Microsoft Azure AD-Kontextprotokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Azure Active Directory-Logs (AD) erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Azure Active Directory (AZURE_AD) heißt jetzt Microsoft Entra ID. Azure AD-Audit-Logs (AZURE_AD_AUDIT) sind jetzt Microsoft Entra ID-Audit-Logs.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert.
Hinweise
Für die Aufgaben auf dieser Seite benötigen Sie Folgendes:
- Ein Azure-Abo, mit dem Sie sich anmelden können.
- Die Rolle „Global Administrator“ oder „Azure AD-Administrator“.
- Ein Azure AD-Mandant in Azure.
Azure AD konfigurieren
- Melden Sie sich im Azure an.
- Gehen Sie zu Startseite > App-Registrierung, wählen Sie eine registrierte App aus oder registrieren Sie eine App, falls Sie noch keine App erstellt haben.
- Wenn Sie eine Anwendung registrieren möchten, klicken Sie im Abschnitt App-Registrierung auf Neue Registrierung.
- Geben Sie im Feld Name den Anzeigenamen für Ihre Anwendung ein.
- Wählen Sie im Abschnitt Unterstützte Kontotypen die gewünschte Option aus, um anzugeben, wer die Anwendung verwenden oder auf die API zugreifen darf.
- Klicken Sie auf Registrieren.
- Rufen Sie die Seite Übersicht auf und kopieren Sie die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Tenant-ID), die zum Konfigurieren des Google Security Operations-Feeds erforderlich sind.
- Klicken Sie auf API-Berechtigungen.
- Klicken Sie auf Berechtigung hinzufügen und wählen Sie im neuen Bereich Microsoft Graph aus.
- Klicken Sie auf Anwendungsberechtigungen.
- Wählen Sie die Berechtigungen AuditLog.Read.All, Directory.Read.All und SecurityEvents.Read.All aus. Achten Sie darauf, dass es sich bei den Berechtigungen um Anwendungsberechtigungen und nicht um delegierte Berechtigungen handelt.
- Klicken Sie auf Administratoreinwilligung für Standardverzeichnis erteilen. Anwendungen sind berechtigt, APIs aufzurufen, wenn sie im Rahmen des Einwilligungsverfahrens von Nutzern oder Administratoren Berechtigungen erhalten.
- Gehen Sie zu Einstellungen > Verwalten.
- Klicken Sie auf Zertifikate und Secrets.
- Klicken Sie auf Neuer geheimer Clientschlüssel. Im Feld Wert wird der Clientschlüssel angezeigt.
- Kopieren Sie den Clientschlüsselwert. Der Wert wird nur zum Zeitpunkt der Erstellung angezeigt und ist für die Azure-App-Registrierung und die Konfiguration des Google Security Operations-Feeds erforderlich.
Feed in Google Security Operations für die Aufnahme von Azure AD-Kontextprotokollen konfigurieren
- Wählen Sie SIEM-Einstellungen > Feeds aus.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie einen eindeutigen Namen für den Feednamen ein.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie als Logtyp Azure AD-Organisationskontext aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- OAUTH-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
- OAUTH-Clientschlüssel: Geben Sie den Clientschlüssel an, den Sie zuvor abgerufen haben.
- Mandanten-ID: Geben Sie die zuvor abgerufene Mandanten-ID an.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parsercode wandelt Rohlogs im JSON-Format aus Azure Active Directory in ein einheitliches Datenmodell (UDM) um. Dabei werden Nutzer- und Administratorinformationen wie Attribute, Rollen, Beziehungen und Labels extrahiert. Außerdem werden verschiedene Dateninkonsistenzen verarbeitet und die Ausgabe mit standardisierten Feldern angereichert.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| businessPhones | user.phone_numbers | Direkt aus dem Feld businessPhones im Rohprotokoll zugeordnet. Mehrere Telefonnummern werden extrahiert und als separate Einträge zugeordnet. |
| Ort | user.personal_address.city | Direkt aus dem Feld city im Rohprotokoll zugeordnet. |
| companyName | user.company_name | Direkt aus dem Feld companyName im Rohprotokoll zugeordnet. |
| Land | user.personal_address.country_or_region | Direkt aus dem Feld country im Rohprotokoll zugeordnet. Wenn country leer ist, wird der Wert aus usageLocation übernommen. |
| createdDateTime | user.attribute.creation_time | Aus dem Feld createdDateTime im Rohprotokoll in das RFC3339-Format konvertierter Zeitstempel. |
| department | user.department | Direkt aus dem Feld department im Rohprotokoll zugeordnet. Mehrere Abteilungen werden extrahiert und als separate Einträge zugeordnet. |
| displayName | user.user_display_name | Direkt aus dem Feld displayName im Rohprotokoll zugeordnet. |
| employeeId | user.employee_id | Direkt aus dem Feld employeeId im Rohprotokoll zugeordnet. Wenn employeeId leer ist, wird der Wert aus extension_employeeNumber übernommen. |
| employeeType | user.attribute.labels.value (Schlüssel: employeeType) | Wird direkt aus dem Feld employeeType im Rohprotokoll zugeordnet und als Label mit dem Schlüssel employeeType hinzugefügt. |
| extension_employeeNumber | user.employee_id | Wird user.employee_id zugeordnet, wenn employeeId leer ist. |
| extension_wfc_AccountType | event.idm.entity.entity.labels.value (Schlüssel: wfc_AccountType) | Wird direkt aus dem Feld extension_wfc_AccountType im Rohprotokoll zugeordnet und als Label mit dem Schlüssel wfc_AccountType hinzugefügt. |
| extension_wfc_AccountingUnitName | event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_AccountingUnitName) | Wird direkt aus dem Feld extension_wfc_AccountingUnitName im Rohprotokoll zugeordnet und als Label mit dem Schlüssel extension_wfc_AccountingUnitName hinzugefügt. |
| extension_wfc_execDescription | event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_execDescription) | Wird direkt aus dem Feld extension_wfc_execDescription im Rohprotokoll zugeordnet und als Label mit dem Schlüssel extension_wfc_execDescription hinzugefügt. |
| extension_wfc_groupDescription | event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_groupDescription) | Wird direkt aus dem Feld extension_wfc_groupDescription im Rohprotokoll zugeordnet und als Label mit dem Schlüssel extension_wfc_groupDescription hinzugefügt. |
| extension_wfc_orgDescription | event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_orgDescription) | Wird direkt aus dem Feld extension_wfc_orgDescription im Rohprotokoll zugeordnet und als Label mit dem Schlüssel extension_wfc_orgDescription hinzugefügt. |
| givenName | user.first_name | Direkt aus dem Feld givenName im Rohprotokoll zugeordnet. |
| gopher-devices | event.idm.entity.relations | Jedem Gerät im gopher-devices-Array wird ein separater Beziehungseintrag zugeordnet. deviceId wird product_object_id zugeordnet, operatingSystem und operatingSystemVersion werden zu platform_version kombiniert, model wird direkt zugeordnet und createdDateTime wird in einen Zeitstempel umgewandelt und created_timestamp zugeordnet. Die Beziehung ist auf OWNS und die Richtung auf UNIDIRECTIONAL festgelegt. |
| gopher-groups | event.idm.entity.relations | Jede Gruppe im gopher-groups-Array wird einem separaten Beziehungseintrag zugeordnet. id ist product_object_id zugeordnet und displayName ist group_display_name zugeordnet. Die Beziehung ist auf MEMBER und die Richtung auf UNIDIRECTIONAL festgelegt. |
| gopher-manager.businessPhones | empmanager.phone_numbers | Wird empmanager.phone_numbers zugeordnet, wenn manager leer ist. |
| gopher-manager.country | empmanager.personal_address.country_or_region | Wird empmanager.personal_address.country_or_region zugeordnet, wenn manager leer ist. Wenn sowohl gopher-manager.country als auch gopher-manager.usageLocation leer sind, wird das Feld leer gelassen. |
| gopher-manager.department | empmanager.department | Wird empmanager.department zugeordnet, wenn manager leer ist. |
| gopher-manager.displayName | empmanager.user_display_name | Wird empmanager.user_display_name zugeordnet, wenn manager leer ist. |
| gopher-manager.employeeId | empmanager.employee_id | Wird empmanager.employee_id zugeordnet, wenn manager leer und gopher-manager.employeeId nicht leer ist. |
| gopher-manager.extension_employeeNumber | empmanager.employee_id | Wird empmanager.employee_id zugeordnet, wenn manager und gopher-manager.employeeId leer sind und gopher-manager.extension_employeeNumber nicht leer ist. |
| gopher-manager.givenName | empmanager.first_name | Wird empmanager.first_name zugeordnet, wenn manager leer ist. |
| gopher-manager.id | empmanager.product_object_id | Wird empmanager.product_object_id zugeordnet, wenn manager leer ist. |
| gopher-manager.jobTitle | empmanager.title | Wird empmanager.title zugeordnet, wenn manager leer ist. |
| gopher-manager.mail | empmanager.email_addresses | Wird empmanager.email_addresses zugeordnet, wenn manager leer ist. |
| gopher-manager.onPremisesImmutableId | user.attribute.labels.value (Schlüssel: gopher-manager onPremisesImmutableId) | Als Label mit dem Schlüssel gopher-manager onPremisesImmutableId zugeordnet. |
| gopher-manager.onPremisesSamAccountName | empmanager.userid | Wird empmanager.userid zugeordnet, wenn manager leer ist. |
| gopher-manager.onPremisesSecurityIdentifier | empmanager.windows_sid | Wird empmanager.windows_sid zugeordnet, wenn manager leer ist. |
| gopher-manager.proxyAddresses | empmanager.email_addresses, empmanager.group_identifiers | Wenn manager leer ist, wird jeder Adresse im gopher-manager.proxyAddresses-Array entweder empmanager.email_addresses oder empmanager.group_identifiers zugewiesen, je nachdem, ob sie mit „smtp“ oder „SMTP“ beginnt. |
| gopher-manager.refreshTokensValidFromDateTime | empmanager.attribute.labels.value (Schlüssel: refreshTokensValidFromDateTime) | Wird als Label mit dem Schlüssel refreshTokensValidFromDateTime zugeordnet, wenn manager leer ist. |
| gopher-manager.streetAddress | empmanager.personal_address.name | Wird empmanager.personal_address.name zugeordnet, wenn manager leer ist. |
| gopher-manager.surname | empmanager.last_name | Wird empmanager.last_name zugeordnet, wenn manager leer ist. |
| gopher-manager.usageLocation | user.attribute.labels.value (key: manager_src_usageLocation) | Als Label mit dem Schlüssel manager_src_usageLocation zugeordnet. |
| gopher-manager.userType | empmanager.attribute.roles.name | Wird empmanager.attribute.roles.name zugeordnet, wenn manager leer ist. |
| id | user.product_object_id | Direkt aus dem Feld id im Rohprotokoll zugeordnet. |
| identities | user.attribute.labels.value (Schlüssel: signInType), user.attribute.labels.value (Schlüssel: userPrincipalName) | signInType wird als Label mit dem Schlüssel signInType zugeordnet. Wenn signInType und userPrincipalName nicht leer sind, werden sie kombiniert und als Label mit dem Schlüssel userPrincipalName zugeordnet. |
| jobTitle | user.title | Direkt aus dem Feld jobTitle im Rohprotokoll zugeordnet. |
| user.email_addresses | Direkt aus dem Feld mail im Rohprotokoll zugeordnet. Wenn mail mit „svc-“ beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
|
| mailNickname | user.attribute.labels.value (Schlüssel: mailNickname) | Wird direkt aus dem Feld mailNickname im Rohprotokoll zugeordnet und als Label mit dem Schlüssel mailNickname hinzugefügt. |
| manager.businessPhones | empmanager.phone_numbers | Wird empmanager.phone_numbers zugeordnet, wenn gopher-manager leer ist. |
| manager.city | empmanager.personal_address.city | Wird empmanager.personal_address.city zugeordnet, wenn gopher-manager leer ist. |
| manager.companyName | empmanager.company_name | Wird empmanager.company_name zugeordnet, wenn gopher-manager leer ist. |
| manager.country | empmanager.personal_address.country_or_region | Wird empmanager.personal_address.country_or_region zugeordnet, wenn gopher-manager leer ist. Wenn sowohl manager.country als auch manager.usageLocation leer sind, wird das Feld leer gelassen. |
| manager.department | empmanager.department | Wird empmanager.department zugeordnet, wenn gopher-manager leer ist. |
| manager.displayName | empmanager.user_display_name | Wird empmanager.user_display_name zugeordnet, wenn gopher-manager leer ist. |
| manager.employeeId | empmanager.employee_id | Wird empmanager.employee_id zugeordnet, wenn gopher-manager leer und manager.employeeId nicht leer ist. |
| manager.extension_employeeNumber | empmanager.employee_id | Wird empmanager.employee_id zugeordnet, wenn gopher-manager und manager.employeeId leer sind und manager.extension_employeeNumber nicht leer ist. |
| manager.givenName | empmanager.first_name | Wird empmanager.first_name zugeordnet, wenn gopher-manager leer ist. |
| manager.id | empmanager.product_object_id | Wird empmanager.product_object_id zugeordnet, wenn gopher-manager leer ist. |
| manager.jobTitle | empmanager.title | Wird empmanager.title zugeordnet, wenn gopher-manager leer ist. |
| manager.mail | empmanager.email_addresses | Wird empmanager.email_addresses zugeordnet, wenn gopher-manager leer ist. |
| manager.onPremisesSamAccountName | empmanager.userid | Wird empmanager.userid zugeordnet, wenn gopher-manager leer ist. |
| manager.onPremisesSecurityIdentifier | empmanager.windows_sid | Wird empmanager.windows_sid zugeordnet, wenn gopher-manager leer ist. |
| manager.proxyAddresses | empmanager.email_addresses, empmanager.group_identifiers | Wenn gopher-manager leer ist, wird jeder Adresse im manager.proxyAddresses-Array entweder empmanager.email_addresses oder empmanager.group_identifiers zugewiesen, je nachdem, ob sie mit „smtp“ oder „SMTP“ beginnt. |
| manager.refreshTokensValidFromDateTime | empmanager.attribute.labels.value (Schlüssel: refreshTokensValidFromDateTime) | Wird als Label mit dem Schlüssel refreshTokensValidFromDateTime zugeordnet, wenn gopher-manager leer ist. |
| manager.state | empmanager.personal_address.state | Wird empmanager.personal_address.state zugeordnet, wenn gopher-manager leer ist. |
| manager.streetAddress | empmanager.personal_address.name | Wird empmanager.personal_address.name zugeordnet, wenn gopher-manager leer ist. |
| manager.surname | empmanager.last_name | Wird empmanager.last_name zugeordnet, wenn gopher-manager leer ist. |
| manager.usageLocation | user.attribute.labels.value (key: manager_src_usageLocation), empmanager.personal_address.country_or_region | Als Label mit dem Schlüssel manager_src_usageLocation zugeordnet. Wenn manager.country leer ist, wird der Wert auch empmanager.personal_address.country_or_region zugeordnet. |
| manager.userType | empmanager.attribute.roles.name | Wird empmanager.attribute.roles.name zugeordnet, wenn gopher-manager leer ist. |
| onPremisesDistinguishedName | user.attribute.labels.value (Schlüssel: onPremisesDistinguishedName), user.attribute.labels.value (Schlüssel: onPremisesDistinguishedName-OU-Daten) | Der vollständige Distinguished Name wird als Label mit dem Schlüssel onPremisesDistinguishedName zugeordnet. Der OU-Teil des eindeutigen Namens wird extrahiert und als Label mit dem Schlüssel onPremisesDistinguishedName-OU data zugeordnet. Wenn der OU-Teil „Admin“ enthält, wird user_role.type auf ADMINISTRATOR gesetzt. Wenn „Dienstkonten“ enthalten ist, ist user_role.type auf SERVICE_ACCOUNT festgelegt. |
| onPremisesDomainName | user.group_identifiers, user.attribute.labels.value (Schlüssel: onPremisesDomainName) | Direkt auf user.group_identifiers zugeordnet und als Label mit dem Schlüssel onPremisesDomainName hinzugefügt. |
| onPremisesImmutableId | user.attribute.labels.value (Schlüssel: onPremisesImmutableId) | Wird direkt aus dem Feld onPremisesImmutableId im Rohprotokoll zugeordnet und als Label mit dem Schlüssel onPremisesImmutableId hinzugefügt. |
| onPremisesSamAccountName | user.userid, user.attribute.labels.value (Schlüssel: onPremisesSamAccountName) | Wird user.userid zugeordnet, wenn sAMAccountName leer ist. Wird auch als Label mit dem Schlüssel onPremisesSamAccountName hinzugefügt. |
| onPremisesSecurityIdentifier | user.windows_sid | Direkt aus dem Feld onPremisesSecurityIdentifier im Rohprotokoll zugeordnet. |
| proxyAddresses | user.email_addresses, user.group_identifiers | Jede Adresse im proxyAddresses-Array wird entweder user.email_addresses oder user.group_identifiers zugeordnet, je nachdem, ob sie mit „smtp“ oder „SMTP“ beginnt. Wenn die Adresse mit „smtp“ oder „SMTP“ beginnt, wird das Präfix „smtp:“ oder „SMTP:“ entfernt. Die verbleibende E-Mail-Adresse wird extrahiert und user.email_addresses zugeordnet. |
| refreshTokensValidFromDateTime | user.attribute.labels.value (Schlüssel: refreshTokensValidFromDateTime) | Wird direkt aus dem Feld refreshTokensValidFromDateTime im Rohprotokoll zugeordnet und als Label mit dem Schlüssel refreshTokensValidFromDateTime hinzugefügt. |
| sAMAccountName | user.userid | Direkt aus dem Feld sAMAccountName im Rohprotokoll zugeordnet. |
| Status | user.personal_address.state | Direkt aus dem Feld state im Rohprotokoll zugeordnet. |
| streetAddress | user.personal_address.name | Direkt aus dem Feld streetAddress im Rohprotokoll zugeordnet. |
| surname | user.last_name | Direkt aus dem Feld surname im Rohprotokoll zugeordnet. |
| usageLocation | user.personal_address.country_or_region | Wenn country leer ist, wird der Wert user.personal_address.country_or_region zugeordnet. |
| userPrincipalName | user.email_addresses | Direkt aus dem Feld userPrincipalName im Rohprotokoll zugeordnet. Wenn userPrincipalName mit „svc-“ beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
| userType | user.attribute.roles.name | Wird direkt aus dem Feld userType im Rohprotokoll zugeordnet und zu user.attribute.roles.name hinzugefügt. |
| Parserlogik | UDM-Zuordnung | Logik |
| – | event.idm.entity.metadata.vendor_name | Legen Sie diesen Wert auf „Microsoft“ fest. |
| – | event.idm.entity.metadata.product_name | Legen Sie „Azure Active Directory“ fest. |
| – | event.idm.entity.metadata.entity_type | Legen Sie diesen Wert auf „USER“ fest. |
| – | event.idm.entity.metadata.collected_timestamp | Setzen Sie das Feld auf das Feld create_time aus dem Rohprotokoll. |
| accountEnabled | user.user_authentication_status, user.attribute.labels.value (Schlüssel: accountEnabled) | Wenn accountEnabled wahr ist, wird user.user_authentication_status auf „AKTIV“ gesetzt und ein Label mit dem Schlüssel accountEnabled und dem Wert „wahr“ wird hinzugefügt. Andernfalls wird ein Label mit dem Schlüssel accountEnabled und dem Wert „false“ hinzugefügt. |
| empmanager-src.accountEnabled | user.user_authentication_status, user.attribute.labels.value (Schlüssel: accountEnabled) | Wenn manager leer ist und empmanager-src.accountEnabled „wahr“ ist, wird user.user_authentication_status auf „AKTIV“ gesetzt und ein Label mit dem Schlüssel accountEnabled und dem Wert „wahr“ wird hinzugefügt. Andernfalls wird ein Label mit dem Schlüssel accountEnabled und dem Wert „false“ hinzugefügt. |
| onPremisesDistinguishedName | user_role.type | Wenn der OU-Teil des eindeutigen Namens „Admin“ enthält, wird user_role.type auf ADMINISTRATOR gesetzt. Wenn „Dienstkonten“ enthalten ist, ist user_role.type auf SERVICE_ACCOUNT festgelegt. |
| userPrincipalName | user_role.type | Wenn userPrincipalName mit „svc-“ beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
| empmanager-src.onPremisesDistinguishedName | manager_role.type | Wenn gopher-manager leer ist und der OU-Teil des Distinguished Names des Managers „Nutzer“ enthält, wird manager_role.type auf ADMINISTRATOR festgelegt. Wenn „Dienstkonten“ enthalten ist, ist manager_role.type auf SERVICE_ACCOUNT festgelegt. |
| empmanager-src.userPrincipalName | manager_role.type | Wenn gopher-manager leer ist und empmanager-src.userPrincipalName mit „svc-“ beginnt, wird manager_role.type auf SERVICE_ACCOUNT gesetzt. |
| user_role.type | Wenn mail mit „svc-“ beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
Änderungen
2024-04-29
- „officeLocation“ wurde „entity.location.name“ zugeordnet.
- „extension_wfc_groupDescription“, „extension_wfc_execDescription“, „extension_wfc_orgDescription“, „extension_wfc_AccountingUnitName“ und „extension_wfc_AccountType“ wurden auf „entity.labels“ zugeordnet.
2024-05-02
Fehlerkorrektur:
- Es wurden Prüfungen für das Feld „accountEnabled“ hinzugefügt, um den korrekten Wert in das Feld „entity.user.attribute.labels.value“ zu parsen.
2024-03-14
- „onPremisesImmutableId“ wurde auf „entity.user.attribute.labels“ zugeordnet.
- „gopher-manager.onPremisesImmutableId“ wurde in „entity.user.attribute.labels“ geändert.
2024-01-12
Fehlerkorrektur:
- Die Zuordnung „empmanager-src.usageLocation“ wurde von „entity.user.personal_address.country_or_region“ zu „entity.user.attribute.labels“ geändert.
2023-11-24
Optimierung
- Das Attribut „employeeType“ wurde auf „entity.user.attribute.labels“ zugeordnet.
- Ungültige JSON-Protokolle mit dem Tag „TAG_MALFORMED_MESSAGE“ wurden gelöscht.
2023-10-25
Fehlerkorrektur
- Es wurden Null- und „on_error“-Prüfungen für fehlende Werte hinzugefügt.
2023-09-25
Optimierung
- Die Funktion „Umbenennen“ wurde anstelle von „Ersetzen“ hinzugefügt, um „group.displayName“ mit „relation_entity.entity.group.group_display_name“ zu verknüpfen.
- „country“ wurde „user.personal_address.country_or_region“ zugeordnet. Wenn „country“ nicht vorhanden ist, wird „usageLocation“ mit „user.personal_address.country_or_region“ abgeglichen.
2023-02-09
Optimierung
- Vor der Zuordnung von Daten für das Feld „onPremisesDistinguishedName“ wurde eine Null-Prüfung hinzugefügt.
- Gsub wurde hinzugefügt, um E-Mail-Adressen aus dem Feld „proxyAddresses“ zu extrahieren.
2023-01-23
- „onPremisesExtensionAttributes.extensionAttribute4“ wurde „entity.entity.user.attribute.labels“ zugeordnet, wenn „onPremisesExtensionAttributes.extensionAttribute4“ „Mitarbeiter“ ist.
- Gsub für „onPremisesDistinguishedName“ hinzugefügt, um zusätzliche Backslashes zu entfernen.
2022-12-15
Fehlerkorrektur:
- „mailNickname“ wurde „entity.user.attribute.labels“ zugeordnet.
- „country_n_code“ wird nur dann „user.manager.personal_address.country_or_region“ zugeordnet, wenn „empmanager-src.usageLocation“ den Wert „null“ hat.
2022-09-19
- Fehlerkorrektur:
- „entity.user.attribute.roles“ wurde „ADMINISTRATOR“ zugeordnet, wenn die OU „Admin“ enthält
2022-08-11
- „accountEnabled“ wurde „user.attribute.labels“ zugeordnet
2022-05-16
- Es wurden Zuordnungen für die folgenden Felder hinzugefügt:
- „createdDateTime“ wird auf „entity.user.attribute.creation_time“ zugeordnet
- „accountEnabled“ auf „entity.user.user_authentication_status“
2022-05-09
- Verbesserung: Felder, die mit „extension_GUID_sbuxXXXXXXX“ beginnen, werden je nach Vorkommen im Protokoll „user.attribute.labels“ oder „manager.attribute.labels“ zugeordnet.
2022-03-24
- Verbesserung: Einige fehlende Felder hinzugefügt
- onPremisesSamAccountName, onPremisesDomainName und onPremisesDistinguishedName werden entity.user.attribute.labels zugeordnet.
- Für „signInType“ ist „userPrincipalName“ mit „entity.user.attribute.labels“ verknüpft.