Microsoft Azure AD ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フィードを設定して Microsoft Azure Active Directory(AD)のログを収集する方法について説明します。
Azure Active Directory(AZURE_AD)は Microsoft Entra ID に名称が変更されました。Azure AD 監査ログ(AZURE_AD_AUDIT)が Microsoft Entra ID 監査ログになりました。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。
始める前に
このページのタスクを完了するには、次のものが必要です。
- ログインできる Azure サブスクリプション。
- グローバル管理者または Azure AD 管理者のロール。
- Azure の Azure AD(テナント)。
Azure AD を構成する
- Azure ポータルにログインします。
- [ホーム] > [アプリの登録] に移動し、登録済みのアプリを選択するか、まだアプリを作成していない場合はアプリを登録します。
- アプリケーションを登録するには、[アプリの登録] セクションで [新しい登録] をクリックします。
- [名前] フィールドに、アプリケーションの表示名を入力します。
- [サポートされているアカウントの種類] セクションで、必要なオプションを選択して、アプリケーションを使用できるユーザーまたは API にアクセスできるユーザーを指定します。
- [Register] をクリックします。
- [概要] ページに移動し、Google Security Operations フィードの構成に必要なアプリケーション(クライアント)ID とディレクトリ(テナント)ID をコピーします。
- [API 権限] をクリックします。
- [アクセス許可を追加] をクリックし、新しいペインで [Microsoft Graph] を選択します。
- [アプリケーションのアクセス許可] をクリックします。
- AuditLog.Read.All、Directory.Read.All、SecurityEvents.Read.All 権限を選択します。権限が委任された権限ではなく、アプリの権限であることを確認します。
- [デフォルト ディレクトリへの管理者の同意を付与] をクリックします。同意プロセスの一環としてユーザーまたは管理者から権限が付与された場合、アプリは API を呼び出す権限を付与されます。
- [設定] > [管理] に移動します。
- [証明書とシークレット] をクリックします。
- [新しいクライアント シークレット] をクリックします。[値] フィールドにクライアント シークレットが表示されます。
- クライアント シークレットの値をコピーします。この値は作成時にのみ表示され、Azure アプリの登録と Google Security Operations フィードの構成に必要です。
Azure AD ログを取り込むように Google Security Operations でフィードを構成する
- [SIEM 設定] > [フィード] を選択します。
- [新しく追加] をクリックします。
- [フィード名] に固有の名前を入力します。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] で [Azure AD] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- OAUTH クライアント ID: 前の手順で取得したクライアント ID を指定します。
- OAUTH クライアント シークレット: 前の手順で取得したクライアント シークレットを指定します。
- テナント ID: 前の手順で取得したテナント ID を指定します。
- [次へ] をクリックし、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。 フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーコードは、JSON 形式の未加工の Azure AD ログを統合データモデル(UDM)に変換します。まず、不要なフィールドを削除してデータを正規化し、次にユーザーの詳細、タイムスタンプ、イベントの詳細などの関連情報を抽出して、対応する UDM フィールドにマッピングし、一貫した表現と分析を実現します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp.seconds | 値は activityDateTime フィールドから抽出され、エポックからの経過秒数に変換されます。 |
| activityDisplayName | read_only_udm.security_result.summary | 値は activityDisplayName フィールドから直接マッピングされます。 |
| additionalDetails.0.value | read_only_udm.network.http.user_agent | 値は additionalDetails.0.value フィールドから直接マッピングされます。 |
| additionalDetails.1.key | read_only_udm.target.resource.attribute.labels.key | 値は additionalDetails.1.key フィールドから直接マッピングされます。 |
| additionalDetails.1.value | read_only_udm.target.resource.attribute.labels.value | 値は additionalDetails.1.value フィールドから直接マッピングされます。 |
| am_category | read_only_udm.metadata.description | 値は am_category フィールドから直接マッピングされます。 |
| am_tenantId | read_only_udm.metadata.product_deployment_id | 値は am_tenantId フィールドから直接マッピングされます。 |
| appDisplayName | read_only_udm.target.application | この値は appDisplayName フィールドから直接マッピングされます。appDisplayName が空の場合、値は resourceDisplayName から取得されます。 |
| appId | read_only_udm.target.resource.attribute.labels.value | 値は appId フィールドから直接マッピングされます。 |
| appliedConditionalAccessPolicies.displayName | read_only_udm.about.user.user_display_name | 値は appliedConditionalAccessPolicies.displayName フィールドから直接マッピングされます。 |
| appliedConditionalAccessPolicies.enforcedGrantControls | read_only_udm.security_result.rule_labels.value | 値は appliedConditionalAccessPolicies.enforcedGrantControls フィールドから直接マッピングされます。 |
| appliedConditionalAccessPolicies.enforcedSessionControls | read_only_udm.security_result.rule_labels.value | 値は appliedConditionalAccessPolicies.enforcedSessionControls フィールドから直接マッピングされます。 |
| appliedConditionalAccessPolicies.id | read_only_udm.about.user.userid | 値は appliedConditionalAccessPolicies.id フィールドから直接マッピングされます。 |
| appliedConditionalAccessPolicies.result | read_only_udm.about.labels.value | 値は appliedConditionalAccessPolicies.result フィールドから直接マッピングされます。 |
| authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | 値は authenticationDetails.authenticationMethod フィールドから直接マッピングされます。 |
| authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | 値は authenticationDetails.authenticationMethodDetail フィールドから直接マッピングされます。 |
| authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | 値は authenticationDetails.authenticationStepDateTime フィールドから直接マッピングされます。 |
| authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | 値は authenticationDetails.authenticationStepRequirement フィールドから直接マッピングされます。 |
| authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | 値は authenticationDetails.authenticationStepResultDetail フィールドから直接マッピングされます。 |
| authenticationProcessingDetails.key | read_only_udm.additional.fields.key | この値は、authenticationProcessingDetails.key フィールドから直接マッピングされ、「authenticationProcessingDetails - " という接頭辞が付いています。 |
| authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | 値は authenticationProcessingDetails.value フィールドから直接マッピングされます。 |
| callerIpAddress | read_only_udm.principal.ip | 値は callerIpAddress フィールドから直接マッピングされます。 |
| callerIpAddress | read_only_udm.principal.asset.ip | 値は callerIpAddress フィールドから直接マッピングされます。 |
| category | read_only_udm.metadata.description | 値は category フィールドから直接マッピングされます。 |
| clientAppUsed | read_only_udm.principal.application | 値は clientAppUsed フィールドから直接マッピングされます。 |
| conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | 値は conditionalAccessStatus フィールドから直接マッピングされます。 |
| correlationId | read_only_udm.network.session_id | 値は correlationId フィールドから直接マッピングされます。 |
| correlationId | read_only_udm.security_result.detection_fields.value | 値は correlationId フィールドから直接マッピングされます。 |
| createdDateTime | read_only_udm.metadata.event_timestamp.seconds | 値は createdDateTime フィールドから抽出され、エポックからの秒数に変換されます。 |
| deviceDetail.browser | read_only_udm.network.http.user_agent | 値は deviceDetail.browser フィールドから直接マッピングされます。 |
| deviceDetail.deviceId | read_only_udm.principal.asset.asset_id | この値は deviceDetail.deviceId フィールドから直接マッピングされ、「Device ID:」という接頭辞が付いています。 |
| deviceDetail.deviceId | read_only_udm.principal.asset_id | この値は deviceDetail.deviceId フィールドから直接マッピングされ、「Device ID:」という接頭辞が付いています。 |
| deviceDetail.displayName | read_only_udm.principal.asset.hostname | 値は deviceDetail.displayName フィールドから直接マッピングされます。 |
| deviceDetail.isCompliant | read_only_udm.principal.asset.attribute.labels.value | 値は deviceDetail.isCompliant フィールドから直接マッピングされます。 |
| deviceDetail.isManaged | read_only_udm.principal.asset.attribute.labels.value | 値は deviceDetail.isManaged フィールドから直接マッピングされます。 |
| deviceDetail.operatingSystem | read_only_udm.principal.platform_version | 値は deviceDetail.operatingSystem フィールドから直接マッピングされます。 |
| deviceDetail.trustType | read_only_udm.principal.asset.attribute.labels.value | 値は deviceDetail.trustType フィールドから直接マッピングされます。 |
| durationMs | read_only_udm.additional.fields.value.string_value | 値は durationMs フィールドから直接マッピングされます。 |
| errorCode | read_only_udm.security_result.rule_id | 値は errorCode フィールドから直接マッピングされます。 |
| ID | read_only_udm.target.user.user_display_name | 値が userId と異なり、メールアドレス パターンと一致しない場合は、identity フィールドから直接マッピングされます。 |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | 値は initiatedBy.user.displayName フィールドから直接マッピングされます。 |
| initiatedBy.user.id | read_only_udm.principal.user.userid | 値は initiatedBy.user.id フィールドから直接マッピングされます。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip | 値は initiatedBy.user.ipAddress フィールドから直接マッピングされます。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | 値は initiatedBy.user.ipAddress フィールドから直接マッピングされます。 |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | 値がメールアドレスのパターンと一致する場合、その値は initiatedBy.user.userPrincipalName フィールドから直接マッピングされます。 |
| ipAddress | read_only_udm.principal.ip | 値は、Grok パターンを使用して ipAddress フィールドから抽出され、IP アドレスが抽出されます。 |
| ipAddress | read_only_udm.principal.asset.ip | 値は、Grok パターンを使用して ipAddress フィールドから抽出され、IP アドレスが抽出されます。 |
| isInteractive | read_only_udm.extensions.auth.mechanism | 値は、isInteractive が「true」の場合は「INTERACTIVE」にマッピングされ、それ以外の場合は「MECHANISM_OTHER」にマッピングされます。 |
| isInteractive | read_only_udm.security_result.detection_fields.value | 値は isInteractive フィールドから直接マッピングされます。 |
| level | read_only_udm.security_result.severity | 値は、次のロジックに基づいて level フィールドからマッピングされます。*「Information」、「Informational」、「0」、「4」は「INFORMATIONAL」にマッピングされます。* 「Warning」、「1」、「3」は「MEDIUM」にマッピングされます。* 「Error」、「2」は「ERROR」にマッピングされます。* 「Critical」、「CRITICAL」、「critical」は「CRITICAL」にマッピングされます。 |
| level | read_only_udm.security_result.severity_details | 値は level フィールドから直接マッピングされます。 |
| location.city | read_only_udm.principal.location.city | 値は location.city フィールドから直接マッピングされます。 |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | 値は location.countryOrRegion フィールドから直接マッピングされます。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | 値は location.geoCoordinates.latitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 値は location.geoCoordinates.latitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | 値は location.geoCoordinates.longitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 値は location.geoCoordinates.longitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| location.state | read_only_udm.principal.location.state | 値は location.state フィールドから直接マッピングされます。 |
| networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | この値は、networkLocationDetails.networkNames 配列のすべての値をカンマで区切って連結することで生成されます。 |
| networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | 値は networkLocationDetails.networkType フィールドから直接マッピングされます。 |
| networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | 値は networkLocationDetails.networkType フィールドから直接マッピングされます。 |
| operationName | read_only_udm.metadata.event_type | 値は、operationName が「Sign-in activity」の場合に「USER_LOGIN」、operationName が「Add member to group」の場合に「USER_CHANGE_PERMISSIONS」、operationName が「Add app role assignment to service principal」の場合に「USER_RESOURCE_UPDATE_PERMISSIONS」にマッピングされます。それ以外の場合、値は他のフィールドの存在に基づいて決定されます。has_target_user が「true」の場合、「USER_LOGIN」です。* has_principal_user が「true」の場合: 「USER_UNCATEGORIZED」* has_principal が「true」の場合: 「STATUS_UPDATE」* それ以外の場合は「GENERIC_EVENT」 |
| operationType | read_only_udm.security_result.action_details | 値は operationType フィールドから直接マッピングされます。 |
| properties.activity | read_only_udm.security_result.summary | 値は properties.activity フィールドから直接マッピングされます。 |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp.seconds | 値は properties.activityDateTime フィールドから抽出され、エポックからの秒数に変換されます。 |
| properties.additionalInfo | read_only_udm.network.http.user_agent | 値は、JSON 文字列を解析し、キー「userAgent」に対応する値を抽出することで、properties.additionalInfo フィールドから抽出されます。 |
| properties.additionalInfo | read_only_udm.target.url | 値は、JSON 文字列を解析し、キー「alertUrl」に対応する値を抽出して properties.additionalInfo フィールドから抽出されます。 |
| properties.appId | read_only_udm.target.resource.attribute.labels.value | 値は properties.appId フィールドから直接マッピングされます。 |
| properties.appDisplayName | read_only_udm.target.application | 値は properties.appDisplayName フィールドから直接マッピングされます。 |
| properties.appliedConditionalAccessPolicies.displayName | read_only_udm.security_result.rule_name | 値は properties.appliedConditionalAccessPolicies.displayName フィールドから直接マッピングされます。 |
| properties.appliedConditionalAccessPolicies.id | read_only_udm.security_result.rule_id | 値は properties.appliedConditionalAccessPolicies.id フィールドから直接マッピングされます。 |
| properties.appliedConditionalAccessPolicies.result | read_only_udm.security_result.detection_fields.value | 値は properties.appliedConditionalAccessPolicies.result フィールドから直接マッピングされます。 |
| properties.authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationDetails.authenticationMethod フィールドから直接マッピングされます。 |
| properties.authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationDetails.authenticationMethodDetail フィールドから直接マッピングされます。 |
| properties.authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationDetails.authenticationStepDateTime フィールドから直接マッピングされます。 |
| properties.authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationDetails.authenticationStepRequirement フィールドから直接マッピングされます。 |
| properties.authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationDetails.authenticationStepResultDetail フィールドから直接マッピングされます。 |
| properties.authenticationProcessingDetails.key | read_only_udm.additional.fields.key | 値は properties.authenticationProcessingDetails.key フィールドから直接マッピングされ、「properties authenticationProcessingDetails - " という接頭辞が付いています。 |
| properties.authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | 値は properties.authenticationProcessingDetails.value フィールドから直接マッピングされます。 |
| properties.authenticationRequirement | read_only_udm.additional.fields.value.string_value | 値は properties.authenticationRequirement フィールドから直接マッピングされます。 |
| properties.authenticationRequirementPolicies.detail | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationRequirementPolicies.detail フィールドから直接マッピングされます。 |
| properties.authenticationRequirementPolicies.requirementProvider | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationRequirementPolicies.requirementProvider フィールドから直接マッピングされます。 |
| properties.clientAppUsed | read_only_udm.principal.application | 値は properties.clientAppUsed フィールドから直接マッピングされます。 |
| properties.conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | 値は properties.conditionalAccessStatus フィールドから直接マッピングされます。 |
| properties.createdDateTime | read_only_udm.metadata.event_timestamp.seconds | 値は properties.createdDateTime フィールドから抽出され、エポックからの秒数に変換されます。 |
| properties.crossTenantAccessType | read_only_udm.additional.fields.value.string_value | 値は properties.crossTenantAccessType フィールドから直接マッピングされます。 |
| properties.detectedDateTime | read_only_udm.additional.fields.value.string_value | 値は properties.detectedDateTime フィールドから直接マッピングされます。 |
| properties.detectionTimingType | read_only_udm.additional.fields.value.string_value | 値は properties.detectionTimingType フィールドから直接マッピングされます。 |
| properties.homeTenantId | read_only_udm.additional.fields.value.string_value | 値は properties.homeTenantId フィールドから直接マッピングされます。 |
| properties.id | read_only_udm.metadata.product_log_id | 値は properties.id フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | 値は properties.initiatedBy.user.displayName フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.id | read_only_udm.principal.user.windows_sid | 値は properties.initiatedBy.user.id フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip | 値は properties.initiatedBy.user.ipAddress フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | 値は properties.initiatedBy.user.ipAddress フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid | 値がメールアドレスのパターンと一致しない場合、値は properties.initiatedBy.user.userPrincipalName フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | 値がメールアドレスのパターンと一致する場合、その値は properties.initiatedBy.user.userPrincipalName フィールドから直接マッピングされます。 |
| properties.ipAddress | read_only_udm.principal.ip | 値は、Grok パターンを使用して properties.ipAddress フィールドから抽出され、IP アドレスが抽出されます。 |
| properties.ipAddress | read_only_udm.principal.asset.ip | 値は、Grok パターンを使用して properties.ipAddress フィールドから抽出され、IP アドレスが抽出されます。 |
| properties.isGuest | read_only_udm.additional.fields.value.string_value | 値は properties.isGuest フィールドから直接マッピングされます。 |
| properties.isDeleted | read_only_udm.additional.fields.value.string_value | 値は properties.isDeleted フィールドから直接マッピングされます。 |
| properties.isProcessing | read_only_udm.additional.fields.value.string_value | 値は properties.isProcessing フィールドから直接マッピングされます。 |
| properties.lastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | 値は properties.lastUpdatedDateTime フィールドから直接マッピングされます。 |
| properties.location.city | read_only_udm.principal.location.city | 値は properties.location.city フィールドから直接マッピングされます。 |
| properties.location.countryOrRegion | read_only_udm.principal.location.country_or_region | 値は properties.location.countryOrRegion フィールドから直接マッピングされます。 |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | 値は properties.location.geoCoordinates.latitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 値は properties.location.geoCoordinates.latitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | 値は properties.location.geoCoordinates.longitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 値は properties.location.geoCoordinates.longitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| properties.location.state | read_only_udm.principal.location.state | 値は properties.location.state フィールドから直接マッピングされます。 |
| properties.networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | この値は、properties.networkLocationDetails.networkNames 配列のすべての値をカンマで区切って連結することで生成されます。 |
| properties.networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | 値は properties.networkLocationDetails.networkType フィールドから直接マッピングされます。 |
| properties.networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | 値は properties.networkLocationDetails.networkType フィールドから直接マッピングされます。 |
| properties.resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | 値は properties.resourceServicePrincipalId フィールドから直接マッピングされます。 |
| properties.riskDetail | read_only_udm.additional.fields.value.string_value | 値は properties.riskDetail フィールドから直接マッピングされます。 |
| properties.riskEventType | read_only_udm.additional.fields.value.string_value | 値は properties.riskEventType フィールドから直接マッピングされます。 |
| properties.riskLastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | 値は properties.riskLastUpdatedDateTime フィールドから直接マッピングされます。 |
| properties.riskLevel | read_only_udm.additional.fields.value.string_value | 値は properties.riskLevel フィールドから直接マッピングされます。 |
| properties.riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | 値は properties.riskLevelDuringSignIn フィールドから直接マッピングされます。 |
| properties.riskState | read_only_udm.additional.fields.value.string_value | 値は properties.riskState フィールドから直接マッピングされます。 |
| properties.riskType | read_only_udm.additional.fields.value.string_value | 値は properties.riskType フィールドから直接マッピングされます。 |
| properties.source | read_only_udm.additional.fields.value.string_value | 値は properties.source フィールドから直接マッピングされます。 |
| properties.targetResources.0.id | read_only_udm.target.user.product_object_id | 値は properties.targetResources.0.id フィールドから直接マッピングされます。 |
| properties.targetResources.modifiedProperties.0.newValue | read_only_udm.target.group.product_object_id | 値は properties.targetResources.modifiedProperties.0.newValue フィールドから直接マッピングされます。 |
| properties.tokenIssuerType | read_only_udm.additional.fields.value.string_value | 値は properties.tokenIssuerType フィールドから直接マッピングされます。 |
| properties.userAgent | read_only_udm.network.http.parsed_user_agent | 値は properties.userAgent フィールドから直接マッピングされ、解析されたユーザー エージェント オブジェクトに変換されます。 |
| properties.userAgent | read_only_udm.network.http.user_agent | 値は properties.userAgent フィールドから直接マッピングされます。 |
| properties.userId | read_only_udm.target.user.product_object_id | 値は properties.userId フィールドから直接マッピングされます。 |
| properties.userPrincipalName | read_only_udm.target.user.userid | 値がメールアドレスのパターンと一致しない場合、値は properties.userPrincipalName フィールドから直接マッピングされます。 |
| properties.userPrincipalName | read_only_udm.target.user.email_addresses | 値がメールアドレスのパターンと一致する場合、その値は properties.userPrincipalName フィールドから直接マッピングされます。 |
| 結果 | read_only_udm.security_result.action | result が「success」の場合、値は「ALLOW」にマッピングされます。 |
| 結果 | read_only_udm.security_result.action_details | result が「success」の場合、値は result フィールドから直接マッピングされます。 |
| resultDescription | read_only_udm.security_result.description | 値は resultDescription フィールドから直接マッピングされます。 |
| resultSignature | read_only_udm.additional.fields.value.string_value | 値は resultSignature フィールドから直接マッピングされます。 |
| resultType | read_only_udm.security_result.action | resultType が「0」の場合、値は「ALLOW」にマッピングされます。 |
| resultType | read_only_udm.security_result.rule_id | 値が空で「0」でない場合、値は resultType フィールドから直接マッピングされます。 |
| resultType | read_only_udm.security_result.summary | resultType が「0」の場合、値は「ログインに成功しました」にマッピングされ、それ以外の場合は「ログインに失敗しました」にマッピングされます。 |
| resourceDisplayName | read_only_udm.target.application | 値は resourceDisplayName フィールドから直接マッピングされます。 |
| resourceDisplayName | read_only_udm.target.resource.name | 値は resourceDisplayName フィールドから直接マッピングされます。 |
| resourceId | read_only_udm.target.resource.id | 値は resourceId フィールドから直接マッピングされます。 |
| resourceId | read_only_udm.target.resource.product_object_id | 値は resourceId フィールドから直接マッピングされます。 |
| resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | 値は resourceServicePrincipalId フィールドから直接マッピングされます。 |
| riskDetail | read_only_udm.additional.fields.value.string_value | 値は riskDetail フィールドから直接マッピングされます。 |
| riskEventTypes | read_only_udm.additional.fields.value.string_value | 値は riskEventTypes 配列から抽出され、additional.fields 配列内の文字列値にマッピングされます。 |
| riskEventTypes | read_only_udm.additional.fields.value.list_value.values.string_value | 値は、riskEventTypes 配列の各要素から直接マッピングされます。 |
| riskEventTypes_v2 | read_only_udm.additional.fields.value.list_value.values.string_value | 値は、riskEventTypes_v2 配列の各要素から直接マッピングされます。 |
| riskLevelAggregated | read_only_udm.additional.fields.value.string_value | 値は riskLevelAggregated フィールドから直接マッピングされます。 |
| riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | 値は riskLevelDuringSignIn フィールドから直接マッピングされます。 |
| riskState | read_only_udm.additional.fields.value.string_value | 値は riskState フィールドから直接マッピングされます。 |
| status.additionalDetails | read_only_udm.security_result.description | 値は status.additionalDetails フィールドから直接マッピングされます。 |
| status.errorCode | read_only_udm.security_result.action | status.errorCode が「0」の場合、値は「ALLOW」にマッピングされます。 |
| status.errorCode | read_only_udm.security_result.rule_id | 値が空でない場合、値は status.errorCode フィールドから直接マッピングされます。 |
| status.errorCode | read_only_udm.security_result.summary | 値は、status.errorCode が「0」の場合に「ログインに成功しました」に、それ以外の場合は「ログインに失敗しました」にマッピングされます。 |
| status.failureReason | read_only_udm.additional.fields.value.string_value | 値は status.failureReason フィールドから直接マッピングされます。 |
| targetResources.displayName | read_only_udm.target.resource.name | 値は targetResources.displayName フィールドから直接マッピングされます。 |
| targetResources.id | read_only_udm.target.resource.id | 値は targetResources.id フィールドから直接マッピングされます。 |
| targetResources.id | read_only_udm.target.resource.product_object_id | 値は targetResources.id フィールドから直接マッピングされます。 |
| targetResources.modifiedProperties.displayName | read_only_udm.target.resource.attribute.labels.key | 値は targetResources.modifiedProperties.displayName フィールドから直接マッピングされます。 |
| targetResources.modifiedProperties.newValue | read_only_udm.target.resource.attribute.labels.value | 値は、二重引用符を削除した後に targetResources.modifiedProperties.newValue フィールドから直接マッピングされます。 |
| targetResources.modifiedProperties.oldValue | read_only_udm.target.resource.attribute.labels.value | 値は targetResources.modifiedProperties.oldValue フィールドから直接マッピングされます。 |
| targetResources.type | read_only_udm.target.resource.type | 値は targetResources.type フィールドから直接マッピングされます。 |
| targetResources.userPrincipalName | read_only_udm.target.user.user_display_name | 値は targetResources.userPrincipalName フィールドから直接マッピングされます。 |
| tenantId | read_only_udm.metadata.product_deployment_id | 値は tenantId フィールドから直接マッピングされます。 |
| 時間 | read_only_udm.metadata.event_timestamp.seconds | 値は time フィールドから抽出され、エポックからの秒数に変換されます。 |
| userAgent | read_only_udm.network.http.parsed_user_agent | 値は userAgent フィールドから直接マッピングされ、解析されたユーザー エージェント オブジェクトに変換されます。 |
| userAgent | read_only_udm.network.http.user_agent | 値は userAgent フィールドから直接マッピングされます。 |
| userDisplayName | read_only_udm.target.user.user_display_name | 値が userId と異なり、メールアドレス パターンと一致しない場合は、userDisplayName フィールドから直接マッピングされます。 |
| userPrincipalName | read_only_udm.principal.administrative_domain | メールアドレスのドメイン部分は、Grok パターンを使用して userPrincipalName フィールドから抽出され、principal.administrative_domain フィールドにマッピングされます。 |
| userPrincipalName | read_only_udm.target.user.email_addresses | 値がメールアドレスのパターンと一致する場合、その値は userPrincipalName フィールドから直接マッピングされます。 |
| userPrincipalName | read_only_udm.target.user.userid | 値がメールアドレスのパターンと一致しない場合、値は userPrincipalName フィールドから直接マッピングされます。 |
| userId | read_only_udm.target.user.product_object_id | 値は userId フィールドから直接マッピングされます。 |
| read_only_udm.metadata.log_type | AZURE_AD | この値はパーサーにハードコードされています。 |
| read_only_udm.metadata.vendor_name | Microsoft | この値はパーサーにハードコードされています。 |
| read_only_udm.metadata.product_name | Azure AD | この値はパーサーにハードコードされています。 |
| read_only_udm.extensions.auth.type | SSO | この値はパーサーにハードコードされています。 |
変更点
2024-07-05
- 「isInteractive」を「security_result.detection_fields」にマッピングしました。
2024-04-02
- 「properties.createdDateTime」を「metadata.event_timestamp」にマッピングしました。
- 「properties.resourceServicePrincipalId」と「resourceServicePrincipalId」を「target.resource.attribute.labels」にマッピングしました。
- 「properties.authenticationProcessingDetails」、「authenticationProcessingDetails」、「properties.networkLocationDetails」を「additional.fields」にマッピングしました。
- 「properties.userAgent」を「network.http.user_agent」と「network.http.parsed_user_agent」にマッピングしました。
- 「properties.authenticationRequirement」を「additional.fields」にマッピングしました。
2024-06-03
- 「policies.displayName」のマッピングを「about.user.user_display_name」から「security_result.rule_name」に変更しました。
- 「policies.id」のマッピングを「about.user.userid」から「security_result.rule_id」に変更しました。
- 「policies.result」のマッピングを「about.labels」から「security_result.detection_fields」に変更しました。
2024-05-29
- 「status.errorCode」が「0」の場合、「security_result.action」を「ALLOW」に設定します。
2024-05-13
バグの修正:
- 「userPrincipalName」を「target.user.userid」にマッピングしました。
2024-05-10
- 「networkLocationDetails.n.networkNames」、「properties.networkLocationDetails.n.networkNames」、「networkLocationDetails.n.networkType」、「properties.networkLocationDetails.n.networkType」を「additional.fields」にマッピングしました。
- 「properties.userAgent」と「userAgent」を「network.http.user_agent」と「network.http.parsed_user_agent」にマッピングしました。
2024-05-03
バグの修正:
- 「target.modifiedProperties.n.newValue」をマッピングする前に「on_error」チェックを追加しました。
- 「target.modifiedProperties.n.oldValue」と「target.modifiedProperties.n.displayName」を「target.resource.attribute.labels」にマッピングしました。
- 「activityDisplayName」を「security_result.summary」にマッピングしました。
2024-04-30
- 「properties.authenticationDetails」、「properties.networkLocationDetails」、「properties.authenticationRequirementPolicies」、「networkLocationDetails」、「authenticationRequirementPolicies」を「security_result.detection_fields」にマッピングしました。
2024-04-02
- 「properties.authenticationRequirement」を「additional.fields」にマッピングしました。
2024-04-02
- 「authenticationRequirement」を「additional.fields」にマッピングしました。
2024-02-26
- 「appliedConditionalAccessPolicies」を「security_result」にマッピングしました。
- 「isInteractive」を「extensions.auth.mechanism」にマッピングしました。
- 「location.geoCoordinates.altitude」を「additional.fields」にマッピングしました。
2024-02-09
- 「authenticationDetails.authenticationMethod」、「authenticationDetails.authenticationMethodDetail」、「authenticationDetails.authenticationStepResultDetail」、「authenticationDetails.authenticationStepDateTime」、「authenticationDetails.authenticationStepRequirement」を「security_result.detection_fields」にマッピングしました。
- 「authenticationDetails.succeeded」を「security_result.action」にマッピングしました。
- 「status.additionalDetails」を「security_result.description」にマッピングしました。
2024-01-11
- 「correlationId」を「security_result.detection_fields」にマッピングしました。
2023-11-20
- 「tenantId」を「metadata.product_deployment_id」にマッピングしました。
- 「Level」を「security_result.severity_details」と「security_result.severity」にマッピングしました。
- 「properties.userDisplayName」を「target.user.user_display_name」にマッピングしました。
- 「identity」を「target.user.user_display_name」にマッピングしました。
- 「properties.activityDateTime」を「metadata.event_timestamp」にマッピングしました。
- 「properties.activity」を「security_result.summary」にマッピングしました。
- 「resultSignature」、「properties.riskLevel」、「properties.isGuest」、「properties.isDeleted」、「properties.isProcessing」をマッピングしました。
- "properties.riskLastUpdatedDateTime", "properties.riskType", "properties.riskEventType", "properties.riskState", "properties.riskDetail", "properties.source", "properties.detectionTimingType"
- 「properties.detectedDateTime」、「properties.lastUpdatedDateTime」、「properties.tokenIssuerType」、「properties.homeTenantId」、「properties.userType」、「properties.crossTenantAccessType」、「durationMs」を「additional.fields」に変更。
- 「resourceId」を「target.resource.product_object_id」にマッピングしました。
- 「properties.location.geoCoordinates.longitude」と「location.geoCoordinates.longitude」を「principal.location.region_coordinates.longitude」にマッピングしました。
- 「properties.location.geoCoordinates.latitude」と「location.geoCoordinates.latitude」を「principal.location.region_coordinates.latitude」にマッピングしました。
2023-07-12
- 「deviceDetail.isCompliant」、「deviceDetail.isManaged」、「deviceDetail.trustType」を「principal.asset.attribute.labels」にマッピングしました。
- 「deviceDetail.deviceId」を「principal.asset.asset_id」にマッピングしました。
- 「deviceDetail.browser」を「network.http.user_agent」にマッピングしました。
- 「deviceDetail.operatingSystem」を「principal.platform_version」にマッピングしました。
- 「status.failureReason」を「additional.fields」にマッピングしました。
- 「status.errorCode」を「security_result.rule_id」にマッピングしました。
- 「deviceDetail.displayName」を「principal.asset.hardware」にマッピングしました。
2023-03-14
- 「browser」を「principal.resource.attribute.labels」にマッピングしました。
- 「isCompliant」、「isManaged」、「trustType」を「principal.asset.attribute.labels」にマッピングしました。
- 「userPrincipalName」の「domain」を「principal.administrative_domain」にマッピングしました。
2022-12-16
- フィールド「initiatedBy.user.userPrincipalName」の条件付きチェックを追加し、「principal.user.email_addresses」にマッピングしました。
2022-10-28
- 「additionalDetails.0.value」を「network.http.user_agent」にマッピングしました。
- 「additionalDetails.1.value」を「target.resource.attribute.labels」にマッピングしました。
- 「Id」を「metadata.product_log_id」にマッピングしました。
- 「initiatedBy.user.id」を「principal.user.userid」にマッピングしました。
- 「initiatedBy.user.displayName」を「principal.user.user_display_name」にマッピングしました。
- 「initiatedBy.user.ipAddress」を「principal.ip」にマッピングしました。
- 「initiatedBy.user.userPrincipalName」を「principal.user.email_addresses」にマッピングしました。
- 「operationType」を「security_result.action_details」にマッピングしました。
- 「target.displayName」を「target.resource.name」にマッピングしました。
- 「target.id」を「target.resource.id」にマッピングしました。
- 「target.type」を「target.resource.type」にマッピングしました。
- field.displayName が「AppRole.Id」の場合に「field.newValue」を「target.resource.product_object_id」にマッピングし、それ以外の場合は「field.newValue」を「target.resource.attribute.labels」にマッピングしました。
- errorCode のチェックを追加しました。
- 「loggedByService」を「target.application」にマッピングしました。
- 「activityDisplayName」を「metadata.product_event_type」にマッピングしました。
- 「metadata.event_type」を「USER_RESOURCE_UPDATE_PERMISSIONS」にマッピングしました。「activityDisplayName」が「サービス プリンシパルへのアプリロールの割り当てを追加する」の場合。
2022-08-25
- 「properties.initiatedBy.user.userPrincipalName」が「メール正規表現パターン」と一致する場合は「principal.user.email_addresses」にマッピングし、それ以外の場合は「principal.user.userid」にマッピングします。
- 「properties.userPrincipalName」または「userPrincipalName」が「メール正規表現パターン」と一致する場合は「target.user.email_addresses」にマッピングし、それ以外の場合は「target.user.userid」にマッピングしました。
2022-08-11
- ドロップタグ「TAG_MALFORMED_ENCODING」を削除しました。
- 「event_type」に「GENERIC_EVENT」を追加しました。
2022-05-29
- 機能強化 - 「additional.fields」にマッピングされたフィールド「riskEventTypes_v2」の for ループを変更しました。
- フィールド「level」を「security_result.severity_details」にマッピングしました。
- フィールド「properties.result」を「security_result.action_details」にマッピングしました。
2022-04-20
- バグの修正 - イベント「appDisplayName」が「NotApplicable」のログを解析しました。
- フィールド「riskEventTypes」の for ループを変更しました。