Microsoft Azure-Aktivitätsprotokolle aufnehmen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument werden die Schritte beschrieben, die erforderlich sind, um Microsoft Azure-Aktivitätslogs (AZURE_ACTIVITY) in Google Security Operations aufzunehmen.
Speicherkonto konfigurieren
Führen Sie die folgenden Schritte aus, um ein Speicherkonto zu konfigurieren:
- Suchen Sie in der Azure-Konsole nach Storage accounts (Speicherkonten).
- Klicken Sie auf Erstellen.
- Wählen Sie das Abo, die Ressourcengruppe, die Region, die Leistung (empfohlen: „Standard“) und die Redundanz (empfohlen: „GRS“ oder „LRS“) aus, die für das Konto erforderlich sind, und geben Sie einen Namen für das neue Speicherkonto ein.
- Klicken Sie auf Prüfen und erstellen, sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
- Wählen Sie auf der Seite Storage Account Overview (Speicherkonto – Übersicht) im linken Navigationsbereich des Fensters die Option Access keys (Zugriffsschlüssel) aus.
- Klicken Sie auf Schlüssel anzeigen und notieren Sie sich den freigegebenen Schlüssel für das Speicherkonto.
- Wählen Sie im linken Navigationsbereich des Fensters Endpunkte aus.
- Notieren Sie sich den Endpunkt des Blob-Diensts. (https://<storageaccountname>.blob.core.windows.net/)
Azure-Aktivitätsprotokollierung konfigurieren
Führen Sie die folgenden Schritte aus, um die Azure-Aktivitätsprotokollierung zu konfigurieren:
- Suchen Sie in der Azure-Konsole nach Monitor.
- Klicken Sie im linken Navigationsbereich der Seite auf den Link Aktivitätsprotokoll.
- Klicken Sie oben im Fenster auf Aktivitätsprotokolle exportieren.
- Klicken Sie auf Diagnoseeinstellung hinzufügen.
- Wählen Sie alle Kategorien aus, die Sie in Google SecOps exportieren möchten.
- Wählen Sie unter Zieldetails die Option In einem Speicherkonto archivieren aus.
- Wählen Sie das Abo und das Speicherkonto aus, die Sie im vorherigen Schritt erstellt haben.
- Klicken Sie auf Speichern.
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub> Content-Pakete
Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten
So konfigurieren Sie einen Feed:
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie einen eindeutigen Namen für den Feldnamen ein.
- Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
- Wählen Sie Microsoft Azure Activity als Log Type (Protokolltyp) aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Azure-URI: Geben Sie den Endpunktwert für Blob Service ein, den Sie zuvor notiert haben, und hängen Sie insights-activity-logs an (z. B. https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs).
- URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
- Option zum Löschen der Quelle: Geben Sie an, ob Dateien und Verzeichnisse nach der Übertragung gelöscht werden sollen.
- Shared key (Gemeinsamer Schlüssel): Geben Sie den Wert des gemeinsamen Schlüssels ein, den Sie zuvor erfasst haben.
- Klicken Sie auf Weiter und dann auf Senden.
Feeds über den Content Hub einrichten
Geben Sie Werte für die folgenden Felder an:
- Azure-URI: Geben Sie den Endpunktwert für Blob Service ein, den Sie zuvor notiert haben, und hängen Sie insights-activity-logs an (z. B. https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs).
- URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
- Option zum Löschen der Quelle: Geben Sie an, ob Dateien und Verzeichnisse nach der Übertragung gelöscht werden sollen.
- Shared key (Gemeinsamer Schlüssel): Geben Sie den Wert des gemeinsamen Schlüssels ein, den Sie zuvor erfasst haben.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
- Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Referenz zur Feldzuordnung
Mit diesem Parsercode wird zuerst eine große Anzahl von Feldern mit leeren Strings initialisiert. Anschließend werden eine Reihe von Stringbearbeitungs- und JSON-Parsing-Vorgängen ausgeführt, um relevante Informationen aus der Azure-Aktivitätsprotokollnachricht zu extrahieren. Schließlich werden die extrahierten Daten den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) zugeordnet, der Ereignistyp wird kategorisiert und mit zusätzlichen Details wie Schweregrad, Hauptinformationen und Netzwerkdaten angereichert.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Kategorie | read_only_udm.security_result.category_details |
Direkt aus dem Feld „category“ im Rohlog zugeordnet. |
| callerIpAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Direkt aus dem Feld „callerIpAddress“ im Rohlog zugeordnet. |
| correlationId | read_only_udm.security_result.detection_fields.correlationId |
Direkt aus dem Feld „correlationId“ im Rohlog zugeordnet. |
| data.callerIpAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Direkt aus dem Feld „callerIpAddress“ im Objekt „data“ im Rohlog zugeordnet. |
| data.correlationId | read_only_udm.security_result.detection_fields.correlationId |
Direkt aus dem Feld „correlationId“ im Objekt „data“ im Rohlog zugeordnet. |
| data.DeploymentUnit | read_only_udm.target.resource.name |
Direkt aus dem Feld „DeploymentUnit“ im Objekt „data“ im Rohlog zugeordnet. |
| data.details | read_only_udm.metadata.description |
Direkt aus dem Feld „details“ im Objekt „data“ im Rohlog, sofern das Feld „details“ nicht „Unknown“ ist. |
| data.entity | read_only_udm.additional.fields.entity |
Direkt aus dem Feld „entity“ im Objekt „data“ im Rohlog zugeordnet. |
| data.EventName | read_only_udm.metadata.product_event_type |
Wird direkt aus dem Feld „EventName“ im Objekt „data“ im Rohlog zugeordnet. |
| data.hierarchy | read_only_udm.additional.fields.hierarchy |
Direkt aus dem Feld „hierarchy“ im Objekt „data“ im Rohlog zugeordnet. |
| data.identity.authorization.action | read_only_udm.security_result.detection_fields.action |
Direkt aus dem Feld „action“ im Objekt „authorization“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.authorization.evidence.principalId | read_only_udm.principal.user.product_object_id, read_only_udm.principal.resource.product_object_id, read_only_udm.principal.group.product_object_id |
Direkt zugeordnet aus dem Feld „principalId“ im „evidence“-Objekt des „authorization“-Objekts des „identity“-Objekts im Rohlog. Das spezifische UDM-Feld, dem es zugeordnet wird, hängt vom Wert des Felds „principalType“ ab. Wenn „principalType“ „User“ oder „ServicePrincipal“ ist, wird es principal.user.product_object_id zugeordnet. Wenn „principalType“ „Group“ ist, wird es principal.group.product_object_id zugeordnet. Wenn „principalType“ „ServicePrincipal“ ist, wird es principal.resource.product_object_id zugeordnet. |
| data.identity.authorization.evidence.principalType | read_only_udm.principal.resource.resource_subtype |
Direkt zugeordnet aus dem Feld „principalType“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohlog. |
| data.identity.authorization.evidence.role | read_only_udm.principal.user.role_name |
Direkt zugeordnet aus dem Feld „role“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohlog. |
| data.identity.authorization.evidence.roleAssignmentId | read_only_udm.principal.resource.attribute.labels.roleAssignmentId |
Direkt zugeordnet aus dem Feld „roleAssignmentId“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohlog. |
| data.identity.authorization.evidence.roleAssignmentScope | read_only_udm.principal.resource.attribute.labels.roleAssignmentScope |
Direkt zugeordnet aus dem Feld „roleAssignmentScope“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohlog. |
| data.identity.authorization.evidence.roleDefinitionId | read_only_udm.principal.resource.attribute.labels.roleDefinitionId |
Direkt zugeordnet aus dem Feld „roleDefinitionId“ im Objekt „evidence“ des Objekts „authorization“ des Objekts „identity“ im Rohlog. |
| data.identity.authorization.scope | read_only_udm.security_result.detection_fields.scope |
Direkt aus dem Feld „scope“ im Objekt „authorization“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.claims.aio | read_only_udm.security_result.detection_fields.aio |
Direkt aus dem Feld „aio“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.claims.appid | read_only_udm.security_result.detection_fields.appid |
Direkt aus dem Feld „appid“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.claims.appidacr | read_only_udm.security_result.detection_fields.appidacr |
Direkt aus dem Feld „appidacr“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.claims.aud | read_only_udm.security_result.detection_fields.aud |
Direkt aus dem Feld „aud“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.claims.exp | read_only_udm.security_result.detection_fields.exp |
Direkt aus dem Feld „exp“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/identityprovider |
read_only_udm.security_result.detection_fields.identityprovider |
Direkt zugeordnet aus dem Feld „http://schemas.microsoft.com/identity/claims/identityprovider“ im Objekt „claims“ des Objekts „identity“ im Rohlog. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/objectidentifier |
read_only_udm.security_result.detection_fields.objectidentifier |
Direkt zugeordnet aus dem Feld „http://schemas.microsoft.com/identity/claims/objectidentifier“ im Objekt „claims“ des Objekts „identity“ im Rohlog. |
data.identity.claims.http://schemas.microsoft.com/identity/claims/tenantid |
read_only_udm.security_result.detection_fields.tenantid |
Direkt aus dem Feld „http://schemas.microsoft.com/identity/claims/tenantid“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
data.identity.claims.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
read_only_udm.security_result.detection_fields.nameidentifier |
Direkt zugeordnet aus dem Feld „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier“ im Objekt „claims“ des Objekts „identity“ im Rohlog. |
| data.identity.claims.iat | read_only_udm.security_result.detection_fields.iat |
Direkt aus dem Feld „iat“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.claims.iss | read_only_udm.security_result.detection_fields.iss |
Direkt aus dem Feld „iss“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.claims.nbf | read_only_udm.security_result.detection_fields.nbf |
Direkt aus dem Feld „nbf“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.claims.rh | read_only_udm.security_result.detection_fields.rh |
Direkt aus dem Feld „rh“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.claims.uti | read_only_udm.security_result.detection_fields.uti |
Direkt aus dem Feld „uti“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.claims.ver | read_only_udm.security_result.detection_fields.ver |
Direkt zugeordnet aus dem Feld „ver“ im Objekt „claims“ des Objekts „identity“ im Rohlog. |
| data.identity.claims.xms_tcdt | read_only_udm.security_result.detection_fields.xms_tcdt |
Direkt aus dem Feld „xms_tcdt“ im Objekt „claims“ des Objekts „identity“ im Rohlog zugeordnet. |
| data.identity.UserName | read_only_udm.principal.user.user_display_name |
Direkt aus dem Feld „UserName“ im Objekt „identity“ im Rohlog zugeordnet. |
| data.level | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details |
Direkt aus dem Feld „level“ im Objekt „data“ im Rohlog zugeordnet. Das Feld „level“ wird auch verwendet, um den Wert des Felds severity zu bestimmen. Wenn „level“ auf „Information“ oder „Informational“ festgelegt ist, wird severity auf „INFORMATIONAL“ gesetzt. Wenn „level“ auf „Warning“ festgelegt ist, wird severity auf „MEDIUM“ gesetzt. Wenn „level“ „Error“ ist, wird severity auf „ERROR“ gesetzt. Wenn „level“ auf „Critical“ festgelegt ist, wird severity auf „CRITICAL“ festgelegt. |
| data.location | read_only_udm.target.location.name |
Direkt aus dem Feld „location“ im Objekt „data“ im Rohlog zugeordnet. |
| data.operationName | read_only_udm.metadata.product_event_type |
Direkt aus dem Feld „operationName“ im Objekt „data“ im Rohlog zugeordnet. |
| data.properties.EventChannel | read_only_udm.additional.fields.properties EventChannel |
Direkt aus dem Feld „EventChannel“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.EventSource | read_only_udm.additional.fields.properties EventSource |
Direkt aus dem Feld „EventSource“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.EventId | read_only_udm.metadata.product_log_id |
Direkt aus dem Feld „EventId“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.eventProperties.cause | read_only_udm.security_result.detection_fields.cause |
Direkt aus dem Feld „cause“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.eventProperties.clientIPAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Direkt zugeordnet aus dem Feld „clientIPAddress“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohlog. |
| data.properties.eventProperties.compromisedHost | read_only_udm.principal.asset.hostname, read_only_udm.principal.hostname |
Direkt aus dem Feld „compromisedHost“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.eventProperties.currentHealthStatus | read_only_udm.security_result.detection_fields.currentHealthStatus |
Direkt zugeordnet aus dem Feld „currentHealthStatus“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohlog. |
| data.properties.eventProperties.previousHealthStatus | read_only_udm.security_result.detection_fields.previousHealthStatus |
Direkt zugeordnet aus dem Feld „previousHealthStatus“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohlog. |
| data.properties.eventProperties.type | read_only_udm.security_result.detection_fields.type |
Direkt aus dem Feld „type“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.eventProperties.User | read_only_udm.principal.user.userid |
Direkt aus dem Feld „User“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.eventProperties.userName | read_only_udm.principal.user.user_display_name |
Direkt zugeordnet aus dem Feld „userName“ im Objekt „eventProperties“ des Objekts „properties“ des Objekts „data“ im Rohlog nach dem Entfernen des Präfixes „SECURE\“. |
| data.properties.ipAddress | read_only_udm.principal.asset.ip, read_only_udm.principal.ip |
Direkt aus dem Feld „ipAddress“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.legacyChannels | read_only_udm.security_result.detection_fields.legacyChannels |
Direkt aus dem Feld „legacyChannels“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.legacyEventDataId | read_only_udm.security_result.detection_fields.legacyEventDataId |
Direkt aus dem Feld „legacyEventDataId“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.legacyResourceId | read_only_udm.security_result.detection_fields.legacyResourceId |
Direkt aus dem Feld „legacyResourceId“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.legacyResourceGroup | read_only_udm.security_result.detection_fields.legacyResourceGroup |
Direkt aus dem Feld „legacyResourceGroup“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.legacyResourceProviderName | read_only_udm.security_result.detection_fields.legacyResourceProviderName |
Direkt aus dem Feld „legacyResourceProviderName“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.legacyResourceType | read_only_udm.security_result.detection_fields.legacyResourceType |
Direkt aus dem Feld „legacyResourceType“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.legacySubscriptionId | read_only_udm.security_result.detection_fields.legacySubscriptionId |
Direkt aus dem Feld „legacySubscriptionId“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.operationId | read_only_udm.security_result.detection_fields.operationId |
Direkt aus dem Feld „operationId“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.result | read_only_udm.security_result.action_details |
Direkt aus dem Feld „result“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.statusCode | read_only_udm.network.http.response_code |
Direkt aus dem Feld „statusCode“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.suspiciousCommandLine | read_only_udm.target.process.command_line |
Direkt aus dem Feld „suspiciousCommandLine“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.suspiciousProcess | read_only_udm.target.process.file.full_path |
Direkt aus dem Feld „suspiciousProcess“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.suspiciousProcessId | read_only_udm.target.process.pid |
Direkt aus dem Feld „suspiciousProcessId“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.tlsVersion | read_only_udm.network.tls.version |
Direkt aus dem Feld „tlsVersion“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.userAgent | read_only_udm.network.http.user_agent, read_only_udm.network.http.parsed_user_agent |
Direkt aus dem Feld „userAgent“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.userAgentHeader | read_only_udm.network.http.user_agent, read_only_udm.network.http.parsed_user_agent |
Direkt aus dem Feld „userAgentHeader“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.properties.userId | read_only_udm.target.user.product_object_id |
Direkt aus dem Feld „userId“ im Objekt „properties“ des Objekts „data“ im Rohlog zugeordnet. |
| data.ReleaseVersion | read_only_udm.metadata.product_version |
Direkt aus dem Feld „ReleaseVersion“ im Objekt „data“ im Rohlog zugeordnet. |
| data.resourceId | read_only_udm.target.resource.name |
Direkt aus dem Feld „resourceId“ im Objekt „data“ im Rohlog zugeordnet. |
| data.resourceType | read_only_udm.additional.fields.resourceType |
Direkt aus dem Feld „resourceType“ im Objekt „data“ im Rohlog zugeordnet. |
| data.resultDescription | read_only_udm.metadata.description |
Direkt aus dem Feld „resultDescription“ im Objekt „data“ im Rohlog zugeordnet. |
| data.resultSignature | read_only_udm.additional.fields.resultSignature |
Direkt aus dem Feld „resultSignature“ im Objekt „data“ im Rohlog zugeordnet. |
| data.resultType | read_only_udm.security_result.action_details, read_only_udm.additional.fields.resultType |
Direkt aus dem Feld „resultType“ im Objekt „data“ im Rohlog zugeordnet. |
| data.RoleLocation | read_only_udm.target.location.name |
Direkt aus dem Feld „RoleLocation“ im Objekt „data“ im Rohlog zugeordnet. |
| data.time | read_only_udm.metadata.event_timestamp |
Das Feld „time“ im Objekt „data“ im Rohlog wird geparst, um den Zeitstempel zu extrahieren, der dann event_timestamp zugeordnet wird. |
| data.uri | read_only_udm.network.http.referral_url |
Direkt aus dem Feld „uri“ im Objekt „data“ im Rohlog zugeordnet. |
read_only_udm.extensions.auth.mechanism |
INTERACTIVE |
Auf „INTERACTIVE“ gesetzt, wenn das Feld „isInteractive“ im Objekt „properties“ des Objekts „data“ im Rohlog „true“ ist. Andernfalls wird er auf „MECHANISM_OTHER“ gesetzt. |
read_only_udm.extensions.auth.type |
MACHINE |
Auf „MACHINE“ festgelegt, wenn das Feld „category“ im Rohlog „NonInteractiveUserSignInLogs“, „ManagedIdentitySignInLogs“ oder „ServicePrincipalSignInLogs“ ist. |
read_only_udm.metadata.log_type |
AZURE_ACTIVITY |
Fest codiert auf „AZURE_ACTIVITY“. |
read_only_udm.metadata.vendor_name |
Microsoft |
Fest codiert auf „Microsoft“. |
read_only_udm.principal.platform |
WINDOWS, MAC, LINUX, ANDROID |
Wird anhand des Werts des Felds „properties.test.deviceDetail.operatingSystem“ bestimmt. Wenn der String „Win“ enthält, wird platform auf „WINDOWS“ gesetzt. Wenn der Name „Mac“ enthält, wird platform auf „MAC“ festgelegt. Wenn der Name „Lin“ enthält, wird platform auf „LINUX“ festgelegt. Wenn der String „Android“ enthält, wird platform auf „ANDROID“ festgelegt. |
read_only_udm.principal.resource.type |
SERVICE_ACCOUNT, UNSPECIFIED |
Wird anhand des Werts des Felds „identity.authorization.evidence.principalType“ bestimmt. Wenn es „ServicePrincipal“ ist, wird type auf „SERVICE_ACCOUNT“ festgelegt. Andernfalls wird er auf „UNSPECIFIED“ gesetzt. |
read_only_udm.security_result.action |
ALLOW, BLOCK, UNKNOWN_ACTION |
Wird anhand der Werte der Felder „resultType“, „status_errorcode“ und „statusText“ bestimmt. Wenn „resultType“ einer der folgenden Werte ist: „Success“, „success“, „Succeeded“, „Started“, „Resolved“, „Active“, „Updated“, „Start“, „Accept“, „Accepted“, „0“, oder wenn „status_errorcode“ 0 ist oder „statusText“ „Success“ ist, wird action auf „ALLOW“ gesetzt. Wenn „resultType“ „Failure“ oder „Failed“ ist, „status_errorcode“ nicht leer ist oder „resultType“ nicht leer ist, wird action auf „BLOCK“ gesetzt. Andernfalls wird er auf „UNKNOWN_ACTION“ gesetzt. |
read_only_udm.target.cloud.environment |
MICROSOFT_AZURE |
Fest codiert auf „MICROSOFT_AZURE“. |