Importa i log delle attività di Microsoft Azure

Supportato in:

Questo documento descrive i passaggi necessari per importare i log delle attività di Microsoft Azure (AZURE_ACTIVITY) in Google Security Operations.

Configurare un account di archiviazione

Per configurare un account Storage:

  1. Nella console di Azure, cerca Account di archiviazione.
  2. Fai clic su Crea.
  3. Seleziona l'abbonamento, il gruppo di risorse, la regione, il rendimento (consigliato Standard) e la ridondanza (consigliati GRS o LRS) necessari per l'account, poi inserisci un nome per il nuovo account di archiviazione.
  4. Fai clic su Rivedi e crea, esamina la panoramica dell'account e fai clic su Crea.
  5. Nella pagina Panoramica dell'account di archiviazione, seleziona Chiavi di accesso dal menu di navigazione a sinistra della finestra.
  6. Fai clic su Mostra chiavi e prendi nota della chiave condivisa per l'account di archiviazione.
  7. Seleziona Endpoint dal menu di navigazione a sinistra della finestra.
  8. Prendi nota dell'endpoint del servizio Blob. (https://<storageaccountname>.blob.core.windows.net/)

Configurare il logging delle attività di Azure

Completa i seguenti passaggi per configurare il logging delle attività di Azure:

  1. Nella console di Azure, cerca Monitor.
  2. Fai clic sul link Log attività nel riquadro di navigazione a sinistra della pagina.
  3. Fai clic su Esporta log attività nella parte superiore della finestra.
  4. Fai clic su Aggiungi impostazione di diagnostica.
  5. Seleziona tutte le categorie che vuoi esportare in Google SecOps.
  6. In Dettagli destinazione, seleziona Archivia in un account di archiviazione.
  7. Seleziona l'abbonamento e l'account di archiviazione che hai creato nel passaggio precedente.
  8. Fai clic su Salva.

Esistono due diversi punti di contatto per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Content Hub > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Inserisci un nome univoco per il nome del campo.
  5. Seleziona Microsoft Azure Blob Storage come Tipo di origine.
  6. Seleziona Attività Microsoft Azure come Tipo di log.
  7. Fai clic su Avanti.
  8. Configura i seguenti parametri di input obbligatori:
    • URI di Azure: inserisci il valore dell'endpoint del servizio Blob registrato in precedenza, con il suffisso insights-activity-logs (ad esempio, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
    • L'URI è una: seleziona Directory che include sottodirectory.
    • Opzione di eliminazione dell'origine: specifica se eliminare i file e le directory dopo il trasferimento.
    • Chiave condivisa: inserisci il valore della chiave condivisa acquisito in precedenza.
  9. Fai clic su Avanti e poi su Invia.

Configurare i feed da Content Hub

Specifica i valori per i seguenti campi:

  • URI di Azure: inserisci il valore dell'endpoint del servizio Blob registrato in precedenza, con il suffisso insights-activity-logs (ad esempio, https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
  • L'URI è una: seleziona Directory che include sottodirectory.
  • Opzione di eliminazione dell'origine: specifica se eliminare i file e le directory dopo il trasferimento.
  • Chiave condivisa: inserisci il valore della chiave condivisa acquisito in precedenza.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: le etichette applicate a tutti gli eventi di questo feed.

Riferimento alla mappatura dei campi

Questo codice del parser inizializza innanzitutto un numero elevato di campi con stringhe vuote, quindi esegue una serie di manipolazioni di stringhe e operazioni di analisi JSON per estrarre le informazioni pertinenti dal messaggio del log delle attività di Azure. Infine, mappa i dati estratti ai campi del modello di dati unificato (UDM), classifica il tipo di evento e lo arricchisce con ulteriori dettagli come gravità, informazioni principali e dati di rete.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
categoria read_only_udm.security_result.category_details Mappato direttamente dal campo "category" nel log non elaborato.
callerIpAddress read_only_udm.principal.asset.ip, read_only_udm.principal.ip Mappato direttamente dal campo "callerIpAddress" nel log non elaborato.
correlationId read_only_udm.security_result.detection_fields.correlationId Mappato direttamente dal campo "correlationId" nel log non elaborato.
data.callerIpAddress read_only_udm.principal.asset.ip, read_only_udm.principal.ip Mappato direttamente dal campo "callerIpAddress" all'interno dell'oggetto "data" nel log non elaborato.
data.correlationId read_only_udm.security_result.detection_fields.correlationId Mappato direttamente dal campo "correlationId" all'interno dell'oggetto "data" nel log non elaborato.
data.DeploymentUnit read_only_udm.target.resource.name Mappato direttamente dal campo "DeploymentUnit" all'interno dell'oggetto "data" nel log non elaborato.
data.details read_only_udm.metadata.description Mappato direttamente dal campo "details" all'interno dell'oggetto "data" nel log non elaborato, solo se il campo "details" non è "Unknown".
data.entity read_only_udm.additional.fields.entity Mappato direttamente dal campo "entity" all'interno dell'oggetto "data" nel log non elaborato.
data.EventName read_only_udm.metadata.product_event_type Mappato direttamente dal campo "EventName" all'interno dell'oggetto "data" nel log non elaborato.
data.hierarchy read_only_udm.additional.fields.hierarchy Mappato direttamente dal campo "hierarchy" all'interno dell'oggetto "data" nel log non elaborato.
data.identity.authorization.action read_only_udm.security_result.detection_fields.action Mappato direttamente dal campo "action" all'interno dell'oggetto "authorization" dell'oggetto "identity" nel log non elaborato.
data.identity.authorization.evidence.principalId read_only_udm.principal.user.product_object_id, read_only_udm.principal.resource.product_object_id, read_only_udm.principal.group.product_object_id Mappato direttamente dal campo "principalId" all'interno dell'oggetto "evidence" dell'oggetto "authorization" dell'oggetto "identity" nel log non elaborato. Il campo UDM specifico a cui viene mappato dipende dal valore del campo "principalType". Se "principalType" è "User" o "ServicePrincipal", viene mappato a principal.user.product_object_id. Se "principalType" è "Group", viene mappato a principal.group.product_object_id. Se "principalType" è "ServicePrincipal", viene mappato a principal.resource.product_object_id.
data.identity.authorization.evidence.principalType read_only_udm.principal.resource.resource_subtype Mappato direttamente dal campo "principalType" all'interno dell'oggetto "evidence" dell'oggetto "authorization" dell'oggetto "identity" nel log non elaborato.
data.identity.authorization.evidence.role read_only_udm.principal.user.role_name Mappato direttamente dal campo "role" all'interno dell'oggetto "evidence" dell'oggetto "authorization" dell'oggetto "identity" nel log non elaborato.
data.identity.authorization.evidence.roleAssignmentId read_only_udm.principal.resource.attribute.labels.roleAssignmentId Mappato direttamente dal campo "roleAssignmentId" all'interno dell'oggetto "evidence" dell'oggetto "authorization" dell'oggetto "identity" nel log non elaborato.
data.identity.authorization.evidence.roleAssignmentScope read_only_udm.principal.resource.attribute.labels.roleAssignmentScope Mappato direttamente dal campo "roleAssignmentScope" all'interno dell'oggetto "evidence" dell'oggetto "authorization" dell'oggetto "identity" nel log non elaborato.
data.identity.authorization.evidence.roleDefinitionId read_only_udm.principal.resource.attribute.labels.roleDefinitionId Mappato direttamente dal campo "roleDefinitionId" all'interno dell'oggetto "evidence" dell'oggetto "authorization" dell'oggetto "identity" nel log non elaborato.
data.identity.authorization.scope read_only_udm.security_result.detection_fields.scope Mappato direttamente dal campo "scope" all'interno dell'oggetto "authorization" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.aio read_only_udm.security_result.detection_fields.aio Mappato direttamente dal campo "aio" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.appid read_only_udm.security_result.detection_fields.appid Mappato direttamente dal campo "appid" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.appidacr read_only_udm.security_result.detection_fields.appidacr Mappato direttamente dal campo "appidacr" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.aud read_only_udm.security_result.detection_fields.aud Mappato direttamente dal campo "aud" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.exp read_only_udm.security_result.detection_fields.exp Mappato direttamente dal campo "exp" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.http://schemas.microsoft.com/identity/claims/identityprovider read_only_udm.security_result.detection_fields.identityprovider Mappato direttamente dal campo "http://schemas.microsoft.com/identity/claims/identityprovider" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.http://schemas.microsoft.com/identity/claims/objectidentifier read_only_udm.security_result.detection_fields.objectidentifier Mappato direttamente dal campo "http://schemas.microsoft.com/identity/claims/objectidentifier" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.http://schemas.microsoft.com/identity/claims/tenantid read_only_udm.security_result.detection_fields.tenantid Mappato direttamente dal campo "http://schemas.microsoft.com/identity/claims/tenantid" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier read_only_udm.security_result.detection_fields.nameidentifier Mappato direttamente dal campo "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.iat read_only_udm.security_result.detection_fields.iat Mappato direttamente dal campo "iat" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.iss read_only_udm.security_result.detection_fields.iss Mappato direttamente dal campo "iss" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.nbf read_only_udm.security_result.detection_fields.nbf Mappato direttamente dal campo "nbf" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.rh read_only_udm.security_result.detection_fields.rh Mappato direttamente dal campo "rh" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.uti read_only_udm.security_result.detection_fields.uti Mappato direttamente dal campo "uti" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.ver read_only_udm.security_result.detection_fields.ver Mappato direttamente dal campo "ver" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.claims.xms_tcdt read_only_udm.security_result.detection_fields.xms_tcdt Mappato direttamente dal campo "xms_tcdt" all'interno dell'oggetto "claims" dell'oggetto "identity" nel log non elaborato.
data.identity.UserName read_only_udm.principal.user.user_display_name Mappato direttamente dal campo "UserName" all'interno dell'oggetto "identity" nel log non elaborato.
data.level read_only_udm.security_result.severity, read_only_udm.security_result.severity_details Mappato direttamente dal campo "level" all'interno dell'oggetto "data" nel log non elaborato. Il campo "livello" viene utilizzato anche per determinare il valore del campo severity. Se "level" è "Information" o "Informational", severity viene impostato su "INFORMATIONAL". Se "level" è "Warning", severity è impostato su "MEDIUM". Se "level" è "Error", severity viene impostato su "ERROR". Se "level" è "Critical", severity è impostato su "CRITICAL".
data.location read_only_udm.target.location.name Mappato direttamente dal campo "location" all'interno dell'oggetto "data" nel log non elaborato.
data.operationName read_only_udm.metadata.product_event_type Mappato direttamente dal campo "operationName" all'interno dell'oggetto "data" nel log non elaborato.
data.properties.EventChannel read_only_udm.additional.fields.properties EventChannel Mappato direttamente dal campo "EventChannel" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.EventSource read_only_udm.additional.fields.properties EventSource Mappato direttamente dal campo "EventSource" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.EventId read_only_udm.metadata.product_log_id Mappato direttamente dal campo "EventId" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.eventProperties.cause read_only_udm.security_result.detection_fields.cause Mappato direttamente dal campo "cause" all'interno dell'oggetto "eventProperties" dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.eventProperties.clientIPAddress read_only_udm.principal.asset.ip, read_only_udm.principal.ip Mappato direttamente dal campo "clientIPAddress" all'interno dell'oggetto "eventProperties" dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.eventProperties.compromisedHost read_only_udm.principal.asset.hostname, read_only_udm.principal.hostname Mappato direttamente dal campo "compromisedHost" all'interno dell'oggetto "eventProperties" dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.eventProperties.currentHealthStatus read_only_udm.security_result.detection_fields.currentHealthStatus Mappato direttamente dal campo "currentHealthStatus" all'interno dell'oggetto "eventProperties" dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.eventProperties.previousHealthStatus read_only_udm.security_result.detection_fields.previousHealthStatus Mappato direttamente dal campo "previousHealthStatus" all'interno dell'oggetto "eventProperties" dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.eventProperties.type read_only_udm.security_result.detection_fields.type Mappato direttamente dal campo "type" all'interno dell'oggetto "eventProperties" dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.eventProperties.User read_only_udm.principal.user.userid Mappato direttamente dal campo "Utente" all'interno dell'oggetto "eventProperties" dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.eventProperties.userName read_only_udm.principal.user.user_display_name Mappato direttamente dal campo "userName" all'interno dell'oggetto "eventProperties" dell'oggetto "properties" dell'oggetto "data" nel log non elaborato, dopo aver rimosso il prefisso "SECURE\".
data.properties.ipAddress read_only_udm.principal.asset.ip, read_only_udm.principal.ip Mappato direttamente dal campo "ipAddress" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.legacyChannels read_only_udm.security_result.detection_fields.legacyChannels Mappato direttamente dal campo "legacyChannels" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.legacyEventDataId read_only_udm.security_result.detection_fields.legacyEventDataId Mappato direttamente dal campo "legacyEventDataId" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.legacyResourceId read_only_udm.security_result.detection_fields.legacyResourceId Mappato direttamente dal campo "legacyResourceId" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.legacyResourceGroup read_only_udm.security_result.detection_fields.legacyResourceGroup Mappato direttamente dal campo "legacyResourceGroup" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.legacyResourceProviderName read_only_udm.security_result.detection_fields.legacyResourceProviderName Mappato direttamente dal campo "legacyResourceProviderName" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.legacyResourceType read_only_udm.security_result.detection_fields.legacyResourceType Mappato direttamente dal campo "legacyResourceType" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.legacySubscriptionId read_only_udm.security_result.detection_fields.legacySubscriptionId Mappato direttamente dal campo "legacySubscriptionId" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.operationId read_only_udm.security_result.detection_fields.operationId Mappato direttamente dal campo "operationId" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.result read_only_udm.security_result.action_details Mappato direttamente dal campo "result" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.statusCode read_only_udm.network.http.response_code Mappato direttamente dal campo "statusCode" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.suspiciousCommandLine read_only_udm.target.process.command_line Mappato direttamente dal campo "suspiciousCommandLine" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.suspiciousProcess read_only_udm.target.process.file.full_path Mappato direttamente dal campo "suspiciousProcess" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.suspiciousProcessId read_only_udm.target.process.pid Mappato direttamente dal campo "suspiciousProcessId" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.tlsVersion read_only_udm.network.tls.version Mappato direttamente dal campo "tlsVersion" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.userAgent read_only_udm.network.http.user_agent, read_only_udm.network.http.parsed_user_agent Mappato direttamente dal campo "userAgent" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.userAgentHeader read_only_udm.network.http.user_agent, read_only_udm.network.http.parsed_user_agent Mappato direttamente dal campo "userAgentHeader" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.properties.userId read_only_udm.target.user.product_object_id Mappato direttamente dal campo "userId" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato.
data.ReleaseVersion read_only_udm.metadata.product_version Mappato direttamente dal campo "ReleaseVersion" all'interno dell'oggetto "data" nel log non elaborato.
data.resourceId read_only_udm.target.resource.name Mappato direttamente dal campo "resourceId" all'interno dell'oggetto "data" nel log non elaborato.
data.resourceType read_only_udm.additional.fields.resourceType Mappato direttamente dal campo "resourceType" all'interno dell'oggetto "data" nel log non elaborato.
data.resultDescription read_only_udm.metadata.description Mappato direttamente dal campo "resultDescription" all'interno dell'oggetto "data" nel log non elaborato.
data.resultSignature read_only_udm.additional.fields.resultSignature Mappato direttamente dal campo "resultSignature" all'interno dell'oggetto "data" nel log non elaborato.
data.resultType read_only_udm.security_result.action_details, read_only_udm.additional.fields.resultType Mappato direttamente dal campo "resultType" all'interno dell'oggetto "data" nel log non elaborato.
data.RoleLocation read_only_udm.target.location.name Mappato direttamente dal campo "RoleLocation" all'interno dell'oggetto "data" nel log non elaborato.
data.time read_only_udm.metadata.event_timestamp Il campo "time" all'interno dell'oggetto "data" nel log non elaborato viene analizzato per estrarre il timestamp, che viene poi mappato a event_timestamp.
data.uri read_only_udm.network.http.referral_url Mappato direttamente dal campo "uri" all'interno dell'oggetto "data" nel log non elaborato.
read_only_udm.extensions.auth.mechanism INTERACTIVE Impostato su "INTERACTIVE" se il campo "isInteractive" all'interno dell'oggetto "properties" dell'oggetto "data" nel log non elaborato è "true". In caso contrario, viene impostato su "MECHANISM_OTHER".
read_only_udm.extensions.auth.type MACHINE Imposta su "MACCHINA" se il campo "category" nel log non elaborato è "NonInteractiveUserSignInLogs", "ManagedIdentitySignInLogs" o "ServicePrincipalSignInLogs".
read_only_udm.metadata.log_type AZURE_ACTIVITY Hardcoded in "AZURE_ACTIVITY".
read_only_udm.metadata.vendor_name Microsoft Hardcoded su "Microsoft".
read_only_udm.principal.platform WINDOWS, MAC, LINUX, ANDROID Determinato in base al valore del campo "properties.test.deviceDetail.operatingSystem". Se contiene "Win", platform viene impostato su "WINDOWS". Se contiene "Mac", platform è impostato su "MAC". Se contiene "Lin", platform viene impostato su "LINUX". Se contiene "Android", platform viene impostato su "ANDROID".
read_only_udm.principal.resource.type SERVICE_ACCOUNT, UNSPECIFIED Determinato in base al valore del campo "identity.authorization.evidence.principalType". Se è "ServicePrincipal", type è impostato su "SERVICE_ACCOUNT". In caso contrario, viene impostato su "UNSPECIFIED".
read_only_udm.security_result.action ALLOW, BLOCK, UNKNOWN_ACTION Determinato in base ai valori dei campi "resultType", "status_errorcode" e "statusText". Se "resultType" è uno dei valori "Success", "success", "Succeeded", "Started", "Resolved", "Active", "Updated", "Start", "Accept", "Accepted", "0" oppure se "status_errorcode" è 0 oppure se "statusText" è "Success", action è impostato su "ALLOW". Se "resultType" è uno dei valori "Failure", "Failed", se "status_errorcode" non è vuoto o se "resultType" non è vuoto, action viene impostato su "BLOCK". In caso contrario, viene impostato su "UNKNOWN_ACTION".
read_only_udm.target.cloud.environment MICROSOFT_AZURE Hardcoded su "MICROSOFT_AZURE".

Modifiche

2024-07-10

  • Se "identity.authorization.evidence.principalType" è uguale a "Group", mappa "identity.authorization.evidence.principalId" a "principal.group.product_object_id".
  • Se "identity.authorization.evidence.principalType" è uguale a "User" o "ServicePrincipal", mappa "identity.authorization.evidence.principalId" a "principal.user.product_object_id".
  • È stato aggiunto gsub per modificare il campo "properties" in "properties.test" ed è stato rimosso il campo che inizia solo con "properties".

2024-07-08

  • Sono stati mappati "properties.compromisedEntity", "properties.attackedResourceType" e "properties.intent" a "target.resource.attribute.labels".
  • "properties.severity" è stato mappato a "security_result.severity".

2024-06-18

  • Quando "principal.user.userid" non è presente, la mappatura di "metadata.event_type" è stata modificata da "USER_RESOURCE_ACCESS" a "GENERIC_EVENT".

2024-06-18

  • "operationVersion" è stato mappato a "metadata.product_version".
  • "properties.authenticationRequirementPolicies.requirementProvider" e "properties.authenticationRequirementPolicies.detail" sono stati mappati a "security_result.detection_fields".
  • Sono stati mappati "properties.authenticationDetails.StatusSequence", "properties.correlationId", "properties.uniqueTokenIdentifier" e "properties.authenticationDetails.RequestSequence" a "security_result.detection_fields".
  • "properties.appDisplayName" è stato mappato a "target.application".
  • "properties.conditionalAccessStatus", "properties.appliedConditionalAccessPolicies", "properties.authenticationContextClassReferences", "properties.signInTokenProtectionStatus", "properties.originalRequestId", "properties.authenticationProcessingDetails", "properties.clientCredentialType", "properties.processingTimeInMilliseconds", "properties.riskDetail", "properties.riskLevelAggregated", "properties.riskLevelDuringSignIn", "properties.riskState" e "properties.originalTransferMethod" sono stati mappati a "additional.fields".
  • Sono stati mappati "properties.riskEventTypes", "properties.riskEventTypes_v2", "properties.homeTenantId", "properties.autonomousSystemNumber", "properties.autonomousSystemNumber" e "properties.privateLinkDetails" a "additional.fields".
  • "properties.resourceId", "properties.resourceTenantId" e "properties.resourceServicePrincipalId" sono stati mappati a "target.resource.attribute.labels".
  • "properties.userType" è stato mappato a "principal.user.attribute.roles".
  • "properties.userPrincipalName" è stato mappato a "principal.user.email_addresses".
  • "properties.clientAppUsed" è stato mappato a "principal.application".
  • "properties.deviceDetail.deviceId" è stato mappato a "principal.asset.asset_id" e "principal.asset_id".
  • "properties.appId" è stato mappato a "target.resource.attribute.labels".
  • "properties.status.additionalDetails" è stato mappato a "security_result.description".
  • "properties.responseBody.name" è stato mappato a "security_result.rule_name".
  • "properties.responseBody.properties.sourcePortRanges" e "properties.responseBody.properties.destinationPortRanges" sono stati mappati a "additional.fields".
  • Quando "properties.responseBody.properties.sourceAddressPrefixes" è un singolo indirizzo IP, viene mappato a "principal.ip".
  • Quando "properties.responseBody.properties.sourceAddressPrefixes" è un intervallo di indirizzi IP, è stato mappato a "additional.fields".
  • Quando "properties.responseBody.properties.sourceAddressPrefix" è un singolo indirizzo IP o indirizzo IP con porta, viene mappato a "principal.ip" e "principal.port".
  • Quando "properties.responseBody.properties.sourceAddressPrefix" è un intervallo di indirizzi IP, è stato mappato a "additional.fields".
  • Quando "properties.responseBody.properties.destinationAddressPrefixes" è un singolo indirizzo IP, viene mappato a "target.ip".
  • Quando "properties.responseBody.properties.destinationAddressPrefixes" è un intervallo di indirizzi IP, viene mappato a "additional.fields".
  • Quando "properties.responseBody.properties.destinationAddressPrefix" è un singolo indirizzo IP o un indirizzo IP con porta, viene mappato a "target.ip" e "target.port".
  • Quando "properties.responseBody.properties.destinationAddressPrefix" è un intervallo di indirizzi IP, viene mappato a "additional.fields".
  • Quando "properties.responseBody.properties.sourcePortRange" è una singola porta, viene mappata a "principal.port".
  • Quando "properties.responseBody.properties.sourcePortRange" è un intervallo di porte, è stato mappato a "additional.fields".
  • Quando "properties.responseBody.properties.destinationPortRange" è una singola porta, viene mappata a "target.port".
  • Quando "properties.responseBody.properties.destinationPortRange" è un intervallo di porte, viene mappato a "additional.fields".
  • "properties.id" e "properties.status.errorCode" sono stati mappati a "security_result.detection_fields".
  • "properties.isInteractive" è stato mappato a "extensions.auth.mechanism".
  • Quando "properties.deviceDetail.operatingSystem" è "ANDROID", mappa "principal.platform" a "ANDROID".

2024-06-03

  • Sono stati mappati "SUBSCRIPTIONS", "RESOURCEGROUPS", "STORAGEACCOUNTS", "PROVIDERS" e "SNAPSHOTS" da "resourceId" a "target.resource.attribute.labels".

2024-05-21

  • Se "identity.authorization.evidence.principalType" è uguale a "Utente", "Gruppo", "Applicazione", mappa "principal.resource.type" a "UNSPECIFIED".
  • "identity.authorization.evidence.role" è stato mappato a "principal.user.role_name".
  • È stata mappata la colonna "identity.authorization.evidence.principalType" alla colonna "principal.resource.resource_subtype".
  • "identity.authorization.evidence.principalId" è stato mappato a "principal.user.product_object_id".
  • Sono stati mappati "identity.authorization.evidence.roleAssignmentId", "identity.authorization.evidence.roleAssignmentScope", "identity.authorization.evidence.roleDefinitionId" a "principal.resource.attribute.labels".

2024-05-03

  • Quando "category" è "SignInLogs", mappa "properties.userDisplayName" a "principal.user.user_display_name".
  • "properties.requestbody.properties.priority" e "properties.response.properties.priority" sono stati mappati a "security_result.detection_fields".
  • "properties.requestbody.properties.protocol" è stato mappato a "network.ip_protocol".
  • "properties.requestbody.properties.direction" è stato mappato a "network.direction".
  • "properties.response.properties.protocol" è stato mappato a "network.ip_protocol".
  • "properties.response.properties.direction" è stato mappato a "network.direction".
  • "properties.response.properties.destinationPortRange" è stato mappato a "target.port".

2024-04-26

  • "operationName.value" è stato mappato a "metadata.product_event_type".
  • "category.value" è stato mappato a "security_result.category_details".
  • "httpRequest.uri" è stato mappato a "network.http.referral_url".
  • "httpRequest.method" è stato mappato a "network.http.method".
  • "httpRequest.clientIpAddress" è stato mappato a "principal.ip" e "principal.asset.ip".
  • "eventDataId" è stato mappato a "security_result.detection_fields".
  • "httpRequest.clientRequestId" è stato mappato a "additional.fields".

2024-04-16

  • È stato aggiunto il supporto per mappare "network.application_protocol" se "protocol" è noto, altrimenti "protocol" è stato mappato a "additional.fields".

2024-04-12

  • "properties.requestbody.properties.allowBlobPublicAccess" è stato mappato a "security_result.detection_fields".

2024-04-10

  • "resourceId" è stato mappato a "target.resource.name".
  • Quando "resourceId" è presente, mappa "targetResources.displayName", "identity", "Type" e "properties.resourceDisplayName" a "target.resource.attribute.labels".

2024-03-29

  • "ResourceGUID" è stato mappato a "target.resource.product_object_id".
  • "Tipo" è stato mappato a "target.resource.name".
  • "ClientCity" è stato mappato a "principal.location.city".
  • "ClientCountryOrRegion" è stato mappato a "principal.location.country_or_region".
  • "ClientIP" è stato mappato a "principal.ip" e "principal.asset.ip".
  • "ClientStateOrProvince" è stato mappato a "principal.location.state".
  • "ClientType" è stato mappato a "principal.resource.attribute.labels".
  • "IKey" è stato mappato a "target.resource.attribute.labels".
  • "_BilledSize" e "DurationMs" sono stati mappati a "additional.fields".
  • "OperationId", "SDKVersion" e "ItemCount" sono stati mappati a "properties.operationId".
  • "ParentId", "Properties.WebtestLocationId", "Properties.FullTestResultAvailable", "Properties.SourceId", "Properties._MS_altIds", "Properties.WebtestArmResourceName", "Properties.SyntheticMonitorId" e "Success" sono stati mappati a "security_result.detection_fields".
  • "Messaggio" è stato mappato a "metadata.description".
  • "Id" è stato mappato a "principal.resource.product_object_id".
  • "Nome" è stato mappato a "principal.resource.name".

2024-03-25

  • Quando "category" è "ServicePrincipalSignInLogs" o "NonInteractiveUserSigninLogs" o "ManagedIdentitySignInLogs", mappa "createdDateTime" a "metadata.event_timestamp".
  • Sono stati mappati "properties.authenticationDetails.authenticationStepDateTime", "properties.authenticationDetails.authenticationMethod", "properties.authenticationDetails.authenticationStepResultDetail", "properties.authenticationDetails.authenticationStepRequirement", "properties.id" e "properties.resourceServicePrincipalId" a "security_result.detection_fields".
  • "properties.authenticationDetails.succeeded" è stato mappato a "security_result.action_details".

2024-03-25

  • Se "properties.requestbody.Properties.RoleDefinitionId" non è vuoto, imposta "security_result.detection_fields.key" su "RequestBody roleDefinitionId".
  • "properties.roleDefinitionId", "properties.principalId", "properties.responseBody.properties.roleDefinitionId" e "properties.requestbody.Properties.PrincipalId" sono stati mappati a "security_result.detection_fields".

2024-03-13

  • "properties.requestbody.properties.roleDefinitionId" e "properties.requestbody.properties.principalId" sono stati mappati a "security_result.detection_fields".

2024-03-05

  • "resultType" è stato mappato a "security_result.action_details".
  • "properties.requestbody.Properties.PrincipalId" è stato mappato a "principal.user.userid".
  • Quando "resultType" non è vuoto, mappa "properties.status.failureReason" a "security_result.detection_fields".
  • "properties.hardwareProfile.vmSize", "properties.provisioningState" e "properties.requestbody.Properties.RoleDefinitionId" sono stati mappati a "security_result.detection_fields".

2024-02-13

Correzione di bug:

  • Quando "identity.UserName" è un indirizzo email, mappalo a "principal.user.email_addresses", altrimenti mappalo a "principal.user.user_display_name".

2024-02-12

  • È stato aggiunto il supporto per i log JSON che vengono eliminati.
  • "OperationNameValue" è stato mappato a "metadata.product_event_type".
  • Sono stati mappati "properties.eventDataId", "properties.subscriptionId", "properties.resourceGroup" e "properties.resourceProviderValue" a "security_result.detection_fields".
  • "Chiamante" è stato mappato a "principal.user.userid".
  • "ActivityStatusValue" è stato mappato a "security_result.action".

2024-02-01

  • Correzione di bug:
  • Quando il campo "category" ha il valore "NonInteractiveUserSignInLogs" o "OperationName" è "Attività di accesso", modifica "metadata.event_type" da "USER_LOGOUT" a "USER_LOGIN".
  • "properties.incomingTokenType" e "properties.deviceDetail.browser" sono stati mappati a "additional.fields".
  • "properties.userAgent" è stato mappato a "network.http.user_agent".
  • Quando il valore "properties.userAgent" non esiste, viene mappato solo "properties.deviceDetail.browser" a "network.http.user_agent".
  • "user_agent_field" analizzato mappato a "network.http.parsed_user_agent".
  • "properties.eventProperties.clientIPAddress" e "callerIpAddress" sono stati mappati a "principal.asset.ip".
  • "hostname", "rscname" e "properties.eventProperties.compromisedHost" sono stati mappati a "principal.asset.hostname".

2024-01-07

  • Correzione di bug:
  • È stato aggiunto un pattern Grok per convalidare "callerIpAddress" come indirizzo IP.
  • "properties.accountName" è stato mappato a "principal.user.userid".
  • "uri" è stato mappato a "network.http.refferal_url".
  • "properties.userAgentHeader" è stato mappato a "network.http.user_agent".
  • "properties.tlsVersion" è stato mappato a "network.tls.version".
  • "statusCode" è stato mappato a "network.http.response_code".
  • "protocol" è stato mappato a "network.application_protocol".
  • "properties.clientRequestId", "properties.etag", "properties.objectKey", "properties.responseMd5" e "resourceType" sono stati mappati a "additional.fields".

2023-10-09

  • È stato aggiunto il supporto per l'analisi dei log non analizzati.
  • Sono stati rinominati i seguenti campi:
  • Da "OperationName" a "operationName".
  • Da "CorrelationId" a "correlationId".
  • Da "Categoria" a "category".
  • Da "ResourceId" a "resourceId".
  • Da "ResultType" a "resultType".
  • "ProviderName" e "ProviderGuid" sono stati mappati a "security_result.detection_fields".
  • "ResultDescription" è stato mappato a "metadata.description".

2023-09-13

Miglioramento:

  • "properties.eventCategory" è stato mappato a "security_result.detection_fields".
  • "opproperties.operationIderationName" è stato mappato a "security_result.detection_fields".
  • "properties.eventName" è stato mappato a "security_result.summary".
  • "properties.EventName" è stato mappato a "security_result.summary".
  • "properties.legacyResourceType" è stato mappato a "security_result.detection_fields".
  • "properties.CallerCredentialType" è stato mappato a "security_result.detection_fields".
  • "properties.EventChannel" è stato mappato a "security_result.detection_fields".
  • "properties.EventSource" è stato mappato a "security_result.detection_fields".
  • "properties.legacyResourceId" è stato mappato a "security_result.detection_fields".
  • "properties.eventProperties.User" è stato mappato a "principal.user.id" e "principal.user.email_addresses".
  • "properties.Caller" è stato mappato a "principal.user.id" e "principal.user.email_addresses".
  • "caller" è stato mappato a "principal.user.id" e "principal.user.email_addresses".
  • "properties.IpAddress" è stato mappato a "principal.ip".
  • "properties.Description_scrubbed" è stato mappato a "security_result.description".

2023-02-22

Miglioramento:

  • "tenantId" è stato mappato a "metadata.product_deployment_id".
  • "operationName" è stato mappato a "metadata.product_event_type".
  • "category" è stato mappato a "security_result.category_details".
  • "callerIpAddress" è stato mappato a "principal.ip".
  • "identity" è stato mappato a "target.resource.name".
  • "result" è stato mappato a "security_result.action_details".
  • "properties.activityDisplayName" è stato mappato a "security_result.summary".
  • "location" è stato mappato a "principal.location.name".
  • "Livello" è stato mappato a "security_result.severity_details".
  • "properties.initiatedBy.app.displayName" è stato mappato a "principal.application".
  • "properties.targetResources.displayName" è stato mappato a "target.resource.name".
  • "properties.targetResources.id" è stato mappato a "target.resource.product_object_id".
  • "properties.targetResources.modifiedProperties.displayName" è stato mappato a "target.user.attribute.labels".
  • "properties.additionalDetails" è stato mappato a "additional.fields".
  • "properties.loggedByService" è stato mappato a "target.application".
  • "properties.userId" è stato mappato a "target.user.product_object_id".
  • "properties.resourceDisplayName" è stato mappato a "target.resource.name".
  • "properties.location.city" è stato mappato a "principal.location.city".
  • "properties.location.state" è stato mappato a "principal.location.state".
  • "properties.location.countryOrRegion" è stato mappato a "principal.location.country_or_region".
  • "properties.ipAddress" è stato mappato a "principal.ip".
  • "properties.location.geoCoordinates.latitude" è stato mappato a "principal.location.region_latitude".
  • "properties.location.geoCoordinates.longitude" è stato mappato a "principal.location.region_longitude".
  • "properties.servicePrincipalId" è stato mappato a "principal.user.userid".
  • "properties.servicePrincipalName" è stato mappato a "principal.user.user_display_name".
  • "properties.tokenIssuerType", "properties.authenticationProcessingDetails.0.value", "properties.operationType", "properties.authenticationRequirement", "properties.deviceDetail.trustType a "additional.fields".
  • "resultDescription" è stato mappato a "metadata.description".
  • "properties.userDisplayName" è stato mappato a "target.user.user_display_name".
  • "properties.appDisplayName" è stato mappato a "target.application".
  • "properties.userType" è stato mappato a "principal.user.attribute.roles".
  • "properties.status.failureReason" è stato mappato a "security_result.action_details".
  • "properties.deviceDetail.operatingSystem" è stato mappato a "principal.platform_version".
  • "properties.deviceDetail.displayName" è stato mappato a "principal.asset.hardware".
  • "properties.deviceDetail.browser" è stato mappato a "network.http.user_agent".
  • "properties.userPrincipalName" è stato mappato a "principal.user.email_addresses".

2022-11-28

Miglioramento:

  • È stato mappato il campo "correlationId" a "security_result.detection_fields".
  • È stato mappato il campo "livello" a "security_result.severity_details".
  • È stata aggiunta la seguente mappatura per la categoria "ResourceHealth" :
  • È stato mappato il campo "properties.legacyEventDataId" a "security_result.detection_fields".
  • È stato mappato il campo "properties.legacyChannels" a "security_result.detection_fields".
  • È stato mappato il campo "properties.legacySubscriptionId" a "security_result.detection_fields".
  • È stato mappato il campo "properties.legacyResourceGroup" a "security_result.detection_fields".
  • È stato mappato il campo "properties.legacyResourceProviderName" a "security_result.detection_fields".
  • È stato mappato il campo "properties.eventProperties.currentHealthStatus" a "security_result.detection_fields".
  • È stato mappato il campo "properties.eventProperties.previousHealthStatus" a "security_result.detection_fields".
  • È stato mappato il campo "properties.eventProperties.type" a "security_result.detection_fields".
  • È stato mappato il campo "properties.eventProperties.cause" a "security_result.detection_fields".

2022-09-26

Miglioramento: campi aggiunti.

  • "tenantId " è stato mappato a "metadata.product_deployment_id"

2022-06-20

Miglioramento:

  • È stato aggiunto il controllo condizionale per "entity_properties".
  • quando "category" è uguale a "Security"
  • "properties.eventProperties.clientIPAddress" è stato mappato a "principal.ip".
  • "properties.eventProperties.accountSessionId" è stato mappato a "network.session_id".
  • "properties.eventProperties.suspiciousProcess" è stato mappato a "target.process.file.full_path".
  • "properties.eventProperties.suspiciousCommandLine" è stato mappato a "target.process.command_line".
  • "properties.eventProperties.suspiciousProcessId" è stato mappato a "target.process.pid".
  • "properties.eventProperties.compromisedHost" è stato mappato a "principal.hostname".
  • "resultDescription" è stato mappato a "metadata.description"
  • "properties.legacySubscriptionId" è stato mappato a "security_result.detection_fields".
  • "properties.legacyResourceProviderName" è stato mappato a "security_result.detection_fields".

2022-05-19

Miglioramento: sono stati aggiunti e modificati più campi.

  • claims, Identity, aud, tenantid, principalId, action, appidacr, iat, exp, nbf, rh, uti, ver, xms_tcdt, principalType, roleAssignmentId, appid, aio, iss, nameidentifier, roleDefinitionId, scope mapped to security_result.detection_fields
  • resultSignature, resultType, hierarchy, resource_type, entity, mappati a additional.fields.
  • RoleLocation mappato a location.name.
  • Categoria mappata a security_result.category_details.