Microsoft Azure AD-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Azure Active Directory-Logs (AD) erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Azure Active Directory (AZURE_AD) heißt jetzt Microsoft Entra ID. Azure AD-Audit-Logs (AZURE_AD_AUDIT) sind jetzt Microsoft Entra ID-Audit-Logs.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert.
Hinweise
Für die Aufgaben auf dieser Seite benötigen Sie Folgendes:
- Ein Azure-Abo, mit dem Sie sich anmelden können.
- Die Rolle „Global Administrator“ oder „Azure AD-Administrator“.
- Ein Azure AD-Mandant in Azure.
Azure AD konfigurieren
- Melden Sie sich im Azure an.
- Gehen Sie zu Startseite > App-Registrierung, wählen Sie eine registrierte App aus oder registrieren Sie eine App, falls Sie noch keine App erstellt haben.
- Wenn Sie eine Anwendung registrieren möchten, klicken Sie im Abschnitt App-Registrierung auf Neue Registrierung.
- Geben Sie im Feld Name den Anzeigenamen für Ihre Anwendung ein.
- Wählen Sie im Abschnitt Unterstützte Kontotypen die gewünschte Option aus, um anzugeben, wer die Anwendung verwenden oder auf die API zugreifen darf.
- Klicken Sie auf Registrieren.
- Rufen Sie die Seite Übersicht auf und kopieren Sie die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Tenant-ID), die zum Konfigurieren des Google Security Operations-Feeds erforderlich sind.
- Klicken Sie auf API-Berechtigungen.
- Klicken Sie auf Berechtigung hinzufügen und wählen Sie im neuen Bereich Microsoft Graph aus.
- Klicken Sie auf Anwendungsberechtigungen.
- Wählen Sie die Berechtigungen AuditLog.Read.All, Directory.Read.All und SecurityEvents.Read.All aus. Achten Sie darauf, dass es sich bei den Berechtigungen um Anwendungsberechtigungen und nicht um delegierte Berechtigungen handelt.
- Klicken Sie auf Administratoreinwilligung für Standardverzeichnis erteilen. Anwendungen dürfen APIs aufrufen, wenn sie im Rahmen des Einwilligungsverfahrens von Nutzern oder Administratoren Berechtigungen erhalten.
- Gehen Sie zu Einstellungen > Verwalten.
- Klicken Sie auf Zertifikate und Secrets.
- Klicken Sie auf Neuer geheimer Clientschlüssel. Im Feld Wert wird der Clientschlüssel angezeigt.
- Kopieren Sie den Clientschlüsselwert. Der Wert wird nur zum Zeitpunkt der Erstellung angezeigt und ist für die Azure-App-Registrierung und die Konfiguration des Google Security Operations-Feeds erforderlich.
Feed in Google Security Operations für die Aufnahme von Azure AD-Protokollen konfigurieren
- Wählen Sie SIEM-Einstellungen > Feeds aus.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie einen eindeutigen Namen für den Feednamen ein.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Azure AD als Logtyp aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- OAUTH-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
- OAUTH-Clientschlüssel: Geben Sie den Clientschlüssel an, den Sie zuvor abgerufen haben.
- Mandanten-ID: Geben Sie die zuvor abgerufene Mandanten-ID an.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parsercode wandelt Roh-Azure AD-Logs im JSON-Format in ein einheitliches Datenmodell (UDM) um. Zuerst werden die Daten normalisiert, indem unnötige Felder entfernt werden. Anschließend werden relevante Informationen wie Nutzerdetails, Zeitstempel und Ereignisdetails extrahiert und den entsprechenden UDM-Feldern für eine einheitliche Darstellung und Analyse zugeordnet.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld activityDateTime extrahiert und in Sekunden seit der Epoche umgewandelt. |
| activityDisplayName | read_only_udm.security_result.summary | Der Wert wird direkt aus dem Feld activityDisplayName zugeordnet. |
| additionalDetails.0.value | read_only_udm.network.http.user_agent | Der Wert wird direkt aus dem Feld additionalDetails.0.value zugeordnet. |
| additionalDetails.1.key | read_only_udm.target.resource.attribute.labels.key | Der Wert wird direkt aus dem Feld additionalDetails.1.key zugeordnet. |
| additionalDetails.1.value | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld additionalDetails.1.value zugeordnet. |
| am_category | read_only_udm.metadata.description | Der Wert wird direkt aus dem Feld am_category zugeordnet. |
| am_tenantId | read_only_udm.metadata.product_deployment_id | Der Wert wird direkt aus dem Feld am_tenantId zugeordnet. |
| appDisplayName | read_only_udm.target.application | Der Wert wird direkt aus dem Feld appDisplayName zugeordnet. Wenn appDisplayName leer ist, wird der Wert aus resourceDisplayName übernommen. |
| appId | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld appId zugeordnet. |
| appliedConditionalAccessPolicies.displayName | read_only_udm.about.user.user_display_name | Der Wert wird direkt aus dem Feld appliedConditionalAccessPolicies.displayName zugeordnet. |
| appliedConditionalAccessPolicies.enforcedGrantControls | read_only_udm.security_result.rule_labels.value | Der Wert wird direkt aus dem Feld appliedConditionalAccessPolicies.enforcedGrantControls zugeordnet. |
| appliedConditionalAccessPolicies.enforcedSessionControls | read_only_udm.security_result.rule_labels.value | Der Wert wird direkt aus dem Feld appliedConditionalAccessPolicies.enforcedSessionControls zugeordnet. |
| appliedConditionalAccessPolicies.id | read_only_udm.about.user.userid | Der Wert wird direkt aus dem Feld appliedConditionalAccessPolicies.id zugeordnet. |
| appliedConditionalAccessPolicies.result | read_only_udm.about.labels.value | Der Wert wird direkt aus dem Feld appliedConditionalAccessPolicies.result zugeordnet. |
| authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld authenticationDetails.authenticationMethod zugeordnet. |
| authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld authenticationDetails.authenticationMethodDetail zugeordnet. |
| authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld authenticationDetails.authenticationStepDateTime zugeordnet. |
| authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld authenticationDetails.authenticationStepRequirement zugeordnet. |
| authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld authenticationDetails.authenticationStepResultDetail zugeordnet. |
| authenticationProcessingDetails.key | read_only_udm.additional.fields.key | Der Wert wird direkt aus dem Feld authenticationProcessingDetails.key mit dem Präfix „authenticationProcessingDetails - “ zugeordnet. |
| authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld authenticationProcessingDetails.value zugeordnet. |
| callerIpAddress | read_only_udm.principal.ip | Der Wert wird direkt aus dem Feld callerIpAddress zugeordnet. |
| callerIpAddress | read_only_udm.principal.asset.ip | Der Wert wird direkt aus dem Feld callerIpAddress zugeordnet. |
| Kategorie | read_only_udm.metadata.description | Der Wert wird direkt aus dem Feld category zugeordnet. |
| clientAppUsed | read_only_udm.principal.application | Der Wert wird direkt aus dem Feld clientAppUsed zugeordnet. |
| conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld conditionalAccessStatus zugeordnet. |
| correlationId | read_only_udm.network.session_id | Der Wert wird direkt aus dem Feld correlationId zugeordnet. |
| correlationId | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld correlationId zugeordnet. |
| createdDateTime | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld createdDateTime extrahiert und in Sekunden seit der Epoche umgewandelt. |
| deviceDetail.browser | read_only_udm.network.http.user_agent | Der Wert wird direkt aus dem Feld deviceDetail.browser zugeordnet. |
| deviceDetail.deviceId | read_only_udm.principal.asset.asset_id | Der Wert wird direkt aus dem Feld deviceDetail.deviceId abgeleitet und mit „Geräte-ID:“ vorangestellt. |
| deviceDetail.deviceId | read_only_udm.principal.asset_id | Der Wert wird direkt aus dem Feld deviceDetail.deviceId abgeleitet und mit „Geräte-ID:“ vorangestellt. |
| deviceDetail.displayName | read_only_udm.principal.asset.hostname | Der Wert wird direkt aus dem Feld deviceDetail.displayName zugeordnet. |
| deviceDetail.isCompliant | read_only_udm.principal.asset.attribute.labels.value | Der Wert wird direkt aus dem Feld deviceDetail.isCompliant zugeordnet. |
| deviceDetail.isManaged | read_only_udm.principal.asset.attribute.labels.value | Der Wert wird direkt aus dem Feld deviceDetail.isManaged zugeordnet. |
| deviceDetail.operatingSystem | read_only_udm.principal.platform_version | Der Wert wird direkt aus dem Feld deviceDetail.operatingSystem zugeordnet. |
| deviceDetail.trustType | read_only_udm.principal.asset.attribute.labels.value | Der Wert wird direkt aus dem Feld deviceDetail.trustType zugeordnet. |
| durationMs | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld durationMs zugeordnet. |
| errorCode | read_only_udm.security_result.rule_id | Der Wert wird direkt aus dem Feld errorCode zugeordnet. |
| identity | read_only_udm.target.user.user_display_name | Der Wert wird direkt aus dem Feld identity zugeordnet, wenn er sich von userId unterscheidet und nicht mit einem E-Mail-Adressenmuster übereinstimmt. |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | Der Wert wird direkt aus dem Feld initiatedBy.user.displayName zugeordnet. |
| initiatedBy.user.id | read_only_udm.principal.user.userid | Der Wert wird direkt aus dem Feld initiatedBy.user.id zugeordnet. |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip | Der Wert wird direkt aus dem Feld initiatedBy.user.ipAddress zugeordnet. |
| initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | Der Wert wird direkt aus dem Feld initiatedBy.user.ipAddress zugeordnet. |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | Der Wert wird direkt aus dem Feld initiatedBy.user.userPrincipalName zugeordnet, wenn er mit einem E-Mail-Adressenmuster übereinstimmt. |
| ipAddress | read_only_udm.principal.ip | Der Wert wird mit einem Grok-Muster aus dem Feld ipAddress extrahiert, um die IP-Adresse zu ermitteln. |
| ipAddress | read_only_udm.principal.asset.ip | Der Wert wird mit einem Grok-Muster aus dem Feld ipAddress extrahiert, um die IP-Adresse zu ermitteln. |
| isInteractive | read_only_udm.extensions.auth.mechanism | Der Wert wird „INTERAKTIV“ zugeordnet, wenn isInteractive „wahr“ ist, andernfalls „MECHANISM_OTHER“. |
| isInteractive | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld isInteractive zugeordnet. |
| level | read_only_udm.security_result.severity | Der Wert wird aus dem Feld level anhand der folgenden Logik zugeordnet: * „Information“, „Informationen“, „0“, „4“ werden zu „INFORMATIONEN“ zugeordnet. * „Warnung“, „1“ und „3“ sind „MITTEL“ zugeordnet. * „Fehler“ und „2“ werden „ERROR“ zugeordnet. * „Kritisch“, „KRITISCH“ und „kritisch“ werden auf „KRITISCH“ zugeordnet. |
| level | read_only_udm.security_result.severity_details | Der Wert wird direkt aus dem Feld level zugeordnet. |
| location.city | read_only_udm.principal.location.city | Der Wert wird direkt aus dem Feld location.city zugeordnet. |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Der Wert wird direkt aus dem Feld location.countryOrRegion zugeordnet. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | Der Wert wird direkt aus dem Feld location.geoCoordinates.latitude zugeordnet und in einen Float-Wert umgewandelt. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Der Wert wird direkt aus dem Feld location.geoCoordinates.latitude zugeordnet und in einen Float-Wert umgewandelt. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | Der Wert wird direkt aus dem Feld location.geoCoordinates.longitude zugeordnet und in einen Float-Wert umgewandelt. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Der Wert wird direkt aus dem Feld location.geoCoordinates.longitude zugeordnet und in einen Float-Wert umgewandelt. |
| location.state | read_only_udm.principal.location.state | Der Wert wird direkt aus dem Feld location.state zugeordnet. |
| networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | Der Wert wird generiert, indem alle Werte aus dem networkLocationDetails.networkNames-Array durch Kommas getrennt werden. |
| networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld networkLocationDetails.networkType zugeordnet. |
| networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld networkLocationDetails.networkType zugeordnet. |
| operationName | read_only_udm.metadata.event_type | Der Wert wird „USER_LOGIN“ zugeordnet, wenn operationName „Anmeldeaktivitäten“ ist, „USER_CHANGE_PERMISSIONS“, wenn operationName „Gruppenmitglied hinzufügen“ ist, und „USER_RESOURCE_UPDATE_PERMISSIONS“, wenn operationName „Dem Serviceprinzipal eine App-Rollenzuweisung hinzufügen“ ist. Andernfalls wird der Wert anhand der Anwesenheit anderer Felder bestimmt: * „USER_LOGIN“, wenn has_target_user „wahr“ ist. * „USER_UNCATEGORIZED“, wenn has_principal_user „wahr“ ist. * „STATUS_UPDATE“, wenn has_principal „wahr“ ist. * „GENERIC_EVENT“, andernfalls |
| operationType | read_only_udm.security_result.action_details | Der Wert wird direkt aus dem Feld operationType zugeordnet. |
| properties.activity | read_only_udm.security_result.summary | Der Wert wird direkt aus dem Feld properties.activity zugeordnet. |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld properties.activityDateTime extrahiert und in Sekunden seit der Epoche umgewandelt. |
| properties.additionalInfo | read_only_udm.network.http.user_agent | Der Wert wird aus dem Feld properties.additionalInfo extrahiert, indem der JSON-String analysiert und der Wert für den Schlüssel „userAgent“ extrahiert wird. |
| properties.additionalInfo | read_only_udm.target.url | Der Wert wird aus dem Feld properties.additionalInfo extrahiert, indem der JSON-String geparst und der Wert für den Schlüssel „alertUrl“ extrahiert wird. |
| properties.appId | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld properties.appId zugeordnet. |
| properties.appDisplayName | read_only_udm.target.application | Der Wert wird direkt aus dem Feld properties.appDisplayName zugeordnet. |
| properties.appliedConditionalAccessPolicies.displayName | read_only_udm.security_result.rule_name | Der Wert wird direkt aus dem Feld properties.appliedConditionalAccessPolicies.displayName zugeordnet. |
| properties.appliedConditionalAccessPolicies.id | read_only_udm.security_result.rule_id | Der Wert wird direkt aus dem Feld properties.appliedConditionalAccessPolicies.id zugeordnet. |
| properties.appliedConditionalAccessPolicies.result | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.appliedConditionalAccessPolicies.result zugeordnet. |
| properties.authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationDetails.authenticationMethod zugeordnet. |
| properties.authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationDetails.authenticationMethodDetail zugeordnet. |
| properties.authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationDetails.authenticationStepDateTime zugeordnet. |
| properties.authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationDetails.authenticationStepRequirement zugeordnet. |
| properties.authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationDetails.authenticationStepResultDetail zugeordnet. |
| properties.authenticationProcessingDetails.key | read_only_udm.additional.fields.key | Der Wert wird direkt aus dem Feld properties.authenticationProcessingDetails.key mit dem Präfix „properties authenticationProcessingDetails - " zugeordnet. |
| properties.authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.authenticationProcessingDetails.value zugeordnet. |
| properties.authenticationRequirement | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.authenticationRequirement zugeordnet. |
| properties.authenticationRequirementPolicies.detail | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationRequirementPolicies.detail zugeordnet. |
| properties.authenticationRequirementPolicies.requirementProvider | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationRequirementPolicies.requirementProvider zugeordnet. |
| properties.clientAppUsed | read_only_udm.principal.application | Der Wert wird direkt aus dem Feld properties.clientAppUsed zugeordnet. |
| properties.conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.conditionalAccessStatus zugeordnet. |
| properties.createdDateTime | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld properties.createdDateTime extrahiert und in Sekunden seit der Epoche umgewandelt. |
| properties.crossTenantAccessType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.crossTenantAccessType zugeordnet. |
| properties.detectedDateTime | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.detectedDateTime zugeordnet. |
| properties.detectionTimingType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.detectionTimingType zugeordnet. |
| properties.homeTenantId | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.homeTenantId zugeordnet. |
| properties.id | read_only_udm.metadata.product_log_id | Der Wert wird direkt aus dem Feld properties.id zugeordnet. |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.displayName zugeordnet. |
| properties.initiatedBy.user.id | read_only_udm.principal.user.windows_sid | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.id zugeordnet. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.ipAddress zugeordnet. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.ipAddress zugeordnet. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.userPrincipalName zugeordnet, wenn er nicht mit einem E-Mail-Adressenmuster übereinstimmt. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.userPrincipalName zugeordnet, wenn er mit einem E-Mail-Adressenmuster übereinstimmt. |
| properties.ipAddress | read_only_udm.principal.ip | Der Wert wird mit einem Grok-Muster aus dem Feld properties.ipAddress extrahiert, um die IP-Adresse zu ermitteln. |
| properties.ipAddress | read_only_udm.principal.asset.ip | Der Wert wird mit einem Grok-Muster aus dem Feld properties.ipAddress extrahiert, um die IP-Adresse zu ermitteln. |
| properties.isGuest | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.isGuest zugeordnet. |
| properties.isDeleted | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.isDeleted zugeordnet. |
| properties.isProcessing | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.isProcessing zugeordnet. |
| properties.lastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.lastUpdatedDateTime zugeordnet. |
| properties.location.city | read_only_udm.principal.location.city | Der Wert wird direkt aus dem Feld properties.location.city zugeordnet. |
| properties.location.countryOrRegion | read_only_udm.principal.location.country_or_region | Der Wert wird direkt aus dem Feld properties.location.countryOrRegion zugeordnet. |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | Der Wert wird direkt aus dem Feld properties.location.geoCoordinates.latitude zugeordnet und in einen Float-Wert umgewandelt. |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Der Wert wird direkt aus dem Feld properties.location.geoCoordinates.latitude zugeordnet und in einen Float-Wert umgewandelt. |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | Der Wert wird direkt aus dem Feld properties.location.geoCoordinates.longitude zugeordnet und in einen Float-Wert umgewandelt. |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Der Wert wird direkt aus dem Feld properties.location.geoCoordinates.longitude zugeordnet und in einen Float-Wert umgewandelt. |
| properties.location.state | read_only_udm.principal.location.state | Der Wert wird direkt aus dem Feld properties.location.state zugeordnet. |
| properties.networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | Der Wert wird generiert, indem alle Werte aus dem properties.networkLocationDetails.networkNames-Array durch Kommas getrennt werden. |
| properties.networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.networkLocationDetails.networkType zugeordnet. |
| properties.networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.networkLocationDetails.networkType zugeordnet. |
| properties.resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld properties.resourceServicePrincipalId zugeordnet. |
| properties.riskDetail | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskDetail zugeordnet. |
| properties.riskEventType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskEventType zugeordnet. |
| properties.riskLastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskLastUpdatedDateTime zugeordnet. |
| properties.riskLevel | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskLevel zugeordnet. |
| properties.riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskLevelDuringSignIn zugeordnet. |
| properties.riskState | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskState zugeordnet. |
| properties.riskType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskType zugeordnet. |
| properties.source | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.source zugeordnet. |
| properties.targetResources.0.id | read_only_udm.target.user.product_object_id | Der Wert wird direkt aus dem Feld properties.targetResources.0.id zugeordnet. |
| properties.targetResources.modifiedProperties.0.newValue | read_only_udm.target.group.product_object_id | Der Wert wird direkt aus dem Feld properties.targetResources.modifiedProperties.0.newValue zugeordnet. |
| properties.tokenIssuerType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.tokenIssuerType zugeordnet. |
| properties.userAgent | read_only_udm.network.http.parsed_user_agent | Der Wert wird direkt aus dem Feld properties.userAgent zugeordnet und in ein geparstes User-Agent-Objekt umgewandelt. |
| properties.userAgent | read_only_udm.network.http.user_agent | Der Wert wird direkt aus dem Feld properties.userAgent zugeordnet. |
| properties.userId | read_only_udm.target.user.product_object_id | Der Wert wird direkt aus dem Feld properties.userId zugeordnet. |
| properties.userPrincipalName | read_only_udm.target.user.userid | Der Wert wird direkt aus dem Feld properties.userPrincipalName zugeordnet, wenn er nicht mit einem E-Mail-Adressenmuster übereinstimmt. |
| properties.userPrincipalName | read_only_udm.target.user.email_addresses | Der Wert wird direkt aus dem Feld properties.userPrincipalName zugeordnet, wenn er mit einem E-Mail-Adressenmuster übereinstimmt. |
| result | read_only_udm.security_result.action | Der Wert wird „ALLOW“ zugeordnet, wenn result „success“ ist. |
| result | read_only_udm.security_result.action_details | Der Wert wird direkt aus dem Feld result zugeordnet, wenn result „success“ ist. |
| resultDescription | read_only_udm.security_result.description | Der Wert wird direkt aus dem Feld resultDescription zugeordnet. |
| resultSignature | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld resultSignature zugeordnet. |
| resultType | read_only_udm.security_result.action | Der Wert wird „ALLOW“ zugeordnet, wenn resultType „0“ ist. |
| resultType | read_only_udm.security_result.rule_id | Der Wert wird direkt aus dem Feld resultType zugeordnet, wenn es nicht leer und nicht „0“ ist. |
| resultType | read_only_udm.security_result.summary | Der Wert wird „Erfolgreiche Anmeldung“ zugeordnet, wenn resultType „0“ ist, andernfalls „Abgelehnt“. |
| resourceDisplayName | read_only_udm.target.application | Der Wert wird direkt aus dem Feld resourceDisplayName zugeordnet. |
| resourceDisplayName | read_only_udm.target.resource.name | Der Wert wird direkt aus dem Feld resourceDisplayName zugeordnet. |
| resourceId | read_only_udm.target.resource.id | Der Wert wird direkt aus dem Feld resourceId zugeordnet. |
| resourceId | read_only_udm.target.resource.product_object_id | Der Wert wird direkt aus dem Feld resourceId zugeordnet. |
| resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld resourceServicePrincipalId zugeordnet. |
| riskDetail | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld riskDetail zugeordnet. |
| riskEventTypes | read_only_udm.additional.fields.value.string_value | Der Wert wird aus dem riskEventTypes-Array extrahiert und einem Stringwert im additional.fields-Array zugeordnet. |
| riskEventTypes | read_only_udm.additional.fields.value.list_value.values.string_value | Der Wert wird direkt aus jedem Element des riskEventTypes-Arrays zugeordnet. |
| riskEventTypes_v2 | read_only_udm.additional.fields.value.list_value.values.string_value | Der Wert wird direkt aus jedem Element des riskEventTypes_v2-Arrays zugeordnet. |
| riskLevelAggregated | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld riskLevelAggregated zugeordnet. |
| riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld riskLevelDuringSignIn zugeordnet. |
| riskState | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld riskState zugeordnet. |
| status.additionalDetails | read_only_udm.security_result.description | Der Wert wird direkt aus dem Feld status.additionalDetails zugeordnet. |
| status.errorCode | read_only_udm.security_result.action | Der Wert wird „ALLOW“ zugeordnet, wenn status.errorCode „0“ ist. |
| status.errorCode | read_only_udm.security_result.rule_id | Der Wert wird direkt aus dem Feld status.errorCode zugeordnet, wenn es nicht leer ist. |
| status.errorCode | read_only_udm.security_result.summary | Der Wert wird „Erfolgreiche Anmeldung“ zugeordnet, wenn status.errorCode „0“ ist, andernfalls „Abgelehnt“. |
| status.failureReason | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld status.failureReason zugeordnet. |
| targetResources.displayName | read_only_udm.target.resource.name | Der Wert wird direkt aus dem Feld targetResources.displayName zugeordnet. |
| targetResources.id | read_only_udm.target.resource.id | Der Wert wird direkt aus dem Feld targetResources.id zugeordnet. |
| targetResources.id | read_only_udm.target.resource.product_object_id | Der Wert wird direkt aus dem Feld targetResources.id zugeordnet. |
| targetResources.modifiedProperties.displayName | read_only_udm.target.resource.attribute.labels.key | Der Wert wird direkt aus dem Feld targetResources.modifiedProperties.displayName zugeordnet. |
| targetResources.modifiedProperties.newValue | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld targetResources.modifiedProperties.newValue zugeordnet, nachdem doppelte Anführungszeichen entfernt wurden. |
| targetResources.modifiedProperties.oldValue | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld targetResources.modifiedProperties.oldValue zugeordnet. |
| targetResources.type | read_only_udm.target.resource.type | Der Wert wird direkt aus dem Feld targetResources.type zugeordnet. |
| targetResources.userPrincipalName | read_only_udm.target.user.user_display_name | Der Wert wird direkt aus dem Feld targetResources.userPrincipalName zugeordnet. |
| tenantId | read_only_udm.metadata.product_deployment_id | Der Wert wird direkt aus dem Feld tenantId zugeordnet. |
| Zeit | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld time extrahiert und in Sekunden seit der Epoche umgewandelt. |
| userAgent | read_only_udm.network.http.parsed_user_agent | Der Wert wird direkt aus dem Feld userAgent zugeordnet und in ein geparstes User-Agent-Objekt umgewandelt. |
| userAgent | read_only_udm.network.http.user_agent | Der Wert wird direkt aus dem Feld userAgent zugeordnet. |
| userDisplayName | read_only_udm.target.user.user_display_name | Der Wert wird direkt aus dem Feld userDisplayName zugeordnet, wenn er sich von userId unterscheidet und nicht mit einem E-Mail-Adressenmuster übereinstimmt. |
| userPrincipalName | read_only_udm.principal.administrative_domain | Der Domainteil der E-Mail-Adresse wird mithilfe eines Grok-Musters aus dem Feld userPrincipalName extrahiert und dem Feld principal.administrative_domain zugeordnet. |
| userPrincipalName | read_only_udm.target.user.email_addresses | Der Wert wird direkt aus dem Feld userPrincipalName zugeordnet, wenn er mit einem E-Mail-Adressenmuster übereinstimmt. |
| userPrincipalName | read_only_udm.target.user.userid | Der Wert wird direkt aus dem Feld userPrincipalName zugeordnet, wenn er nicht mit einem E-Mail-Adressenmuster übereinstimmt. |
| userId | read_only_udm.target.user.product_object_id | Der Wert wird direkt aus dem Feld userId zugeordnet. |
| read_only_udm.metadata.log_type | AZURE_AD | Dieser Wert ist im Parser hartcodiert. |
| read_only_udm.metadata.vendor_name | Microsoft | Dieser Wert ist im Parser hartcodiert. |
| read_only_udm.metadata.product_name | Azure AD | Dieser Wert ist im Parser hartcodiert. |
| read_only_udm.extensions.auth.type | SSO, die | Dieser Wert ist im Parser hartcodiert. |
Änderungen
2024-07-05
- „isInteractive“ wurde „security_result.detection_fields“ zugeordnet.
2024-04-02
- „properties.createdDateTime“ wurde in „metadata.event_timestamp“ umgewandelt.
- „properties.resourceServicePrincipalId“ und „resourceServicePrincipalId“ wurden auf „target.resource.attribute.labels“ zugeordnet.
- „properties.authenticationProcessingDetails“, „authenticationProcessingDetails“ und „properties.networkLocationDetails“ wurden in „additional.fields“ zugeordnet.
- „properties.userAgent“ wurde in „network.http.user_agent“ und „network.http.parsed_user_agent“ umgewandelt.
- „properties.authenticationRequirement“ wurde „additional.fields“ zugeordnet.
2024-06-03
- Die Zuordnung von „policies.displayName“ wurde von „about.user.user_display_name“ zu „security_result.rule_name“ geändert.
- Die Zuordnung von „policies.id“ wurde von „about.user.userid“ zu „security_result.rule_id“ geändert.
- Die Zuordnung von „policies.result“ wurde von „about.labels“ zu „security_result.detection_fields“ geändert.
2024-05-29
- Wenn „status.errorCode“ den Wert „0“ hat, setzen Sie „security_result.action“ auf „ALLOW“.
2024-05-13
Fehlerkorrektur:
- „userPrincipalName“ wurde auf „target.user.userid“ zugeordnet.
2024-05-10
- „networkLocationDetails.n.networkNames“, „properties.networkLocationDetails.n.networkNames“, „networkLocationDetails.n.networkType“ und „properties.networkLocationDetails.n.networkType“ wurden in „additional.fields“ zugeordnet.
- „properties.userAgent“ und „userAgent“ wurden in „network.http.user_agent“ und „network.http.parsed_user_agent“ umgewandelt.
2024-05-03
Fehlerkorrektur:
- Vor dem Zuordnen von „target.modifiedProperties.n.newValue“ wurde die Prüfung „on_error“ hinzugefügt.
- „target.modifiedProperties.n.oldValue“ und „target.modifiedProperties.n.displayName“ wurden auf „target.resource.attribute.labels“ zugeordnet.
- „activityDisplayName“ wurde „security_result.summary“ zugeordnet.
2024-04-30
- „properties.authenticationDetails“, „properties.networkLocationDetails“, „properties.authenticationRequirementPolicies“, „networkLocationDetails“ und „authenticationRequirementPolicies“ wurden in „security_result.detection_fields“ zugeordnet.
2024-04-02
- „properties.authenticationRequirement“ wurde „additional.fields“ zugeordnet.
2024-04-02
- „authenticationRequirement“ wurde „additional.fields“ zugeordnet.
2024-02-26
- „appliedConditionalAccessPolicies“ wurde in „security_result“ zugeordnet.
- „isInteractive“ wurde in „extensions.auth.mechanism“ geändert.
- „location.geoCoordinates.altitude“ wurde „additional.fields“ zugeordnet.
2024-02-09
- „authenticationDetails.authenticationMethod“, „authenticationDetails.authenticationMethodDetail“, „authenticationDetails.authenticationStepResultDetail“, „authenticationDetails.authenticationStepDateTime“ und „authenticationDetails.authenticationStepRequirement“ wurden in „security_result.detection_fields“ umgewandelt.
- „authenticationDetails.succeeded“ wurde „security_result.action“ zugeordnet.
- „status.additionalDetails“ wurde in „security_result.description“ geändert.
2024-01-11
- „correlationId“ wurde „security_result.detection_fields“ zugeordnet.
2023-11-20
- „tenantId“ wurde „metadata.product_deployment_id“ zugeordnet.
- „Level“ wurde „security_result.severity_details“ und „security_result.severity“ zugeordnet.
- „properties.userDisplayName“ wurde mit „target.user.user_display_name“ verknüpft.
- „identity“ wurde „target.user.user_display_name“ zugeordnet.
- „properties.activityDateTime“ wurde in „metadata.event_timestamp“ umgewandelt.
- „properties.activity“ wurde in „security_result.summary“ geändert.
- Zugewiesene Werte für „resultSignature“, „properties.riskLevel“, „properties.isGuest“, „properties.isDeleted“ und „properties.isProcessing“
- „properties.riskLastUpdatedDateTime“, „properties.riskType“, „properties.riskEventType“, „properties.riskState“, „properties.riskDetail“, „properties.source“, „properties.detectionTimingType“
- „properties.detectedDateTime“, „properties.lastUpdatedDateTime“, „properties.tokenIssuerType“, „properties.homeTenantId“, „properties.userType“, „properties.crossTenantAccessType“, „durationMs“ zu „additional.fields“.
- „resourceId“ wurde „target.resource.product_object_id“ zugeordnet.
- „properties.location.geoCoordinates.longitude“ und „location.geoCoordinates.longitude“ wurden in „principal.location.region_coordinates.longitude“ umgewandelt.
- „properties.location.geoCoordinates.latitude“ und „location.geoCoordinates.latitude“ wurden in „principal.location.region_coordinates.latitude“ umgewandelt.
2023-07-12
- „deviceDetail.isCompliant“, „deviceDetail.isManaged“ und „deviceDetail.trustType“ wurden in „principal.asset.attribute.labels“ zugeordnet.
- „deviceDetail.deviceId“ wurde „principal.asset.asset_id“ zugeordnet.
- „deviceDetail.browser“ wurde in „network.http.user_agent“ geändert.
- „deviceDetail.operatingSystem“ wurde „principal.platform_version“ zugeordnet.
- „status.failureReason“ wurde in „additional.fields“ geändert.
- „status.errorCode“ wurde in „security_result.rule_id“ umgewandelt.
- „deviceDetail.displayName“ wurde „principal.asset.hardware“ zugeordnet.
2023-03-14
- „browser“ wurde „principal.resource.attribute.labels“ zugeordnet.
- „isCompliant“, „isManaged“ und „trustType“ wurden auf „principal.asset.attribute.labels“ zugeordnet.
- „domain“-Formular „userPrincipalName“ wurde auf „principal.administrative_domain“ zugeordnet.
2022-12-16
- Es wurde eine bedingte Prüfung für das Feld „initiatedBy.user.userPrincipalName“ hinzugefügt und mit „principal.user.email_addresses“ verknüpft.
2022-10-28
- „additionalDetails.0.value“ wurde „network.http.user_agent“ zugeordnet.
- „additionalDetails.1.value“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- „Id“ wurde „metadata.product_log_id“ zugeordnet.
- „initiatedBy.user.id“ wurde auf „principal.user.userid“ zugeordnet.
- „initiatedBy.user.displayName“ wurde in „principal.user.user_display_name“ umgewandelt.
- „initiatedBy.user.ipAddress“ wurde in „principal.ip“ geändert.
- „initiatedBy.user.userPrincipalName“ wurde in „principal.user.email_addresses“ geändert.
- „operationType“ wurde auf „security_result.action_details“ zugeordnet.
- „target.displayName“ wurde auf „target.resource.name“ zugeordnet.
- „target.id“ wurde „target.resource.id“ zugeordnet.
- „target.type“ wurde in „target.resource.type“ umgewandelt.
- „field.newValue“ wurde auf „target.resource.product_object_id“ zugeordnet, wenn „field.displayName“ „AppRole.Id“ ist. Andernfalls wurde „field.newValue“ auf „target.resource.attribute.labels“ zugeordnet.
- Prüfung auf errorCode hinzugefügt.
- „loggedByService“ wurde auf „target.application“ zugeordnet.
- „activityDisplayName“ wurde auf „metadata.product_event_type“ zugeordnet.
- „metadata.event_type“ wurde „USER_RESOURCE_UPDATE_PERMISSIONS“ zugeordnet, wobei „activityDisplayName“ „Dem Dienstprinzipal eine App-Rollenzuweisung hinzufügen“ ist.
2022-08-25
- Wenn „properties.initiatedBy.user.userPrincipalName“ mit „E-Mail-Regex-Muster“ übereinstimmt, wird es „principal.user.email_addresses“ zugeordnet. Andernfalls wird es „principal.user.userid“ zugeordnet.
- Wenn „properties.userPrincipalName“ oder „userPrincipalName“ mit dem „E-Mail-Regex-Muster“ übereinstimmt, wird eine Zuordnung zu „target.user.email_addresses“ vorgenommen. Andernfalls wird eine Zuordnung zu „target.user.userid“ vorgenommen.
2022-08-11
- Das Drop-Tag „TAG_MALFORMED_ENCODING“ wurde entfernt.
- „event_type“ „GENERIC_EVENT“ hinzugefügt.
2022-05-29
- Verbesserung: Die For-Schleife für das Feld „riskEventTypes_v2“, das auf „additional.fields“ zugeordnet ist, wurde geändert.
- Das Feld „level“ wurde „security_result.severity_details“ zugeordnet.
- Das Feld „properties.result“ wurde in „security_result.action_details“ umgewandelt.
2022-04-20
- Fehlerbehebung: Protokolle mit dem Ereignis „appDisplayName“: „NotApplicable“ wurden geparst.
- Die For-Schleife für das Feld „riskEventTypes“ wurde geändert.