Azure DevOps-Audit-Logs erfassen

Unterstützt in:

Übersicht

Dieser Parser verarbeitet Azure DevOps-Audit-Logs im JSON-Format. Es werden Felder aus verschachtelten und JSON-Strukturen der obersten Ebene extrahiert und dem UDM zugeordnet. Mithilfe nutzerdefinierter Logik, die auf bestimmten Feldwerten basiert, werden Ereignisse kategorisiert und die Ausgabe um relevante Sicherheitsinformationen ergänzt. Der Parser verarbeitet auch nicht JSON-formatierte Nachrichten, indem er versucht, mithilfe von Grok-Mustern eine JSON-Nutzlast zu extrahieren.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen eine aktive Azure DevOps-Organisation.
  • Sie benötigen Berechtigungen für Azure DevOps-Organisationen und Azure.

Feed in Google SecOps für die Aufnahme der Azure DevOps-Protokolle konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Azure Devops-Protokolle.
  4. Wählen Sie als Quelltyp Webhook aus.
  5. Wählen Sie Azure DevOps als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
  10. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  11. Kopieren und speichern Sie den geheimen Schlüssel. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen Secret-Schlüssel generieren. Dadurch wird der vorherige Secret-Schlüssel jedoch ungültig.
  12. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
  13. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

  3. Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.

Endpunkt-URL angeben

  1. Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed angegeben ist.

  2. Aktiviere die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil der benutzerdefinierten Kopfzeile im folgenden Format angibst:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben. Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Suchparametern im folgenden Format angeben:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

Ersetzen Sie Folgendes:

  • ENDPOINT_URL: die URL des Feedendpunkts.
  • API_KEY: Der API-Schlüssel, mit dem Sie sich bei Google Security Operations authentifizieren.
  • SECRET: den geheimen Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Audit-Funktion in Azure DevOps konfigurieren

  1. Melden Sie sich in Ihrer Organisation an (https://dev.azure.com/{yourorganization}).
  2. Klicken Sie auf das Zahnradsymbol für die Organisationseinstellungen.
  3. Wählen Sie unter Sicherheit die Option Richtlinien aus.
  4. Aktivieren Sie die Option Audit-Ereignisse protokollieren.

Event Grid-Thema in Azure konfigurieren

  1. Melden Sie sich im Azure-Portal an.
  2. Suchen Sie nach Event Grid und greifen Sie darauf zu.
  3. Suchen Sie unter Benutzerdefinierte Ereignisse nach Themen.
  4. Klicken Sie auf + Erstellen.
  5. Wählen Sie Ihr Abo und Ihre Ressourcengruppe aus. Geben Sie einen Namen ein (z. B. DevopsAuditLog) und wählen Sie die Region aus. Klicken Sie auf Prüfen und erstellen.
  6. Rufe das neue Thema auf und kopiere die Themen-Endpunkt-URL.
  7. Gehen Sie zu Einstellungen > Zugriffsschlüssel und kopieren Sie Schlüssel 1.

Azure DevOps-Protokollstream für Event Grid konfigurieren

  1. Melden Sie sich in Ihrer Organisation (https://dev.azure.com/{yourorganization}) an.
  2. Klicken Sie auf das Zahnradsymbol für die Organisationseinstellungen.
  3. Wählen Sie Auditing aus.
  4. Rufen Sie den Tab Streams auf und wählen Sie Neuer Stream > Ereignisraster aus.
  5. Geben Sie den Themenendpunkt und den Zugriffsschlüssel ein, die Sie unter Event Grid-Thema in Azure konfigurieren erstellt haben.

Webhook in Azure DevOps für Google SecOps konfigurieren

  1. Suchen Sie im Azure-Portal nach Event Grid und rufen Sie es auf.
  2. Wählen Sie ein zuvor erstelltes Thema aus.
  3. Gehen Sie zu Entitäten > Ereignisabos.
  4. Klicken Sie auf + Ereignisabo.
  5. Geben Sie einen aussagekräftigen Namen an, z. B. Google SecOps-Integration.
  6. Wählen Sie Web-Hook aus und klicken Sie auf Endpunkt konfigurieren.
  7. Konfigurieren Sie den Endpunkt:
    • Abonnentenendpunkt: Geben Sie die Endpunkt-URL der Google SecOps API ein.
    • Fügen Sie der Nutzlast-URL ?key=<API_KEY>&secret=<SECRET_KEY> an.
    • Legen Sie den Header Content-Type auf application/json fest.
  8. Klicken Sie auf Erstellen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
ActivityId metadata.product_log_id Wird direkt aus dem Feld Id im Rohprotokoll zugeordnet, wenn das Feld records nicht vorhanden ist, oder aus dem Feld ActivityId im data-Objekt, wenn records vorhanden ist.
ActionId metadata.product_event_type Wird direkt aus dem Feld ActionId im data-Objekt zugeordnet.
ActorCUID additional.fields Wird als zusätzliches Feld mit dem Schlüssel „Actor CUID“ eingefügt.
ActorDisplayName principal.user.user_display_name Wird direkt aus dem Feld ActorDisplayName zugeordnet, sofern es sich nicht um „Azure DevOps-Dienst“ handelt. Wenn es sich um „Azure DevOps-Dienst“ handelt, wird es principal.resource.attribute.labels als Label hinzugefügt.
ActorUPN principal.user.email_addresses Wird direkt aus dem Feld ActorUPN zugeordnet, wenn es mit einem E-Mail-Adressmuster übereinstimmt.
ActorUserId principal.user.userid Direkt aus dem Feld ActorUserId zugeordnet.
Area target.application Wird verwendet, um das Feld target.application zu erstellen, indem dem Wert Area „DevOps“ vorangestellt wird.
AuthenticationMechanism extensions.auth.auth_details, security_result.rule_id Wird geparst, um Authentifizierungsdetails und Regel-ID zu extrahieren. Die Authentifizierungsdetails sind extensions.auth.auth_details zugeordnet. Die extrahierte Regel-ID ist security_result.rule_id zugeordnet.
CategoryDisplayName security_result.action_details Direkt security_result.action_details zugeordnet.
City principal.location.city Direkt aus dem Feld City zugeordnet.
Conditions additional.fields Als zusätzliches Feld mit dem Schlüssel „Conditions“ hinzugefügt.
Country principal.location.country_or_region Direkt aus dem Feld Country zugeordnet.
Data.* Verschiedene Felder im Data-Objekt werden basierend auf ihren Namen und ihrem Kontext verschiedenen UDM-Feldern zugeordnet. Im Folgenden finden Sie konkrete Beispiele.
Data.AccessLevel target.resource.attribute.labels Als Label mit dem Schlüssel „AccessLevel“ hinzugefügt.
Data.AgentId target.resource.product_object_id Wird target.resource.product_object_id zugeordnet, wenn PipelineId und AuthorizationId nicht vorhanden sind.
Data.AgentName target.resource.name Wird target.resource.name zugeordnet, wenn PipelineName, NamespaceName und DisplayName nicht vorhanden sind.
Data.AuthorizationId target.resource.product_object_id Wird target.resource.product_object_id zugeordnet, wenn PipelineId nicht vorhanden ist.
Data.CallerProcedure additional.fields Als zusätzliches Feld mit dem Schlüssel „CallerProcedure“ hinzugefügt.
Data.CheckSuiteId additional.fields Als zusätzliches Feld mit dem Schlüssel „CheckSuiteId“ hinzugefügt.
Data.CheckSuiteStatus additional.fields Als zusätzliches Feld mit dem Schlüssel „CheckSuiteStatus“ hinzugefügt.
Data.ConnectionId additional.fields Als zusätzliches Feld mit dem Schlüssel „ConnectionId“ hinzugefügt.
Data.ConnectionName additional.fields Als zusätzliches Feld mit dem Schlüssel „ConnectionName“ hinzugefügt.
Data.ConnectionType additional.fields Als zusätzliches Feld mit dem Schlüssel „ConnectionType“ hinzugefügt.
Data.DefinitionId additional.fields Als zusätzliches Feld mit dem Schlüssel „DefinitionId“ hinzugefügt.
Data.DeploymentResult additional.fields Als zusätzliches Feld mit dem Schlüssel „DeploymentResult“ hinzugefügt.
Data.DisplayName target.resource.name Wird target.resource.name zugeordnet, wenn PipelineName und NamespaceName nicht vorhanden sind.
Data.EndpointIdList additional.fields Als zusätzliches Feld mit dem Schlüssel „EndpointIdList“ hinzugefügt.
Data.EnvironmentName additional.fields Als zusätzliches Feld mit dem Schlüssel „EnvironmentName“ hinzugefügt.
Data.Filter.continuationToken target.resource.attribute.labels Wird als Label mit dem Schlüssel „continuation_token“ hinzugefügt.
Data.Filter.endTime target.resource.attribute.labels Als Label mit dem Schlüssel „filter_end_time“ hinzugefügt.
Data.Filter.startTime target.resource.attribute.labels Als Label mit dem Schlüssel „filter_start_time“ hinzugefügt.
Data.FinishTime additional.fields Als zusätzliches Feld mit dem Schlüssel „FinishTime“ hinzugefügt.
Data.GroupId target.group.product_object_id Wird direkt auf target.group.product_object_id zugeordnet, wenn Data.Updates.0.GroupId nicht vorhanden ist.
Data.GroupName target.group.group_display_name Direkt target.group.group_display_name zugeordnet.
Data.JobName additional.fields Als zusätzliches Feld mit dem Schlüssel „JobName“ hinzugefügt.
Data.MemberId target.user.userid Wird direkt auf target.user.userid zugeordnet, wenn Data.Updates.0.MemberId nicht vorhanden ist.
Data.MemberDisplayName target.user.user_display_name Direkt target.user.user_display_name zugeordnet.
Data.NamespaceId target.resource.product_object_id Wird target.resource.product_object_id zugeordnet, wenn PipelineId, AuthorizationId und AgentId nicht vorhanden sind.
Data.NamespaceName target.resource.name Wird target.resource.name zugeordnet, wenn PipelineName nicht vorhanden ist.
Data.ownerDetails additional.fields Als zusätzliches Feld mit dem Schlüssel „OwnerDetails“ hinzugefügt.
Data.OwnerId additional.fields Als zusätzliches Feld mit dem Schlüssel „OwnerId“ hinzugefügt.
Data.PipelineId target.resource.product_object_id Direkt target.resource.product_object_id zugeordnet.
Data.PipelineName target.resource.name Direkt target.resource.name zugeordnet.
Data.PipelineRevision target.resource.attribute.labels Als Label mit dem Schlüssel „PipelineRevision“ hinzugefügt.
Data.PipelineScope target.resource.attribute.labels Als Label mit dem Schlüssel „PipelineScope“ hinzugefügt.
Data.PlanType additional.fields Als zusätzliches Feld mit dem Schlüssel „PlanType“ hinzugefügt.
Data.PreviousAccessLevel target.resource.attribute.labels Als Label mit dem Schlüssel „PreviousAccessLevel“ hinzugefügt.
Data.PublisherName target.resource.attribute.labels Als Label mit dem Schlüssel „PublisherName“ hinzugefügt.
Data.Reason additional.fields Als zusätzliches Feld mit dem Schlüssel „Grund“ hinzugefügt.
Data.ReleaseId additional.fields Als zusätzliches Feld mit dem Schlüssel „ReleaseId“ hinzugefügt.
Data.ReleaseName additional.fields Als zusätzliches Feld mit dem Schlüssel „ReleaseName“ hinzugefügt.
Data.RequesterId additional.fields Als zusätzliches Feld mit dem Schlüssel „RequesterId“ hinzugefügt.
Data.RetentionLeaseId additional.fields Als zusätzliches Feld mit dem Schlüssel „RetentionLeaseId“ hinzugefügt.
Data.RetentionOwnerId additional.fields Als zusätzliches Feld mit dem Schlüssel „RetentionOwnerId“ hinzugefügt.
Data.RunName additional.fields Als zusätzliches Feld mit dem Schlüssel „RunName“ hinzugefügt.
Data.Scopes target.resource.attribute.labels Als Labels mit dem Schlüssel „Scope“ hinzugefügt.
Data.StageName additional.fields Als zusätzliches Feld mit dem Schlüssel „StageName“ hinzugefügt.
Data.StartTime additional.fields Als zusätzliches Feld mit dem Schlüssel „StartTime“ hinzugefügt.
Data.TargetUser target.user.userid Direkt target.user.userid zugeordnet.
Data.Timestamp metadata.event_timestamp Geparst und metadata.event_timestamp zugeordnet.
Data.TokenType target.resource.attribute.labels Als Label mit dem Schlüssel „TokenType“ hinzugefügt.
Data.Updates.0.GroupId target.group.product_object_id Direkt target.group.product_object_id zugeordnet.
Data.Updates.0.MemberId target.user.userid Direkt target.user.userid zugeordnet.
Data.ValidFrom target.resource.attribute.labels Als Label mit dem Schlüssel „ValidFrom“ hinzugefügt.
Data.ValidTo target.resource.attribute.labels Als Label mit dem Schlüssel „ValidTo“ hinzugefügt.
DewPoint additional.fields Als zusätzliches Feld mit dem Schlüssel „DewPoint“ hinzugefügt.
Details metadata.description Direkt metadata.description zugeordnet.
Humidity additional.fields Als zusätzliches Feld mit dem Schlüssel „Luftfeuchtigkeit“ hinzugefügt.
Icon additional.fields Als zusätzliches Feld mit dem Schlüssel „Symbol“ hinzugefügt.
Id metadata.product_log_id Direkt metadata.product_log_id zugeordnet.
IpAddress principal.ip Direkt principal.ip zugeordnet.
MoonPhase additional.fields Als zusätzliches Feld mit dem Schlüssel „MoonPhase“ hinzugefügt.
Moonrise additional.fields Als zusätzliches Feld mit dem Schlüssel „Mondaufgang“ hinzugefügt.
Moonset additional.fields Als zusätzliches Feld mit dem Schlüssel „Monduntergang“ hinzugefügt.
OperationName metadata.product_event_type Direkt metadata.product_event_type zugeordnet.
Precipitation additional.fields Als zusätzliches Feld mit dem Schlüssel „Niederschlag“ hinzugefügt.
Pressure additional.fields Als zusätzliches Feld mit dem Schlüssel „Druck“ hinzugefügt.
ProjectId target.resource_ancestors.product_object_id Wird verwendet, um das Feld product_object_id in target.resource_ancestors auszufüllen, wenn der übergeordnete Knoten vom Typ CLOUD_PROJECT ist.
ProjectName target.resource_ancestors.name, target.resource.attribute.labels Wird verwendet, um das Feld name in target.resource_ancestors auszufüllen, wenn der übergeordnete Knoten vom Typ CLOUD_PROJECT ist. Außerdem wurde es als Label mit dem Schlüssel „ProjectName“ zu target.resource.attribute.labels hinzugefügt.
RoleLocation target.location.name Direkt target.location.name zugeordnet.
ScopeDisplayName target.resource_ancestors.name Wird verwendet, um das Feld name in target.resource_ancestors auszufüllen, wenn der übergeordnete Knoten vom Typ CLOUD_ORGANIZATION ist.
ScopeId target.resource_ancestors.product_object_id Wird verwendet, um das Feld product_object_id in target.resource_ancestors auszufüllen, wenn der übergeordnete Knoten vom Typ CLOUD_ORGANIZATION ist.
ScopeType additional.fields Als zusätzliches Feld mit dem Schlüssel „ScopeType“ hinzugefügt.
Sunrise additional.fields Als zusätzliches Feld mit dem Schlüssel „Sunrise“ hinzugefügt.
Sunset additional.fields Als zusätzliches Feld mit dem Schlüssel „Sunset“ hinzugefügt.
Temperature additional.fields Als zusätzliches Feld mit dem Schlüssel „Temperature“ hinzugefügt.
TenantId metadata.product_deployment_id, additional.fields Direkt metadata.product_deployment_id zugeordnet. Außerdem als zusätzliches Feld mit dem Schlüssel „TenantId“ hinzugefügt.
TimeGenerated metadata.event_timestamp Geparst und metadata.event_timestamp zugeordnet.
UserAgent network.http.user_agent, network.http.parsed_user_agent Direkt network.http.user_agent zugeordnet. Wird auch geparst und network.http.parsed_user_agent zugeordnet.
UVIndex additional.fields Als zusätzliches Feld mit dem Schlüssel „UVIndex“ hinzugefügt.
Visibility additional.fields Als zusätzliches Feld mit dem Schlüssel „Sichtbarkeit“ hinzugefügt.
WindDirection additional.fields Als zusätzliches Feld mit dem Schlüssel „WindDirection“ hinzugefügt.
WindSpeed additional.fields Als zusätzliches Feld mit dem Schlüssel „WindSpeed“ hinzugefügt.
_Internal_WorkspaceResourceId additional.fields Als zusätzliches Feld mit dem Schlüssel „workspace_resource_id“ hinzugefügt.
metadata.event_type Wird anhand einer Logik bestimmt, die auf dem Feld OperationName und anderen Feldern basiert. Wenn kein bestimmter Ereignistyp gefunden wird, ist der Standardwert „GENERIC_EVENT“. Mögliche Werte sind „STATUS_SHUTDOWN“, „RESOURCE_CREATION“, „STATUS_UPDATE“, „USER_RESOURCE_DELETION“, „RESOURCE_READ“, „RESOURCE_WRITTEN“, „RESOURCE_DELETION“ und „GROUP_MODIFICATION“.
metadata.vendor_name Legen Sie diesen Wert auf „Microsoft“ fest.
metadata.product_name Legen Sie „Azure DevOps“ fest.
metadata.log_type Legen Sie diesen Wert auf „AZURE_DEVOPS“ fest.
principal.user.account_type Legen Sie „SERVICE_ACCOUNT_TYPE“ fest, wenn AuthenticationMechanism „ServicePrincipal“ enthält, andernfalls „CLOUD_ACCOUNT_TYPE“.
target.asset.attribute.cloud.environment Legen Sie MICROSOFT_AZURE fest.
security_result.action Legen Sie „ALLOW“ für erfolgreiche Vorgänge (Erfolgreich, Erstellt, Geändert, Ausgeführt, Aktualisiert, Entfernt) und „BLOCK“ für fehlgeschlagene Vorgänge (Fehlgeschlagen, Zeitüberschreitung) fest.
extensions.auth.mechanism Legen Sie „USERNAME_PASSWORD“ fest, wenn summary „UserAuthToken“ ist.
target.resource.resource_type Legen Sie „SETTING“ fest, wenn pipeline_id vorhanden ist, „CREDENTIAL“, wenn authorization_id vorhanden ist, „DEVICE“, wenn agent_id vorhanden ist, oder „DATABASE“, wenn namespace_id vorhanden ist. Andernfalls wird er in einigen Fällen basierend auf operationName auf „STORAGE_BUCKET“ gesetzt.
target.resource.resource_subtype Legen Sie „Pipeline“ fest, wenn pipeline_id vorhanden ist, „Token“, wenn authorization_id vorhanden ist, „Agent“, wenn agent_id vorhanden ist, oder „Namespace“, wenn namespace_id vorhanden ist.

Änderungen

2024-01-19

  • Der Wert „metadata.eventtype“ wurde von „SERVICE*“ in „USER_RESOURCE_UPDATE_CONTENT“ geändert, wenn Hauptnutzerdaten und Zielressourcendaten vorhanden sind.
  • Die Zuordnung für „IpAddress“ wurde von „target.ip“ zu „principal.ip“ geändert.
  • Die Zuordnung für „ActorCUID“ wurde von „principal.user.product_object_id“ zu „additional.fields“ geändert.
  • Die Zuordnung für „ScopeId“ wurde von „principal.asset_id“ zu „resource_ancestors.product_object_id“ geändert.
  • Die Zuordnung für „_Internal_WorkspaceResourceId“ wurde von „target.resource.product_object_id“ zu „additional.fields“ geändert.
  • Die Zuordnung für „ProjectId“ wurde von „target.resource.attribute.labels“ zu „target.resource_ancestors.product_object_id“ geändert.
  • Die Zuordnung für „AuthenticationMechanism“ wurde von „security_result.summary“ zu „extensions.auth.auth_details“ geändert.
  • Die Zuordnung für „CorrelationId“ wurde von „network.session_id“ zu „additional.fields“ geändert.
  • Die Zuordnung für „ScopeDisplayName“ wurde von „additional.fields“ zu „target.resource_ancestors.name“ geändert.
  • Die Zuordnung für „PipelineId“ wurde von „additional.fields“ zu „target.resource.product_object_id“ geändert.
  • Die Zuordnung für „PipelineName“ wurde von „additional.fields“ zu „target.resource.name“ geändert.
  • Die Zuordnung für „PipelineScope“ wurde von „additional.fields“ zu „target.resource.attribute.labels“ geändert.
  • Die Zuordnung für „PipelineRevision“ wurde von „additional.fields“ zu „target.resource.attribute.labels“ geändert.
  • Die Zuordnung für „ProjectId“ wurde von „target.resource.resource.attribute.labels“ zu „target.resource_ancestors.product_object_id“ geändert.
  • Die Zuordnung für „Region“ wurde von „additional.fields“ zu „target.application“ geändert.
  • Der Wert „MICROSOFT_AZURE“ wurde „target.asset.attribute.cloud.environment“ zugeordnet.
  • Wenn „AuthenticationMechanism“ den Wert „ServicePrincipal“ hat, legen Sie „SERVICE_ACCOUNT_TYPE“ auf „principal.user.account_type“ fest. Andernfalls legen Sie „CLOUD_ACCOUNT_TYPE“ auf „principal.user.account_type“ fest.
  • „Kategorie“ wurde „security_result.action_details“ zugeordnet.
  • „ALLOW“ oder „BLOCK“ wurde basierend auf dem Feld „Details“ zu „security_result.action“ zugeordnet.
  • „ActivityId“ wurde auf „additional.fields“ zugeordnet.

2024-01-09

  • Grok und gsub wurden hinzugefügt, um die nicht geparsten JSON-Logs zu parsen.
  • Die folgenden Werte wurden zugeordnet: „rec.correlationId“, „properties.currentHealthStatus“, „properties.previousHealthStatus“, „properties.type“, „properties.cause“, „properties.title“, „properties.details“, „properties.recommendationType“, „properties.recommendationCategory“, „properties.recommendationImpact“, „properties.recommendationName“, „properties.recommendationResourceLink“, „properties.recommendationSchemaVersion“, „properties.eventCategory“, „properties.hierarchy“, „properties.message“, „properties.entity“, „identity.claims.xms.tcdt“, „identity.claims.aio“, „identity.claims.appid“, „identity.claims.appidacr“, „identity.claims.aud“, „identity.claims.exp“, „identity.claims.iat“, „identity.claims.idtyp“, „identity.claims.iss“, „identity.claims.uti“, „identity.claims.rh“, „identity.claims.ver“, „identity.claims.nbf“, „identity.authorization.evidence.roleAssignmentId“, „identity.authorization.evidence.principalType“, „identity.authorization.evidence.principalId“, „identity.authorization.evidence.roleAssignmentScope“, „identity.authorization.evidence.roleDefinitionId“ zu „security_result.detection_fields“.
  • „resultSignature.label“, „rec.resultType“, „Sichtbarkeit“, „Luftfeuchtigkeit“, „Niederschlag“, „Mondphase“, „Mondaufgang“, „Monduntergang“, „Druck“, „Windgeschwindigkeit“, „UV-Index“, „Taupunkt“, „Windrichtung“, „Sonnenaufgang“, „Sonnenuntergang“, „Temperatur“, „Symbol“, „Bedingungen“ wurden in „additional.fields“ umgewandelt.
  • „level“ wurde „security_result.severity“ zugeordnet.
  • „appname“ wurde „target.application“ zugeordnet.
  • „category.details“ wurde in „security.result.category.details“ geändert.
  • „rec.resourceId“ wurde „target.resource.id“ zugeordnet.
  • „res.extensionResourceName“ wurde „principal.hostname“ zugeordnet.

2023-11-23

  • Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
  • „data.TimeGenerated“ wurde in „metadata.event_timestamp“ umgewandelt.
  • Wenn „_Internal_WorkspaceResourceId“ fehlt, wird „topic“ mit „target.resource.product_object_id“ verknüpft.
  • „data.Data.ConnectionId“ wurde auf „additional.fields“ zugeordnet.
  • „data.Data.ownerDetails“ wurde in „additional.fields“ umgewandelt.
  • „data.Data.DeploymentResult“ wurde in „additional.fields“ umgewandelt.
  • „data.Data.EnvironmentName“ wurde in „additional.fields“ umgewandelt.
  • „data.Data.JobName“ wurde „additional.fields“ zugeordnet.
  • „data.Data.StageName“ wurde auf „additional.fields“ zugeordnet.
  • „data.Data.RunName“ wurde auf „additional.fields“ zugeordnet.
  • „data.Data.RetentionLeaseId“ wurde in „additional.fields“ zugeordnet.
  • „data.Data.CheckSuiteId“ wurde in „additional.fields“ geändert.
  • „data.Data.CheckSuiteStatus“ wurde in „additional.fields“ umgewandelt.
  • „data.Data.ApprovalRequest“ wurde in „additional.fields“ geändert.
  • „data.Data.ApprovalType“ wurde in „additional.fields“ geändert.
  • „subject“ wurde „additional.fields“ zugeordnet.
  • „data.ActorUserId“ wurde „principal.user.userid“ zugeordnet.
  • „data.ActorDisplayName“ wurde auf „principal.user.user_display_name“ zugeordnet.
  • „data.ActorCUID“ wurde auf „principal.user.product_object_id“ zugeordnet.
  • „data.ActorUPN“ wurde „principal.user.email_addresses“ zugeordnet.
  • „data.ScopeId“ wurde „principal.asset_id“ zugeordnet.
  • „data.CorrelationId“ wurde auf „network.session_id“ zugeordnet.
  • „data.UserAgent“ wurde in „network.http.user_agent“ geändert.
  • „data.ProjectId“ wurde „target.resource.attribute.labels“ zugeordnet.
  • „data.ScopeType“ wurde auf „additional.fields“ umgestellt.
  • „data.ProjectName“ wurde „target.resource.attribute.labels“ zugeordnet.
  • „data.Details“ wurde „metadata.description“ zugeordnet.
  • „data.CategoryDisplayName“ wurde „security_result.rule_name“ zugeordnet.
  • „data.Area“ wurde „additional.fields“ zugeordnet.
  • „data.Id“ wurde „metadata.product_log_id“ zugeordnet.
  • „data.ActionId“ wurde auf „metadata.product_event_type“ zugeordnet.
  • „data.Timestamp“ wurde auf „metadata.event_timestamp“ zugeordnet.

2022-06-28

  • Neu erstellter Parser

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten