이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Microsoft Azure AD 감사 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 피드를 설정하여 Microsoft Azure Active Directory (AD) 로그를 수집하는 방법을 설명합니다.

Azure Active Directory (AZURE_AD)의 이름이 이제 Microsoft Entra ID로 변경되었습니다. Azure AD 감사 로그(AZURE_AD_AUDIT)가 이제 Microsoft Entra ID 감사 로그로 변경되었습니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다.

시작하기 전에

이 페이지의 태스크를 완료하려면 다음이 있어야 합니다.

로그인할 수 있는 Azure 구독입니다.
전역 관리자 또는 Azure AD 관리자 역할
Azure의 Azure AD (테넌트)

Azure AD 구성

Azure 포털에 로그인합니다.
홈 > 앱 등록으로 이동하여 등록된 애플리케이션을 선택하거나 아직 애플리케이션을 만들지 않은 경우 애플리케이션을 등록합니다.
애플리케이션을 등록하려면 앱 등록 섹션에서 새 등록을 클릭합니다.
이름 필드에 애플리케이션의 표시 이름을 입력합니다.
지원되는 계정 유형 섹션에서 필요한 옵션을 선택하여 애플리케이션을 사용하거나 API에 액세스할 수 있는 사용자를 지정합니다.
등록을 클릭합니다.
개요 페이지로 이동하여 Google Security Operations 피드를 구성하는 데 필요한 애플리케이션 (클라이언트) ID와 디렉터리(테넌트) ID를 복사합니다.
API 권한을 클릭합니다.
권한 추가를 클릭한 다음 새 창에서 Microsoft Graph를 선택합니다.
애플리케이션 권한을 클릭합니다.
AuditLog.Read.All, Directory.Read.All, SecurityEvents.Read.All 권한을 선택합니다. 권한이 위임된 권한이 아닌 애플리케이션 권한인지 확인합니다.
기본 디렉터리에 대한 관리자 동의 허용을 클릭합니다. 동의 절차의 일환으로 사용자 또는 관리자가 애플리케이션에 권한을 부여하면 애플리케이션은 API를 호출할 수 있습니다.
설정 > 관리로 이동합니다.
인증서 및 보안 비밀을 클릭합니다.
'새 클라이언트 암호'를 클릭합니다. 값 필드에 클라이언트 보안 비밀이 표시됩니다.
클라이언트 보안 비밀번호 값을 복사합니다. 이 값은 생성 시점에만 표시되며 Azure 앱 등록 및 Google Security Operations 피드 구성에 필요합니다.

Azure AD 감사 로그를 수집하도록 Google Security Operations에서 피드 구성

SIEM 설정 > 피드를 선택합니다.
새로 추가를 클릭합니다.
피드 이름에 고유한 이름을 입력합니다.
소스 유형으로 서드 파티 API를 선택합니다.
로그 유형으로 Azure AD Directory Audit를 선택합니다.
다음을 클릭합니다.
다음 필수 입력 매개변수를 구성합니다.
- OAUTH 클라이언트 ID: 이전에 가져온 클라이언트 ID를 지정합니다.
- OAUTH 클라이언트 보안 비밀: 이전에 가져온 클라이언트 보안 비밀을 지정합니다.
- 테넌트 ID: 이전에 가져온 테넌트 ID를 지정합니다.
다음을 클릭한 후 제출을 클릭합니다.

Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참조하세요. 피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 JSON 형식의 Azure AD 디렉터리 감사 로그를 처리합니다. 관련 필드를 추출하여 통합 데이터 모델 (UDM)로 변환하고 사용자 세부정보, IP 주소, 보안 결과와 같은 추가 컨텍스트로 데이터를 보강합니다. 또한 파서는 이벤트의 특성을 기반으로 이벤트를 분류하여 더 쉽게 분석할 수 있도록 특정 UDM 이벤트 유형에 매핑합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
activityDateTime	read_only_udm.metadata.event_timestamp	원시 로그 필드 'activityDateTime'에서 직접 매핑
activityDisplayName	read_only_udm.metadata.product_event_type	원시 로그 필드 'activityDisplayName'에서 직접 매핑합니다.
additionalDetails.ApplicationId	read_only_udm.additional.fields	원시 로그 필드 'additionalDetails'에서 직접 매핑합니다(키는 'ApplicationId').
additionalDetails.Client	read_only_udm.network.http.user_agent	키가 'Client'인 원시 로그 필드 'additionalDetails'에서 직접 매핑합니다.
additionalDetails.ClientIpAddress	read_only_udm.principal.ip, read_only_udm.principal.asset.ip	원시 로그 필드 'additionalDetails'에서 직접 매핑합니다(키는 'ClientIpAddress').
additionalDetails.DomainName	read_only_udm.target.hostname, read_only_udm.target.asset.hostname	원시 로그 필드 'additionalDetails'에서 직접 매핑하며 키는 'DomainName'입니다.
additionalDetails.EmailAddress	read_only_udm.target.user.email_addresses	원시 로그 필드 'additionalDetails'에서 직접 매핑합니다(키는 'EmailAddress').
additionalDetails.GrantType	read_only_udm.additional.fields	원시 로그 필드 'additionalDetails'에서 직접 매핑하며 키는 'GrantType'입니다.
additionalDetails.LocalAccountUsername	read_only_udm.additional.fields	원시 로그 필드 'additionalDetails'에서 직접 매핑하며 키는 'LocalAccountUsername'입니다.
additionalDetails.PhoneNumber	read_only_udm.target.user.phone_numbers	원시 로그 필드 'additionalDetails'에서 직접 매핑합니다(키는 'PhoneNumber').
additionalDetails.PolicyId	read_only_udm.security_result.rule_name	원시 로그 필드 'additionalDetails'에서 직접 매핑하며 키는 'PolicyId'입니다.
additionalDetails.Scopes	read_only_udm.additional.fields	원시 로그 필드 'additionalDetails'에서 직접 매핑합니다(키는 'Scopes').
additionalDetails.TenantId	read_only_udm.additional.fields	원시 로그 필드 'additionalDetails'에서 직접 매핑합니다(키는 'TenantId').
additionalDetails.VerificationMethod	read_only_udm.additional.fields	원시 로그 필드 'additionalDetails'에서 직접 매핑합니다(키는 'VerificationMethod').
appId	read_only_udm.target.process.pid	원시 로그 필드 'appId'에서 직접 매핑합니다.
appliedConditionalAccessPolicies	read_only_udm.about	'displayName' 필드는 'read_only_udm.about.user.user_display_name'에 매핑되고 'id' 필드는 'read_only_udm.about.user.userid'에 매핑됩니다. 'result' 필드는 'read_only_udm.about.labels'에 매핑되며 키는 'Result'로 설정됩니다.
카테고리	read_only_udm.additional.fields, read_only_udm.security_result.category_details	원시 로그 필드 '카테고리'에서 직접 매핑합니다. 'read_only_udm.additional.fields'의 키가 'log_category'로 설정됩니다.
callerIpAddress	read_only_udm.principal.ip, read_only_udm.principal.asset.ip	원시 로그 필드 'callerIpAddress'에서 직접 매핑합니다.
clientAppUsed	read_only_udm.principal.application	원시 로그 필드 'clientAppUsed'에서 직접 매핑합니다.
correlationId	read_only_udm.network.session_id	원시 로그 필드 'correlationId'의 직접 매핑입니다.
id	read_only_udm.metadata.product_log_id	원시 로그 필드 'id'에서 직접 매핑
ID	read_only_udm.target.user.userid	원시 로그 필드 'identity'의 직접 매핑입니다.
initiatedBy.app.appId	read_only_udm.principal.resource.attribute.labels	원시 로그 필드 'initiatedBy.app.appId'에서 직접 매핑합니다. 'read_only_udm.principal.resource.attribute.labels'의 키가 'App Id'로 설정됩니다.
initiatedBy.app.displayName	read_only_udm.principal.application	원시 로그 필드 'initiatedBy.app.displayName'의 직접 매핑입니다.
initiatedBy.app.servicePrincipalId	read_only_udm.principal.user.product_object_id	원시 로그 필드 'initiatedBy.app.servicePrincipalId'의 직접 매핑입니다.
initiatedBy.app.servicePrincipalName	read_only_udm.principal.user.userid	원시 로그 필드 'initiatedBy.app.servicePrincipalName'에서 직접 매핑합니다.
initiatedBy.user.displayName	read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses	값에 '@'가 포함된 경우 이메일 주소로 파싱되고 'read_only_udm.principal.user.email_addresses'에 매핑됩니다. 그 외의 경우에는 'read_only_udm.principal.user.user_display_name'에 매핑됩니다.
initiatedBy.user.id	read_only_udm.principal.user.product_object_id	원시 로그 필드 'initiatedBy.user.id'에서 직접 매핑합니다.
initiatedBy.user.ipAddress	read_only_udm.principal.ip, read_only_udm.principal.asset.ip	원시 로그 필드 'initiatedBy.user.ipAddress'의 직접 매핑입니다.
initiatedBy.user.userPrincipalName	read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels	값에 '@'가 포함된 경우 이메일 주소로 파싱되고 'read_only_udm.principal.user.email_addresses'에 매핑됩니다. 그렇지 않으면 'read_only_udm.principal.user.userid'에 매핑됩니다. 이메일 주소의 도메인 부분은 'read_only_udm.principal.administrative_domain'에 매핑됩니다. 전체 값은 키가 'User Principal Name'으로 설정된 'read_only_udm.principal.resource.attribute.labels'에 매핑됩니다.
ipAddress	read_only_udm.principal.ip, read_only_udm.principal.asset.ip	원시 로그 필드 'ipAddress'의 직접 매핑입니다.
수준	read_only_udm.security_result.severity, read_only_udm.security_result.severity_details	값이 문자열로 변환되고 'read_only_udm.security_result.severity_details'에 매핑됩니다. 'read_only_udm.security_result.severity' 필드가 'INFORMATIONAL'로 설정됩니다.
location.city	read_only_udm.principal.location.city	원시 로그 필드 'location.city'에서 직접 매핑합니다.
location.countryOrRegion	read_only_udm.principal.location.country_or_region	원시 로그 필드 'location.countryOrRegion'에서 직접 매핑합니다.
location.geoCoordinates.latitude	read_only_udm.principal.location.region_latitude	원시 로그 필드 'location.geoCoordinates.latitude'에서 직접 매핑합니다.
location.geoCoordinates.longitude	read_only_udm.principal.location.region_longitude	원시 로그 필드 'location.geoCoordinates.longitude'에서 직접 매핑합니다.
location.state	read_only_udm.principal.location.state	원시 로그 필드 'location.state'에서 직접 매핑합니다.
loggedByService	read_only_udm.additional.fields	원시 로그 필드 'loggedByService'에서 직접 매핑합니다. 'read_only_udm.additional.fields'의 키가 'loggedByService'로 설정됩니다.
operationName	read_only_udm.metadata.product_event_type	원시 로그 필드 'operationName'의 직접 매핑입니다.
operationType	read_only_udm.security_result.action_details	원시 로그 필드 'operationType'의 직접 매핑입니다.
properties.activityDateTime	read_only_udm.metadata.event_timestamp	원시 로그 필드 'properties.activityDateTime'에서 직접 매핑합니다.
properties.activityDisplayName	read_only_udm.metadata.product_event_type	원시 로그 필드 'properties.activityDisplayName'에서 직접 매핑합니다.
properties.appDisplayName	read_only_udm.target.application	원시 로그 필드 'properties.appDisplayName'에서 직접 매핑합니다.
properties.category	read_only_udm.security_result.category_details	원시 로그 필드 'properties.category'에서 직접 매핑합니다.
properties.id	read_only_udm.metadata.product_log_id	원시 로그 필드 'properties.id'에서 직접 매핑합니다.
properties.initiatedBy.app.appId	read_only_udm.principal.resource.attribute.labels	원시 로그 필드 'properties.initiatedBy.app.appId'에서 직접 매핑합니다. 'read_only_udm.principal.resource.attribute.labels'의 키가 'App Id'로 설정됩니다.
properties.initiatedBy.app.displayName	read_only_udm.principal.application	원시 로그 필드 'properties.initiatedBy.app.displayName'에서 직접 매핑합니다.
properties.initiatedBy.app.servicePrincipalId	read_only_udm.principal.user.product_object_id	원시 로그 필드 'properties.initiatedBy.app.servicePrincipalId'에서 직접 매핑합니다.
properties.initiatedBy.app.servicePrincipalName	read_only_udm.principal.user.userid	원시 로그 필드 'properties.initiatedBy.app.servicePrincipalName'에서 직접 매핑합니다.
properties.initiatedBy.user.displayName	read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses	값에 '@'가 포함된 경우 이메일 주소로 파싱되고 'read_only_udm.principal.user.email_addresses'에 매핑됩니다. 그 외의 경우에는 'read_only_udm.principal.user.user_display_name'에 매핑됩니다.
properties.initiatedBy.user.id	read_only_udm.principal.user.product_object_id	원시 로그 필드 'properties.initiatedBy.user.id'에서 직접 매핑합니다.
properties.initiatedBy.user.ipAddress	read_only_udm.principal.ip, read_only_udm.principal.asset.ip	원시 로그 필드 'properties.initiatedBy.user.ipAddress'에서 직접 매핑합니다.
properties.initiatedBy.user.userPrincipalName	read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels	값에 '@'가 포함된 경우 이메일 주소로 파싱되고 'read_only_udm.principal.user.email_addresses'에 매핑됩니다. 그렇지 않으면 'read_only_udm.principal.user.userid'에 매핑됩니다. 이메일 주소의 도메인 부분은 'read_only_udm.principal.administrative_domain'에 매핑됩니다. 전체 값은 키가 'User Principal Name'으로 설정된 'read_only_udm.principal.resource.attribute.labels'에 매핑됩니다.
properties.loggedByService	read_only_udm.additional.fields	원시 로그 필드 'properties.loggedByService'에서 직접 매핑합니다. 'read_only_udm.additional.fields'의 키가 'loggedByService'로 설정됩니다.
properties.operationType	read_only_udm.security_result.action_details	원시 로그 필드 'properties.operationType'의 직접 매핑입니다.
properties.result	read_only_udm.security_result.summary	원시 로그 필드 'properties.result'에서 직접 매핑합니다.
properties.resultReason	read_only_udm.security_result.description	원시 로그 필드 'properties.resultReason'에서 직접 매핑합니다.
properties.userPrincipalName	read_only_udm.target.user.user_display_name	원시 로그 필드 'properties.userPrincipalName'에서 직접 매핑합니다.
결과	read_only_udm.security_result.summary, read_only_udm.security_result.action	원시 로그 필드 'result'의 직접 매핑입니다. 값이 'success'이면 'read_only_udm.security_result.action'이 'ALLOW'로 설정됩니다. 값이 'failure'인 경우 'read_only_udm.security_result.action'이 'BLOCK'으로 설정됩니다.
resultDescription	read_only_udm.metadata.description, read_only_udm.security_result.description	원시 로그 필드 'resultDescription'에서 직접 매핑합니다.
resultReason	read_only_udm.security_result.description	원시 로그 필드 'resultReason'에서 직접 매핑합니다.
resultType	read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action	원시 로그 필드 'resultType'의 직접 매핑입니다. 값이 '0'이면 'read_only_udm.security_result.action'이 'ALLOW'로 설정되고 'read_only_udm.security_result.summary'가 'Successful login occurred'로 설정됩니다. 그 외의 경우 'read_only_udm.security_result.action'은 'BLOCK'으로, 'read_only_udm.security_result.summary'는 'Failed login occurred'(로그인 실패 발생)로, 'read_only_udm.security_result.description'은 'resultDescription' 값으로, 'read_only_udm.security_result.severity'는 'ERROR'로 설정됩니다.
resourceDisplayName	read_only_udm.target.resource.name	원시 로그 필드 'resourceDisplayName'의 직접 매핑입니다.
resourceId	read_only_udm.additional.fields	원시 로그 필드 'resourceId'에서 직접 매핑합니다. 'read_only_udm.additional.fields'의 키가 'resourceId'로 설정됩니다.
riskDetail	read_only_udm.additional.fields	원시 로그 필드 'riskDetail'에서 직접 매핑합니다. 'read_only_udm.additional.fields'의 키가 'riskDetail'로 설정됩니다.
riskEventTypes	read_only_udm.additional.fields	원시 로그 필드 'riskEventTypes'의 직접 매핑입니다. 'read_only_udm.additional.fields'의 키가 'riskEventTypes'로 설정됩니다.
riskEventTypes_v2	read_only_udm.additional.fields	원시 로그 필드 'riskEventTypes_v2'의 직접 매핑입니다. 'read_only_udm.additional.fields'의 키가 'riskEventTypes_v2'로 설정됩니다.
riskLevelAggregated	read_only_udm.additional.fields	원시 로그 필드 'riskLevelAggregated'의 직접 매핑입니다. 'read_only_udm.additional.fields'의 키가 'riskLevelAggregated'로 설정됩니다.
riskLevelDuringSignIn	read_only_udm.additional.fields, read_only_udm.security_result.priority	원시 로그 필드 'riskLevelDuringSignIn'에서 직접 매핑합니다. 'read_only_udm.additional.fields'의 키가 'riskLevelDuringSignIn'으로 설정됩니다. 값이 'medium'이면 'read_only_udm.security_result.priority'가 'MEDIUM_PRIORITY'로 설정됩니다.
riskState	read_only_udm.additional.fields	원시 로그 필드 'riskState'에서 직접 매핑합니다. 'read_only_udm.additional.fields'의 키가 'riskState'로 설정됩니다.
targetResources.0.displayName	read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name	'targetResources.0.type'의 값이 'User' 또는 'ServicePrincipal'인 경우 값이 'read_only_udm.target.user.user_display_name'에 매핑됩니다. 'targetResources.0.type'의 값이 'Group'인 경우 값이 'read_only_udm.target.group.group_display_name'에 매핑됩니다. 그 외의 경우에는 값이 'read_only_udm.target.resource.name'에 매핑됩니다.
targetResources.0.groupType	read_only_udm.target.group.attribute.labels	원시 로그 필드 'targetResources.0.groupType'의 직접 매핑입니다. 'read_only_udm.target.group.attribute.labels'의 키가 'groupType'으로 설정됩니다.
targetResources.0.id	read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id	'targetResources.0.type'의 값이 'User' 또는 'ServicePrincipal'인 경우 값이 'read_only_udm.target.user.product_object_id'에 매핑됩니다. 'targetResources.0.type'의 값이 'Group'인 경우 값이 'read_only_udm.target.group.product_object_id'에 매핑됩니다. 그 외의 경우에는 값이 'read_only_udm.target.resource.product_object_id'에 매핑됩니다.
targetResources.0.modifiedProperties.displayName	read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels	값은 키가 'targetResources.modifiedProperties.displayname {index}'로 설정된 'read_only_udm.additional.fields'에 매핑됩니다. 값이 'TargetId.DeviceId'인 경우 'targetResources.0.modifiedProperties.newValue' 값은 접두사 'Device ID:'를 사용하여 'read_only_udm.target.asset.asset_id'에 매핑됩니다. 값이 'DisplayName' 또는 'jobTitle'인 경우 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.title'에 매핑됩니다. 값이 'WellKnownObjectName'이면 'targetResources.0.modifiedProperties.newValue' 값이 키가 'name'으로 설정된 'read_only_udm.target.resource.attribute.roles'에 매핑됩니다. 값이 'displayName'이고 'targetResources.0.displayName'이 null인 경우 'targetResources.0.modifiedProperties.newValue' 값은 'read_only_udm.target.user.user_display_name'에 매핑됩니다. 값이 'givenName'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.first_name'에 매핑됩니다. 값이 'surname'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.last_name'에 매핑됩니다. 값이 'department'인 경우 'targetResources.0.modifiedProperties.newValue' 값은 'read_only_udm.target.user.department'에 매핑됩니다. 값이 'physicalDeliveryOfficeName'인 경우 'targetResources.0.modifiedProperties.newValue' 값은 'read_only_udm.target.user.office_address.name'에 매핑됩니다. 값이 'employeeId'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.employee_id'에 매핑됩니다. 값이 'mobile'인 경우 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.phone_numbers'에 매핑됩니다. 값이 'MailNickname'이면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.user.userid'에 매핑됩니다. 그렇지 않으면 'targetResources.0.modifiedProperties.newValue' 값이 'read_only_udm.target.resource.attribute.labels'에 매핑되고 키가 'targetResources.0.modifiedProperties.displayName' 값으로 설정됩니다. 'targetResources.0.modifiedProperties.oldValue' 값은 키가 'targetResources.0.modifiedProperties.displayName' 값으로 설정된 'read_only_udm.src.resource.attribute.labels'에 매핑됩니다.
targetResources.0.modifiedProperties.newValue	read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields	'targetResources.0.modifiedProperties.displayName'의 값이 'TargetId.DeviceId'이면 값이 접두사 'Device ID:'와 함께 'read_only_udm.target.asset.asset_id'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName'의 값이 'DisplayName' 또는 'jobTitle'인 경우 값이 'read_only_udm.target.user.title'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName'의 값이 'WellKnownObjectName'이면 값이 'read_only_udm.target.resource.attribute.roles'에 매핑되고 키가 'name'으로 설정됩니다. 'targetResources.0.modifiedProperties.displayName'의 값이 'displayName'이고 'targetResources.0.displayName'이 null이면 값이 'read_only_udm.target.user.user_display_name'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName'의 값이 'givenName'이면 값이 'read_only_udm.target.user.first_name'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName'의 값이 'surname'이면 값이 'read_only_udm.target.user.last_name'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName'의 값이 'department'이면 값이 'read_only_udm.target.user.department'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName'의 값이 'physicalDeliveryOfficeName'이면 값이 'read_only_udm.target.user.office_address.name'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName'의 값이 'employeeId'이면 값이 'read_only_udm.target.user.employee_id'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'mobile'이면 값이 'read_only_udm.target.user.phone_numbers'에 매핑됩니다. 'targetResources.0.modifiedProperties.displayName' 값이 'MailNickname'이면 값이 'read_only_udm.target.user.userid'에 매핑됩니다. 그렇지 않으면 값이 'read_only_udm.target.resource.attribute.labels'에 매핑되고 키는 'targetResources.0.modifiedProperties.displayName' 값으로 설정됩니다. 값은 키가 'targetResources.modifiedProperties.newValue {index}'로 설정된 'read_only_udm.additional.fields'에도 매핑됩니다.
targetResources.0.modifiedProperties.oldValue	read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields	값은 'read_only_udm.src.resource.attribute.labels'에 매핑되며 키는 'targetResources.0.modifiedProperties.displayName' 값으로 설정됩니다. 값은 키가 'targetResources.modifiedProperties.oldValue {index}'로 설정된 'read_only_udm.additional.fields'에도 매핑됩니다.
targetResources.0.type	read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name	원시 로그 필드 'targetResources.0.type'의 직접 매핑입니다. 값이 'ServicePrincipal'이면 'read_only_udm.target.resource.resource_type'이 'SERVICE_ACCOUNT'로 설정됩니다. 값이 'Device'인 경우 'read_only_udm.target.resource.resource_type'이 'DEVICE'로 설정됩니다. 그 외의 경우에는 'read_only_udm.target.resource.resource_type'이 'UNSPECIFIED'로 설정됩니다. 값이 'User' 또는 'ServicePrincipal'인 경우 'targetResources.0.userPrincipalName' 값은 'read_only_udm.target.user.userid'에 매핑되고, 'targetResources.0.id' 값은 'read_only_udm.target.user.product_object_id'에 매핑되고, 'targetResources.0.displayName' 값은 'read_only_udm.target.user.user_display_name'에 매핑됩니다. 값이 '그룹'인 경우 'targetResources.0.id' 값은 'read_only_udm.target.group.product_object_id'에 매핑되고 'targetResources.0.displayName' 값은 'read_only_udm.target.group.group_display_name'에 매핑됩니다.
targetResources.0.userPrincipalName	read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses	값에 '@'가 포함된 경우 이메일 주소로 파싱되고 'read_only_udm.target.user.email_addresses'에 매핑됩니다. 그렇지 않으면 'read_only_udm.target.user.userid'에 매핑됩니다.
targetResources.displayName	read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels	'targetResources.type' 값이 'User' 또는 'ServicePrincipal'인 경우 값이 'read_only_udm.about.user.user_display_name' 및 'read_only_udm.about.user.userid'에 매핑됩니다. 'targetResources.type'의 값이 'Group'인 경우 값이 'read_only_udm.about.group.group_display_name'에 매핑됩니다. 'targetResources.groupType'의 값은 키가 'groupType'으로 설정된 'read_only_udm.about.group.attribute.labels'에 매핑됩니다. 그렇지 않으면 값이 'read_only_udm.about.resource.name'에 매핑됩니다.
targetResources.groupType	read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers	원시 로그 필드 'targetResources.groupType'의 직접 매핑입니다. 'read_only_udm.about.group.attribute.labels'의 키가 'groupType'으로 설정됩니다.
targetResources.id	read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id	'targetResources.type'의 값이 'User' 또는 'ServicePrincipal'인 경우 값이 'read_only_udm.about.user.product_object_id'에 매핑됩니다. 'targetResources.type'의 값이 'Group'인 경우 값이 'read_only_udm.about.group.product_object_id'에 매핑됩니다. 그 외의 경우에는 값이 'read_only_udm.about.resource.product_object_id'에 매핑됩니다.
targetResources.modifiedProperties.displayName	read_only_udm.additional.fields	값은 키가 'targetResources.modifiedProperties.displayname {index}'로 설정된 'read_only_udm.additional.fields'에 매핑됩니다.
targetResources.modifiedProperties.newValue	read_only_udm.additional.fields	값은 키가 'targetResources.modifiedProperties.newValue {index}'로 설정된 'read_only_udm.additional.fields'에 매핑됩니다.
targetResources.modifiedProperties.oldValue	read_only_udm.additional.fields	값은 키가 'targetResources.modifiedProperties.oldValue {index}'로 설정된 'read_only_udm.additional.fields'에 매핑됩니다.
targetResources.type	read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name	원시 로그 필드 'targetResources.type'의 직접 매핑입니다. 값이 'ServicePrincipal'이면 'read_only_udm.about.resource.resource_type'이 'SERVICE_ACCOUNT'로 설정됩니다. 값이 'Device'인 경우 'read_only_udm.about.resource.resource_type'이 'DEVICE'로 설정됩니다. 그 외의 경우에는 'read_only_udm.about.resource.resource_type'이 'UNSPECIFIED'로 설정됩니다. 값이 'User' 또는 'ServicePrincipal'인 경우 'targetResources.userPrincipalName' 값은 'read_only_udm.about.user.userid'에 매핑되고, 'targetResources.id' 값은 'read_only_udm.about.user.product_object_id'에 매핑되고, 'targetResources.displayName' 값은 'read_only_udm.about.user.user_display_name'에 매핑됩니다. 값이 '그룹'인 경우 'targetResources.id' 값은 'read_only_udm.about.group.product_object_id'에 매핑되고 'targetResources.displayName' 값은 'read_only_udm.about.group.group_display_name'에 매핑됩니다.
targetResources.userPrincipalName	read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses	값에 '@'가 포함된 경우 이메일 주소로 파싱되고 'read_only_udm.about.user.email_addresses'에 매핑됩니다. 그렇지 않으면 'read_only_udm.about.user.userid'에 매핑됩니다.
tenantId	read_only_udm.additional.fields	원시 로그 필드 'tenantId'에서 직접 매핑합니다. 'read_only_udm.additional.fields'의 키가 'tenantId'로 설정됩니다.
시간	read_only_udm.metadata.event_timestamp	원시 로그 필드 'time'에서 직접 매핑합니다.
userId	read_only_udm.target.user.product_object_id	원시 로그 필드 'userId'에서 직접 매핑합니다. 값은 'activityDisplayName', 'principal_userid_present', 'target_userid_present', 'principal_ip_present', 'loggedByService', 'category'를 비롯한 다른 필드의 값을 기반으로 설정됩니다. 값을 설정하는 로직은 복잡하며 이러한 필드의 값 조합에 따라 다릅니다. 'operationName' 값이 '로그인 활동'인 경우 값은 'SSO'로 설정됩니다. 값은 'Microsoft'로 설정됩니다. 값은 'Azure AD Directory Audit'로 설정됩니다. 값은 'AZURE_AD_AUDIT'으로 설정됩니다.

변경사항

2024-07-30

'principal.user.userid' 또는 'target.user.userid'가 있는 경우 'metadata.event_type'만 'USER_CHANGE_PERMISSIONS'에 매핑했습니다.

2024-06-26

'targetResources.modifiedProperties.newValue'와 'targetResources.modifiedProperties.oldValue' 간의 델타를 'additional.fields'에 매핑했습니다.

2024-06-10

'initiatedBy.user.ipAddress'에 IP가 있는 경우 'principal_ip_present'를 'true'로 설정합니다.
'principal_ip_present'가 'true'인 경우에만 'metadata.event_type'을 'USER_DELETION'으로 설정하는 조건을 추가했습니다.

2024-06-03

파싱되지 않은 로그를 파싱하는 JSON 블록을 추가했습니다.
'event_type' 'USER_DELETION'에 대한 조건부 검사를 추가했습니다.

2024-05-20

버그 수정:

'targetResource'의 매핑을 수정했습니다.
'targetResource'의 첫 번째 반복을 'target'에 매핑하고 'targetResource'의 다음 반복을 'about'에 매핑했습니다.
'loggedByService' 필드의 키 이름을 'log_Service'에서 'loggedByService'로 변경했습니다.
'resourceId'의 매핑이 'target.resource.id'에서 'additional_fields'로 변경되었습니다.
'targetResources.type' = 'Application', 'Policy', 'Role', 'Directory', 'RoleAssignment', 'Request', 'Provider', 'Other'인 경우 'targetResources.displayName'이 'noun.resource.name', 'targetResources.id'가 'noun.resource.product_object_id', 'noun.resource.resource_type'이 'UNSPECIFIED', 'targetResource.type'이 'noun.resource.resource_subtype'에 매핑되었습니다.
'targetResources.type' = 'User'인 경우 'targetResources.displayName'을 'noun.resource.name'으로, 'targetResources.id'를 'noun.resource.product_object_id'로, 'noun.resource.resource_type'을 'UNSPECIFIED'로, 'targetResource.type'을 'noun.resource.resource_subtype'로, 'targetResources.displayName'을 'noun.user.user_display_name'으로, 'targetResources.id'를 'noun.user.product_object_id'로, 'targetResources.userPrincipalName'을 'noun.user.userid'로 매핑했습니다.
'targetResources.type' = 'ServicePrincipal'인 경우 'targetResources.displayName'을 'noun.resource.name', 'targetResources.id'를 'noun.resource.product_object_id', 'noun.resource.resource_type' = 'SERVICE_ACCOUNT', 'targetResource.type'을 'noun.resource.resource_subtype', 'targetResources.displayName'을 'noun.user.user_display_name', 'targetResources.id'를 'noun.user.product_object_id', 'targetResources.userPrincipalName'을 'noun.user.userid'에 매핑했습니다.
'targetResources.type' = 'Group'인 경우 'targetResources.displayName'을 'noun.resource.name', 'targetResources.id'를 'noun.resource.product_object_id', 'noun.resource.resource_type' = 'UNSPECIFIED', 'targetResource.type'을 'noun.resource.resource_subtype', 'targetResources.displayName'을 'noun.group.group_display_name', 'targetResources.id'를 'noun.group.product_object_id', 'groupType'을 'noun.group.attribute.labels'에 매핑했습니다.

2024-05-17

'initiatedBy.user.id'가 'principal.user.product_object_id'에 매핑되었습니다.
'initiatedBy.user.userPrincipalName'이 'principal.user.userid'에 매핑되었습니다.

2024-03-18

값이 null인 경우에도 'targetResources.modifiedProperties.displayname', 'targetResources.modifiedProperties.newValue', 'targetResources.modifiedProperties.oldValue' 필드를 표시했습니다.
'callerIpAddress'가 'principal.ip'에 매핑되었습니다.

2024-03-12

버그 수정:

Azure Monitor 엔벨로프 형식 로그 매핑을 Microsoft Graph API 형식 로그에 동기화된 매핑
'targetResources.type'을 기반으로 'target.resource.resource_type'을 매핑했습니다.
'targetResources.type'이 'target.resource.type'에 매핑되었습니다.

2024-03-04

'user_principal_name'이 'initiatedBy.user.userPrincipalName'에서 'principal.resource.attribute.labels'로 매핑되었습니다.
'domain'이 'initiatedBy.user.userPrincipalName'에서 'principal.administrative_domain'으로 매핑되었습니다.
'loggedByService' 및 'properties.loggedByService'가 'additional.fields'에 매핑되었습니다.
'initiatedBy.user.id'의 매핑을 'principal.user.product_object_id'에서 'principal.user.userid'로 변경했습니다.
'tgt_user_principal_name'이 'target.userPrincipalName'에서 'target.resource.attribute.labels'로 매핑되었습니다.
'domain'이 'target.userPrincipalName'에서 'target.administrative_domain'으로 매핑되었습니다.
'category'가 'additional.fields'에 매핑되었습니다.
'additionalDetails[n].key'가 'AppId'인 경우 'additionalDetails[n].value'가 'target.process.pid'에 매핑되었습니다.
'additionalDetails[n].key'가 'User-Agent'인 경우 'additionalDetails[n].value'가 'network.http.user_agent' 및 'network.http.parsed_user_agent'에 매핑되었습니다.
'loggedByService', 'category', 'activityDisplayName'을 기반으로 'metadata.event_type'을 매핑했습니다.
'targetResources.modifiedProperties.displayname', 'targetResources.modifiedProperties.newValue', 'targetResources.modifiedProperties.oldValue'가 'additional.fields'에 매핑되었습니다.

2024-02-21

'metadata.event_type'을 'USER_CREATION'으로 설정하기 전에 'principal.user.userid'가 있는지 확인하는 조건부 검사를 추가했습니다.
'initiatedBy.user.id'의 매핑을 'principal.user.userid'에서 'principal.user.product_object_id'로 변경했습니다.
'initiatedBy.app.servicePrincipalId'의 매핑을 'principal.user.userid'에서 'principal.user.product_object_id'로 변경했습니다.
'initiatedBy.app.servicePrincipalName'의 매핑이 'principal.user.user_display_name'에서 'principal.user.userid'로 변경되었습니다.
'properties.initiatedBy.user.id'의 매핑이 'principal.user.userid'에서 'principal.user.product_object_id'로 변경되었습니다.
'properties.initiatedBy.app.servicePrincipalId'의 매핑이 'principal.user.userid'에서 'principal.user.product_object_id'로 변경되었습니다.
'properties.initiatedBy.app.servicePrincipalName'의 매핑이 'principal.user.user_display_name'에서 'principal.user.userid'로 변경되었습니다.
'targetResourceType' 값이 'User' 또는 'ServicePrincipal'과 유사한 경우 'target.id'의 매핑을 'target.user.userid'에서 'target.user.product_object_id'로 변경했습니다.
'targetResourceType' 값이 'User' 또는 'ServicePrincipal'과 유사하면 'target.userPrincipalName'을 'target.user.userid'에 매핑했습니다.
'targetResourceType' 값이 'User' 또는 'ServicePrincipal'과 유사하면 'target.displayName'을 'target.user.user_display_name'에 매핑했습니다.

2024-02-12

'modifiedProperty.displayName', 'modifiedProperty.newValue', 'modifiedProperty.oldValue'에 대한 조건부 검사가 추가되었습니다.
'targetResource.id'가 'User' 또는 'ServicePrincipal'인 경우 'target.user.userid'에 매핑했습니다.

2024-01-08

버그 수정:

이메일 값을 'principal.user.email_addresses' 및 'target.user.email_addresses'에 매핑하기 전에 유효성을 검사하는 Grok 패턴을 추가했습니다.

2023-12-19

'targetResource.modifiedProperties.newValue', 'targetResource.modifiedProperties.oldValue', 'targetResource.modifiedProperties.displayName'이 'additional.fields'에 매핑되었습니다.

2023-11-23

'targetResources.0.modifiedProperties.newValue/oldValue' 필드가 'event.idm.read_only_udm.additional.fields'에 매핑되었습니다.
udm에 매핑하기 전에 'initiatedBy.user.ipAddress'에 ip_address 형식 검사를 추가했습니다.

2023-10-16

다음 매핑을 수정했습니다.
'target.type이'user '가 아닌 경우'metadata.event_type '을'USER_UNCATEGORIZED '에서 'USER_RESOURCE_ACCESS'로 변경했습니다.
'target.type'이 'user'가 아닌 경우 'target.id'의 매핑을 'principal.user.userid'에서 'principal.user.group_or_identifiers'로 변경했습니다.
'target.resource.id'가 지원 중단되었으므로 'target.resource.id'에 매핑된 필드를 'target.resource.product_object_id'에 매핑했습니다.

2023-08-03

다음 매핑을 수정했습니다.
'activityDisplayName'이 'Add user'인 경우 'metadata.event_type'을 'USER_UNCATEGORIZED'에서 'USER_CREATION'으로 변경했습니다.
'activityDisplayName' 매핑이 'metadata.description'에서 'metadata.product_event_type'으로 변경되었습니다.
'activityDisplayName'이 'Add member to group', 'Add owner to group'인 경우 적절한 'metadata.event_type'을 매핑했습니다.
'targetResources' 아래의 모든 필드는 UDM target.user. 필드의 일부여야 합니다.
'target.user.userid'가 'targetResource' 아래의 올바른 'id'에 매핑되었습니다.
'activityDisplayName'이 'PIM 외부 역할에 사용자 추가(영구)'인 경우 'activityDisplayName'이 'target.user.xxx'에 매핑되었습니다(리소스 유형이 '사용자'인 경우).
'Add Member to Role'의 'activityDisplayName'의 경우 'Role.WellKnownObjectName'을 'target.resource.attribute.roles.name'에 매핑했습니다.

2023-07-24

'targetresources.modifiedproperties.displayname' 값에 'role.displayname'이 포함된 경우 'targetresources.modifiedproperties.newvalue'를 'target.user.title'에 매핑했습니다.

2023-05-25

버그 수정: 'targetResources.modifiedProperties.displayName'이 'mailNickname'과 같은 경우 매핑이 'target.resource.attribute.labels.value'에서 'target.user.userid'로 변경되었습니다.

2023-05-05

다음 매핑을 수정했습니다.
'targetResources.modifiedProperties.displayName'이 'objectId'와 같은 경우 매핑을 'target.resource.attribute.labels.value'에서 'target.user.product_object_id'로 변경했습니다.
'targetResources.modifiedProperties.displayName'이 'displayName'과 같을 때 매핑을 'target.resource.attribute.labels.value'에서 'target.user.user_display_name'으로 변경했습니다.
'targetResources.modifiedProperties.displayName'이 'givenName'과 같을 때 매핑을 'target.resource.attribute.labels.value'에서 'target.user.first_name'으로 변경했습니다.
'targetResources.modifiedProperties.displayName'이 'jobTitle'과 같은 경우 매핑을 'target.resource.attribute.labels.value'에서 'target.user.title'로 변경했습니다.
'targetResources.modifiedProperties.displayName'이 'mail'과 같을 때 매핑을 'target.resource.attribute.labels.value'에서 'target.user.email_addresses'로 변경했습니다.
'targetResources.modifiedProperties.displayName'이 'surname'과 같을 때 매핑을 'target.resource.attribute.labels.value'에서 'target.user.last_name'으로 변경했습니다.
'targetResources.modifiedProperties.displayName'이 'department'와 같을 때 매핑을 'target.resource.attribute.labels.value'에서 'target.user.department'로 변경했습니다.
'targetResources.modifiedProperties.displayName'이 'physicalDeliveryOfficeName'과 같은 경우 매핑이 'target.resource.attribute.labels.value'에서 'target.user.office_address.name'으로 변경되었습니다.
'targetResources.modifiedProperties.displayName'이 'employeeId'와 같을 때 매핑을 'target.resource.attribute.labels.value'에서 'target.user.employee_id'로 변경했습니다.
'targetResources.modifiedProperties.displayName'이 'mobile'과 같을 때 매핑을 'target.resource.attribute.labels.value'에서 'target.user.phone_numbers'로 변경했습니다.

2023-04-18

'initiatedBy.user.userPrincipalName'이 'principal.user.user_display_name' 또는 'principal.user.userid' 또는 'principal.user.email_addresses'에 매핑되었습니다.
'targetResources.type'이 'target.resource.attribute.labels'에 매핑되었습니다.

2023-04-12

개선 -

'initiatedBy.user.userPrincipalName'을 'principal.user.email_addresses'에, 'event_type'을 'USER_UNCATEGORIZED'에 매핑했습니다.
'initiatedBy.user.userPrincipalName'이 null이 아닌 경우
'targetResources.modifiedProperties.displayName'이 'userPrincipalName'인 경우 'principal.user.email_addresses'에 매핑했습니다.
'activityDisplayName'이 ['애플리케이션에 id_token 발급', '회사 정보 설정']에 있는 경우 'event_type'이 'USER_UNCATEGORIZED'에 매핑되었습니다.

2023-02-20

버그 수정 -

'additionalDetails.ClientIpAddress' 키 아래에 있는 여러 IP 주소를 'principal.ip'에 매핑했습니다.
'activityDisplayName'이 'Delete user'이고 'initiatedBy.user.userPrincipalName' 필드가 없는 경우 metadata.event_type을 'USER_UNCATEGORIZED'로 매핑했습니다.

2023-02-02

개선사항 - 'activityDisplayName'이 'Delete user'(사용자 삭제)와 일치하는 경우 다음을 매핑했습니다.
'event_type'이 'USER_DELETION'에 매핑되었습니다.
'initiatedBy.user.userPrincipalName'이 'principal.user.userid'에 매핑되었습니다.

2022-11-24

개선 -

'modifiedProperties.newValue'가 'target.resource.attribute.labels'에 매핑되었습니다.
'modifiedProperties.oldValue'가 'src.resource.attribute.labels'에 매핑되었습니다.

2022-11-07

개선 -

'target.modifiedProperties.TargetId.DeviceId'가 'event.idm.read_only_udm.target.asset.asset_id'에 매핑되었습니다.

2022-09-16

개선 -

'properties.initiatedBy.user.ipAddress'가 'principal.ip'에 매핑되었습니다.
'properties.initiatedBy.user.userPrincipalName'이 'principal.user.userid'에 매핑되었습니다.
'properties.resultReason'이 'security_result.description'에 매핑되었습니다.
'identity'가 'target.user.userid'에 매핑되었습니다.
'operationName'이 'metadata.product_event_type'에 매핑되었습니다.
'metadata.event_type'이 'USER_UNCATEGORIZED'로 매핑되며 여기서 'properties.activityDisplayName'은 '테넌트의 리소스 속성 가져오기'입니다.
'category' 및 'properties.category'가 'security_result.category_details'에 매핑되었습니다.
'resultDescription'이 'metadata.description'에 매핑되었습니다.
'resultType'이 'security_result.rule_id'에 매핑되었습니다.

2022-06-20

개선사항 - 다음 매핑을 추가하여 'AuditLogs' 및 'SignInLogs' 카테고리의 로그를 파싱하도록 파서가 개선되었습니다.
'properties.id' 필드가 'metadata.product_log_id'에 매핑되었습니다.
'properties.loggedByService' 필드가 'target.application'에 매핑되었습니다.
'Level' 필드가 'security_result.severity' 및 'security_result.severity_details'에 매핑되었습니다.
'properties.result' 필드가 'security_result.summary' 및 'security_result.action'에 매핑되었습니다.
'properties.operationType' 필드가 'security_result.action_details'에 매핑되었습니다.
'properties.activityDisplayName' 필드가 'metadata.description'에 매핑되었습니다.
'properties.category' 필드가 'metadata.product_event_type'에 매핑되었습니다.
'properties.resultReason' 필드가 'security_result.description'에 매핑되었습니다.
'properties.initiatedBy.app.displayName' 필드가 'principal.application'에 매핑되었습니다.
'properties.ipAddress' 필드가 'principal.ip'에 매핑되었습니다.
'properties.initiatedBy.app.servicePrincipalId' 필드가 'principal.user.userid'에 매핑되었습니다.
'properties.initiatedBy.app.servicePrincipalName' 필드가 'principal.user.user_display_name'에 매핑되었습니다.
'properties.appId' 및 'properties.initiatedBy.app.appId' 필드가 'principal.resource.attribute.labels'에 매핑되었습니다.
'properties.location.city' 필드가 'principal.location.city'에 매핑되었습니다.
'properties.location.state' 필드가 'principal.location.state'에 매핑되었습니다.
'properties.location.countryOrRegion' 필드가 'principal.location.country_or_region'에 매핑되었습니다.
'properties.location.geoCoordinates.latitude' 필드가 'principal.location.region_latitude'에 매핑되었습니다.
'properties.location.geoCoordinates.longitude' 필드가 'principal.location.region_longitude'에 매핑되었습니다.
'properties.targetResources.modifiedProperties' 필드가 'target.user.attribute.labels'에 매핑되었습니다.
'targetResources.displayName' 필드가 'target.user.user_display_name'에 매핑되었습니다.
'targetResources.id' 필드가 'target.user.userid'에 매핑되었습니다.
'properties.additionalDetails', 'properties.riskDetail', 'properties.riskEventTypes', 'properties.riskEventTypes_v2', 'properties.riskLevelAggregated', 'properties.riskLevelDuringSignIn', 'properties.riskState', 'properties.conditionalAccessStatus', 'tenantId' 필드가 'additional.fields'에 매핑되었습니다.
'operationVersion' 필드가 'metadata.product_version'에 매핑되었습니다.
'properties.appliedConditionalAccessPolicies.displayName' 필드가 'about.user.user_display_name'에 매핑되었습니다.
'properties.appliedConditionalAccessPolicies..id' 필드가 'about.user.userid'에 매핑되었습니다.
'properties.appliedConditionalAccessPolicies.result' 필드가 'about.labels'에 매핑되었습니다.