Esta página foi traduzida pela API Cloud Translation.

Recolha registos de atividade do Microsoft Graph

Compatível com:

Google secops SIEM

Vista geral

Este analisador extrai campos dos registos de atividade do Microsoft Graph, transformando-os no modelo de dados unificado (UDM). Inicializa os campos da UDM, analisa a carga útil, extrai as datas/horas, mapeia várias propriedades para os campos da UDM, processa os endereços IP e as portas, e categoriza o tipo de evento com base na presença de informações principais e de rede.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps.
Acesso privilegiado ao Microsoft Entra ID e às contas de armazenamento do Azure.

Configure a conta de armazenamento do Azure

Na consola do Azure, pesquise contas de armazenamento.
Clique em Criar.
Especifique valores para os seguintes parâmetros de entrada:
- Subscrição: selecione a subscrição.
- Grupo de recursos: selecione o grupo de recursos.
- Região: selecione a região.
- Desempenho: selecione o nível de desempenho pretendido (recomenda-se o padrão).
- Redundância: selecione o nível de redundância pretendido (recomenda-se GRS ou LRS).
- Nome da conta de armazenamento: introduza um nome para a nova conta de armazenamento.
Clique em Rever + criar.
Reveja a vista geral da conta e clique em Criar.
Na página Vista geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança + rede.
Clique em Mostrar junto a key1 ou key2
Clique em Copiar para a área de transferência para copiar a chave.
Guarde a chave num local seguro para referência futura.
Na página Vista geral da conta de armazenamento, selecione o submenu Pontos finais em Definições.
Clique em Copiar para a área de transferência para copiar o URL do ponto final do serviço Blob (por exemplo, https://.blob.core.windows.net).
Guarde o URL do ponto final num local seguro para referência futura.

Configure a exportação de registos de atividade do Microsoft Graph para a conta de armazenamento

Na consola do Azure, pesquise Entra ID.
Selecione Monitorização > Definições de diagnóstico.
Clique em + Adicionar definição de diagnóstico.
Atribua um nome exclusivo à definição (por exemplo, ms-graph-activity).
Selecione a categoria MicrosoftGraphActivityLog que quer exportar para o Google SecOps.
Em Detalhes do destino, selecione Arquivar numa conta de armazenamento.
Selecione a sua subscrição e a conta de armazenamento que criou no passo anterior.
Clique em Guardar.

Como configurar os registos de atividade do Microsoft Graph

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed.
No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos de atividade do Microsoft Graph.
Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
Selecione Registos de atividade do Microsoft Graph como Tipo de registo.
Clicar em Seguinte.
Especifique valores para os seguintes parâmetros de entrada:
- URI do Azure: o URL do ponto final do blob.
  
  ENDPOINT_URL/BLOB_NAME
  
  Substitua o seguinte:
  - ENDPOINT_URL: o URL do ponto final do blob (https://<storageaccountname>.blob.core.windows.net)
  - BLOB_NAME: o nome do blob (por exemplo, insights-logs-)
- Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
Nota: se selecionar a opção Eliminar ficheiros transferidos ou Eliminar ficheiros transferidos e diretórios vazios, certifique-se de que concedeu as autorizações adequadas à conta de serviço.
- Idade máxima do ficheiro: ficheiros modificados no último número de dias. A predefinição é 180 dias.
- Chave partilhada: a chave de acesso ao armazenamento de blobs do Azure.
Clicar em Seguinte.
Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`callerIpAddress`	`principal.asset.ip`	O campo de registo não processado `callerIpAddress` é copiado para o campo UDM.
`callerIpAddress`	`principal.ip`	O campo de registo não processado `callerIpAddress` é copiado para o campo UDM.
`category`	`security_result.category_details`	O campo de registo não processado `category` é copiado para o campo UDM.
`correlationId`	`security_result.detection_fields.value`	O campo de registo não processado `correlationId` é copiado para o campo UDM, onde a chave é `correlationId`.
`Level`	`security_result.detection_fields.value`	O campo de registo não processado `Level` é convertido em string e copiado para o campo UDM, onde a chave é `Level`.
`operationName`	`metadata.product_event_type`	O campo de registo não processado `operationName` é copiado para o campo UDM.
`operationVersion`	`additional.fields.value.string_value`	O campo de registo não processado `operationVersion` é copiado para o campo UDM, onde a chave é `operationVersion`.
`properties.apiVersion`	`metadata.product_version`	O campo de registo não processado `properties.apiVersion` é copiado para o campo UDM.
`properties.appId`	`target.resource.product_object_id`	O campo de registo não processado `properties.appId` é copiado para o campo UDM.
`properties.atContent`	`additional.fields.value.string_value`	O campo de registo não processado `properties.atContent` é copiado para o campo UDM, onde a chave é `atContent`.
`properties.clientAuthMethod`	`extensions.auth.auth_details`	Com base no valor de `properties.clientAuthMethod`, o campo UDM é definido como "Cliente público" (0), "ID do cliente/segredo do cliente" (1) ou "Certificado de cliente" (2).
`properties.clientRequestId`	`additional.fields.value.string_value`	O campo de registo não processado `properties.clientRequestId` é copiado para o campo UDM, onde a chave é `clientRequestId`.
`properties.durationMs`	`network.session_duration.seconds`	O campo de registo não processado `properties.durationMs` é convertido de milissegundos para segundos e copiado para o campo UDM.
`properties.identityProvider`	`security_result.detection_fields.value`	O campo de registo não processado `properties.identityProvider` é copiado para o campo UDM, onde a chave é `identityProvider`.
`properties.ipAddress`	`principal.asset.ip`	O endereço IP do campo de registo não processado `properties.ipAddress` é extraído e copiado para o campo UDM.
`properties.ipAddress`	`principal.ip`	O endereço IP do campo de registo não processado `properties.ipAddress` é extraído e copiado para o campo UDM.
`properties.location`	`principal.location.name`	O campo de registo não processado `properties.location` é copiado para o campo UDM.
`properties.operationId`	`security_result.detection_fields.value`	O campo de registo não processado `properties.operationId` é copiado para o campo UDM, onde a chave é `operationId`.
`properties.requestMethod`	`network.http.method`	O campo de registo não processado `properties.requestMethod` é copiado para o campo UDM.
`properties.requestId`	`metadata.product_log_id`	O campo de registo não processado `properties.requestId` é copiado para o campo UDM.
`properties.responseSizeBytes`	`network.received_bytes`	O campo de registo não processado `properties.responseSizeBytes` é convertido num número inteiro não assinado e copiado para o campo UDM.
`properties.responseStatusCode`	`network.http.response_code`	O campo de registo não processado `properties.responseStatusCode` é convertido num número inteiro e copiado para o campo UDM.
`properties.roles`	`additional.fields.value.string_value`	O campo de registo não processado `properties.roles` é copiado para o campo UDM, onde a chave é `roles`.
`properties.scopes`	`additional.fields.value.string_value`	O campo de registo não processado `properties.scopes` é copiado para o campo UDM, onde a chave é `Scopes`.
`properties.servicePrincipalId`	`principal.user.userid`	O campo de registo não processado `properties.servicePrincipalId` é copiado para o campo UDM se `properties.userId` estiver vazio.
`properties.signInActivityId`	`network.session_id`	O campo de registo não processado `properties.signInActivityId` é copiado para o campo UDM.
`properties.tenantId`	`metadata.product_deployment_id`	O campo de registo não processado `properties.tenantId` é copiado para o campo UDM.
`properties.tokenIssuedAt`	`additional.fields.value.string_value`	O campo de registo não processado `properties.tokenIssuedAt` é copiado para o campo UDM, onde a chave é `tokenIssuedAt`.
`properties.userAgent`	`network.http.user_agent`	O campo de registo não processado `properties.userAgent` é copiado para o campo UDM.
`properties.userId`	`principal.user.userid`	O campo de registo não processado `properties.userId` é copiado para o campo UDM.
`properties.wids`	`security_result.detection_fields.value`	O campo de registo não processado `properties.wids` é copiado para o campo UDM, onde a chave é `wids`.
`resourceId`	`target.resource.attribute.labels.value`	O campo de registo não processado `resourceId` é copiado para o campo UDM, onde a chave é `Resource ID`.
`resultSignature`	`additional.fields.value.string_value`	O campo de registo não processado `resultSignature` é copiado para o campo UDM, onde a chave é `resultSignature`.
`time`	`metadata.event_timestamp`	O campo de registo não processado `time` é analisado e convertido numa data/hora, e copiado para o campo UDM. O campo UDM `event.idm.read_only_udm.metadata.event_type` é definido como "NETWORK_HTTP" se `has_principal` for verdadeiro e `network.http` não estiver vazio, "STATUS_UPDATE" se `has_principal` for verdadeiro e `network.http` estiver vazio ou "GENERIC_EVENT" caso contrário. O campo UDM está definido como "Microsoft Graph". O campo UDM está definido como "Microsoft".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.