此页面由 Cloud Translation API 翻译。

收集 Microsoft Azure AD 审核日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何通过设置 Google 安全运维 Feed 来收集 Microsoft Azure Active Directory (AD) 日志。

Azure Active Directory (AZURE_AD) 现已更名为 Microsoft Entra ID。Azure AD 审核日志 (AZURE_AD_AUDIT) 现已更名为 Microsoft Entra ID 审核日志。

如需了解详情，请参阅将数据提取到 Google 安全运营中心。

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。

准备工作

如需完成本页中的任务，请确保您拥有以下资源：

您可以登录的 Azure 订阅。
全局管理员或 Azure AD 管理员角色。
Azure 中的 Azure AD（租户）。

配置 Azure AD

登录 Azure 门户。
依次前往首页 > 应用注册，选择已注册的应用，或者如果您尚未创建应用，则注册应用。
如需注册应用，请在应用注册部分中，点击新注册。
在名称字段中，提供应用的显示名称。
在 Supported account types（支持的账号类型）部分，选择所需选项以指定哪些人可以使用该应用或访问该 API。
点击注册。
前往概览页面，然后复制应用（客户端）ID 和目录（租户）ID，这些信息是配置 Google Security Operations Feed 所必需的。
点击 API 权限。
点击添加权限，然后在新窗格中选择 Microsoft Graph。
点击应用权限。
选择 AuditLog.Read.All、Directory.Read.All 和 SecurityEvents.Read.All 权限。确保权限是应用权限，而不是委托权限。
点击为默认目录授予管理员同意书。在用户或管理员在意见征求流程中向应用授予权限后，应用便有权调用 API。
依次前往设置 > 管理。
点击证书和 Secret。
点击 New client secret（新建客户端密钥）。 Value 字段中会显示客户端密钥。
复制客户端密钥值。此值仅在创建时显示，并且是进行 Azure 应用注册和配置 Google Security Operations Feed 所必需的。

在 Google Security Operations 中配置 Feed 以注入 Azure AD 审核日志

依次选择 SIEM 设置 > Feed。
点击新增。
为Feed 名称输入一个具有唯一性的名称。
选择第三方 API 作为来源类型。
选择 Azure AD Directory Audit 作为日志类型。
点击下一步。
配置以下必需的输入参数：
- OAUTH 客户端 ID：指定您之前获取的客户端 ID。
- OAUTH 客户端密钥：指定您之前获取的客户端密钥。
- 租户 ID：指定您之前获得的租户 ID。
点击下一步，然后点击提交。

如需详细了解 Google Security Operations Feed，请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求，请参阅按类型配置 Feed。如果您在创建 Feed 时遇到问题，请与 Google 安全运营支持团队联系。

字段映射参考文档

此解析器会处理采用 JSON 格式的 Azure AD Directory Audit 日志。该工具会提取相关字段，将其转换为统一数据模型 (UDM)，并使用用户详细信息、IP 地址和安全结果等其他情境信息来丰富数据。解析器还会根据事件的特征对其进行分类，将其映射到特定的 UDM 事件类型，以便更轻松地进行分析。

UDM 映射表

日志字段	UDM 映射	逻辑
activityDateTime	read_only_udm.metadata.event_timestamp	从原始日志字段“activityDateTime”直接映射。
activityDisplayName	read_only_udm.metadata.product_event_type	从原始日志字段“activityDisplayName”直接映射。
additionalDetails.ApplicationId	read_only_udm.additional.fields	从原始日志字段“additionalDetails”直接映射，其中键为“ApplicationId”。
additionalDetails.Client	read_only_udm.network.http.user_agent	从原始日志字段“additionalDetails”直接映射，其中键为“Client”。
additionalDetails.ClientIpAddress	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	从原始日志字段“additionalDetails”直接映射，其中键为“ClientIpAddress”。
additionalDetails.DomainName	read_only_udm.target.hostname、read_only_udm.target.asset.hostname	从原始日志字段“additionalDetails”直接映射，其中键为“DomainName”。
additionalDetails.EmailAddress	read_only_udm.target.user.email_addresses	从原始日志字段“additionalDetails”直接映射，其中键为“EmailAddress”。
additionalDetails.GrantType	read_only_udm.additional.fields	从原始日志字段“additionalDetails”直接映射，其中键为“GrantType”。
additionalDetails.LocalAccountUsername	read_only_udm.additional.fields	从原始日志字段“additionalDetails”直接映射，其中键为“LocalAccountUsername”。
additionalDetails.PhoneNumber	read_only_udm.target.user.phone_numbers	从原始日志字段“additionalDetails”直接映射，其中键为“PhoneNumber”。
additionalDetails.PolicyId	read_only_udm.security_result.rule_name	从原始日志字段“additionalDetails”直接映射，其中键为“PolicyId”。
additionalDetails.Scopes	read_only_udm.additional.fields	从原始日志字段“additionalDetails”直接映射，其中键为“Scopes”。
additionalDetails.TenantId	read_only_udm.additional.fields	从原始日志字段“additionalDetails”直接映射，其中键为“TenantId”。
additionalDetails.VerificationMethod	read_only_udm.additional.fields	从原始日志字段“additionalDetails”直接映射，其中键为“VerificationMethod”。
appId	read_only_udm.target.process.pid	从原始日志字段“appId”直接映射。
appliedConditionalAccessPolicies	read_only_udm.about	“displayName”字段映射到“read_only_udm.about.user.user_display_name”，而“id”字段映射到“read_only_udm.about.user.userid”。“result”字段映射到“read_only_udm.about.labels”，键设置为“Result”。
类别	read_only_udm.additional.fields、read_only_udm.security_result.category_details	从原始日志字段“category”直接映射。“read_only_udm.additional.fields”的键设置为“log_category”。
callerIpAddress	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	从原始日志字段“callerIpAddress”直接映射。
clientAppUsed	read_only_udm.principal.application	从原始日志字段“clientAppUsed”直接映射。
correlationId	read_only_udm.network.session_id	从原始日志字段“correlationId”直接映射。
id	read_only_udm.metadata.product_log_id	从原始日志字段“id”进行直接映射。
identity	read_only_udm.target.user.userid	从原始日志字段“identity”直接映射。
initiatedBy.app.appId	read_only_udm.principal.resource.attribute.labels	从原始日志字段“initiatedBy.app.appId”直接映射。“read_only_udm.principal.resource.attribute.labels”的键设置为“应用 ID”。
initiatedBy.app.displayName	read_only_udm.principal.application	从原始日志字段“initiatedBy.app.displayName”直接映射。
initiatedBy.app.servicePrincipalId	read_only_udm.principal.user.product_object_id	从原始日志字段“initiatedBy.app.servicePrincipalId”直接映射。
initiatedBy.app.servicePrincipalName	read_only_udm.principal.user.userid	从原始日志字段“initiatedBy.app.servicePrincipalName”直接映射。
initiatedBy.user.displayName	read_only_udm.principal.user.user_display_name、read_only_udm.principal.user.email_addresses	如果该值包含“@”，则会解析为电子邮件地址，并映射到“read_only_udm.principal.user.email_addresses”。否则，它会映射到“read_only_udm.principal.user.user_display_name”。
initiatedBy.user.id	read_only_udm.principal.user.product_object_id	从原始日志字段“initiatedBy.user.id”直接映射。
initiatedBy.user.ipAddress	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	从原始日志字段“initiatedBy.user.ipAddress”进行直接映射。
initiatedBy.user.userPrincipalName	read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels	如果该值包含“@”，则会被解析为电子邮件地址，并映射到“read_only_udm.principal.user.email_addresses”。否则，它会映射到“read_only_udm.principal.user.userid”。电子邮件地址的域名部分会映射到“read_only_udm.principal.administrative_domain”。完整值还会映射到“read_only_udm.principal.resource.attribute.labels”，并将键设置为“User Principal Name”。
ipAddress	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	从原始日志字段“ipAddress”直接映射。
级别	read_only_udm.security_result.severity、read_only_udm.security_result.severity_details	该值会转换为字符串，并映射到“read_only_udm.security_result.severity_details”。“read_only_udm.security_result.severity”字段设置为“INFORMATIONAL”。
location.city	read_only_udm.principal.location.city	从原始日志字段“location.city”直接映射。
location.countryOrRegion	read_only_udm.principal.location.country_or_region	从原始日志字段“location.countryOrRegion”直接映射。
location.geoCoordinates.latitude	read_only_udm.principal.location.region_latitude	从原始日志字段“location.geoCoordinates.latitude”直接映射。
location.geoCoordinates.longitude	read_only_udm.principal.location.region_longitude	从原始日志字段“location.geoCoordinates.longitude”直接映射。
location.state	read_only_udm.principal.location.state	从原始日志字段“location.state”直接映射。
loggedByService	read_only_udm.additional.fields	从原始日志字段“loggedByService”直接映射。“read_only_udm.additional.fields”的键设置为“loggedByService”。
operationName	read_only_udm.metadata.product_event_type	从原始日志字段“operationName”直接映射。
operationType	read_only_udm.security_result.action_details	从原始日志字段“operationType”直接映射。
properties.activityDateTime	read_only_udm.metadata.event_timestamp	从原始日志字段“properties.activityDateTime”直接映射。
properties.activityDisplayName	read_only_udm.metadata.product_event_type	从原始日志字段“properties.activityDisplayName”直接映射。
properties.appDisplayName	read_only_udm.target.application	从原始日志字段“properties.appDisplayName”直接映射。
properties.category	read_only_udm.security_result.category_details	从原始日志字段“properties.category”直接映射。
properties.id	read_only_udm.metadata.product_log_id	从原始日志字段“properties.id”直接映射。
properties.initiatedBy.app.appId	read_only_udm.principal.resource.attribute.labels	直接从原始日志字段“properties.initiatedBy.app.appId”进行映射。“read_only_udm.principal.resource.attribute.labels”的键设置为“应用 ID”。
properties.initiatedBy.app.displayName	read_only_udm.principal.application	从原始日志字段“properties.initiatedBy.app.displayName”直接映射。
properties.initiatedBy.app.servicePrincipalId	read_only_udm.principal.user.product_object_id	从原始日志字段“properties.initiatedBy.app.servicePrincipalId”直接映射。
properties.initiatedBy.app.servicePrincipalName	read_only_udm.principal.user.userid	从原始日志字段“properties.initiatedBy.app.servicePrincipalName”直接映射。
properties.initiatedBy.user.displayName	read_only_udm.principal.user.user_display_name、read_only_udm.principal.user.email_addresses	如果该值包含“@”，则会解析为电子邮件地址，并映射到“read_only_udm.principal.user.email_addresses”。否则，它会映射到“read_only_udm.principal.user.user_display_name”。
properties.initiatedBy.user.id	read_only_udm.principal.user.product_object_id	从原始日志字段“properties.initiatedBy.user.id”直接映射。
properties.initiatedBy.user.ipAddress	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	从原始日志字段“properties.initiatedBy.user.ipAddress”进行直接映射。
properties.initiatedBy.user.userPrincipalName	read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels	如果该值包含“@”，则会被解析为电子邮件地址，并映射到“read_only_udm.principal.user.email_addresses”。否则，它会映射到“read_only_udm.principal.user.userid”。电子邮件地址的域名部分会映射到“read_only_udm.principal.administrative_domain”。完整值还会映射到“read_only_udm.principal.resource.attribute.labels”，并将键设置为“User Principal Name”。
properties.loggedByService	read_only_udm.additional.fields	从原始日志字段“properties.loggedByService”直接映射。“read_only_udm.additional.fields”的键设置为“loggedByService”。
properties.operationType	read_only_udm.security_result.action_details	从原始日志字段“properties.operationType”直接映射。
properties.result	read_only_udm.security_result.summary	从原始日志字段“properties.result”直接映射。
properties.resultReason	read_only_udm.security_result.description	从原始日志字段“properties.resultReason”直接映射。
properties.userPrincipalName	read_only_udm.target.user.user_display_name	从原始日志字段“properties.userPrincipalName”直接映射。
结果	read_only_udm.security_result.summary、read_only_udm.security_result.action	从原始日志字段“result”直接映射。如果值为“success”，则“read_only_udm.security_result.action”设置为“ALLOW”。如果值为“failure”，则“read_only_udm.security_result.action”设置为“BLOCK”。
resultDescription	read_only_udm.metadata.description、read_only_udm.security_result.description	从原始日志字段“resultDescription”直接映射。
resultReason	read_only_udm.security_result.description	从原始日志字段“resultReason”直接映射。
resultType	read_only_udm.security_result.rule_id、read_only_udm.security_result.summary、read_only_udm.security_result.action	从原始日志字段“resultType”直接映射。如果值为“0”，则“read_only_udm.security_result.action”设置为“ALLOW”，并且“read_only_udm.security_result.summary”设置为“Successful login occurred”。否则，“read_only_udm.security_result.action”设置为“BLOCK”“read_only_udm.security_result.summary”设置为“Failed login occurred”“read_only_udm.security_result.description”设置为“resultDescription”的值，并且“read_only_udm.security_result.severity”设置为“ERROR”。
resourceDisplayName	read_only_udm.target.resource.name	从原始日志字段“resourceDisplayName”进行直接映射。
resourceId	read_only_udm.additional.fields	从原始日志字段“resourceId”直接映射。“read_only_udm.additional.fields”的键设置为“resourceId”。
riskDetail	read_only_udm.additional.fields	从原始日志字段“riskDetail”直接映射。“read_only_udm.additional.fields”的键设置为“riskDetail”。
riskEventTypes	read_only_udm.additional.fields	从原始日志字段“riskEventTypes”直接映射。“read_only_udm.additional.fields”的键设置为“riskEventTypes”。
riskEventTypes_v2	read_only_udm.additional.fields	从原始日志字段“riskEventTypes_v2”直接映射。“read_only_udm.additional.fields”的键设置为“riskEventTypes_v2”。
riskLevelAggregated	read_only_udm.additional.fields	从原始日志字段“riskLevelAggregated”直接映射。“read_only_udm.additional.fields”的键设置为“riskLevelAggregated”。
riskLevelDuringSignIn	read_only_udm.additional.fields、read_only_udm.security_result.priority	直接从原始日志字段“riskLevelDuringSignIn”进行映射。“read_only_udm.additional.fields”的键设置为“riskLevelDuringSignIn”。如果值为“medium”，则“read_only_udm.security_result.priority”会设为“MEDIUM_PRIORITY”。
riskState	read_only_udm.additional.fields	从原始日志字段“riskState”直接映射。“read_only_udm.additional.fields”的键设置为“riskState”。
targetResources.0.displayName	read_only_udm.target.resource.name、read_only_udm.target.user.user_display_name、read_only_udm.target.group.group_display_name	如果“targetResources.0.type”的值为“User”或“ServicePrincipal”，则该值会映射到“read_only_udm.target.user.user_display_name”。如果“targetResources.0.type”的值为“Group”，则该值会映射到“read_only_udm.target.group.group_display_name”。否则，该值会映射到“read_only_udm.target.resource.name”。
targetResources.0.groupType	read_only_udm.target.group.attribute.labels	从原始日志字段“targetResources.0.groupType”直接映射。“read_only_udm.target.group.attribute.labels”的键设置为“groupType”。
targetResources.0.id	read_only_udm.target.resource.product_object_id、read_only_udm.target.user.product_object_id、read_only_udm.target.group.product_object_id	如果“targetResources.0.type”的值为“User”或“ServicePrincipal”，则该值会映射到“read_only_udm.target.user.product_object_id”。如果“targetResources.0.type”的值为“Group”，则该值会映射到“read_only_udm.target.group.product_object_id”。否则，该值会映射到“read_only_udm.target.resource.product_object_id”。
targetResources.0.modifiedProperties.displayName	read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels	该值会映射到“read_only_udm.additional.fields”，并将键设置为“targetResources.modifiedProperties.displayname {index}”。如果值为“TargetId.DeviceId”，则“targetResources.0.modifiedProperties.newValue”的值会映射到前缀为“Device ID:”的“read_only_udm.target.asset.asset_id”。如果值为“DisplayName”或“jobTitle”，则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.title”。如果值为“WellKnownObjectName”，则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.resource.attribute.roles”，并将键设置为“name”。如果值为“displayName”，并且“targetResources.0.displayName”为 null，则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.user_display_name”。如果值为“givenName”，则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.first_name”。如果值为“surname”，则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.last_name”。如果值为“department”，则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.department”。如果值为“physicalDeliveryOfficeName”，则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.office_address.name”。如果值为“employeeId”，则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.employee_id”。如果值为“mobile”，则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.phone_numbers”。如果值为“MailNickname”，则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.userid”。否则，“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.resource.attribute.labels”，并且将键设置为“targetResources.0.modifiedProperties.displayName”的值。“targetResources.0.modifiedProperties.oldValue”的值会映射到“read_only_udm.src.resource.attribute.labels”，键设置为“targetResources.0.modifiedProperties.displayName”的值。
targetResources.0.modifiedProperties.newValue	read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields	如果“targetResources.0.modifiedProperties.displayName”的值为“TargetId.DeviceId”，则该值会映射到前缀为“Device ID:”的“read_only_udm.target.asset.asset_id”。如果“targetResources.0.modifiedProperties.displayName”的值为“DisplayName”或“jobTitle”，则该值会映射到“read_only_udm.target.user.title”。如果“targetResources.0.modifiedProperties.displayName”的值为“WellKnownObjectName”，则该值会映射到“read_only_udm.target.resource.attribute.roles”，并将键设置为“name”。如果“targetResources.0.modifiedProperties.displayName”的值为“displayName”，并且“targetResources.0.displayName”为 null，则该值会映射到“read_only_udm.target.user.user_display_name”。如果“targetResources.0.modifiedProperties.displayName”的值为“givenName”，则该值会映射到“read_only_udm.target.user.first_name”。如果“targetResources.0.modifiedProperties.displayName”的值为“surname”，则该值会映射到“read_only_udm.target.user.last_name”。如果“targetResources.0.modifiedProperties.displayName”的值为“department”，则该值会映射到“read_only_udm.target.user.department”。如果“targetResources.0.modifiedProperties.displayName”的值为“physicalDeliveryOfficeName”，则该值会映射到“read_only_udm.target.user.office_address.name”。如果“targetResources.0.modifiedProperties.displayName”的值为“employeeId”，则该值会映射到“read_only_udm.target.user.employee_id”。如果“targetResources.0.modifiedProperties.displayName”的值为“mobile”，则该值会映射到“read_only_udm.target.user.phone_numbers”。如果“targetResources.0.modifiedProperties.displayName”的值为“MailNickname”，则该值会映射到“read_only_udm.target.user.userid”。否则，该值会映射到“read_only_udm.target.resource.attribute.labels”，并将键设置为“targetResources.0.modifiedProperties.displayName”的值。该值还会映射到“read_only_udm.additional.fields”，并将键设置为“targetResources.modifiedProperties.newValue {index}”。
targetResources.0.modifiedProperties.oldValue	read_only_udm.src.resource.attribute.labels、read_only_udm.additional.fields	该值会映射到“read_only_udm.src.resource.attribute.labels”，并且键设置为“targetResources.0.modifiedProperties.displayName”的值。该值还会映射到“read_only_udm.additional.fields”，并将键设置为“targetResources.modifiedProperties.oldValue {index}”。
targetResources.0.type	read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name	从原始日志字段“targetResources.0.type”直接映射。如果值为“ServicePrincipal”，则“read_only_udm.target.resource.resource_type”设置为“SERVICE_ACCOUNT”。如果值为“设备”，则“read_only_udm.target.resource.resource_type”设置为“DEVICE”。否则，“read_only_udm.target.resource.resource_type”会设置为“UNSPECIFIED”。如果值为“User”或“ServicePrincipal”，则“targetResources.0.userPrincipalName”的值会映射到“read_only_udm.target.user.userid”，“targetResources.0.id”的值会映射到“read_only_udm.target.user.product_object_id”，并且“targetResources.0.displayName”的值会映射到“read_only_udm.target.user.user_display_name”。如果值为“Group”，则“targetResources.0.id”的值会映射到“read_only_udm.target.group.product_object_id”，而“targetResources.0.displayName”的值会映射到“read_only_udm.target.group.group_display_name”。
targetResources.0.userPrincipalName	read_only_udm.target.user.userid、read_only_udm.target.user.email_addresses	如果该值包含“@”，则系统会将其解析为电子邮件地址，并映射到“read_only_udm.target.user.email_addresses”。否则，它会映射到“read_only_udm.target.user.userid”。
targetResources.displayName	read_only_udm.about.resource.name、read_only_udm.about.user.userid、read_only_udm.about.user.user_display_name、read_only_udm.about.group.group_display_name、read_only_udm.about.group.attribute.labels	如果“targetResources.type”的值为“User”或“ServicePrincipal”，则该值会映射到“read_only_udm.about.user.user_display_name”和“read_only_udm.about.user.userid”。如果“targetResources.type”的值为“Group”，则该值会映射到“read_only_udm.about.group.group_display_name”。“targetResources.groupType”的值会映射到“read_only_udm.about.group.attribute.labels”，键设置为“groupType”。否则，该值会映射到“read_only_udm.about.resource.name”。
targetResources.groupType	read_only_udm.about.group.attribute.labels、read_only_udm.target.user.group_identifiers	从原始日志字段“targetResources.groupType”直接映射。“read_only_udm.about.group.attribute.labels”的键设置为“groupType”。
targetResources.id	read_only_udm.about.resource.product_object_id、read_only_udm.about.user.product_object_id、read_only_udm.about.group.product_object_id	如果“targetResources.type”的值为“User”或“ServicePrincipal”，则该值会映射到“read_only_udm.about.user.product_object_id”。如果“targetResources.type”的值为“Group”，则该值会映射到“read_only_udm.about.group.product_object_id”。否则，该值会映射到“read_only_udm.about.resource.product_object_id”。
targetResources.modifiedProperties.displayName	read_only_udm.additional.fields	该值会映射到“read_only_udm.additional.fields”，并将键设置为“targetResources.modifiedProperties.displayname {index}”。
targetResources.modifiedProperties.newValue	read_only_udm.additional.fields	该值会映射到“read_only_udm.additional.fields”，并将键设置为“targetResources.modifiedProperties.newValue {index}”。
targetResources.modifiedProperties.oldValue	read_only_udm.additional.fields	该值会映射到“read_only_udm.additional.fields”，并将键设置为“targetResources.modifiedProperties.oldValue {index}”。
targetResources.type	read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name	从原始日志字段“targetResources.type”进行直接映射。如果值为“ServicePrincipal”，则“read_only_udm.about.resource.resource_type”设置为“SERVICE_ACCOUNT”。如果值为“设备”，则“read_only_udm.about.resource.resource_type”设置为“DEVICE”。否则，“read_only_udm.about.resource.resource_type”会设置为“UNSPECIFIED”。如果值为“User”或“ServicePrincipal”，则“targetResources.userPrincipalName”的值会映射到“read_only_udm.about.user.userid”，“targetResources.id”的值会映射到“read_only_udm.about.user.product_object_id”，并且“targetResources.displayName”的值会映射到“read_only_udm.about.user.user_display_name”。如果值为“Group”，则“targetResources.id”的值会映射到“read_only_udm.about.group.product_object_id”，而“targetResources.displayName”的值会映射到“read_only_udm.about.group.group_display_name”。
targetResources.userPrincipalName	read_only_udm.about.user.userid、read_only_udm.about.user.email_addresses	如果该值包含“@”，则系统会将其解析为电子邮件地址，并映射到“read_only_udm.about.user.email_addresses”。否则，系统会将其映射到“read_only_udm.about.user.userid”。
tenantId	read_only_udm.additional.fields	从原始日志字段“tenantId”直接映射。“read_only_udm.additional.fields”的键设置为“tenantId”。
时间	read_only_udm.metadata.event_timestamp	从原始日志字段“time”直接映射。
userId	read_only_udm.target.user.product_object_id	从原始日志字段“userId”直接映射。此值根据其他字段的值进行设置，包括“activityDisplayName”“principal_userid_present”“target_userid_present”“principal_ip_present”“loggedByService”和“category”。设置此值的逻辑很复杂，具体取决于这些字段中的值的具体组合。如果“operationName”的值为“登录活动”，则此值设置为“SSO”。值设为“Microsoft”。该值设置为“Azure AD Directory Audit”。该值设置为“AZURE_AD_AUDIT”。

变化

2024-07-30

如果存在“principal.user.userid”或“target.user.userid”，则仅将“metadata.event_type”映射到“USER_CHANGE_PERMISSIONS”。

2024-06-26

将“targetResources.modifiedProperties.newValue”和“targetResources.modifiedProperties.oldValue”之间的差异映射到了“additional.fields”。

2024-06-10

如果“initiatedBy.user.ipAddress”包含 IP 地址，请将“principal_ip_present”设置为“true”。
添加了一个条件，以便仅当“principal_ip_present”为“true”时，将“metadata.event_type”设置为“USER_DELETION”。

2024-06-03

添加了一个 JSON 块来解析未解析的日志。
针对“event_type”为“USER_DELETION”添加了条件检查。

2024-05-20

bug 修复：

修改了“targetResource”的映射。
将“targetResource”的第一个迭代映射到“target”，将“targetResource”的后续迭代映射到“about”。
将“loggedByService”字段的键名称从“log_Service”更改为“loggedByService”。
将“resourceId”的映射从“target.resource.id”更改为“additional_fields”。
如果“targetResources.type”为“Application”“Policy”“Role”“Directory”“RoleAssignment”“Request”“Provider”“Other”，则将“targetResources.displayName”映射到“noun.resource.name”“targetResources.id”映射到“noun.resource.product_object_id”“noun.resource.resource_type”设为“UNSPECIFIED”，并将“targetResource.type”映射到“noun.resource.resource_subtype”。
如果“targetResources.type”为“User”，则将“targetResources.displayName”映射到“noun.resource.name”；将“targetResources.id”映射到“noun.resource.product_object_id”；将“noun.resource.resource_type”设为“UNSPECIFIED”；将“targetResource.type”映射到“noun.resource.resource_subtype”；将“targetResources.displayName”映射到“noun.user.user_display_name”；将“targetResources.id”映射到“noun.user.product_object_id”；将“targetResources.userPrincipalName”映射到“noun.user.userid”。
如果“targetResources.type”为“ServicePrincipal”，则将“targetResources.displayName”映射到“noun.resource.name”“targetResources.id”映射到“noun.resource.product_object_id”“noun.resource.resource_type”为“SERVICE_ACCOUNT”“targetResource.type”映射到“noun.resource.resource_subtype”“targetResources.displayName”映射到“noun.user.user_display_name”“targetResources.id”映射到“noun.user.product_object_id”和“targetResources.userPrincipalName”映射到“noun.user.userid”。
如果“targetResources.type”为“Group”，则将“targetResources.displayName”映射到“noun.resource.name”“targetResources.id”映射到“noun.resource.product_object_id”“noun.resource.resource_type”设为“UNSPECIFIED”“targetResource.type”映射到“noun.resource.resource_subtype”“targetResources.displayName”映射到“noun.group.group_display_name”“targetResources.id”映射到“noun.group.product_object_id”，并将“groupType”映射到“noun.group.attribute.labels”。

2024-05-17

将“initiatedBy.user.id”映射到“principal.user.product_object_id”。
将“initiatedBy.user.userPrincipalName”映射到“principal.user.userid”。

2024-03-18

显示了“targetResources.modifiedProperties.displayname”“targetResources.modifiedProperties.newValue”和“targetResources.modifiedProperties.oldValue”字段，即使值为 null 也是如此。
将“callerIpAddress”映射到“principal.ip”。

2024-03-12

bug 修复：

将 Azure Monitor 信封格式日志映射同步到 Microsoft Graph API 格式日志。
根据“targetResources.type”映射了“target.resource.resource_type”。
将“targetResources.type”映射到“target.resource.type”。

2024-03-04

将“initiatedBy.user.userPrincipalName”中的“user_principal_name”映射到“principal.resource.attribute.labels”。
将“domain”从“initiatedBy.user.userPrincipalName”映射到“principal.administrative_domain”。
将“loggedByService”和“properties.loggedByService”映射到“additional.fields”。
将“initiatedBy.user.id”的映射从“principal.user.product_object_id”更改为“principal.user.userid”。
将“tgt_user_principal_name”从“target.userPrincipalName”映射到“target.resource.attribute.labels”。
将“domain”从“target.userPrincipalName”映射到“target.administrative_domain”。
将“category”映射到“additional.fields”。
如果“additionalDetails[n].key”为“AppId”，则将“additionalDetails[n].value”映射到“target.process.pid”。
如果“additionalDetails[n].key”为“User-Agent”，则将“additionalDetails[n].value”映射到“network.http.user_agent”和“network.http.parsed_user_agent”。
根据“loggedByService”“category”和“activityDisplayName”映射了“metadata.event_type”。
将“targetResources.modifiedProperties.displayname”“targetResources.modifiedProperties.newValue”和“targetResources.modifiedProperties.oldValue”映射到“additional.fields”。

2024-02-21

在将“metadata.event_type”设置为“USER_CREATION”之前，添加了是否存在“principal.user.userid”的条件检查。
将“initiatedBy.user.id”的映射从“principal.user.userid”更改为“principal.user.product_object_id”。
将“initiatedBy.app.servicePrincipalId”的映射从“principal.user.userid”更改为“principal.user.product_object_id”。
将“initiatedBy.app.servicePrincipalName”的映射从“principal.user.user_display_name”更改为“principal.user.userid”。
将“properties.initiatedBy.user.id”的映射从“principal.user.userid”更改为“principal.user.product_object_id”。
将“properties.initiatedBy.app.servicePrincipalId”的映射从“principal.user.userid”更改为“principal.user.product_object_id”。
将“properties.initiatedBy.app.servicePrincipalName”的映射从“principal.user.user_display_name”更改为“principal.user.userid”。
如果“targetResourceType”值类似于“User”或“ServicePrincipal”，则将“target.id”的映射从“target.user.userid”更改为“target.user.product_object_id”。
如果“targetResourceType”值类似于“User”或“ServicePrincipal”，则将“target.userPrincipalName”映射到“target.user.userid”。
如果“targetResourceType”值类似于“User”或“ServicePrincipal”，则将“target.displayName”映射到“target.user.user_display_name”。

2024-02-12

添加了针对“modifiedProperty.displayName”“modifiedProperty.newValue”和“modifiedProperty.oldValue”的条件检查。
如果“targetResource.id”为“User”或“ServicePrincipal”，则将其映射到“target.user.userid”。

2024-01-08

bug 修复：

添加了 Grok 模式，以便在将电子邮件地址值映射到“principal.user.email_addresses”和“target.user.email_addresses”之前对其进行验证。

2023-12-19

将“targetResource.modifiedProperties.newValue”“targetResource.modifiedProperties.oldValue”和“targetResource.modifiedProperties.displayName”映射到“additional.fields”。

2023-11-23

将“targetResources.0.modifiedProperties.newValue/oldValue”字段映射到“event.idm.read_only_udm.additional.fields”。
在映射到 udm 之前，向“initiatedBy.user.ipAddress”添加了 ip_address 格式检查。

2023-10-16

修改了以下映射：
将“metadata.event_type”从“USER_UNCATEGORIZED”更改为“USER_RESOURCE_ACCESS”，其中“target.type 不是 'user'”。
将“target.id”的映射从“principal.user.userid”更改为“principal.user.group_or_identifiers”，前提是“target.type”不是“user”。
由于“target.resource.id”已废弃，因此将已映射到“target.resource.id”的字段也映射到了“target.resource.product_object_id”。

2023-08-03

修改了以下映射：
将“metadata.event_type”从“USER_UNCATEGORIZED”更改为“USER_CREATION”，其中“activityDisplayName”为“Add user”。
将“activityDisplayName”的映射从“metadata.description”更改为“metadata.product_event_type”。
映射了适当的“metadata.event_type”，其中“activityDisplayName”为“向群组添加成员”“向群组添加所有者”。
“targetResources”下的所有字段都应属于 UDM target.user. 字段。
“target.user.userid”已映射到“targetResource”下的正确“id”。
如果资源类型为“用户”，则将“activityDisplayName”的“Add member to role outside of PIM (permanent)”映射到“target.user.xxx”。
对于“activityDisplayName”为“向角色添加成员”，将“Role.WellKnownObjectName”映射到“target.resource.attribute.roles.name”。

2023-07-24

当“targetresources.modifiedproperties.displayname”值包含“role.displayname”时，将“targetresources.modifiedproperties.newvalue”映射到“target.user.title”。

2023-05-25

bug 修复：当“targetResources.modifiedProperties.displayName”等于“mailNickname”时，将映射从“target.resource.attribute.labels.value”更改为“target.user.userid”。

2023-05-05

修改了以下映射：
当“targetResources.modifiedProperties.displayName”等于“objectId”时，将映射从“target.resource.attribute.labels.value”更改为“target.user.product_object_id”。
当“targetResources.modifiedProperties.displayName”等于“displayName”时，将映射从“target.resource.attribute.labels.value”更改为“target.user.user_display_name”。
将以下映射从“target.resource.attribute.labels.value”更改为“target.user.first_name”：“targetResources.modifiedProperties.displayName”等于“givenName”。
将以下情况的映射从“target.resource.attribute.labels.value”更改为“target.user.title”：“targetResources.modifiedProperties.displayName”等于“jobTitle”。
当“targetResources.modifiedProperties.displayName”等于“mail”时，将映射从“target.resource.attribute.labels.value”更改为“target.user.email_addresses”。
将“targetResources.modifiedProperties.displayName”等于“surname”时，将映射从“target.resource.attribute.labels.value”更改为“target.user.last_name”。
当“targetResources.modifiedProperties.displayName”等于“department”时，将映射从“target.resource.attribute.labels.value”更改为“target.user.department”。
当“targetResources.modifiedProperties.displayName”等于“physicalDeliveryOfficeName”时，将映射从“target.resource.attribute.labels.value”更改为“target.user.office_address.name”。
当“targetResources.modifiedProperties.displayName”等于“employeeId”时，将映射从“target.resource.attribute.labels.value”更改为“target.user.employee_id”。
当“targetResources.modifiedProperties.displayName”等于“mobile”时，将映射从“target.resource.attribute.labels.value”更改为“target.user.phone_numbers”。

2023-04-18

“initiatedBy.user.userPrincipalName”映射到“principal.user.user_display_name”或“principal.user.userid”或“principal.user.email_addresses”。
“targetResources.type”映射到“target.resource.attribute.labels”。

2023-04-12

增强功能 -

将“initiatedBy.user.userPrincipalName”映射到“principal.user.email_addresses”，将“event_type”映射到“USER_UNCATEGORIZED”。
当“initiatedBy.user.userPrincipalName”不为 null 时。
如果“targetResources.modifiedProperties.displayName”为“userPrincipalName”，则将其映射到“principal.user.email_addresses”。
将“activityDisplayName”为 [“向应用签发 id_token”“设置公司信息”] 时“event_type”映射到“USER_UNCATEGORIZED”。

2023-02-20

bug 修复 -

将键“additionalDetails.ClientIpAddress”下的多个 IP 地址映射到“principal.ip”。
当“activityDisplayName”等于“Delete user”且不存在“initiatedBy.user.userPrincipalName”字段时，将 metadata.event_type 映射为“USER_UNCATEGORIZED”。

2023-02-02

增强功能 - 当“activityDisplayName”等于“Delete user”时，映射了以下内容：
将“event_type”映射到“USER_DELETION”。
将“initiatedBy.user.userPrincipalName”映射到“principal.user.userid”。

2022-11-24

增强功能 -

将“modifiedProperties.newValue”映射到“target.resource.attribute.labels”。
将“modifiedProperties.oldValue”映射到“src.resource.attribute.labels”。

2022-11-07

增强功能 -

将“target.modifiedProperties.TargetId.DeviceId”映射到“event.idm.read_only_udm.target.asset.asset_id”。

2022-09-16

增强功能 -

将“properties.initiatedBy.user.ipAddress”映射到“principal.ip”。
将“properties.initiatedBy.user.userPrincipalName”映射到“principal.user.userid”。
将“properties.resultReason”映射到“security_result.description”。
将“identity”映射到“target.user.userid”。
将“operationName”映射到“metadata.product_event_type”。
将“metadata.event_type”映射到“USER_UNCATEGORIZED”，其中“properties.activityDisplayName”为“Get resource properties of a tenant”。
将“category”和“properties.category”映射到“security_result.category_details”。
将“resultDescription”映射到“metadata.description”。
将“resultType”映射到“security_result.rule_id”。

2022-06-20

增强功能 - 通过添加以下映射，增强了解析器，以解析类别为“AuditLogs”和“SignInLogs”的日志：
将字段“properties.id”映射到“metadata.product_log_id”。
将“properties.loggedByService”字段映射到了“target.application”。
将“Level”字段映射到了“security_result.severity”和“security_result.severity_details”。
将字段“properties.result”映射到“security_result.summary”和“security_result.action”。
将字段“properties.operationType”映射到“security_result.action_details”。
将“properties.activityDisplayName”字段映射到了“metadata.description”。
将“properties.category”字段映射到了“metadata.product_event_type”。
将字段“properties.resultReason”映射到“security_result.description”。
将字段“properties.initiatedBy.app.displayName”映射到了“principal.application”。
将“properties.ipAddress”字段映射到了“principal.ip”。
将“properties.initiatedBy.app.servicePrincipalId”字段映射到了“principal.user.userid”。
将“properties.initiatedBy.app.servicePrincipalName”字段映射到了“principal.user.user_display_name”。
将字段“properties.appId”和“properties.initiatedBy.app.appId”映射到了“principal.resource.attribute.labels”。
将字段“properties.location.city”映射到“principal.location.city”。
将“properties.location.state”字段映射到了“principal.location.state”。
将字段“properties.location.countryOrRegion”映射到了“principal.location.country_or_region”。
将字段“properties.location.geoCoordinates.latitude”映射到“principal.location.region_latitude”。
将“properties.location.geoCoordinates.longitude”字段映射到了“principal.location.region_longitude”。
将“properties.targetResources.modifiedProperties”字段映射到了“target.user.attribute.labels”。
将“targetResources.displayName”字段映射到“target.user.user_display_name”。
将“targetResources.id”字段映射到了“target.user.userid”。
将字段“properties.additionalDetails”“properties.riskDetail”“properties.riskEventTypes”“properties.riskEventTypes_v2”“properties.riskLevelAggregated”“properties.riskLevelDuringSignIn”“properties.riskState”“properties.conditionalAccessStatus”“tenantId”映射到“additional.fields”。
将字段“operationVersion”映射到“metadata.product_version”。
将“properties.appliedConditionalAccessPolicies.displayName”字段映射到了“about.user.user_display_name”。
将字段“properties.appliedConditionalAccessPolicies..id”映射到了“about.user.userid”。
将字段“properties.appliedConditionalAccessPolicies.result”映射到“about.labels”。