AZURE_RESOURCE_LOGS の変更ログ
| Date | 変更点 |
|---|---|
| 2023-12-11 | 機能拡張:
- 「properties.requestId」、「properties.riskEventType」、「properties.tokenIssuerType」、「properties.keyIds」を「target.resource.attributes.labels」にマッピングしました。 - 「properties.detectionTimingType」を「additional.fields」にマッピングしました。 - 「properties.applyConditionalAccessPolicies」を「about.labels」にマッピングしました。 - 「properties.authenticationProcessingDetails」を「security_result.detection_fields」にマッピングしました。 - 「properties.additionalInfo.userAgent」を「network.http.user_agent」にマッピングしました。 - 「properties.additionalInfo.alertUrl」を「target.url」にマッピングしました。 |
| 2023-10-04 | バグの修正:
- JSON フィルタが失敗した場合、JSON フィルタに「on_error」を追加し、「TAG_MALFORMED_MESSAGE」タグが付いたログを削除しました。 - 「properties.ScStatus」、「properties.statusCode」、「statusCode」、「record.properties.ScStatus」、「record.properties.statusCode」のために整数を変換する「'CONVERT フィルタにエラーがない場合、「network.http.response_code」にマッピングしました。 - 「responseStatus.code」と「record.responseStatus.code」の条件を追加しました。「CONVERT」の「on_error」が true でない場合、「network.http.response_code」にマッピングしました。 |
| 2023-09-04 | 機能拡張:
-「properties.additionalDetails」下のフィールドをマッピングしました。 - 値を「metadata.product_deployment_id」としてマッピングしました。ここで、キーは「TenantId」です。 - 値を「security_result.rule_id」としてマッピングしました。ここで、キーは「PolicyId」です。 - 値を「network.http.user_agent」としてマッピングしました。ここで、キーは「Client」です。 - 値を「principal.user.email_addresses」としてマッピングしました。ここで、キーは「LocalAccountUsername」です。 - 値を「principal.administrative_domain」としてマッピングしました。ここで、キーは「DomainName」です。 - 「properties.targetResources.userPrincipalName」を「target.user.email_addresses」にマッピングしました。 - 「properties.initiatedBy.app.appId」 を「target.resource.attributes.labels」にマッピングしました。 |
| 2023-08-04 | 機能拡張:
- 「properties.initiatedBy.user.userPrincipalName」を「principal.user.userid」にマッピングしました。 |
| 2023-07-10 | 機能拡張:
- 「underlayClass」、「record.UnderlayClass」、「UnderlayName」、「record.UnderlayName」フィールドを初期化し、null チェックを行いました。 |
| 2022-11-18 | 機能拡張:
- 「security_result.action」はデフォルトで BLOCK だが、これを避けるため「properties.succeeded」が「false」、「statusText」が「fail/false」、「resultType」が「'fail/failed」の場合に限り、security_result.action が「BLOCK」となるよう条件を追加しました。 |
| 2022-11-11 | バグの修正 - 「properties.log.annotations.authorization」に対する null チェックを追加しました。 - 「properties.log.annotations.authorization.k8s.io/decision」、「properties.log.annotations.authorization.k8s.io/reason」の on_error statement を追加しました。 |
| 2022-10-20 | バグの修正
- resultType が「success」の場合にsecurity_results.action がデフォルトで BLOCK ではなく ALLOW となる場合の条件を追加しました。 - operationName が「Sign-in Activity」の場合、event_type を「USER_LOGIN」に、extensions.auth.type を「AUTH_UNSPECIFIED」にマッピングしました。 - 「properties.ipAddress」が空の場合、「callerIpAddress」を「principal.ip」にマッピングしました。 - 「callerIpAddress」が空でなく、「target.resource」が空でない場合、eventy_type を「USER_RESOURCE_ACCESS」にマッピングしました。 |
| 2022-10-03 | 機能拡張 - 次のフィールドのマッピング:
- 「statusCode」を「network.http.response_code」にマッピングしました。 - 「correlationId」を「security_result.detection_fields」にマッピングしました。 - 「properties.userAgentHeader」を「network.http.user_agent」にマッピングしました。 - 「properties.accountName」を「principal.user.userid」にマッピングしました。 - 「properties.objectKey」を「target.resource.attributes.labels」にマッピングしました。 - 「properties.clientRequestId」を「target.resource.attributes.labels」にマッピングしました。 - 「properties.responseMd5」を「target.resource.attributes.labels」にマッピングしました。 - 「properties.tlsVersion」を「network.tls.version」にマッピングしました。 - 「uri」を「network.http.referral_url」にマッピングしました。 - 「protocol」を「network.application_protocol」にマッピングしました。 - 「resourceType」を「target.resource.type」にマッピングしました。 - 「statusText」を「security_result.summary」にマッピングしました。 |
| 2022-08-11 | バグの修正
- 「properties.deviceDetail.displayName」が「principal.asset.hardware.model」に再マッピングしました。 |
| 2022-07-18 | 拡張 - 次のフィールドをマッピングしました: - 「properties.activity」を「metadata.description」にマッピングしました。 - 「properties.riskType」を「event.idm.read_only_udm.additional.fields」にマッピングしました。 - 「properties.riskLevelDuringSignIn」を「event.idm.read_only_udm.additional.fields」にマッピングしました。 - 「properties.riskLevelAggregated」を「event.idm.read_only_udm.additional.fields」にマッピングしました。 - 「properties.originalRequestId」を「event.idm.read_only_udm.additional.fields」にマッピングしました。 - 「Level」、「tenantId」を「event.idm.read_only_udm.additional.fields」にマッピングしました。 - 「properties.conditionalAccessStatus」を「security_result.about.labels」にマッピングしました。 - 「properties.userType」を「target.user.attributes.labels」にマッピングしました。 - 「properties.provisioningSteps.0.details.city」を「principal.location.city」にマッピングしました。 - 「properties.provisioningSteps.0.details.country」を「principal.location.country_or_region」にマッピングしました。 - 「properties.sourceSystem.Id」を「principal.resource.product_object_id」にマッピングしました。 - 「properties.sourceIdentity.details.id」を「principal.user.product_object_id」にマッピングしました。 - 「properties.sourceSystem.Name」を「principal.resource.name」にマッピングしました。 - 「properties.accountEnabled」、「properties.isProcessing」、「properties.isGuest」、「properties.isDeleted」を「event.idm.read_only_udm.additional.fields」にマッピングしました。 - 「properties.authenticationRequirement」、「properties.status.errorCode」、「properties.statusInfo.Status」を「event.idm.read_only_udm.additional.fields」にマッピング。 - 「properties.sourceIdentity.details.odatatype」、「properties.provisioningSteps.0.details.appRoleAssignments」を「principal.user.attributes.labels」にマッピングしました。 - 「properties.sourceIdentity.details.UserPrincipalName」、「properties.ServicePrincipalId」を「principal.user.userid」にマッピングしました。 - 「properties.source」、「correlationId」、「properties.activityDateTime」、「properties.detectedDateTime」、「properties.lastUpdatedDateTime」を「security_result.detection_fields」にマッピングしました。 - 「properties.sourceIdentity.details.DisplayName」、「properties.ServicePrincipalDisplayName」、「properties.servicePrincipalName」を「principal.user.user_display_name」にマッピングしました。 - 「properties.servicePrincipalType」、「properties.servicePrincipalCredentialKeyId」を「principal.resource.attributes.labels」にマッピングしました。 - 「properties.deviceDetail.isCompliant」、「properties.deviceDetail.isManaged」を「principal.asset.attributes.labels」にマッピングしました。 |
| 2022-06-26 | 「category」値が「UserRiskEvents」、「RiskyUsers」、「RiskyServicePrincipals」、「ServicePrincipalSignInLogs」、「NonInteractiveUserSignInLogs」、「ProvisioningLogs」、「ADFSSignInLogs」のログを解析しました。 - 「properties.ipAddress」を「principal.ip」にマッピングしました。 - 「properties.id」を「metadata.product_log_id」にマッピングしました。 - 「properties.displayName」を「target.application」にマッピングしました。 - 「properties.location.city」を「principal.location.city」にマッピングしました。 - 「properties.location.state」を「principal.location.state」にマッピングしました。 - 「properties.userDisplayName」を「target.user.user_display_name」にマッピングしました。 - 「properties.userId」を「target.user.product_object_id」にマッピングしました。 - 「properties.appId」を「target.resource.attributes.labels」にマッピングしました。 - 「properties.resourceDisplayName」を「target.resource.name」にマッピングしました。 - 「properties.resourceId」を「target.resource.product_object_id」にマッピングしました。 - 「properties.deviceDetail.operationSystem」を「principal.platform_version」にマッピングしました。 - 「properties.deviceDetail.browser」を「network.http.user_agent」にマッピングしました。 - 「properties.deviceDetail.deviceId」を「principal.asset.asset_id」にマッピングしました。 - 「properties.deviceDetail.displayName」を「principal.asset.hostname」にマッピングしました。 - 「properties.sourceIdentity.details.id」を「principal.user.product_object_id」にマッピングしました。 - 「properties.location.countryOrRegion」 を「principal.location.country_or_region」 にマッピングしました。 - 「properties.location.geoCoordinates.latitude」を「principal.location.region_latitude」にマッピングしました。 - 「"properties.location.geoCoordinates.latitude」を「principal.location.region_latitude」にマッピングしました。 - 「properties.sourceIdentity.details.DisplayName」を「principal.user.user_display_name」にマッピングしました。 - 「properties.authenticationDetails.0.authenticationMethodDetail」を「security_result.about.labels」にマッピングしました。 - 「properties.riskLevel」、「properties.riskState」、「properties.riskDetail」を「event.idm.read_only_udm.additional.fields」にマッピングしました。 - 「properties.authenticationDetails.0.authenticationMethod」の値が「Password」の場合、「extensions.auth.mechanism」を「USERNAME_PASSWORD」にマッピングしました。 - 「properties.userPrincipalName」の値がメール形式の場合、「target.user.userid」と「target.user.email_addresses」にマッピングし、それ以外の場合は「target.user.userid」にのみマッピングしました。 - 「properties.sourceIdentity.details.UserPrincipalName」の値がメール形式の場合、「principal.user.userid」と「principal.user.email_addresses」にマッピングし、それ以外の場合は「principal.user.userid」にのみマッピングしました。 カテゴリ「NonInteractiveUserSignInLogs」の場合: - 「properties.deviceDetail.trustType」を「event.idm.read_only_udm.additional.fields」にマッピングしました。 - 「properties.clientAppUsed」を「principal.application」にマッピングしました。 カテゴリ「UserRiskEvents」の場合: - 「properties.additionalInfo.Key」の値が「userAgent」の場合、「properties.additionalInfo.Value」を「network.http.user_agent」にマッピングしました。 |
| 2022-05-31 | 新しく作成されたパーサー |