擷取 Microsoft Azure 活動記錄
支援以下發布途徑:
Google secops
Siem
本文說明將 Microsoft Azure 活動記錄 (AZURE_ACTIVITY) 擷取至 Google Security Operations 的必要步驟。
設定儲存空間帳戶
請完成下列步驟設定儲存空間帳戶:
- 在 Azure 控制台中搜尋「儲存體帳戶」。
- 按一下 [Create]。
- 選取帳戶所需的訂閱項目、資源群組、區域、效能 (建議使用標準) 和備援 (建議使用 GRS 或 LRS),然後輸入新的儲存空間帳戶名稱。
- 按一下「Review + create」,查看帳戶總覽,然後點選「Create」。
- 在「儲存空間帳戶總覽」頁面上,從視窗左側導覽面板中選取「存取金鑰」。
- 按一下「Show keys」(顯示金鑰),然後記下儲存空間帳戶的共用金鑰。
- 在視窗左側導覽面板中選取「Endpoints」(端點)。
- 請記下 Blob 服務端點。(https://<storageaccountname>.blob.core.windows.net/)
設定 Azure 活動記錄
請完成下列步驟,設定 Azure 活動記錄:
- 在 Azure 控制台中搜尋「Monitor」。
- 按一下頁面左側導覽面板中的「活動記錄」連結。
- 按一下視窗頂端的「Export Activity Logs」。
- 按一下「新增診斷設定」。
- 選取要匯出至 Google SecOps 的所有類別。
- 在「目的地詳細資料」下方,選取「封存至儲存空間帳戶」。
- 選取您在上一個步驟中建立的訂閱和儲存空間帳戶。
- 按一下 [儲存]。
在 Google SecOps 平台中,有兩個不同的入口可用來設定動態消息:
- SIEM 設定 > 動態饋給
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態」。
- 按一下「新增動態消息」。
- 在下一頁中,按一下「設定單一動態饋給」。
- 在「欄位名稱」中輸入不重複的名稱。
- 選取「Microsoft Azure Blob Storage」做為「Source Type」。
- 選取「Microsoft Azure Activity」做為「Log Type」。
- 點選「下一步」。
- 設定下列必要輸入參數:
- Azure URI:輸入您先前記錄的 Blob 服務端點值,並在後面加上「insights-activity-logs」 (例如 https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
- URI 是:選取包含子目錄的目錄。
- 來源刪除選項:指定是否要在移轉後刪除檔案和目錄。
- 共用金鑰:輸入先前擷取的共用金鑰值。
- 依序點選「下一步」和「提交」。
透過內容中心設定動態饋給
指定下列欄位的值:
- Azure URI:輸入您先前記錄的 Blob 服務端點值,並在後面加上「insights-activity-logs」 (例如 https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)
- URI 是:選取包含子目錄的目錄。
- 來源刪除選項:指定是否要在移轉後刪除檔案和目錄。
- 共用金鑰:輸入先前擷取的共用金鑰值。
進階選項
- 動態饋給名稱:預先填入的值,用於識別動態饋給。
- 來源類型:用於收集記錄並匯入 Google SecOps 的方法。
- 素材資源命名空間:與動態饋給相關聯的命名空間。
- 攝入標籤:套用至這個動態饋給中所有事件的標籤。
欄位對應參考資料
這個剖析器程式碼會先將大量欄位初始化為空字串,然後執行一系列字串操作和 JSON 剖析作業,從 Azure 活動記錄訊息中擷取相關資訊。最後,系統會將擷取的資料對應至 Unified Data Model (UDM) 欄位,將事件類型分類,並加入其他詳細資料,例如嚴重程度、主要資訊和網路資料。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| category | read_only_udm.security_result.category_details |
直接從原始記錄中的「category」欄位對應。 |
| callerIpAddress | read_only_udm.principal.asset.ip、read_only_udm.principal.ip |
直接從原始記錄中的「callerIpAddress」欄位對應而來。 |
| correlationId | read_only_udm.security_result.detection_fields.correlationId |
直接從原始記錄中的「correlationId」欄位對應。 |
| data.callerIpAddress | read_only_udm.principal.asset.ip、read_only_udm.principal.ip |
直接從原始記錄中的「data」物件中「callerIpAddress」欄位對應而來。 |
| data.correlationId | read_only_udm.security_result.detection_fields.correlationId |
直接從原始記錄中的「data」物件內的「correlationId」欄位對應。 |
| data.DeploymentUnit | read_only_udm.target.resource.name |
直接從原始記錄中的「data」物件中「DeploymentUnit」欄位對應。 |
| data.details | read_only_udm.metadata.description |
直接從原始記錄中的「data」物件「details」欄位對應,但前提是「details」欄位不是「Unknown」。 |
| data.entity | read_only_udm.additional.fields.entity |
直接從原始記錄中的「資料」物件中「實體」欄位對應。 |
| data.EventName | read_only_udm.metadata.product_event_type |
直接從原始記錄檔中的「data」物件中「EventName」欄位進行對應。 |
| data.hierarchy | read_only_udm.additional.fields.hierarchy |
直接從原始記錄中的「資料」物件中「階層」欄位對應而來。 |
| data.identity.authorization.action | read_only_udm.security_result.detection_fields.action |
直接從原始記錄中「identity」物件的「authorization」物件中「action」欄位對應而來。 |
| data.identity.authorization.evidence.principalId | read_only_udm.principal.user.product_object_id、read_only_udm.principal.resource.product_object_id、read_only_udm.principal.group.product_object_id |
直接從原始記錄中「identity」物件的「authorization」物件的「evidence」物件中,對應至「principalId」欄位。對應的特定 UDM 欄位取決於「principalType」欄位的值。如果「principalType」是「User」或「ServicePrincipal」,則會對應至 principal.user.product_object_id。如果「principalType」為「Group」,則會對應至 principal.group.product_object_id。如果「principalType」為「ServicePrincipal」,則會對應至 principal.resource.product_object_id。 |
| data.identity.authorization.evidence.principalType | read_only_udm.principal.resource.resource_subtype |
直接從原始記錄中「identity」物件的「authorization」物件的「evidence」物件中,對應至「principalType」欄位。 |
| data.identity.authorization.evidence.role | read_only_udm.principal.user.role_name |
直接從原始記錄中「identity」物件的「authorization」物件的「evidence」物件中,將「role」欄位對應至「role」欄位。 |
| data.identity.authorization.evidence.roleAssignmentId | read_only_udm.principal.resource.attribute.labels.roleAssignmentId |
直接從原始記錄中「identity」物件的「authorization」物件「evidence」物件中的「roleAssignmentId」欄位對應而來。 |
| data.identity.authorization.evidence.roleAssignmentScope | read_only_udm.principal.resource.attribute.labels.roleAssignmentScope |
直接從原始記錄中「identity」物件的「authorization」物件的「evidence」物件中,對應至「roleAssignmentScope」欄位。 |
| data.identity.authorization.evidence.roleDefinitionId | read_only_udm.principal.resource.attribute.labels.roleDefinitionId |
直接從原始記錄中「identity」物件的「authorization」物件的「evidence」物件中,將「roleDefinitionId」欄位對應至「authorization」物件。 |
| data.identity.authorization.scope | read_only_udm.security_result.detection_fields.scope |
直接從原始記錄中「identity」物件的「authorization」物件中,對應「scope」欄位。 |
| data.identity.claims.aio | read_only_udm.security_result.detection_fields.aio |
直接從原始記錄中「identity」物件的「claims」物件中「aio」欄位對應而來。 |
| data.identity.claims.appid | read_only_udm.security_result.detection_fields.appid |
直接從原始記錄中「identity」物件的「宣稱」物件中「appid」欄位對應而來。 |
| data.identity.claims.appidacr | read_only_udm.security_result.detection_fields.appidacr |
直接對應原始記錄中「identity」物件「宣稱」物件的「appidacr」欄位。 |
| data.identity.claims.aud | read_only_udm.security_result.detection_fields.aud |
直接從原始記錄中「identity」物件的「宣稱」物件中的「aud」欄位對應。 |
| data.identity.claims.exp | read_only_udm.security_result.detection_fields.exp |
直接對應自原始記錄中「identity」物件的「claims」物件中的「exp」欄位。 |
data.identity.claims.http://schemas.microsoft.com/identity/claims/identityprovider |
read_only_udm.security_result.detection_fields.identityprovider |
直接從原始記錄中「identity」物件的「claims」物件中,直接對應「http://schemas.microsoft.com/identity/claims/identityprovider」欄位。 |
data.identity.claims.http://schemas.microsoft.com/identity/claims/objectidentifier |
read_only_udm.security_result.detection_fields.objectidentifier |
直接從原始記錄中「identity」物件的「claims」物件中,將「http://schemas.microsoft.com/identity/claims/objectidentifier」欄位對應至「objectidentifier」欄位。 |
data.identity.claims.http://schemas.microsoft.com/identity/claims/tenantid |
read_only_udm.security_result.detection_fields.tenantid |
直接從原始記錄中「identity」物件的「claims」物件中,對應至「http://schemas.microsoft.com/identity/claims/tenantid」欄位。 |
data.identity.claims.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
read_only_udm.security_result.detection_fields.nameidentifier |
直接從原始記錄中「identity」物件的「claims」物件中,將「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier」欄位對應至「nameidentifier」欄位。 |
| data.identity.claims.iat | read_only_udm.security_result.detection_fields.iat |
直接從原始記錄中「identity」物件的「claims」物件中,將「iat」欄位對應至「iat」欄位。 |
| data.identity.claims.iss | read_only_udm.security_result.detection_fields.iss |
直接對應自原始記錄中「identity」物件的「宣稱」物件內的「iss」欄位。 |
| data.identity.claims.nbf | read_only_udm.security_result.detection_fields.nbf |
直接從原始記錄中「identity」物件的「claims」物件中「nbf」欄位對應而來。 |
| data.identity.claims.rh | read_only_udm.security_result.detection_fields.rh |
直接從原始記錄中「identity」物件的「claims」物件中「rh」欄位對應而來。 |
| data.identity.claims.uti | read_only_udm.security_result.detection_fields.uti |
直接從原始記錄中「identity」物件的「宣告」物件中的「uti」欄位對應而來。 |
| data.identity.claims.ver | read_only_udm.security_result.detection_fields.ver |
直接從原始記錄中「identity」物件的「claims」物件中「ver」欄位對應而來。 |
| data.identity.claims.xms_tcdt | read_only_udm.security_result.detection_fields.xms_tcdt |
直接從原始記錄中「identity」物件的「claims」物件中的「xms_tcdt」欄位對應而來。 |
| data.identity.UserName | read_only_udm.principal.user.user_display_name |
直接從原始記錄中的「identity」物件中「UserName」欄位對應。 |
| data.level | read_only_udm.security_result.severity、read_only_udm.security_result.severity_details |
直接從原始記錄中的「data」物件中「level」欄位對應而來。「level」欄位也用於判斷 severity 欄位的值。如果「level」是「Information」或「Informational」,severity 就會設為「INFORMATIONAL」。如果「level」為「Warning」,severity 會設為「MEDIUM」。如果「level」為「Error」,severity 會設為「ERROR」。如果「level」為「Critical」,severity 就會設為「CRITICAL」。 |
| data.location | read_only_udm.target.location.name |
直接從原始記錄中的「data」物件「location」欄位對應。 |
| data.operationName | read_only_udm.metadata.product_event_type |
直接從原始記錄中的「data」物件中「operationName」欄位對應。 |
| data.properties.EventChannel | read_only_udm.additional.fields.properties EventChannel |
直接從原始記錄檔中「data」物件的「properties」物件中,對應至「EventChannel」欄位。 |
| data.properties.EventSource | read_only_udm.additional.fields.properties EventSource |
直接從原始記錄檔中「data」物件的「properties」物件中「EventSource」欄位對應。 |
| data.properties.EventId | read_only_udm.metadata.product_log_id |
直接從原始記錄中「data」物件的「properties」物件中「EventId」欄位對應。 |
| data.properties.eventProperties.cause | read_only_udm.security_result.detection_fields.cause |
直接從原始記錄檔中「data」物件的「properties」物件中的「eventProperties」物件,對應至「cause」欄位。 |
| data.properties.eventProperties.clientIPAddress | read_only_udm.principal.asset.ip、read_only_udm.principal.ip |
直接從原始記錄中「資料」物件的「屬性」物件「eventProperties」物件中的「clientIPAddress」欄位對應而來。 |
| data.properties.eventProperties.compromisedHost | read_only_udm.principal.asset.hostname、read_only_udm.principal.hostname |
直接從原始記錄中「data」物件的「properties」物件中的「eventProperties」物件,對應至「compromisedHost」欄位。 |
| data.properties.eventProperties.currentHealthStatus | read_only_udm.security_result.detection_fields.currentHealthStatus |
直接從原始記錄檔中「data」物件的「properties」物件中的「eventProperties」物件內的「currentHealthStatus」欄位對應而來。 |
| data.properties.eventProperties.previousHealthStatus | read_only_udm.security_result.detection_fields.previousHealthStatus |
直接從原始記錄檔中「data」物件的「properties」物件「eventProperties」物件中的「previousHealthStatus」欄位對應而來。 |
| data.properties.eventProperties.type | read_only_udm.security_result.detection_fields.type |
直接從原始記錄中「資料」物件的「屬性」物件中的「eventProperties」物件中,對應「type」欄位。 |
| data.properties.eventProperties.User | read_only_udm.principal.user.userid |
直接從原始記錄中「data」物件的「properties」物件「eventProperties」物件中的「User」欄位對應而來。 |
| data.properties.eventProperties.userName | read_only_udm.principal.user.user_display_name |
在原始記錄檔中,從「data」物件的「properties」物件中的「eventProperties」物件中,直接對應「userName」欄位,並移除「SECURE」前置字串。 |
| data.properties.ipAddress | read_only_udm.principal.asset.ip、read_only_udm.principal.ip |
直接從原始記錄中「data」物件的「properties」物件中,對應至「ipAddress」欄位。 |
| data.properties.legacyChannels | read_only_udm.security_result.detection_fields.legacyChannels |
直接從原始記錄中「data」物件的「properties」物件中,對應至「legacyChannels」欄位。 |
| data.properties.legacyEventDataId | read_only_udm.security_result.detection_fields.legacyEventDataId |
直接從原始記錄中「data」物件的「properties」物件中「legacyEventDataId」欄位對應而來。 |
| data.properties.legacyResourceId | read_only_udm.security_result.detection_fields.legacyResourceId |
直接從原始記錄中「data」物件的「properties」物件中,對應至「legacyResourceId」欄位。 |
| data.properties.legacyResourceGroup | read_only_udm.security_result.detection_fields.legacyResourceGroup |
直接從原始記錄中「data」物件的「properties」物件中,對應至「legacyResourceGroup」欄位。 |
| data.properties.legacyResourceProviderName | read_only_udm.security_result.detection_fields.legacyResourceProviderName |
直接從原始記錄中「data」物件的「properties」物件中「legacyResourceProviderName」欄位對應而來。 |
| data.properties.legacyResourceType | read_only_udm.security_result.detection_fields.legacyResourceType |
直接從原始記錄中「data」物件的「properties」物件中,將「legacyResourceType」欄位對應至「legacyResourceType」欄位。 |
| data.properties.legacySubscriptionId | read_only_udm.security_result.detection_fields.legacySubscriptionId |
直接從原始記錄中「data」物件的「properties」物件中,對應至「legacySubscriptionId」欄位。 |
| data.properties.operationId | read_only_udm.security_result.detection_fields.operationId |
直接從原始記錄中「data」物件的「properties」物件中,對應至「operationId」欄位。 |
| data.properties.result | read_only_udm.security_result.action_details |
直接從原始記錄中「資料」物件的「屬性」物件中「結果」欄位對應而來。 |
| data.properties.statusCode | read_only_udm.network.http.response_code |
直接從原始記錄中「data」物件的「properties」物件中,對應至「statusCode」欄位。 |
| data.properties.suspiciousCommandLine | read_only_udm.target.process.command_line |
直接從原始記錄中「資料」物件的「屬性」物件中「可疑指令列」欄位對應而來。 |
| data.properties.suspiciousProcess | read_only_udm.target.process.file.full_path |
直接從原始記錄中「資料」物件的「屬性」物件中「可疑程序」欄位對應而來。 |
| data.properties.suspiciousProcessId | read_only_udm.target.process.pid |
直接從原始記錄中「資料」物件的「屬性」物件中「可疑程序 ID」欄位對應而來。 |
| data.properties.tlsVersion | read_only_udm.network.tls.version |
直接從原始記錄中「資料」物件的「屬性」物件中,對應至「tlsVersion」欄位。 |
| data.properties.userAgent | read_only_udm.network.http.user_agent、read_only_udm.network.http.parsed_user_agent |
直接從原始記錄中「data」物件的「properties」物件中「userAgent」欄位對應而來。 |
| data.properties.userAgentHeader | read_only_udm.network.http.user_agent、read_only_udm.network.http.parsed_user_agent |
直接從原始記錄中「data」物件的「properties」物件中,對應至「userAgentHeader」欄位。 |
| data.properties.userId | read_only_udm.target.user.product_object_id |
直接從原始記錄中「資料」物件的「屬性」物件中「userId」欄位對應而來。 |
| data.ReleaseVersion | read_only_udm.metadata.product_version |
直接從原始記錄中的「data」物件中「ReleaseVersion」欄位對應而來。 |
| data.resourceId | read_only_udm.target.resource.name |
直接從原始記錄中的「data」物件「resourceId」欄位對應。 |
| data.resourceType | read_only_udm.additional.fields.resourceType |
直接從原始記錄中的「data」物件中「resourceType」欄位對應而來。 |
| data.resultDescription | read_only_udm.metadata.description |
直接從原始記錄中的「data」物件中「resultDescription」欄位對應而來。 |
| data.resultSignature | read_only_udm.additional.fields.resultSignature |
直接從原始記錄中的「data」物件中「resultSignature」欄位對應而來。 |
| data.resultType | read_only_udm.security_result.action_details、read_only_udm.additional.fields.resultType |
直接從原始記錄中的「data」物件中「resultType」欄位對應而來。 |
| data.RoleLocation | read_only_udm.target.location.name |
直接從原始記錄中的「data」物件中「RoleLocation」欄位對應而來。 |
| data.time | read_only_udm.metadata.event_timestamp |
系統會剖析原始記錄中「data」物件中的「time」欄位,擷取時間戳記,然後對應至 event_timestamp。 |
| data.uri | read_only_udm.network.http.referral_url |
直接從原始記錄中的「data」物件中的「uri」欄位對應。 |
read_only_udm.extensions.auth.mechanism |
INTERACTIVE |
如果原始記錄中「data」物件的「properties」物件中「isInteractive」欄位為「true」,則設為「INTERACTIVE」。否則會設為「MECHANISM_OTHER」。 |
read_only_udm.extensions.auth.type |
MACHINE |
如果原始記錄中的「category」欄位為「NonInteractiveUserSignInLogs」、「ManagedIdentitySignInLogs」或「ServicePrincipalSignInLogs」,請將此欄位設為「MACHINE」。 |
read_only_udm.metadata.log_type |
AZURE_ACTIVITY |
已對應至「AZURE_ACTIVITY」。 |
read_only_udm.metadata.vendor_name |
Microsoft |
已硬式編碼為「Microsoft」。 |
read_only_udm.principal.platform |
WINDOWS、MAC、LINUX、ANDROID |
系統會根據「properties.test.deviceDetail.operatingSystem」欄位的值決定。如果包含「Win」,platform 就會設為「WINDOWS」。如果包含「Mac」,platform 就會設為「MAC」。如果包含「Lin」,platform 就會設為「LINUX」。如果包含「Android」,platform 就會設為「ANDROID」。 |
read_only_udm.principal.resource.type |
SERVICE_ACCOUNT、UNSPECIFIED |
根據「identity.authorization.evidence.principalType」欄位的值決定。如果是「ServicePrincipal」,type 會設為「SERVICE_ACCOUNT」。否則會設為「UNSPECIFIED」。 |
read_only_udm.security_result.action |
ALLOW、BLOCK、UNKNOWN_ACTION |
根據「resultType」、「status_errorcode」和「statusText」欄位的值決定。如果「resultType」是「Success」、「success」、「Succeeded」、「Started」、「Resolved」、「Active」、「Updated」、「Start」、「Accept」、「Accepted」、「0」其中之一,或是「status_errorcode」是 0,或是「statusText」是「Success」,則 action 會設為「ALLOW」。如果「resultType」是「Failure」、「Failed」或「status_errorcode」不為空白,或是「resultType」不為空白,則 action 會設為「BLOCK」。否則會設為「UNKNOWN_ACTION」。 |
read_only_udm.target.cloud.environment |
MICROSOFT_AZURE |
已硬式編碼為「MICROSOFT_AZURE」。 |
異動
2024-07-10
- 如果「identity.authorization.evidence.principalType」等於「Group」,則將「identity.authorization.evidence.principalId」對應至「principal.group.product_object_id」。
- 如果「identity.authorization.evidence.principalType」等於「User」或「ServicePrincipal」,請將「identity.authorization.evidence.principalId」對應至「principal.user.product_object_id」。
- 新增 gsub 來將「properties」欄位變更為「properties.test」,並移除開頭僅為「properties」的欄位。
2024-07-08
- 將「properties.compromisedEntity」、「properties.attackedResourceType」和「properties.intent」對應至「target.resource.attribute.labels」。
- 已將「properties.severity」對應至「security_result.severity」。
2024-06-18
- 如果沒有「principal.user.userid」,則將「metadata.event_type」的對應項目從「USER_RESOURCE_ACCESS」變更為「GENERIC_EVENT」。
2024-06-18
- 將「operationVersion」對應至「metadata.product_version」。
- 將「properties.authenticationRequirementPolicies.requirementProvider」和「properties.authenticationRequirementPolicies.detail」對應至「security_result.detection_fields」。
- 已對應「properties.authenticationDetails.StatusSequence」、「properties.correlationId」、「properties.uniqueTokenIdentifier」和「properties.authenticationDetails.RequestSequence」至「security_result.detection_fields」。
- 將「properties.appDisplayName」對應至「target.application」。
- 已對應「properties.conditionalAccessStatus」、「properties.appliedConditionalAccessPolicies」、「properties.authenticationContextClassReferences」、「properties.signInTokenProtectionStatus」、「properties.originalRequestId」、「properties.authenticationProcessingDetails」、「properties.clientCredentialType」、「properties.processingTimeInMilliseconds」、「properties.riskDetail」、「properties.riskLevelAggregated」、「properties.riskLevelDuringSignIn」、「properties.riskState」和「properties.originalTransferMethod」至「additional.fields」。
- 已將「properties.riskEventTypes」、「properties.riskEventTypes_v2」、「properties.homeTenantId」、「properties.autonomousSystemNumber」、「properties.autonomousSystemNumber」和「properties.privateLinkDetails」對應至「additional.fields」。
- 將「properties.resourceId」、「properties.resourceTenantId」和「properties.resourceServicePrincipalId」對應至「target.resource.attribute.labels」。
- 將「properties.userType」對應至「principal.user.attribute.roles」。
- 已將「properties.userPrincipalName」對應至「principal.user.email_addresses」。
- 將「properties.clientAppUsed」對應至「principal.application」。
- 將「properties.deviceDetail.deviceId」對應至「principal.asset.asset_id」和「principal.asset_id」。
- 已將「properties.appId」對應至「target.resource.attribute.labels」。
- 將「properties.status.additionalDetails」對應至「security_result.description」。
- 將「properties.responseBody.name」對應至「security_result.rule_name」。
- 將「properties.responseBody.properties.sourcePortRanges」和「properties.responseBody.properties.destinationPortRanges」對應至「additional.fields」。
- 如果「properties.responseBody.properties.sourceAddressPrefixes」是單一 IP 位址,則會對應至「principal.ip」。
- 如果「properties.responseBody.properties.sourceAddressPrefixes」是 IP 位址範圍,則會對應至「additional.fields」。
- 如果「properties.responseBody.properties.sourceAddressPrefix」是單一 IP 位址或含有通訊埠的 IP 位址,則會將其對應至「principal.ip」和「principal.port」。
- 如果「properties.responseBody.properties.sourceAddressPrefix」是 IP 位址範圍,則會對應至「additional.fields」。
- 如果「properties.responseBody.properties.destinationAddressPrefixes」是單一 IP 位址,則會對應至「target.ip」。
- 如果「properties.responseBody.properties.destinationAddressPrefixes」是 IP 位址範圍,則會對應至「additional.fields」。
- 如果「properties.responseBody.properties.destinationAddressPrefix」是單一 IP 位址或含有通訊埠的 IP 位址,則會將其對應至「target.ip」和「target.port」。
- 如果「properties.responseBody.properties.destinationAddressPrefix」是 IP 位址範圍,則會對應至「additional.fields」。
- 如果「properties.responseBody.properties.sourcePortRange」是單一通訊埠,則會對應至「principal.port」。
- 如果「properties.responseBody.properties.sourcePortRange」是一系列通訊埠,則會對應至「additional.fields」。
- 如果「properties.responseBody.properties.destinationPortRange」是單一埠,則會對應至「target.port」。
- 如果「properties.responseBody.properties.destinationPortRange」是一系列通訊埠,則會對應至「additional.fields」。
- 將「properties.id」和「properties.status.errorCode」對應至「security_result.detection_fields」。
- 將「properties.isInteractive」對應至「extensions.auth.mechanism」。
- 如果「properties.deviceDetail.operatingSystem」是「ANDROID」,則將「principal.platform」對應至「ANDROID」。
2024-06-03
- 已將「SUBSCRIPTIONS」、「RESOURCEGROUPS」、「STORAGEACCOUNTS」、「PROVIDERS」和「SNAPSHOTS」從「resourceId」對應至「target.resource.attribute.labels」。
2024-05-21
- 如果「identity.authorization.evidence.principalType」等於「User」、「Group」、「Application」,請將「principal.resource.type」對應至「UNSPECIFIED」。
- 將「identity.authorization.evidence.role」對應至「principal.user.role_name」。
- 將「identity.authorization.evidence.principalType」對應至「principal.resource.resource_subtype」。
- 將「identity.authorization.evidence.principalId」對應至「principal.user.product_object_id」。
- 將「identity.authorization.evidence.roleAssignmentId」、「identity.authorization.evidence.roleAssignmentScope」、「identity.authorization.evidence.roleDefinitionId」對應至「principal.resource.attribute.labels」。
2024-05-03
- 如果「category」是「SignInLogs」,則將「properties.userDisplayName」對應至「principal.user.user_display_name」。
- 將「properties.requestbody.properties.priority」和「properties.response.properties.priority」對應至「security_result.detection_fields」。
- 將「properties.requestbody.properties.protocol」對應至「network.ip_protocol」。
- 將「properties.requestbody.properties.direction」對應至「network.direction」。
- 將「properties.response.properties.protocol」對應至「network.ip_protocol」。
- 將「properties.response.properties.direction」對應至「network.direction」。
- 將「properties.response.properties.destinationPortRange」對應至「target.port」。
2024-04-26
- 已將「operationName.value」對應至「metadata.product_event_type」。
- 將「category.value」對應至「security_result.category_details」。
- 將「httpRequest.uri」對應至「network.http.referral_url」。
- 將「httpRequest.method」對應至「network.http.method」。
- 將「httpRequest.clientIpAddress」對應至「principal.ip」和「principal.asset.ip」。
- 將「eventDataId」對應至「security_result.detection_fields」。
- 將「httpRequest.clientRequestId」對應至「additional.fields」。
2024-04-16
- 如果已知「protocol」,則新增對應「network.application_protocol」的支援;否則將「protocol」對應至「additional.fields」。
2024-04-12
- 將「properties.requestbody.properties.allowBlobPublicAccess」對應至「security_result.detection_fields」。
2024-04-10
- 將「resourceId」對應至「target.resource.name」。
- 如果有「resourceId」,則會將「targetResources.displayName」、「identity」、「Type」和「properties.resourceDisplayName」對應至「target.resource.attribute.labels」。
2024-03-29
- 已將「ResourceGUID」對應至「target.resource.product_object_id」。
- 將「Type」對應至「target.resource.name」。
- 將「ClientCity」對應至「principal.location.city」。
- 將「ClientCountryOrRegion」對應至「principal.location.country_or_region」。
- 將「ClientIP」對應至「principal.ip」和「principal.asset.ip」。
- 將「ClientStateOrProvince」對應至「principal.location.state」。
- 將「ClientType」對應至「principal.resource.attribute.labels」。
- 將「IKey」對應至「target.resource.attribute.labels」。
- 將「_BilledSize」和「DurationMs」對應至「additional.fields」。
- 將「OperationId」、「SDKVersion」和「ItemCount」對應至「properties.operationId」。
- 已將「ParentId」、「Properties.WebtestLocationId」、「Properties.FullTestResultAvailable」、「Properties.SourceId」、「Properties._MS_altIds」、「Properties.WebtestArmResourceName」、「Properties.SyntheticMonitorId」和「Success」對應至「security_result.detection_fields」。
- 將「Message」對應至「metadata.description」。
- 將「Id」對應至「principal.resource.product_object_id」。
- 將「Name」對應至「principal.resource.name」。
2024-03-25
- 如果「category」是「ServicePrincipalSignInLogs」或「NonInteractiveUserSigninLogs」或「ManagedIdentitySignInLogs」,則將「createdDateTime」對應至「metadata.event_timestamp」。
- 已將「properties.authenticationDetails.authenticationStepDateTime」、「properties.authenticationDetails.authenticationMethod」、「properties.authenticationDetails.authenticationStepResultDetail」、「properties.authenticationDetails.authenticationStepRequirement」、「properties.id」和「properties.resourceServicePrincipalId」對應至「security_result.detection_fields」。
- 將「properties.authenticationDetails.succeeded」對應至「security_result.action_details」。
2024-03-25
- 如果「properties.requestbody.Properties.RoleDefinitionId」不為空白,請將「security_result.detection_fields.key」設為「RequestBody roleDefinitionId」。
- 將「properties.roleDefinitionId」、「properties.principalId」、「properties.responseBody.properties.roleDefinitionId」和「properties.requestbody.Properties.PrincipalId」對應至「security_result.detection_fields」。
2024-03-13
- 將「properties.requestbody.properties.roleDefinitionId」和「properties.requestbody.properties.principalId」對應至「security_result.detection_fields」。
2024-03-05
- 將「resultType」對應至「security_result.action_details」。
- 將「properties.requestbody.Properties.PrincipalId」對應至「principal.user.userid」。
- 如果「resultType」不為空白,則會將「properties.status.failureReason」對應至「security_result.detection_fields」。
- 已對應「properties.hardwareProfile.vmSize」、「properties.provisioningState」、「properties.requestbody.Properties.RoleDefinitionId」至「security_result.detection_fields」。
2024-02-13
修正錯誤:
- 如果「identity.UserName」是電子郵件地址,請對應至「principal.user.email_addresses」;如果不是,請對應至「principal.user.user_display_name」。
2024-02-12
- 新增對遭到捨棄的 JSON 記錄支援。
- 將「OperationNameValue」對應至「metadata.product_event_type」。
- 將「properties.eventDataId」、「properties.subscriptionId」、「properties.resourceGroup」和「properties.resourceProviderValue」對應至「security_result.detection_fields」。
- 將「Caller」對應至「principal.user.userid」。
- 將「ActivityStatusValue」對應至「security_result.action」。
2024-02-01
- 修正錯誤:
- 如果「category」欄位值為「NonInteractiveUserSignInLogs」或「OperationName」為「Sign-in activity」,請將「metadata.event_type」從「USER_LOGOUT」變更為「USER_LOGIN」。
- 將「properties.incomingTokenType」和「properties.deviceDetail.browser」對應至「additional.fields」。
- 將「properties.userAgent」對應至「network.http.user_agent」。
- 如果「properties.userAgent」值不存在,則只會將「properties.deviceDetail.browser」對應至「network.http.user_agent」。
- 已將剖析的「user_agent_field」對應至「network.http.parsed_user_agent」。
- 將「properties.eventProperties.clientIPAddress」和「callerIpAddress」對應至「principal.asset.ip」。
- 將「hostname」、「rscname」和「properties.eventProperties.compromisedHost」對應至「principal.asset.hostname」。
2024-01-07
- 修正錯誤:
- 新增 Grok 模式,驗證「callerIpAddress」是否為 IP 位址。
- 將「properties.accountName」對應至「principal.user.userid」。
- 已將「uri」對應至「network.http.refferal_url」。
- 將「properties.userAgentHeader」對應至「network.http.user_agent」。
- 將「properties.tlsVersion」對應至「network.tls.version」。
- 將「statusCode」對應至「network.http.response_code」。
- 已將「protocol」對應至「network.application_protocol」。
- 將「properties.clientRequestId」、「properties.etag」、「properties.objectKey」、「properties.responseMd5」和「resourceType」對應至「additional.fields」。
2023-10-09
- 新增剖析未剖析記錄的支援功能。
- 重新命名下列欄位:
- 從「OperationName」改為「operationName」。
- 從「CorrelationId」改為「correlationId」。
- 從「Category」變更為「category」。
- 從「ResourceId」改為「resourceId」。
- 從「ResultType」改為「resultType」。
- 將「ProviderName」、「ProviderGuid」對應至「security_result.detection_fields」。
- 將「ResultDescription」對應至「metadata.description」。
2023-09-13
改善項目 -
- 已將「properties.eventCategory」對應至「security_result.detection_fields」。
- 將「opproperties.operationIderationName」對應至「security_result.detection_fields」。
- 將「properties.eventName」對應至「security_result.summary」。
- 將「properties.EventName」對應至「security_result.summary」。
- 將「properties.legacyResourceType」對應至「security_result.detection_fields」。
- 將「properties.CallerCredentialType」對應至「security_result.detection_fields」。
- 將「properties.EventChannel」對應至「security_result.detection_fields」。
- 將「properties.EventSource」對應至「security_result.detection_fields」。
- 將「properties.legacyResourceId」對應至「security_result.detection_fields」。
- 將「properties.eventProperties.User」對應至「principal.user.id」和「principal.user.email_addresses」。
- 將「properties.Caller」對應至「principal.user.id」和「principal.user.email_addresses」。
- 將「caller」對應至「principal.user.id」和「principal.user.email_addresses」。
- 將「properties.IpAddress」對應至「principal.ip」。
- 將「properties.Description_scrubbed」對應至「security_result.description」。
2023-02-22
改善項目 -
- 將「tenantId」對應至「metadata.product_deployment_id」。
- 將「operationName」對應至「metadata.product_event_type」。
- 將「category」對應至「security_result.category_details」。
- 將「callerIpAddress」對應至「principal.ip」。
- 將「identity」對應至「target.resource.name」。
- 將「result」對應至「security_result.action_details」。
- 將「properties.activityDisplayName」對應至「security_result.summary」。
- 將「location」對應至「principal.location.name」。
- 將「Level」對應至「security_result.severity_details」。
- 將「properties.initiatedBy.app.displayName」對應至「principal.application」。
- 將「properties.targetResources.displayName」對應至「target.resource.name」。
- 將「properties.targetResources.id」對應至「target.resource.product_object_id」。
- 將「properties.targetResources.modifiedProperties.displayName」對應至「target.user.attribute.labels」。
- 將「properties.additionalDetails」對應至「additional.fields」。
- 將「properties.loggedByService」對應至「target.application」。
- 將「properties.userId」對應至「target.user.product_object_id」。
- 將「properties.resourceDisplayName」對應至「target.resource.name」。
- 將「properties.location.city」對應至「principal.location.city」。
- 將「properties.location.state」對應至「principal.location.state」。
- 將「properties.location.countryOrRegion」對應至「principal.location.country_or_region」。
- 將「properties.ipAddress」對應至「principal.ip」。
- 將「properties.location.geoCoordinates.latitude」對應至「principal.location.region_latitude」。
- 將「properties.location.geoCoordinates.longitude」對應至「principal.location.region_longitude」。
- 將「properties.servicePrincipalId」對應至「principal.user.userid」。
- 將「properties.servicePrincipalName」對應至「principal.user.user_display_name」。
- 已對應「properties.tokenIssuerType」、「properties.authenticationProcessingDetails.0.value」、「properties.operationType」、「properties.authenticationRequirement」、「properties.deviceDetail.trustType」和「additional.fields」。
- 將「resultDescription」對應至「metadata.description」。
- 將「properties.userDisplayName」對應至「target.user.user_display_name」。
- 將「properties.appDisplayName」對應至「target.application」。
- 將「properties.userType」對應至「principal.user.attribute.roles」。
- 將「properties.status.failureReason」對應至「security_result.action_details」。
- 將「properties.deviceDetail.operatingSystem」對應至「principal.platform_version」。
- 將「properties.deviceDetail.displayName」對應至「principal.asset.hardware」。
- 將「properties.deviceDetail.browser」對應至「network.http.user_agent」。
- 已將「properties.userPrincipalName」對應至「principal.user.email_addresses」。
2022-11-28
改善項目 -
- 將「correlationId」欄位對應至「security_result.detection_fields」。
- 將「level」欄位對應至「security_result.severity_details」。
- 為「ResourceHealth」類別新增下列對應項目:
- 將「properties.legacyEventDataId」欄位對應至「security_result.detection_fields」。
- 將「properties.legacyChannels」欄位對應至「security_result.detection_fields」。
- 將「properties.legacySubscriptionId」欄位對應至「security_result.detection_fields」。
- 將「properties.legacyResourceGroup」欄位對應至「security_result.detection_fields」。
- 將「properties.legacyResourceProviderName」欄位對應至「security_result.detection_fields」。
- 將「properties.eventProperties.currentHealthStatus」欄位對應至「security_result.detection_fields」。
- 將「properties.eventProperties.previousHealthStatus」欄位對應至「security_result.detection_fields」。
- 將「properties.eventProperties.type」欄位對應至「security_result.detection_fields」。
- 將「properties.eventProperties.cause」欄位對應至「security_result.detection_fields」。
2022-09-26
改善功能:新增欄位。
- 將「tenantId」對應至「metadata.product_deployment_id」
2022-06-20
改善項目 -
- 新增「entity_properties」的條件式檢查。
- 當「category」等於「Security」
- 將「properties.eventProperties.clientIPAddress」對應至「principal.ip」。
- 將「properties.eventProperties.accountSessionId」對應至「network.session_id」。
- 將「properties.eventProperties.suspiciousProcess」對應至「target.process.file.full_path」。
- 將「properties.eventProperties.suspiciousCommandLine」對應至「target.process.command_line」。
- 將「properties.eventProperties.suspiciousProcessId」對應至「target.process.pid」。
- 將「properties.eventProperties.compromisedHost」對應至「principal.hostname」。
- 將「resultDescription」對應至「metadata.description」
- 將「properties.legacySubscriptionId」對應至「security_result.detection_fields」。
- 將「properties.legacyResourceProviderName」對應至「security_result.detection_fields」。
2022-05-19
改善功能:新增及修改多個欄位。
- claims、Identity、aud、tenantid、principalId、action、appidacr、iat、exp、nbf、rh、uti、ver、xms_tcdt、principalType、roleAssignmentId、appid、aio、iss、nameidentifier、roleDefinitionId、scope 對應至 security_result.detection_fields
- resultSignature、resultType、hierarchy、resource_type、entity,對應至 additional.fields。
- RoleLocation 會對應至 location.name。
- 已對應至 security_result.category_details 的類別。