Collecter les journaux de contexte Microsoft Azure AD
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux Microsoft Azure Active Directory (AD) en configurant un flux Google Security Operations.
Azure Active Directory (AZURE_AD) s'appelle désormais Microsoft Entra ID. Les journaux d'audit Azure AD (AZURE_AD_AUDIT) sont désormais des journaux d'audit Microsoft Entra ID.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Un abonnement Azure auquel vous pouvez vous connecter
- Un rôle d'administrateur général ou d'administrateur Azure AD
- Un locataire Azure AD dans Azure
Configurer Azure AD
- Connectez-vous au portail Azure.
- Accédez à Accueil > Enregistrement de l'application, puis sélectionnez une application enregistrée ou enregistrez-en une si vous n'en avez pas encore créé.
- Pour enregistrer une application, dans la section Enregistrement de l'application, cliquez sur Nouvel enregistrement.
- Dans le champ Nom, indiquez le nom à afficher de votre application.
- Dans la section Types de comptes compatibles, sélectionnez l'option requise pour spécifier qui peut utiliser l'application ou accéder à l'API.
- Cliquez sur S'inscrire.
- Accédez à la page Overview (Vue d'ensemble), puis copiez l'ID (client) de l'application et l'ID (de locataire) de l'annuaire, qui sont nécessaires pour configurer le flux Google Security Operations.
- Cliquez sur Autorisations des API.
- Cliquez sur Ajouter une autorisation, puis sélectionnez Microsoft Graph dans le nouveau volet.
- Cliquez sur Autorisations de l'application.
- Sélectionnez les autorisations AuditLog.Read.All, Directory.Read.All et SecurityEvents.Read.All. Assurez-vous que les autorisations sont des autorisations d'application et non des autorisations déléguées.
- Cliquez sur Accorder le consentement administrateur pour l'annuaire par défaut. Les applications sont autorisées à appeler des API lorsqu'elles reçoivent des autorisations de la part des utilisateurs ou des administrateurs dans le cadre du processus de consentement.
- Accédez à Paramètres > Gérer.
- Cliquez sur Certificats et codes secrets.
- Cliquez sur Nouvelle clé secrète client. Le code secret du client s'affiche dans le champ Valeur.
- Copiez la valeur du code secret du client. La valeur n'est affichée qu'au moment de la création. Elle est requise pour l'enregistrement de l'application Azure et pour configurer le flux Google Security Operations.
Configurer des flux
Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :
- Paramètres SIEM> Flux > Ajouter
- Plate-forme de contenu> Packs de contenu> Premiers pas
Configurer le flux de contexte Microsoft Azure AD
- Cliquez sur le pack Plate-forme Azure.
- Recherchez le type de journal Contexte organisationnel Azure AD.
Indiquez les valeurs des champs suivants :
- Type de source : API tierce (recommandé)
- ID client OAUTH : spécifiez l'ID client que vous avez obtenu précédemment.
- Code secret du client OAUTH : spécifiez le code secret du client que vous avez obtenu précédemment.
- ID de locataire : spécifiez l'ID de locataire que vous avez obtenu précédemment.
- Récupérer les appareils : indique si les informations sur les appareils doivent être récupérées dans le contexte de l'utilisateur.
- Récupérer les groupes : indique si les informations sur l'appartenance à un groupe doivent être récupérées dans le contexte de l'utilisateur.
- Chemin d'accès complet à l'API : URL du point de terminaison de l'API REST Microsoft Graph.
- Point de terminaison d'authentification de l'API : point de terminaison d'authentification Microsoft Active Directory.
Options avancées
- Nom du flux : valeur préremplie qui identifie le flux.
- Espace de noms de l'élément : espace de noms associé au flux.
- Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
Cliquez sur Créer un flux.
Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.
Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences de chaque type de flux, consultez Configuration des flux par type. Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Ce code d'analyseur transforme les journaux bruts au format JSON d'Azure Active Directory en modèle de données unifié (UDM). Il extrait les informations sur les utilisateurs et les administrateurs, y compris les attributs, les rôles, les relations et les libellés, tout en gérant diverses incohérences de données et en enrichissant la sortie avec des champs standardisés.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| businessPhones | user.phone_numbers | Directement mappé à partir du champ businessPhones dans le journal brut. Plusieurs numéros de téléphone sont extraits et mappés en tant qu'entrées distinctes. |
| city | user.personal_address.city | Directement mappé à partir du champ city dans le journal brut. |
| companyName | user.company_name | Directement mappé à partir du champ companyName dans le journal brut. |
| pays | user.personal_address.country_or_region | Directement mappé à partir du champ country dans le journal brut. Si country est vide, la valeur est extraite de usageLocation. |
| createdDateTime | user.attribute.creation_time | Converti en code temporel à partir du champ createdDateTime du journal brut au format RFC 3339. |
| department | user.department | Directement mappé à partir du champ department dans le journal brut. Plusieurs services sont extraits et mappés en tant qu'entrées distinctes. |
| displayName | user.user_display_name | Directement mappé à partir du champ displayName dans le journal brut. |
| employeeId | user.employee_id | Directement mappé à partir du champ employeeId dans le journal brut. Si employeeId est vide, la valeur est extraite de extension_employeeNumber. |
| employeeType | user.attribute.labels.value (clé : employeeType) | Directement mappé à partir du champ employeeType dans le journal brut et ajouté en tant que libellé avec la clé employeeType. |
| extension_employeeNumber | user.employee_id | Mappé sur user.employee_id si employeeId est vide. |
| extension_wfc_AccountType | event.idm.entity.entity.labels.value (clé : wfc_AccountType) | Directement mappé à partir du champ extension_wfc_AccountType dans le journal brut et ajouté en tant que libellé avec la clé wfc_AccountType. |
| extension_wfc_AccountingUnitName | event.idm.entity.entity.labels.value (clé : extension_wfc_AccountingUnitName) | Directement mappé à partir du champ extension_wfc_AccountingUnitName dans le journal brut et ajouté en tant que libellé avec la clé extension_wfc_AccountingUnitName. |
| extension_wfc_execDescription | event.idm.entity.entity.labels.value (key: extension_wfc_execDescription) | Directement mappé à partir du champ extension_wfc_execDescription dans le journal brut et ajouté en tant que libellé avec la clé extension_wfc_execDescription. |
| extension_wfc_groupDescription | event.idm.entity.entity.labels.value (clé : extension_wfc_groupDescription) | Directement mappé à partir du champ extension_wfc_groupDescription dans le journal brut et ajouté en tant que libellé avec la clé extension_wfc_groupDescription. |
| extension_wfc_orgDescription | event.idm.entity.entity.labels.value (key: extension_wfc_orgDescription) | Directement mappé à partir du champ extension_wfc_orgDescription dans le journal brut et ajouté en tant que libellé avec la clé extension_wfc_orgDescription. |
| givenName | user.first_name | Directement mappé à partir du champ givenName dans le journal brut. |
| gopher-devices | event.idm.entity.relations | Chaque appareil du tableau gopher-devices est mappé sur une entrée de relation distincte. deviceId est mappé sur product_object_id, operatingSystem et operatingSystemVersion sont combinés pour former platform_version, model est directement mappé et createdDateTime est converti en code temporel et mappé sur created_timestamp. La relation est définie sur OWNS et la direction sur UNIDIRECTIONAL. |
| gopher-groups | event.idm.entity.relations | Chaque groupe du tableau gopher-groups est mappé sur une entrée de relation distincte. id est mappé sur product_object_id et displayName est mappé sur group_display_name. La relation est définie sur MEMBER et la direction sur UNIDIRECTIONAL. |
| gopher-manager.businessPhones | empmanager.phone_numbers | Mappé sur empmanager.phone_numbers si manager est vide. |
| gopher-manager.country | empmanager.personal_address.country_or_region | Mappé sur empmanager.personal_address.country_or_region si manager est vide. Si gopher-manager.country et gopher-manager.usageLocation sont tous les deux vides, le champ reste vide. |
| gopher-manager.department | empmanager.department | Mappé sur empmanager.department si manager est vide. |
| gopher-manager.displayName | empmanager.user_display_name | Mappé sur empmanager.user_display_name si manager est vide. |
| gopher-manager.employeeId | empmanager.employee_id | Mappé sur empmanager.employee_id si manager est vide et gopher-manager.employeeId ne l'est pas. |
| gopher-manager.extension_employeeNumber | empmanager.employee_id | Mappé sur empmanager.employee_id si manager et gopher-manager.employeeId sont vides, et gopher-manager.extension_employeeNumber n'est pas vide. |
| gopher-manager.givenName | empmanager.first_name | Mappé sur empmanager.first_name si manager est vide. |
| gopher-manager.id | empmanager.product_object_id | Mappé sur empmanager.product_object_id si manager est vide. |
| gopher-manager.jobTitle | empmanager.title | Mappé sur empmanager.title si manager est vide. |
| gopher-manager.mail | empmanager.email_addresses | Mappé sur empmanager.email_addresses si manager est vide. |
| gopher-manager.onPremisesImmutableId | user.attribute.labels.value (clé : gopher-manager onPremisesImmutableId) | Mappé en tant que libellé avec la clé gopher-manager onPremisesImmutableId. |
| gopher-manager.onPremisesSamAccountName | empmanager.userid | Mappé sur empmanager.userid si manager est vide. |
| gopher-manager.onPremisesSecurityIdentifier | empmanager.windows_sid | Mappé sur empmanager.windows_sid si manager est vide. |
| gopher-manager.proxyAddresses | empmanager.email_addresses, empmanager.group_identifiers | Si manager est vide, chaque adresse du tableau gopher-manager.proxyAddresses est mappée sur empmanager.email_addresses ou empmanager.group_identifiers selon qu'elle commence par "smtp" ou "SMTP". |
| gopher-manager.refreshTokensValidFromDateTime | empmanager.attribute.labels.value (key: refreshTokensValidFromDateTime) | Mappé en tant que libellé avec la clé refreshTokensValidFromDateTime si manager est vide. |
| gopher-manager.streetAddress | empmanager.personal_address.name | Mappé sur empmanager.personal_address.name si manager est vide. |
| gopher-manager.surname | empmanager.last_name | Mappé sur empmanager.last_name si manager est vide. |
| gopher-manager.usageLocation | user.attribute.labels.value (key: manager_src_usageLocation) | Mappé en tant que libellé avec la clé manager_src_usageLocation. |
| gopher-manager.userType | empmanager.attribute.roles.name | Mappé sur empmanager.attribute.roles.name si manager est vide. |
| id | user.product_object_id | Directement mappé à partir du champ id dans le journal brut. |
| identités | user.attribute.labels.value (clé : signInType), user.attribute.labels.value (clé : userPrincipalName) | Le signInType est mappé en tant que libellé avec la clé signInType. Si signInType et userPrincipalName ne sont pas vides, ils sont combinés et mappés en tant que libellé avec la clé userPrincipalName. |
| jobTitle | user.title | Directement mappé à partir du champ jobTitle dans le journal brut. |
| user.email_addresses | Directement mappé à partir du champ mail dans le journal brut. Si mail commence par "svc-", user_role.type est défini sur SERVICE_ACCOUNT. |
|
| mailNickname | user.attribute.labels.value (clé : mailNickname) | Directement mappé à partir du champ mailNickname dans le journal brut et ajouté en tant que libellé avec la clé mailNickname. |
| manager.businessPhones | empmanager.phone_numbers | Mappé sur empmanager.phone_numbers si gopher-manager est vide. |
| manager.city | empmanager.personal_address.city | Mappé sur empmanager.personal_address.city si gopher-manager est vide. |
| manager.companyName | empmanager.company_name | Mappé sur empmanager.company_name si gopher-manager est vide. |
| manager.country | empmanager.personal_address.country_or_region | Mappé sur empmanager.personal_address.country_or_region si gopher-manager est vide. Si manager.country et manager.usageLocation sont tous les deux vides, le champ reste vide. |
| manager.department | empmanager.department | Mappé sur empmanager.department si gopher-manager est vide. |
| manager.displayName | empmanager.user_display_name | Mappé sur empmanager.user_display_name si gopher-manager est vide. |
| manager.employeeId | empmanager.employee_id | Mappé sur empmanager.employee_id si gopher-manager est vide et manager.employeeId ne l'est pas. |
| manager.extension_employeeNumber | empmanager.employee_id | Mappé sur empmanager.employee_id si gopher-manager et manager.employeeId sont vides, et manager.extension_employeeNumber n'est pas vide. |
| manager.givenName | empmanager.first_name | Mappé sur empmanager.first_name si gopher-manager est vide. |
| manager.id | empmanager.product_object_id | Mappé sur empmanager.product_object_id si gopher-manager est vide. |
| manager.jobTitle | empmanager.title | Mappé sur empmanager.title si gopher-manager est vide. |
| manager.mail | empmanager.email_addresses | Mappé sur empmanager.email_addresses si gopher-manager est vide. |
| manager.onPremisesSamAccountName | empmanager.userid | Mappé sur empmanager.userid si gopher-manager est vide. |
| manager.onPremisesSecurityIdentifier | empmanager.windows_sid | Mappé sur empmanager.windows_sid si gopher-manager est vide. |
| manager.proxyAddresses | empmanager.email_addresses, empmanager.group_identifiers | Si gopher-manager est vide, chaque adresse du tableau manager.proxyAddresses est mappée sur empmanager.email_addresses ou empmanager.group_identifiers selon qu'elle commence par "smtp" ou "SMTP". |
| manager.refreshTokensValidFromDateTime | empmanager.attribute.labels.value (key: refreshTokensValidFromDateTime) | Mappé en tant que libellé avec la clé refreshTokensValidFromDateTime si gopher-manager est vide. |
| manager.state | empmanager.personal_address.state | Mappé sur empmanager.personal_address.state si gopher-manager est vide. |
| manager.streetAddress | empmanager.personal_address.name | Mappé sur empmanager.personal_address.name si gopher-manager est vide. |
| manager.surname | empmanager.last_name | Mappé sur empmanager.last_name si gopher-manager est vide. |
| manager.usageLocation | user.attribute.labels.value (key: manager_src_usageLocation), empmanager.personal_address.country_or_region | Mappé en tant que libellé avec la clé manager_src_usageLocation. Si manager.country est vide, la valeur est également mappée sur empmanager.personal_address.country_or_region. |
| manager.userType | empmanager.attribute.roles.name | Mappé sur empmanager.attribute.roles.name si gopher-manager est vide. |
| onPremisesDistinguishedName | user.attribute.labels.value (key: onPremisesDistinguishedName), user.attribute.labels.value (key: onPremisesDistinguishedName-OU data) | Le nom distinctif complet est mappé en tant que libellé avec la clé onPremisesDistinguishedName. La partie UO du nom distinctif est extraite et mappée en tant que libellé avec la clé onPremisesDistinguishedName-OU data. Si la partie UO contient "Admin", user_role.type est défini sur ADMINISTRATOR. S'il contient "Comptes de service", user_role.type est défini sur SERVICE_ACCOUNT. |
| onPremisesDomainName | user.group_identifiers, user.attribute.labels.value (key: onPremisesDomainName) | Directement mappé sur user.group_identifiers et ajouté en tant que libellé avec la clé onPremisesDomainName. |
| onPremisesImmutableId | user.attribute.labels.value (clé : onPremisesImmutableId) | Directement mappé à partir du champ onPremisesImmutableId dans le journal brut et ajouté en tant que libellé avec la clé onPremisesImmutableId. |
| onPremisesSamAccountName | user.userid, user.attribute.labels.value (key: onPremisesSamAccountName) | Mappé sur user.userid si sAMAccountName est vide. Elle est également ajoutée en tant que libellé avec la clé onPremisesSamAccountName. |
| onPremisesSecurityIdentifier | user.windows_sid | Directement mappé à partir du champ onPremisesSecurityIdentifier dans le journal brut. |
| proxyAddresses | user.email_addresses, user.group_identifiers | Chaque adresse du tableau proxyAddresses est associée à user.email_addresses ou user.group_identifiers selon qu'elle commence par "smtp" ou "SMTP". Si l'adresse commence par "smtp" ou "SMTP", le préfixe "smtp:" ou "SMTP:" est supprimé, et l'adresse e-mail restante est extraite et associée à user.email_addresses. |
| refreshTokensValidFromDateTime | user.attribute.labels.value (clé : refreshTokensValidFromDateTime) | Directement mappé à partir du champ refreshTokensValidFromDateTime dans le journal brut et ajouté en tant que libellé avec la clé refreshTokensValidFromDateTime. |
| sAMAccountName | user.userid | Directement mappé à partir du champ sAMAccountName dans le journal brut. |
| state | user.personal_address.state | Directement mappé à partir du champ state dans le journal brut. |
| streetAddress | user.personal_address.name | Directement mappé à partir du champ streetAddress dans le journal brut. |
| surname | user.last_name | Directement mappé à partir du champ surname dans le journal brut. |
| usageLocation | user.personal_address.country_or_region | Si country est vide, la valeur est mappée sur user.personal_address.country_or_region. |
| userPrincipalName | user.email_addresses | Directement mappé à partir du champ userPrincipalName dans le journal brut. Si userPrincipalName commence par "svc-", user_role.type est défini sur SERVICE_ACCOUNT. |
| userType | user.attribute.roles.name | Directement mappé à partir du champ userType du journal brut et ajouté à user.attribute.roles.name. |
| Logique de l'analyseur | Mappage UDM | Logique |
| N/A | event.idm.entity.metadata.vendor_name | Défini sur "Microsoft". |
| N/A | event.idm.entity.metadata.product_name | Définissez la valeur sur "Azure Active Directory". |
| N/A | event.idm.entity.metadata.entity_type | Définissez-le sur "USER" (UTILISATEUR). |
| N/A | event.idm.entity.metadata.collected_timestamp | Définissez le champ create_time à partir du journal brut. |
| accountEnabled | user.user_authentication_status, user.attribute.labels.value (clé : accountEnabled) | Si accountEnabled est défini sur "true", user.user_authentication_status est défini sur "ACTIVE" et un libellé avec la clé accountEnabled et la valeur "true" est ajouté. Sinon, un libellé avec la clé accountEnabled et la valeur "false" est ajouté. |
| empmanager-src.accountEnabled | user.user_authentication_status, user.attribute.labels.value (clé : accountEnabled) | Si manager est vide et que empmanager-src.accountEnabled est défini sur "true", user.user_authentication_status est défini sur "ACTIVE" et un libellé avec la clé accountEnabled et la valeur "true" est ajouté. Sinon, un libellé avec la clé accountEnabled et la valeur "false" est ajouté. |
| onPremisesDistinguishedName | user_role.type | Si la partie UO du nom distinctif contient "Admin", user_role.type est défini sur ADMINISTRATOR. S'il contient "Comptes de service", user_role.type est défini sur SERVICE_ACCOUNT. |
| userPrincipalName | user_role.type | Si userPrincipalName commence par "svc-", user_role.type est défini sur SERVICE_ACCOUNT. |
| empmanager-src.onPremisesDistinguishedName | manager_role.type | Si gopher-manager est vide et que la partie UO du nom distinctif du responsable contient "Users", manager_role.type est défini sur ADMINISTRATOR. S'il contient "Comptes de service", manager_role.type est défini sur SERVICE_ACCOUNT. |
| empmanager-src.userPrincipalName | manager_role.type | Si gopher-manager est vide et que empmanager-src.userPrincipalName commence par "svc-", manager_role.type est défini sur SERVICE_ACCOUNT. |
| user_role.type | Si mail commence par "svc-", user_role.type est défini sur SERVICE_ACCOUNT. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.