Coletar registros de auditoria do Microsoft Entra ID
Compatível com:
Google SecOps
SIEM
Este documento descreve como coletar registros do Microsoft Entra ID (AD) configurando um feed do Google Security Operations.
O Azure Active Directory (AZURE_AD) agora se chama Microsoft Entra ID. Os registros de auditoria do Azure AD
(AZURE_AD_AUDIT) agora são registros de auditoria do ID do Microsoft Entra.
Para mais informações, consulte Ingestão de dados no Google Security Operations.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado.
Antes de começar
Verifique se você atende aos seguintes pré-requisitos:
- Uma assinatura do Azure em que você pode fazer login
- Uma função de administrador global ou do Azure AD
- Um Azure AD (locatário) no Azure
Como configurar o Azure AD
- Faça login no portal do Azure.
- Acesse Página inicial > Registro de app, selecione um aplicativo registrado ou registre um se ainda não tiver criado um.
- Para registrar um aplicativo, na seção Registro de app, clique em Novo registro.
- No campo Nome, insira o nome de exibição do aplicativo.
- Na seção Tipos de contas compatíveis, selecione a opção necessária para especificar quem pode usar o aplicativo ou acessar a API.
- Clique em Registrar.
- Acesse a página Visão geral e copie o ID do aplicativo (cliente) e o ID do diretório (locatário), que são necessários para configurar o feed do Google Security Operations.
- Clique em Permissões da API.
- Clique em Adicionar uma permissão e selecione Microsoft Graph no novo painel.
- Clique em Permissões do aplicativo.
- Selecione as permissões AuditLog.Read.All, Directory.Read.All e SecurityEvents.Read.All. Verifique se as permissões são permissões de aplicativo e não permissões delegadas.
- Clique em Conceder consentimento de administrador para o diretório padrão. Os aplicativos são autorizados a chamar APIs quando recebem permissões de usuários ou administradores como parte do processo de consentimento.
- Acesse Configurações > Gerenciar.
- Clique em Certificados e segredos.
- Clique em New client secret. No campo Valor, a chave secreta do cliente aparece.
- Copie o valor da chave secreta do cliente. O valor é mostrado apenas no momento da criação e é necessário para o registro do app do Azure e para configurar o feed do Google Security Operations.
Para mais informações, consulte Como configurar o app do Microsoft Entra ID.
Para mais informações sobre o Microsoft Entra para permissões, consulte Microsoft Entra para permissões.
Configurar feeds
Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:
- Configurações do SIEM > Feeds > Adicionar novo feed
- Central de conteúdo > Pacotes de conteúdo > Começar
Como configurar o feed de auditoria do ID do Microsoft Entra (AZURE AD)
- Clique no pacote Plataforma do Azure.
- Localize o tipo de registro Auditoria do diretório do Azure AD.
Especifique valores para os seguintes campos:
- Tipo de origem: API de terceiros (recomendado)
- ID do cliente OAuth: especifique o ID do cliente que você recebeu anteriormente.
- Chave secreta do cliente OAuth: especifique a chave secreta do cliente que você recebeu anteriormente.
- ID do locatário: especifique o ID do locatário que você recebeu anteriormente.
- Caminho completo da API: URL do endpoint de API REST do Microsoft Graph.
- Endpoint de autenticação da API: endpoint de autenticação do Microsoft Active Directory.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Namespace do recurso: namespace associado ao feed.
- Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Clique em Criar feed.
Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.
Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo. Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google Security Operations.
Referência de mapeamento de campos
Esse analisador processa registros de auditoria do diretório do Azure AD no formato JSON. Ele extrai campos relevantes, transforma-os em um modelo de dados unificado (UDM) e enriquece os dados com contexto adicional, como detalhes do usuário, endereços IP e resultados de segurança. O analisador também categoriza os eventos com base nas características deles, mapeando-os para tipos de eventos específicos do UDM para facilitar a análise.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | Mapeamento direto do campo "activityDateTime" do registro bruto. |
| activityDisplayName | read_only_udm.metadata.product_event_type | Mapeamento direto do campo "activityDisplayName" do registro bruto. |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "ApplicationId". |
| additionalDetails.Client | read_only_udm.network.http.user_agent | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "Client". |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "ClientIpAddress". |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "DomainName". |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "EmailAddress". |
| additionalDetails.GrantType | read_only_udm.additional.fields | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "GrantType". |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "LocalAccountUsername". |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "PhoneNumber". |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "PolicyId". |
| additionalDetails.Scopes | read_only_udm.additional.fields | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "Scopes". |
| additionalDetails.TenantId | read_only_udm.additional.fields | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "TenantId". |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | Mapeamento direto do campo "additionalDetails" do registro bruto, em que a chave é "VerificationMethod". |
| appId | read_only_udm.target.process.pid | Mapeamento direto do campo "appId" do registro bruto. |
| appliedConditionalAccessPolicies | read_only_udm.about | O campo "displayName" é mapeado para "read_only_udm.about.user.user_display_name", e o campo "id" é mapeado para "read_only_udm.about.user.userid". O campo "result" é mapeado para "read_only_udm.about.labels", com a chave definida como "Result". |
| categoria | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Mapeamento direto do campo "category" do registro bruto. A chave de "read_only_udm.additional.fields" está definida como "log_category". |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mapeamento direto do campo "callerIpAddress" do registro bruto. |
| clientAppUsed | read_only_udm.principal.application | Mapeamento direto do campo "clientAppUsed" do registro bruto. |
| correlationId | read_only_udm.network.session_id | Mapeamento direto do campo "correlationId" do registro bruto. |
| ID | read_only_udm.metadata.product_log_id | Mapeamento direto do campo "id" do registro bruto. |
| nível empresarial | read_only_udm.target.user.userid | Mapeamento direto do campo "identity" do registro bruto. |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Mapeamento direto do campo "initiatedBy.app.appId" do registro bruto. A chave de "read_only_udm.principal.resource.attribute.labels" está definida como "ID do app". |
| initiatedBy.app.displayName | read_only_udm.principal.application | Mapeamento direto do campo "initiatedBy.app.displayName" do registro bruto. |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Mapeamento direto do campo "initiatedBy.app.servicePrincipalId" do registro bruto. |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Mapeamento direto do campo "initiatedBy.app.servicePrincipalName" do registro bruto. |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Se o valor contiver "@", ele será analisado como um endereço de e-mail e mapeado para "read_only_udm.principal.user.email_addresses". Caso contrário, ele será mapeado para "read_only_udm.principal.user.user_display_name". |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Mapeamento direto do campo "initiatedBy.user.id" do registro bruto. |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mapeamento direto do campo "initiatedBy.user.ipAddress" do registro bruto. |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Se o valor contiver "@", ele será analisado como um endereço de e-mail e mapeado para "read_only_udm.principal.user.email_addresses". Caso contrário, ele será mapeado para "read_only_udm.principal.user.userid". A parte do domínio do endereço de e-mail é mapeada para "read_only_udm.principal.administrative_domain". O valor completo também é mapeado para "read_only_udm.principal.resource.attribute.labels" com a chave definida como "Nome principal do usuário". |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mapeamento direto do campo "ipAddress" do registro bruto. |
| Nível | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | O valor é convertido em uma string e mapeado para "read_only_udm.security_result.severity_details". O campo "read_only_udm.security_result.severity" está definido como "INFORMATIONAL". |
| location.city | read_only_udm.principal.location.city | Mapeamento direto do campo "location.city" do registro bruto. |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Mapeamento direto do campo "location.countryOrRegion" do registro bruto. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Mapeamento direto do campo "location.geoCoordinates.latitude" do registro bruto. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Mapeamento direto do campo "location.geoCoordinates.longitude" do registro bruto. |
| location.state | read_only_udm.principal.location.state | Mapeamento direto do campo "location.state" do registro bruto. |
| loggedByService | read_only_udm.additional.fields | Mapeamento direto do campo "loggedByService" do registro bruto. A chave de "read_only_udm.additional.fields" está definida como "loggedByService". |
| operationName | read_only_udm.metadata.product_event_type | Mapeamento direto do campo "operationName" do registro bruto. |
| operationType | read_only_udm.security_result.action_details | Mapeamento direto do campo "operationType" do registro bruto. |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | Mapeamento direto do campo "properties.activityDateTime" do registro bruto. |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | Mapeamento direto do campo "properties.activityDisplayName" do registro bruto. |
| properties.appDisplayName | read_only_udm.target.application | Mapeamento direto do campo "properties.appDisplayName" do registro bruto. |
| properties.category | read_only_udm.security_result.category_details | Mapeamento direto do campo "properties.category" do registro bruto. |
| properties.id | read_only_udm.metadata.product_log_id | Mapeamento direto do campo "properties.id" do registro bruto. |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Mapeamento direto do campo "properties.initiatedBy.app.appId" do registro bruto. A chave de "read_only_udm.principal.resource.attribute.labels" está definida como "ID do app". |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | Mapeamento direto do campo "properties.initiatedBy.app.displayName" do registro bruto. |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Mapeamento direto do campo "properties.initiatedBy.app.servicePrincipalId" do registro bruto. |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Mapeamento direto do campo "properties.initiatedBy.app.servicePrincipalName" do registro bruto. |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Se o valor contiver "@", ele será analisado como um endereço de e-mail e mapeado para "read_only_udm.principal.user.email_addresses". Caso contrário, ele será mapeado para "read_only_udm.principal.user.user_display_name". |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Mapeamento direto do campo "properties.initiatedBy.user.id" do registro bruto. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mapeamento direto do campo "properties.initiatedBy.user.ipAddress" do registro bruto. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Se o valor contiver "@", ele será analisado como um endereço de e-mail e mapeado para "read_only_udm.principal.user.email_addresses". Caso contrário, ele será mapeado para "read_only_udm.principal.user.userid". A parte do domínio do endereço de e-mail é mapeada para "read_only_udm.principal.administrative_domain". O valor completo também é mapeado para "read_only_udm.principal.resource.attribute.labels" com a chave definida como "Nome principal do usuário". |
| properties.loggedByService | read_only_udm.additional.fields | Mapeamento direto do campo "properties.loggedByService" do registro bruto. A chave de "read_only_udm.additional.fields" está definida como "loggedByService". |
| properties.operationType | read_only_udm.security_result.action_details | Mapeamento direto do campo "properties.operationType" do registro bruto. |
| properties.result | read_only_udm.security_result.summary | Mapeamento direto do campo "properties.result" do registro bruto. |
| properties.resultReason | read_only_udm.security_result.description | Mapeamento direto do campo "properties.resultReason" do registro bruto. |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | Mapeamento direto do campo "properties.userPrincipalName" do registro bruto. |
| result | read_only_udm.security_result.summary, read_only_udm.security_result.action | Mapeamento direto do campo "result" do registro bruto. Se o valor for "success", "read_only_udm.security_result.action" será definido como "ALLOW". Se o valor for "failure", "read_only_udm.security_result.action" será definido como "BLOCK". |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Mapeamento direto do campo "resultDescription" do registro bruto. |
| resultReason | read_only_udm.security_result.description | Mapeamento direto do campo "resultReason" do registro bruto. |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Mapeamento direto do campo "resultType" do registro bruto. Se o valor for "0", "read_only_udm.security_result.action" será definido como "ALLOW" e "read_only_udm.security_result.summary" será definido como "Login bem-sucedido". Caso contrário, "read_only_udm.security_result.action" será definido como "BLOCK", "read_only_udm.security_result.summary" será definido como "Failed login occurred", "read_only_udm.security_result.description" será definido como o valor de "resultDescription" e "read_only_udm.security_result.severity" será definido como "ERROR". |
| resourceDisplayName | read_only_udm.target.resource.name | Mapeamento direto do campo "resourceDisplayName" do registro bruto. |
| resourceId | read_only_udm.additional.fields | Mapeamento direto do campo "resourceId" do registro bruto. A chave de "read_only_udm.additional.fields" é definida como "resourceId". |
| riskDetail | read_only_udm.additional.fields | Mapeamento direto do campo "riskDetail" do registro bruto. A chave de "read_only_udm.additional.fields" está definida como "riskDetail". |
| riskEventTypes | read_only_udm.additional.fields | Mapeamento direto do campo "riskEventTypes" do registro bruto. A chave de "read_only_udm.additional.fields" está definida como "riskEventTypes". |
| riskEventTypes_v2 | read_only_udm.additional.fields | Mapeamento direto do campo "riskEventTypes_v2" do registro bruto. A chave de "read_only_udm.additional.fields" está definida como "riskEventTypes_v2". |
| riskLevelAggregated | read_only_udm.additional.fields | Mapeamento direto do campo "riskLevelAggregated" do registro bruto. A chave de "read_only_udm.additional.fields" está definida como "riskLevelAggregated". |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Mapeamento direto do campo "riskLevelDuringSignIn" do registro bruto. A chave de "read_only_udm.additional.fields" está definida como "riskLevelDuringSignIn". Se o valor for "medium", "read_only_udm.security_result.priority" será definido como "MEDIUM_PRIORITY". |
| riskState | read_only_udm.additional.fields | Mapeamento direto do campo "riskState" do registro bruto. A chave de "read_only_udm.additional.fields" é definida como "riskState". |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Se o valor de "targetResources.0.type" for "User" ou "ServicePrincipal", o valor será mapeado para "read_only_udm.target.user.user_display_name". Se o valor de "targetResources.0.type" for "Group", o valor será mapeado para "read_only_udm.target.group.group_display_name". Caso contrário, o valor será mapeado para "read_only_udm.target.resource.name". |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Mapeamento direto do campo "targetResources.0.groupType" do registro bruto. A chave de "read_only_udm.target.group.attribute.labels" está definida como "groupType". |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Se o valor de "targetResources.0.type" for "User" ou "ServicePrincipal", o valor será mapeado para "read_only_udm.target.user.product_object_id". Se o valor de "targetResources.0.type" for "Group", ele será mapeado para "read_only_udm.target.group.product_object_id". Caso contrário, o valor será mapeado para "read_only_udm.target.resource.product_object_id". |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | O valor é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.displayname {index}". Se o valor for "TargetId.DeviceId", o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.asset.asset_id" com o prefixo "Device ID:". Se o valor for "DisplayName" ou "jobTitle", o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.user.title". Se o valor for "WellKnownObjectName", o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.resource.attribute.roles" com a chave definida como "name". Se o valor for "displayName" e "targetResources.0.displayName" for nulo, o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.user.user_display_name". Se o valor for "givenName", o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.user.first_name". Se o valor for "surname", o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.user.last_name". Se o valor for "department", o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.user.department". Se o valor for "physicalDeliveryOfficeName", o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.user.office_address.name". Se o valor for "employeeId", o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.user.employee_id". Se o valor for "mobile", o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.user.phone_numbers". Se o valor for "MailNickname", o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.user.userid". Caso contrário, o valor de "targetResources.0.modifiedProperties.newValue" será mapeado para "read_only_udm.target.resource.attribute.labels" com a chave definida como o valor de "targetResources.0.modifiedProperties.displayName". O valor de "targetResources.0.modifiedProperties.oldValue" é mapeado para "read_only_udm.src.resource.attribute.labels" com a chave definida como o valor de "targetResources.0.modifiedProperties.displayName". |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Se o valor de "targetResources.0.modifiedProperties.displayName" for "TargetId.DeviceId", o valor será mapeado para "read_only_udm.target.asset.asset_id" com o prefixo "Device ID:". Se o valor de "targetResources.0.modifiedProperties.displayName" for "DisplayName" ou "jobTitle", o valor será mapeado para "read_only_udm.target.user.title". Se o valor de "targetResources.0.modifiedProperties.displayName" for "WellKnownObjectName", o valor será mapeado para "read_only_udm.target.resource.attribute.roles" com a chave definida como "name". Se o valor de "targetResources.0.modifiedProperties.displayName" for "displayName" e "targetResources.0.displayName" for nulo, o valor será mapeado para "read_only_udm.target.user.user_display_name". Se o valor de "targetResources.0.modifiedProperties.displayName" for "givenName", o valor será mapeado para "read_only_udm.target.user.first_name". Se o valor de "targetResources.0.modifiedProperties.displayName" for "surname", o valor será mapeado para "read_only_udm.target.user.last_name". Se o valor de "targetResources.0.modifiedProperties.displayName" for "department", ele será mapeado para "read_only_udm.target.user.department". Se o valor de "targetResources.0.modifiedProperties.displayName" for "physicalDeliveryOfficeName", o valor será mapeado para "read_only_udm.target.user.office_address.name". Se o valor de "targetResources.0.modifiedProperties.displayName" for "employeeId", o valor será mapeado para "read_only_udm.target.user.employee_id". Se o valor de "targetResources.0.modifiedProperties.displayName" for "mobile", o valor será mapeado para "read_only_udm.target.user.phone_numbers". Se o valor de "targetResources.0.modifiedProperties.displayName" for "MailNickname", o valor será mapeado para "read_only_udm.target.user.userid". Caso contrário, o valor será mapeado para "read_only_udm.target.resource.attribute.labels" com a chave definida como o valor de "targetResources.0.modifiedProperties.displayName". O valor também é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.newValue {index}". |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | O valor é mapeado para "read_only_udm.src.resource.attribute.labels" com a chave definida como o valor de "targetResources.0.modifiedProperties.displayName". O valor também é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Mapeamento direto do campo "targetResources.0.type" do registro bruto. Se o valor for "ServicePrincipal", "read_only_udm.target.resource.resource_type" será definido como "SERVICE_ACCOUNT". Se o valor for "Device", "read_only_udm.target.resource.resource_type" será definido como "DEVICE". Caso contrário, "read_only_udm.target.resource.resource_type" será definido como "UNSPECIFIED". Se o valor for "User" ou "ServicePrincipal", o valor de "targetResources.0.userPrincipalName" será mapeado para "read_only_udm.target.user.userid", o valor de "targetResources.0.id" será mapeado para "read_only_udm.target.user.product_object_id", e o valor de "targetResources.0.displayName" será mapeado para "read_only_udm.target.user.user_display_name". Se o valor for "Group", o valor de "targetResources.0.id" será mapeado para "read_only_udm.target.group.product_object_id", e o valor de "targetResources.0.displayName" será mapeado para "read_only_udm.target.group.group_display_name". |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Se o valor contiver "@", ele será analisado como um endereço de e-mail e mapeado para "read_only_udm.target.user.email_addresses". Caso contrário, ele será mapeado para "read_only_udm.target.user.userid". |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Se o valor de "targetResources.type" for "User" ou "ServicePrincipal", o valor será mapeado para "read_only_udm.about.user.user_display_name" e "read_only_udm.about.user.userid". Se o valor de "targetResources.type" for "Group", ele será mapeado para "read_only_udm.about.group.group_display_name". O valor de "targetResources.groupType" é mapeado para "read_only_udm.about.group.attribute.labels" com a chave definida como "groupType". Caso contrário, o valor será mapeado para "read_only_udm.about.resource.name". |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Mapeamento direto do campo "targetResources.groupType" do registro bruto. A chave de "read_only_udm.about.group.attribute.labels" está definida como "groupType". |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Se o valor de "targetResources.type" for "User" ou "ServicePrincipal", o valor será mapeado para "read_only_udm.about.user.product_object_id". Se o valor de "targetResources.type" for "Group", ele será mapeado para "read_only_udm.about.group.product_object_id". Caso contrário, o valor será mapeado para "read_only_udm.about.resource.product_object_id". |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | O valor é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.displayname {index}". |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | O valor é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.newValue {index}". |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | O valor é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Mapeamento direto do campo "targetResources.type" do registro bruto. Se o valor for "ServicePrincipal", "read_only_udm.about.resource.resource_type" será definido como "SERVICE_ACCOUNT". Se o valor for "Device", "read_only_udm.about.resource.resource_type" será definido como "DEVICE". Caso contrário, "read_only_udm.about.resource.resource_type" será definido como "UNSPECIFIED". Se o valor for "User" ou "ServicePrincipal", o valor de "targetResources.userPrincipalName" será mapeado para "read_only_udm.about.user.userid", o valor de "targetResources.id" será mapeado para "read_only_udm.about.user.product_object_id" e o valor de "targetResources.displayName" será mapeado para "read_only_udm.about.user.user_display_name". Se o valor for "Group", o valor de "targetResources.id" será mapeado para "read_only_udm.about.group.product_object_id", e o valor de "targetResources.displayName" será mapeado para "read_only_udm.about.group.group_display_name". |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Se o valor contiver "@", ele será analisado como um endereço de e-mail e mapeado para "read_only_udm.about.user.email_addresses". Caso contrário, ele será mapeado para "read_only_udm.about.user.userid". |
| tenantId | read_only_udm.additional.fields | Mapeamento direto do campo "tenantId" do registro bruto. A chave de "read_only_udm.additional.fields" é definida como "tenantId". |
| tempo | read_only_udm.metadata.event_timestamp | Mapeamento direto do campo "time" do registro bruto. |
| userId | read_only_udm.target.user.product_object_id | Mapeamento direto do campo "userId" do registro bruto. O valor é definido com base nos valores de outros campos, incluindo "activityDisplayName", "principal_userid_present", "target_userid_present", "principal_ip_present", "loggedByService" e "category". A lógica para definir o valor é complexa e depende da combinação específica de valores nesses campos. O valor é definido como "SSO" se o valor de "operationName" for "Sign-in activity". O valor é definido como "Microsoft". O valor é definido como "Auditoria de diretório do Azure AD". O valor é definido como "AZURE_AD_AUDIT". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.