 세부정보, IP 주소, 보안 결과와 같은 추가 컨텍스트로 데이터를 보강합니다. 또한 파서는 특성에 따라 이벤트를 분류하고 분석을 용이하게 하기 위해 특정 UDM 이벤트 유형에 매핑합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | 원시 로그 필드 'activityDateTime'에서 직접 매핑됩니다. |
| activityDisplayName | read_only_udm.metadata.product_event_type | 원시 로그 필드 'activityDisplayName'에서 직접 매핑됩니다. |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | 키가 'ApplicationId'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.Client | read_only_udm.network.http.user_agent | 키가 'Client'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 키가 'ClientIpAddress'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | 키가 'DomainName'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | 키가 'EmailAddress'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.GrantType | read_only_udm.additional.fields | 키가 'GrantType'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | 키가 'LocalAccountUsername'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | 키가 'PhoneNumber'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | 키가 'PolicyId'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.Scopes | read_only_udm.additional.fields | 키가 'Scopes'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.TenantId | read_only_udm.additional.fields | 키가 'TenantId'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | 키가 'VerificationMethod'인 원시 로그 필드 'additionalDetails'에서 직접 매핑 |
| appId | read_only_udm.target.process.pid | 원시 로그 필드 'appId'에서 직접 매핑됩니다. |
| appliedConditionalAccessPolicies | read_only_udm.about | 'displayName' 필드는 'read_only_udm.about.user.user_display_name'에 매핑되고 'id' 필드는 'read_only_udm.about.user.userid'에 매핑됩니다. 'result' 필드가 'read_only_udm.about.labels'에 매핑되고 키가 'Result'로 설정됩니다. |
| 카테고리 | read_only_udm.additional.fields, read_only_udm.security_result.category_details | 원시 로그 필드 'category'에서 직접 매핑 'read_only_udm.additional.fields'의 키가 'log_category'로 설정됩니다. |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 원시 로그 필드 'callerIpAddress'에서 직접 매핑 |
| clientAppUsed | read_only_udm.principal.application | 원시 로그 필드 'clientAppUsed'에서 직접 매핑 |
| correlationId | read_only_udm.network.session_id | 원시 로그 필드 'correlationId'에서 직접 매핑 |
| id | read_only_udm.metadata.product_log_id | 원시 로그 필드 'id'에서 직접 매핑합니다. |
| ID | read_only_udm.target.user.userid | 원시 로그 필드 'identity'에서 직접 매핑 |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | 원시 로그 필드 'initiatedBy.app.appId'에서 직접 매핑 'read_only_udm.principal.resource.attribute.labels'의 키가 'App Id'로 설정됩니다. |
| initiatedBy.app.displayName | read_only_udm.principal.application | 원시 로그 필드 'initiatedBy.app.displayName'에서 직접 매핑 |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | 원시 로그 필드 'initiatedBy.app.servicePrincipalId'에서 직접 매핑 |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | 원시 로그 필드 'initiatedBy.app.servicePrincipalName'에서 직접 매핑 |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | 값에 '@'이 포함된 경우 이메일 주소로 파싱되어 'read_only_udm.principal.user.email_addresses'에 매핑됩니다. 그렇지 않으면 'read_only_udm.principal.user.user_display_name'에 매핑됩니다. |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | 원시 로그 필드 'initiatedBy.user.id'에서 직접 매핑 |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 원시 로그 필드 'initiatedBy.user.ipAddress'에서 직접 매핑됩니다. |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | 값에 '@'이 포함된 경우 이메일 주소로 파싱되어 'read_only_udm.principal.user.email_addresses'에 매핑됩니다. 그렇지 않으면 'read_only_udm.principal.user.userid'에 매핑됩니다. 이메일 주소의 도메인 부분이 'read_only_udm.principal.administrative_domain'에 매핑됩니다. 전체 값은 키가 '사용자 주 구성원 이름'으로 설정된 'read_only_udm.principal.resource.attribute.labels'에도 매핑됩니다. |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 원시 로그 필드 'ipAddress'에서 직접 매핑합니다. |
| 수준 | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | 값이 문자열로 변환되고 'read_only_udm.security_result.severity_details'에 매핑됩니다. 'read_only_udm.security_result.severity' 필드가 'INFORMATIONAL'로 설정됩니다. |
| location.city | read_only_udm.principal.location.city | 원시 로그 필드 'location.city'에서 직접 매핑 |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | 원시 로그 필드 'location.countryOrRegion'에서 직접 매핑 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 원시 로그 필드 'location.geoCoordinates.latitude'에서 직접 매핑 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 원시 로그 필드 'location.geoCoordinates.longitude'에서 직접 매핑 |
| location.state | read_only_udm.principal.location.state | 원시 로그 필드 'location.state'에서 직접 매핑 |
| loggedByService | read_only_udm.additional.fields | 원시 로그 필드 'loggedByService'에서 직접 매핑됩니다. 'read_only_udm.additional.fields'의 키가 'loggedByService'로 설정됩니다. |
| operationName | read_only_udm.metadata.product_event_type | 원시 로그 필드 'operationName'에서 직접 매핑됩니다. |
| operationType | read_only_udm.security_result.action_details | 원시 로그 필드 'operationType'에서 직접 매핑됩니다. |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | 원시 로그 필드 'properties.activityDateTime'에서 직접 매핑 |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | 원시 로그 필드 'properties.activityDisplayName'에서 직접 매핑 |
| properties.appDisplayName | read_only_udm.target.application | 원시 로그 필드 'properties.appDisplayName'에서 직접 매핑 |
| properties.category | read_only_udm.security_result.category_details | 원시 로그 필드 'properties.category'에서 직접 매핑 |
| properties.id | read_only_udm.metadata.product_log_id | 원시 로그 필드 'properties.id'에서 직접 매핑 |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | 원시 로그 필드 'properties.initiatedBy.app.appId'에서 직접 매핑됩니다. 'read_only_udm.principal.resource.attribute.labels'의 키가 'App Id'로 설정됩니다. |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | 원시 로그 필드 'properties.initiatedBy.app.displayName'에서 직접 매핑됩니다. |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | 원시 로그 필드 'properties.initiatedBy.app.servicePrincipalId'에서 직접 매핑됩니다. |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | 원시 로그 필드 'properties.initiatedBy.app.servicePrincipalName'에서 직접 매핑됩니다. |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | 값에 '@'이 포함된 경우 이메일 주소로 파싱되어 'read_only_udm.principal.user.email_addresses'에 매핑됩니다. 그렇지 않으면 'read_only_udm.principal.user.user_display_name'에 매핑됩니다. |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | 원시 로그 필드 'properties.initiatedBy.user.id'에서 직접 매핑 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 원시 로그 필드 'properties.initiatedBy.user.ipAddress'에서 직접 매핑됩니다. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | 값에 '@'이 포함된 경우 이메일 주소로 파싱되어 'read_only_udm.principal.user.email_addresses'에 매핑됩니다. 그렇지 않으면 'read_only_udm.principal.user.userid'에 매핑됩니다. 이메일 주소의 도메인 부분이 'read_only_udm.principal.administrative_domain'에 매핑됩니다. 전체 값은 키가 '사용자 주 구성원 이름'으로 설정된 'read_only_udm.principal.resource.attribute.labels'에도 매핑됩니다. |
| properties.loggedByService | read_only_udm.additional.fields | 원시 로그 필드 'properties.loggedByService'에서 직접 매핑 'read_only_udm.additional.fields'의 키가 'loggedByService'로 설정됩니다. |
| properties.operationType | read_only_udm.security_result.action_details | 원시 로그 필드 'properties.operationType'에서 직접 매핑됩니다. |
| properties.result | read_only_udm.security_result.summary | 원시 로그 필드 'properties.result'에서 직접 매핑 |
| properties.resultReason | read_only_udm.security_result.description | 원시 로그 필드 'properties.resultReason'에서 직접 매핑 |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | 원시 로그 필드 'properties.userPrincipalName'에서 직접 매핑 |
| 결과 | read_only_udm.security_result.summary, read_only_udm.security_result.action | 원시 로그 필드 'result'에서 직접 매핑 값이 'success'이면 'read_only_udm.security_result.action'이 'ALLOW'로 설정됩니다. 값이 'failure'이면 'read_only_udm.security_result.action'이 'BLOCK'으로 설정됩니다. |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | 원시 로그 필드 'resultDescription'에서 직접 매핑 |
| resultReason | read_only_udm.security_result.description | 원시 로그 필드 'resultReason'에서 직접 매핑 |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | 원시 로그 필드 'resultType'에서 직접 매핑됩니다. 값이 '0'이면 'read_only_udm.security_result.action'이 'ALLOW'로 설정되고 'read_only_udm.security_result.summary'가 'Successful login occurred'로 설정됩니다. 그렇지 않은 경우 'read_only_udm.security_result.action'이 'BLOCK'으로 설정되고, 'read_only_udm.security_result.summary'가 '로그인 실패가 발생함'으로 설정되고, 'read_only_udm.security_result.description'이 'resultDescription' 값으로 설정되고, 'read_only_udm.security_result.severity'가 'ERROR'로 설정됩니다. |
| resourceDisplayName | read_only_udm.target.resource.name | 원시 로그 필드 'resourceDisplayName'에서 직접 매핑 |
| resourceId | read_only_udm.additional.fields | 원시 로그 필드 'resourceId'에서 직접 매핑 'read_only_udm.additional.fields'의 키가 'resourceId'로 설정됩니다. |
| riskDetail | read_only_udm.additional.fields | 원시 로그 필드 'riskDetail'에서 직접 매핑됩니다. 'read_only_udm.additional.fields'의 키가 'riskDetail'로 설정됩니다. |
| riskEventTypes | read_only_udm.additional.fields | 원시 로그 필드 'riskEventTypes'에서 직접 매핑됩니다. 'read_only_udm.additional.fields'의 키가 'riskEventTypes'로 설정됩니다. |
| riskEventTypes_v2 | read_only_udm.additional.fields | 원시 로그 필드 'riskEventTypes_v2'에서 직접 매핑됩니다. 'read_only_udm.additional.fields'의 키가 'riskEventTypes_v2'로 설정됩니다. |
| riskLevelAggregated | read_only_udm.additional.fields | 원시 로그 필드 'riskLevelAggregated'에서 직접 매핑 'read_only_udm.additional.fields'의 키가 'riskLevelAggregated'로 설정됩니다. |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | 원시 로그 필드 'riskLevelDuringSignIn'에서 직접 매핑됩니다. 'read_only_udm.additional.fields'의 키가 'riskLevelDuringSignIn'으로 설정됩니다. 값이 'medium'이면 'read_only_udm.security_result.priority'가 'MEDIUM_PRIORITY'로 설정됩니다. |
| riskState | read_only_udm.additional.fields | 원시 로그 필드 'riskState'에서 직접 매핑 'read_only_udm.additional.fields'의 키가 'riskState'로 설정됩니다. |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | 'targetResources.0.type' 값이 'User' 또는 'ServicePrincipal'이면 값이 'read_only_udm.target.user.user_display_name'에 매핑됩니다. 'targetResources.0.type' 값이 'Group'이면 값이 'read_only_udm.target.group.group_display_name'에 매핑됩니다. 그렇지 않으면 값이 'read_only_udm.target.resource.name'에 매핑됩니다. |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | 원시 로그 필드 'targetResources.0.groupType'에서 직접 매핑됩니다. 'read_only_udm.target.group.attribute.labels'의 키가 'groupType'으로 설정됩니다. |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | 'targetResources.0.type' 값이 'User' 또는 'ServicePrincipal'이면 값이 'read_only_udm.target.user.product_object_id'에 매핑됩니다. 'targetResources.0.type' 값이 'Group'이면 값이 'read_only_udm.target.group.product_object_id'에 매핑됩니다. 그렇지 않으면 값이 'read_only_udm.target.resource.product_object_id'에 매핑됩니다. |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | 값은 키가 'targetResources.modifiedProperties.displayname {index}'로 설정된 'read_only_udm.additional.fields'에 매핑됩니다. 값이 'TargetId.DeviceId'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.asset.asset_id'에 'Device ID:' 접두사와 함께 매핑됩니다. 값이 'DisplayName' 또는 'jobTitle'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.title'에 매핑됩니다. 값이 'WellKnownObjectName'이면 'targetResources.0.modifiedProperties.newValue' 값이 키가 'name'으로 설정된 'read_only_udm.target.resource.attribute.roles'에 매핑됩니다. 값이 'displayName'이고 'targetResources.0.displayName'이 null이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.user_display_name'에 매핑됩니다. 값이 'givenName'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.first_name'에 매핑됩니다. 값이 'surname'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.last_name'에 매핑됩니다. 값이 'department'인 경우 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.department'에 매핑됩니다. 값이 'physicalDeliveryOfficeName'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.office_address.name'에 매핑됩니다. 값이 'employeeId'인 경우 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.employee_id'에 매핑됩니다. 값이 'mobile'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.phone_numbers'에 매핑됩니다. 값이 'MailNickname'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.userid'에 매핑됩니다. 그렇지 않으면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.resource.attribute.labels'에 매핑되고 키는 'targetResources.0.modifiedProperties.displayName' 값으로 설정됩니다. 'targetResources.0.modifiedProperties.oldValue'의 값은 키가 'targetResources.0.modifiedProperties.displayName'의 값으로 설정된 'read_only_udm.src.resource.attribute.labels'에 매핑됩니다. |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | 'targetResources.0.modifiedProperties.displayName' 값이 'TargetId.DeviceId'이면 값은 'read_only_udm.target.asset.asset_id'에 'Device ID:' 접두사와 함께 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'DisplayName' 또는 'jobTitle'이면 값이 'read_only_udm.target.user.title'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'WellKnownObjectName'이면 값은 키가 'name'으로 설정된 'read_only_udm.target.resource.attribute.roles'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'displayName'이고 'targetResources.0.displayName'이 null이면 값이 'read_only_udm.target.user.user_display_name'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'givenName'이면 값이 'read_only_udm.target.user.first_name'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'surname'이면 값이 'read_only_udm.target.user.last_name'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'department'인 경우 값은 'read_only_udm.target.user.department'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'physicalDeliveryOfficeName'이면 값이 'read_only_udm.target.user.office_address.name'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'employeeId'이면 값이 'read_only_udm.target.user.employee_id'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'mobile'이면 값이 'read_only_udm.target.user.phone_numbers'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'MailNickname'이면 값이 'read_only_udm.target.user.userid'에 매핑됩니다. 그렇지 않으면 값이 'read_only_udm.target.resource.attribute.labels'에 매핑되고 키는 'targetResources.0.modifiedProperties.displayName' 값으로 설정됩니다. 값은 키가 'targetResources.modifiedProperties.newValue {index}'로 설정된 'read_only_udm.additional.fields'에도 매핑됩니다. |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | 값은 키가 'targetResources.0.modifiedProperties.displayName' 값으로 설정된 'read_only_udm.src.resource.attribute.labels'에 매핑됩니다. 값은 키가 'targetResources.modifiedProperties.oldValue {index}'로 설정된 'read_only_udm.additional.fields'에도 매핑됩니다. |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | 원시 로그 필드 'targetResources.0.type'에서 직접 매핑됩니다. 값이 'ServicePrincipal'이면 'read_only_udm.target.resource.resource_type'이 'SERVICE_ACCOUNT'로 설정됩니다. 값이 'Device'인 경우 'read_only_udm.target.resource.resource_type'이 'DEVICE'로 설정됩니다. 그렇지 않으면 'read_only_udm.target.resource.resource_type'이 'UNSPECIFIED'로 설정됩니다. 값이 'User' 또는 'ServicePrincipal'이면 'targetResources.0.userPrincipalName' 값이 'read_only_udm.target.user.userid'에 매핑되고, 'targetResources.0.id' 값이 'read_only_udm.target.user.product_object_id'에 매핑되며, 'targetResources.0.displayName' 값이 'read_only_udm.target.user.user_display_name'에 매핑됩니다. 값이 'Group'이면 'targetResources.0.id' 값이 'read_only_udm.target.group.product_object_id'에 매핑되고 'targetResources.0.displayName' 값이 'read_only_udm.target.group.group_display_name'에 매핑됩니다. |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | 값에 '@'이 포함되어 있으면 이메일 주소로 파싱되어 'read_only_udm.target.user.email_addresses'에 매핑됩니다. 그렇지 않으면 'read_only_udm.target.user.userid'에 매핑됩니다. |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | 'targetResources.type' 값이 'User' 또는 'ServicePrincipal'이면 값이 'read_only_udm.about.user.user_display_name' 및 'read_only_udm.about.user.userid'에 매핑됩니다. 'targetResources.type' 값이 'Group'이면 값이 'read_only_udm.about.group.group_display_name'에 매핑됩니다. 'targetResources.groupType'의 값은 키가 'groupType'으로 설정된 'read_only_udm.about.group.attribute.labels'에 매핑됩니다. 그렇지 않으면 값이 'read_only_udm.about.resource.name'에 매핑됩니다. |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | 원시 로그 필드 'targetResources.groupType'에서 직접 매핑 'read_only_udm.about.group.attribute.labels'의 키가 'groupType'으로 설정됩니다. |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | 'targetResources.type' 값이 'User' 또는 'ServicePrincipal'이면 값이 'read_only_udm.about.user.product_object_id'에 매핑됩니다. 'targetResources.type' 값이 'Group'이면 값이 'read_only_udm.about.group.product_object_id'에 매핑됩니다. 그렇지 않으면 값이 'read_only_udm.about.resource.product_object_id'에 매핑됩니다. |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | 값은 키가 'targetResources.modifiedProperties.displayname {index}'로 설정된 'read_only_udm.additional.fields'에 매핑됩니다. |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | 값은 키가 'targetResources.modifiedProperties.newValue {index}'로 설정된 'read_only_udm.additional.fields'에 매핑됩니다. |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | 값은 키가 'targetResources.modifiedProperties.oldValue {index}'로 설정된 'read_only_udm.additional.fields'에 매핑됩니다. |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | 원시 로그 필드 'targetResources.type'에서 직접 매핑됩니다. 값이 'ServicePrincipal'이면 'read_only_udm.about.resource.resource_type'이 'SERVICE_ACCOUNT'로 설정됩니다. 값이 'Device'인 경우 'read_only_udm.about.resource.resource_type'이 'DEVICE'로 설정됩니다. 그렇지 않으면 'read_only_udm.about.resource.resource_type'이 'UNSPECIFIED'로 설정됩니다. 값이 'User' 또는 'ServicePrincipal'이면 'targetResources.userPrincipalName' 값이 'read_only_udm.about.user.userid'에 매핑되고, 'targetResources.id' 값이 'read_only_udm.about.user.product_object_id'에 매핑되며, 'targetResources.displayName' 값이 'read_only_udm.about.user.user_display_name'에 매핑됩니다. 값이 'Group'이면 'targetResources.id' 값이 'read_only_udm.about.group.product_object_id'에 매핑되고 'targetResources.displayName' 값이 'read_only_udm.about.group.group_display_name'에 매핑됩니다. |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | 값에 '@'이 포함되어 있으면 이메일 주소로 파싱되어 'read_only_udm.about.user.email_addresses'에 매핑됩니다. 그렇지 않으면 'read_only_udm.about.user.userid'에 매핑됩니다. |
| tenantId | read_only_udm.additional.fields | 원시 로그 필드 'tenantId'에서 직접 매핑 'read_only_udm.additional.fields'의 키가 'tenantId'로 설정됩니다. |
| 시간 | read_only_udm.metadata.event_timestamp | 원시 로그 필드 'time'에서 직접 매핑 |
| userId | read_only_udm.target.user.product_object_id | 원시 로그 필드 'userId'에서 직접 매핑 이 값은 'activityDisplayName', 'principal_userid_present', 'target_userid_present', 'principal_ip_present', 'loggedByService', 'category'를 비롯한 다른 필드의 값을 기반으로 설정됩니다. 값을 설정하는 로직은 복잡하며 이러한 필드의 특정 값 조합에 따라 달라집니다. 'operationName' 값이 '로그인 활동'인 경우 값은 'SSO'로 설정됩니다. 값은 'Microsoft'로 설정됩니다. 값은 'Azure AD Directory Audit'으로 설정됩니다. 값은 'AZURE_AD_AUDIT'으로 설정됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.