Microsoft Entra ID-Audit-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Entra ID-Logs (AD) erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Azure Active Directory (AZURE_AD) heißt jetzt Microsoft Entra ID. Azure AD-Audit-Logs (AZURE_AD_AUDIT) sind jetzt Microsoft Entra ID-Audit-Logs.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert.
Hinweise
Für die Aufgaben auf dieser Seite benötigen Sie Folgendes:
- Die Rolle „Globaler Administrator“ oder „Entra ID-Administrator“.
- Einen Entra ID-Mandanten in Azure.
Microsoft Entra ID konfigurieren
Die Erfassung von AZURE_AD_AUDIT-Logs in Google SecOps erfolgt über die Integration von API-Feeds von Drittanbietern.Dazu müssen Sie eine Microsoft Entra-App erstellen und konfigurieren, die von Google SecOps verwendet wird.
So erstellen und konfigurieren Sie eine Microsoft Entra-App:
- Melden Sie sich im Microsoft Entra Admin Center an.
- Gehen Sie zu Identität > Anwendungen > App-Registrierungen und wählen Sie Neue Registrierung aus.
- Geben Sie im Feld Name den Anzeigenamen für Ihre Anwendung ein.
- Wählen Sie im Abschnitt Unterstützte Kontotypen die gewünschte Option aus, um anzugeben, wer die Anwendung verwenden oder auf die API zugreifen darf.
- Klicken Sie auf Registrieren.
- Rufen Sie die Seite Übersicht auf und kopieren Sie die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Tenant-ID), die zum Konfigurieren des Google Security Operations-Feeds erforderlich sind.
- Klicken Sie auf API-Berechtigungen.
- Klicken Sie auf Berechtigung hinzufügen und wählen Sie im neuen Bereich Microsoft Graph aus.
- Klicken Sie auf Anwendungsberechtigungen.
- Wählen Sie die Berechtigungen AuditLog.Read.All, Directory.Read.All und SecurityEvents.Read.All aus. Achten Sie darauf, dass es sich bei den Berechtigungen um Anwendungsberechtigungen und nicht um delegierte Berechtigungen handelt.
- Klicken Sie auf Administratoreinwilligung für Standardverzeichnis erteilen. Anwendungen sind berechtigt, APIs aufzurufen, wenn sie im Rahmen des Einwilligungsverfahrens von Nutzern oder Administratoren Berechtigungen erhalten.
- Gehen Sie zu Einstellungen > Verwalten.
- Klicken Sie auf Zertifikate und Secrets.
- Klicken Sie auf Neuer geheimer Clientschlüssel. Im Feld Wert wird der Clientschlüssel angezeigt.
- Kopieren Sie den Clientschlüsselwert. Der Wert wird nur zum Zeitpunkt der Erstellung angezeigt und ist für die Azure-App-Registrierung und die Konfiguration des Google Security Operations-Feeds erforderlich.
Weitere Informationen finden Sie unter Microsoft Entra ID App einrichten.
Weitere Informationen zu Microsoft Entra for permissions finden Sie unter Microsoft Entra for permissions.
Feed in Google Security Operations konfigurieren, um Azure AD-Audit-Logs zu verarbeiten
- Wählen Sie SIEM-Einstellungen > Feeds aus.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie einen eindeutigen Namen für den Feednamen ein.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Azure AD-Verzeichnisaudit als Protokolltyp aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- OAUTH-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
- OAUTH-Clientschlüssel: Geben Sie den Clientschlüssel an, den Sie zuvor abgerufen haben.
- Mandanten-ID: Geben Sie die zuvor abgerufene Mandanten-ID an.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser verarbeitet Azure AD-Verzeichnis-Audit-Logs im JSON-Format. Es werden relevante Felder extrahiert, in ein einheitliches Datenmodell (Unified Data Model, UDM) umgewandelt und die Daten mit zusätzlichem Kontext wie Nutzerdetails, IP-Adressen und Sicherheitsergebnissen angereichert. Der Parser kategorisiert Ereignisse auch anhand ihrer Merkmale und ordnet sie bestimmten UDM-Ereignistypen zu, um die Analyse zu vereinfachen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | Direkte Zuordnung aus dem Rohlogfeld „activityDateTime“. |
| activityDisplayName | read_only_udm.metadata.product_event_type | Direkte Zuordnung aus dem Rohlogfeld „activityDisplayName“. |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „ApplicationId“ der Schlüssel ist. |
| additionalDetails.Client | read_only_udm.network.http.user_agent | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „Client“ der Schlüssel ist. |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „ClientIpAddress“ der Schlüssel ist. |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Direkte Zuordnung aus dem Feld „additionalDetails“ des Rohlogs, wobei „DomainName“ der Schlüssel ist. |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „EmailAddress“ der Schlüssel ist. |
| additionalDetails.GrantType | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „GrantType“ der Schlüssel ist. |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Direkte Zuordnung aus dem Feld „additionalDetails“ des Rohlogs, wobei „LocalAccountUsername“ der Schlüssel ist. |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „PhoneNumber“ der Schlüssel ist. |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Direkte Zuordnung aus dem Feld „additionalDetails“ des Rohlogs, wobei „PolicyId“ der Schlüssel ist. |
| additionalDetails.Scopes | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „Scopes“ der Schlüssel ist. |
| additionalDetails.TenantId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „TenantId“ der Schlüssel ist. |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „additionalDetails“, wobei „VerificationMethod“ der Schlüssel ist. |
| appId | read_only_udm.target.process.pid | Direkte Zuordnung aus dem Feld „appId“ im Rohprotokoll. |
| appliedConditionalAccessPolicies | read_only_udm.about | Das Feld „displayName“ wird „read_only_udm.about.user.user_display_name“ zugeordnet und das Feld „id“ wird „read_only_udm.about.user.userid“ zugeordnet. Das Feld „result“ ist „read_only_udm.about.labels“ zugeordnet und der Schlüssel ist auf „Result“ festgelegt. |
| Kategorie | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Direkte Zuordnung aus dem Feld „category“ im Rohprotokoll. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „log_category“ festgelegt. |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Rohprotokollfeld „callerIpAddress“. |
| clientAppUsed | read_only_udm.principal.application | Direkte Zuordnung aus dem Rohprotokollfeld „clientAppUsed“. |
| correlationId | read_only_udm.network.session_id | Direkte Zuordnung aus dem Rohprotokollfeld „correlationId“. |
| id | read_only_udm.metadata.product_log_id | Direkte Zuordnung aus dem Feld „id“ des Rohlogs. |
| identity | read_only_udm.target.user.userid | Direkte Zuordnung aus dem Feld „identity“ im Rohprotokoll. |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Direkte Zuordnung aus dem Rohprotokollfeld „initiatedBy.app.appId“. Der Schlüssel für „read_only_udm.principal.resource.attribute.labels“ ist auf „App-ID“ festgelegt. |
| initiatedBy.app.displayName | read_only_udm.principal.application | Direkte Zuordnung aus dem Rohprotokollfeld „initiatedBy.app.displayName“. |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Rohprotokollfeld „initiatedBy.app.servicePrincipalId“. |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Direkte Zuordnung aus dem Rohprotokollfeld „initiatedBy.app.servicePrincipalName“. |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.principal.user.user_display_name“ zugeordnet. |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Feld „initiatedBy.user.id“ im Rohprotokoll. |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Feld „initiatedBy.user.ipAddress“ des Rohlogs. |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.principal.user.userid“ zugeordnet. Der Domainteil der E-Mail-Adresse wird „read_only_udm.principal.administrative_domain“ zugeordnet. Der vollständige Wert wird auch „read_only_udm.principal.resource.attribute.labels“ zugeordnet, wobei der Schlüssel auf „User Principal Name“ festgelegt ist. |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Feld „ipAddress“ des Rohlogs. |
| Level | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | Der Wert wird in einen String konvertiert und „read_only_udm.security_result.severity_details“ zugeordnet. Das Feld „read_only_udm.security_result.severity“ ist auf „INFORMATIONAL“ gesetzt. |
| location.city | read_only_udm.principal.location.city | Direkte Zuordnung aus dem Rohprotokollfeld „location.city“. |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Direkte Zuordnung aus dem Rohprotokollfeld „location.countryOrRegion“. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Direkte Zuordnung aus dem Rohlogs-Feld „location.geoCoordinates.latitude“. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Direkte Zuordnung aus dem Rohlogs-Feld „location.geoCoordinates.longitude“. |
| location.state | read_only_udm.principal.location.state | Direkte Zuordnung aus dem Rohprotokollfeld „location.state“. |
| loggedByService | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „loggedByService“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „loggedByService“ festgelegt. |
| operationName | read_only_udm.metadata.product_event_type | Direkte Zuordnung aus dem Feld „operationName“ des Rohlogs. |
| operationType | read_only_udm.security_result.action_details | Direkte Zuordnung aus dem Feld „operationType“ des Rohlogs. |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | Direkte Zuordnung aus dem Rohlogfeld „properties.activityDateTime“. |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | Direkte Zuordnung aus dem Rohlogs-Feld „properties.activityDisplayName“. |
| properties.appDisplayName | read_only_udm.target.application | Direkte Zuordnung aus dem Feld „properties.appDisplayName“ im Rohprotokoll. |
| properties.category | read_only_udm.security_result.category_details | Direkte Zuordnung aus dem Feld „properties.category“ im Rohprotokoll. |
| properties.id | read_only_udm.metadata.product_log_id | Direkte Zuordnung aus dem Feld „properties.id“ im Rohprotokoll. |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Direkte Zuordnung aus dem Feld „properties.initiatedBy.app.appId“ des Rohlogs. Der Schlüssel für „read_only_udm.principal.resource.attribute.labels“ ist auf „App-ID“ festgelegt. |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | Direkte Zuordnung aus dem Feld „properties.initiatedBy.app.displayName“ des Rohlogs. |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Feld „properties.initiatedBy.app.servicePrincipalId“ des Rohlogs. |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Direkte Zuordnung aus dem Feld „properties.initiatedBy.app.servicePrincipalName“ des Rohlogs. |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.principal.user.user_display_name“ zugeordnet. |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Rohprotokollfeld „properties.initiatedBy.user.id“. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Feld „properties.initiatedBy.user.ipAddress“ des Rohlogs. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.principal.user.userid“ zugeordnet. Der Domainteil der E-Mail-Adresse wird „read_only_udm.principal.administrative_domain“ zugeordnet. Der vollständige Wert wird auch „read_only_udm.principal.resource.attribute.labels“ zugeordnet, wobei der Schlüssel auf „User Principal Name“ festgelegt ist. |
| properties.loggedByService | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „properties.loggedByService“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „loggedByService“ festgelegt. |
| properties.operationType | read_only_udm.security_result.action_details | Direkte Zuordnung aus dem Feld „properties.operationType“ des Rohlogs. |
| properties.result | read_only_udm.security_result.summary | Direkte Zuordnung aus dem Feld „properties.result“ im Rohprotokoll. |
| properties.resultReason | read_only_udm.security_result.description | Direkte Zuordnung aus dem Feld „properties.resultReason“ im Rohprotokoll. |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | Direkte Zuordnung aus dem Feld „properties.userPrincipalName“ des Rohlogs. |
| Ergebnis | read_only_udm.security_result.summary, read_only_udm.security_result.action | Direkte Zuordnung aus dem Feld „result“ im Rohprotokoll. Wenn der Wert „success“ ist, wird „read_only_udm.security_result.action“ auf „ALLOW“ gesetzt. Wenn der Wert „failure“ ist, wird „read_only_udm.security_result.action“ auf „BLOCK“ gesetzt. |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Direkte Zuordnung aus dem Rohprotokollfeld „resultDescription“. |
| resultReason | read_only_udm.security_result.description | Direkte Zuordnung aus dem Feld „resultReason“ im Rohprotokoll. |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Direkte Zuordnung aus dem Rohprotokollfeld „resultType“. Wenn der Wert „0“ ist, wird „read_only_udm.security_result.action“ auf „ALLOW“ und „read_only_udm.security_result.summary“ auf „Successful login occurred“ gesetzt. Andernfalls wird „read_only_udm.security_result.action“ auf „BLOCK“ und „read_only_udm.security_result.summary“ auf „Failed login occurred“ gesetzt. „read_only_udm.security_result.description“ wird auf den Wert von „resultDescription“ und „read_only_udm.security_result.severity“ auf „ERROR“ gesetzt. |
| resourceDisplayName | read_only_udm.target.resource.name | Direkte Zuordnung aus dem Rohprotokollfeld „resourceDisplayName“. |
| resourceId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Feld „resourceId“ des Rohlogs. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „resourceId“ festgelegt. |
| riskDetail | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „riskDetail“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskDetail“ festgelegt. |
| riskEventTypes | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „riskEventTypes“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskEventTypes“ festgelegt. |
| riskEventTypes_v2 | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „riskEventTypes_v2“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskEventTypes_v2“ festgelegt. |
| riskLevelAggregated | read_only_udm.additional.fields | Direkte Zuordnung aus dem Feld „riskLevelAggregated“ des Rohlogs. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskLevelAggregated“ festgelegt. |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Direkte Zuordnung aus dem Rohlog-Feld „riskLevelDuringSignIn“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskLevelDuringSignIn“ festgelegt. Wenn der Wert „medium“ ist, wird „read_only_udm.security_result.priority“ auf „MEDIUM_PRIORITY“ festgelegt. |
| riskState | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohprotokollfeld „riskState“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskState“ festgelegt. |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Wenn der Wert von „targetResources.0.type“ „User“ oder „ServicePrincipal“ ist, wird er „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert von „targetResources.0.type“ „Gruppe“ ist, wird er „read_only_udm.target.group.group_display_name“ zugeordnet. Andernfalls wird der Wert „read_only_udm.target.resource.name“ zugeordnet. |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Direkte Zuordnung aus dem Feld „targetResources.0.groupType“ im Rohprotokoll. Der Schlüssel für „read_only_udm.target.group.attribute.labels“ ist auf „groupType“ festgelegt. |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Wenn der Wert von „targetResources.0.type“ „Nutzer“ oder „ServicePrincipal“ ist, wird er „read_only_udm.target.user.product_object_id“ zugeordnet. Wenn der Wert von „targetResources.0.type“ „Gruppe“ ist, wird er „read_only_udm.target.group.product_object_id“ zugeordnet. Andernfalls wird der Wert „read_only_udm.target.resource.product_object_id“ zugeordnet. |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | Der Wert wird „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist auf „targetResources.modifiedProperties.displayname {index}“ festgelegt. Wenn der Wert „TargetId.DeviceId“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ mit dem Präfix „Device ID:“ zu „read_only_udm.target.asset.asset_id“ zugeordnet. Wenn der Wert „DisplayName“ oder „jobTitle“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.title“ zugeordnet. Wenn der Wert „WellKnownObjectName“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.resource.attribute.roles“ mit dem Schlüssel „name“ zugeordnet. Wenn der Wert „displayName“ ist und „targetResources.0.displayName“ den Wert „null“ hat, wird der Wert „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert „givenName“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ mit „read_only_udm.target.user.first_name“ abgeglichen. Wenn der Wert „Nachname“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.last_name“ zugeordnet. Wenn der Wert „Abteilung“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ mit „read_only_udm.target.user.department“ abgeglichen. Wenn der Wert „physicalDeliveryOfficeName“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.office_address.name“ zugeordnet. Wenn der Wert „employeeId“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.employee_id“ zugeordnet. Wenn der Wert „mobile“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.user.phone_numbers“ zugeordnet. Wenn der Wert „MailNickname“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ mit „read_only_udm.target.user.userid“ abgeglichen. Andernfalls wird der Wert von „targetResources.0.modifiedProperties.newValue“ auf „read_only_udm.target.resource.attribute.labels“ zugeordnet. Der Schlüssel wird auf den Wert von „targetResources.0.modifiedProperties.displayName“ festgelegt. Der Wert von „targetResources.0.modifiedProperties.oldValue“ wird „read_only_udm.src.resource.attribute.labels“ zugeordnet. Der Schlüssel ist auf den Wert von „targetResources.0.modifiedProperties.displayName“ festgelegt. |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „TargetId.DeviceId“ ist, wird er mit dem Präfix „Device ID:“ zu „read_only_udm.target.asset.asset_id“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „DisplayName“ oder „jobTitle“ ist, wird er „read_only_udm.target.user.title“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „WellKnownObjectName“ ist, wird der Wert „read_only_udm.target.resource.attribute.roles“ zugeordnet. Der Schlüssel ist dabei auf „name“ festgelegt. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „displayName“ ist und „targetResources.0.displayName“ den Wert „null“ hat, wird der Wert „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „givenName“ ist, wird der Wert „read_only_udm.target.user.first_name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „Nachname“ ist, wird der Wert „read_only_udm.target.user.last_name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „Abteilung“ ist, wird er „read_only_udm.target.user.department“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „physicalDeliveryOfficeName“ ist, wird der Wert „read_only_udm.target.user.office_address.name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „employeeId“ ist, wird der Wert „read_only_udm.target.user.employee_id“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „mobile“ ist, wird er „read_only_udm.target.user.phone_numbers“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „MailNickname“ ist, wird der Wert „read_only_udm.target.user.userid“ zugeordnet. Andernfalls wird der Wert „read_only_udm.target.resource.attribute.labels“ zugeordnet. Der Schlüssel wird auf den Wert „targetResources.0.modifiedProperties.displayName“ festgelegt. Der Wert wird auch „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist dabei „targetResources.modifiedProperties.newValue {index}“. |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | Der Wert wird „read_only_udm.src.resource.attribute.labels“ zugeordnet. Der Schlüssel ist auf den Wert „targetResources.0.modifiedProperties.displayName“ festgelegt. Der Wert wird auch „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist dabei „targetResources.modifiedProperties.oldValue {index}“. |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Direkte Zuordnung aus dem Feld „targetResources.0.type“ im Rohprotokoll. Wenn der Wert „ServicePrincipal“ ist, wird „read_only_udm.target.resource.resource_type“ auf „SERVICE_ACCOUNT“ festgelegt. Wenn der Wert „Gerät“ ist, wird „read_only_udm.target.resource.resource_type“ auf „DEVICE“ festgelegt. Andernfalls wird „read_only_udm.target.resource.resource_type“ auf „UNSPECIFIED“ gesetzt. Wenn der Wert „Nutzer“ oder „ServicePrincipal“ ist, wird der Wert von „targetResources.0.userPrincipalName“ auf „read_only_udm.target.user.userid“, der Wert von „targetResources.0.id“ auf „read_only_udm.target.user.product_object_id“ und der Wert von „targetResources.0.displayName“ auf „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert „Gruppe“ ist, wird der Wert von „targetResources.0.id“ mit „read_only_udm.target.group.product_object_id“ und der Wert von „targetResources.0.displayName“ mit „read_only_udm.target.group.group_display_name“ abgeglichen. |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.target.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.target.user.userid“ zugeordnet. |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Wenn der Wert von „targetResources.type“ „Nutzer“ oder „ServicePrincipal“ ist, wird er „read_only_udm.about.user.user_display_name“ und „read_only_udm.about.user.userid“ zugeordnet. Wenn der Wert von „targetResources.type“ „Gruppe“ ist, wird er „read_only_udm.about.group.group_display_name“ zugeordnet. Der Wert „targetResources.groupType“ wird „read_only_udm.about.group.attribute.labels“ zugeordnet. Der Schlüssel ist „groupType“. Andernfalls wird der Wert „read_only_udm.about.resource.name“ zugeordnet. |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Direkte Zuordnung aus dem Rohprotokoll-Feld „targetResources.groupType“. Der Schlüssel für „read_only_udm.about.group.attribute.labels“ ist auf „groupType“ festgelegt. |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Wenn der Wert von „targetResources.type“ „Nutzer“ oder „ServicePrincipal“ ist, wird er „read_only_udm.about.user.product_object_id“ zugeordnet. Wenn der Wert von „targetResources.type“ „Gruppe“ ist, wird er „read_only_udm.about.group.product_object_id“ zugeordnet. Andernfalls wird der Wert „read_only_udm.about.resource.product_object_id“ zugeordnet. |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | Der Wert wird „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist auf „targetResources.modifiedProperties.displayname {index}“ festgelegt. |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | Der Wert wird „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist „targetResources.modifiedProperties.newValue {index}“. |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | Der Wert wird „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist auf „targetResources.modifiedProperties.oldValue {index}“ festgelegt. |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Direkte Zuordnung aus dem Feld „targetResources.type“ im Rohprotokoll. Wenn der Wert „ServicePrincipal“ ist, wird „read_only_udm.about.resource.resource_type“ auf „SERVICE_ACCOUNT“ festgelegt. Wenn der Wert „Device“ ist, wird „read_only_udm.about.resource.resource_type“ auf „DEVICE“ gesetzt. Andernfalls wird „read_only_udm.about.resource.resource_type“ auf „UNSPECIFIED“ gesetzt. Wenn der Wert „Nutzer“ oder „ServicePrincipal“ ist, wird der Wert von „targetResources.userPrincipalName“ auf „read_only_udm.about.user.userid“, der Wert von „targetResources.id“ auf „read_only_udm.about.user.product_object_id“ und der Wert von „targetResources.displayName“ auf „read_only_udm.about.user.user_display_name“ zugeordnet. Wenn der Wert „Gruppe“ ist, wird der Wert von „targetResources.id“ auf „read_only_udm.about.group.product_object_id“ und der Wert von „targetResources.displayName“ auf „read_only_udm.about.group.group_display_name“ zugeordnet. |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.about.user.email_addresses“ zugeordnet. Andernfalls wird es „read_only_udm.about.user.userid“ zugeordnet. |
| tenantId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Feld „tenantId“ des Rohlogs. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „tenantId“ festgelegt. |
| Zeit | read_only_udm.metadata.event_timestamp | Direkte Zuordnung aus dem Feld „time“ im Rohprotokoll. |
| userId | read_only_udm.target.user.product_object_id | Direkte Zuordnung aus dem Feld „userId“ im Rohprotokoll. Der Wert wird anhand der Werte anderer Felder festgelegt, darunter „activityDisplayName“, „principal_userid_present“, „target_userid_present“, „principal_ip_present“, „loggedByService“ und „category“. Die Logik zum Festlegen des Werts ist komplex und hängt von der spezifischen Kombination der Werte in diesen Feldern ab. Der Wert wird auf „SSO“ festgelegt, wenn der Wert von „operationName“ „Anmeldeaktivität“ ist. Der Wert ist auf „Microsoft“ festgelegt. Der Wert ist auf „Azure AD-Verzeichnisaudit“ festgelegt. Der Wert ist auf „AZURE_AD_AUDIT“ festgelegt. |
Änderungen
2024-07-30
- Wenn „principal.user.userid“ oder „target.user.userid“ vorhanden ist, wird nur „metadata.event_type“ zu „USER_CHANGE_PERMISSIONS“ zugeordnet.
2024-06-26
- Delta zwischen „targetResources.modifiedProperties.newValue“ und „targetResources.modifiedProperties.oldValue“ wurde in „additional.fields“ zugeordnet.
2024-06-10
- Wenn „initiatedBy.user.ipAddress“ eine IP-Adresse hat, setze „principal_ip_present“ auf „true“.
- Es wurde eine Bedingung hinzugefügt, um „metadata.event_type“ nur dann auf „USER_DELETION“ festzulegen, wenn „principal_ip_present“ auf „true“ gesetzt ist.
2024-06-03
- Es wurde ein JSON-Block zum Parsen nicht geparster Protokolle hinzugefügt.
- Es wurde eine bedingte Prüfung für „event_type“ „USER_DELETION“ hinzugefügt.
2024-05-20
Fehlerkorrektur:
- Die Zuordnung der „targetResource“ wurde geändert.
- Die erste Iteration von „targetResource“ wurde „target“ und die folgende Iteration von „targetResource“ „about“ zugeordnet.
- Der Schlüsselname des Felds „loggedByService“ wurde von „log_Service“ in „loggedByService“ geändert.
- Die Zuordnung von „resourceId“ wurde von „target.resource.id“ zu „additional_fields“ geändert.
- Wenn „targetResources.type“ den Wert „Application“, „Policy“, „Role“, „Directory“, „RoleAssignment“, „Request“, „Provider“ oder „Other“ hat, werden „targetResources.displayName“ zu „noun.resource.name“, „targetResources.id“ zu „noun.resource.product_object_id“, „noun.resource.resource_type“ zu „UNSPECIFIED“ und „targetResource.type“ zu „noun.resource.resource_subtype“ zugeordnet.
- Wenn „targetResources.type“ = „User“, wurde „targetResources.displayName“ zu „noun.resource.name“, „targetResources.id“ zu „noun.resource.product_object_id“, „noun.resource.resource_type“ zu „UNSPECIFIED“, „targetResource.type“ zu „noun.resource.resource_subtype“, „targetResources.displayName“ zu „noun.user.user_display_name“, „targetResources.id“ zu „noun.user.product_object_id“ und „targetResources.userPrincipalName“ zu „noun.user.userid“ zugeordnet.
- Wenn „targetResources.type“ = „ServicePrincipal“, wurde „targetResources.displayName“ zu „noun.resource.name“, „targetResources.id“ zu „noun.resource.product_object_id“, „noun.resource.resource_type“ = „SERVICE_ACCOUNT“, „targetResource.type“ zu „noun.resource.resource_subtype“, „targetResources.displayName“ zu „noun.user.user_display_name“, „targetResources.id“ zu „noun.user.product_object_id“ und „targetResources.userPrincipalName“ zu „noun.user.userid“ zugeordnet.
- Wenn „targetResources.type“ = „Group“, wurde „targetResources.displayName“ zu „noun.resource.name“, „targetResources.id“ zu „noun.resource.product_object_id“, „noun.resource.resource_type“ = „UNSPECIFIED“, „targetResource.type“ zu „noun.resource.resource_subtype“, „targetResources.displayName“ zu „noun.group.group_display_name“, „targetResources.id“ zu „noun.group.product_object_id“ und „groupType“ zu „noun.group.attribute.labels“ zugeordnet.
2024-05-17
- „initiatedBy.user.id“ wurde in „principal.user.product_object_id“ umgewandelt.
- „initiatedBy.user.userPrincipalName“ wurde in „principal.user.userid“ umgewandelt.
2024-03-18
- Die Felder „targetResources.modifiedProperties.displayname“, „targetResources.modifiedProperties.newValue“ und „targetResources.modifiedProperties.oldValue“ werden auch dann angezeigt, wenn der Wert „null“ ist.
- „callerIpAddress“ wurde „principal.ip“ zugeordnet.
2024-03-12
Fehlerkorrektur:
- Synchronisierte Zuordnungen von Azure Monitor-E-Mail-Format-Logs zu Logs im Microsoft Graph API-Format.
- „target.resource.resource_type“ wurde anhand von „targetResources.type“ zugeordnet.
- „targetResources.type“ wurde in „target.resource.type“ umgewandelt.
2024-03-04
- „user_principal_name“ wurde von „initiatedBy.user.userPrincipalName“ zu „principal.resource.attribute.labels“ zugeordnet.
- „domain“ von „initiatedBy.user.userPrincipalName“ zu „principal.administrative_domain“ zugeordnet.
- „loggedByService“ und „properties.loggedByService“ wurden „additional.fields“ zugeordnet.
- Die Zuordnung von „initiatedBy.user.id“ wurde von „principal.user.product_object_id“ zu „principal.user.userid“ geändert.
- „tgt_user_principal_name“ wurde von „target.userPrincipalName“ zu „target.resource.attribute.labels“ zugeordnet.
- „domain“ von „target.userPrincipalName“ zu „target.administrative_domain“ zugeordnet.
- „category“ wurde „additional.fields“ zugeordnet.
- Wenn „additionalDetails[n].key“ „AppId“ ist, wird „additionalDetails[n].value“ mit „target.process.pid“ abgeglichen.
- Wenn „additionalDetails[n].key“ „User-Agent“ ist, wird „additionalDetails[n].value“ den Werten „network.http.user_agent“ und „network.http.parsed_user_agent“ zugeordnet.
- „metadata.event_type“ wurde anhand von „loggedByService“, „category“ und „activityDisplayName“ zugeordnet.
- „targetResources.modifiedProperties.displayname“, „targetResources.modifiedProperties.newValue“ und „targetResources.modifiedProperties.oldValue“ wurden in „additional.fields“ zugeordnet.
2024-02-21
- Es wurde eine bedingte Prüfung hinzugefügt, ob „principal.user.userid“ vorhanden ist, bevor „metadata.event_type“ auf „USER_CREATION“ gesetzt wird.
- Die Zuordnung von „initiatedBy.user.id“ wurde von „principal.user.userid“ zu „principal.user.product_object_id“ geändert.
- Die Zuordnung von „initiatedBy.app.servicePrincipalId“ wurde von „principal.user.userid“ zu „principal.user.product_object_id“ geändert.
- Die Zuordnung von „initiatedBy.app.servicePrincipalName“ wurde von „principal.user.user_display_name“ zu „principal.user.userid“ geändert.
- Die Zuordnung von „properties.initiatedBy.user.id“ wurde von „principal.user.userid“ zu „principal.user.product_object_id“ geändert.
- Die Zuordnung von „properties.initiatedBy.app.servicePrincipalId“ wurde von „principal.user.userid“ zu „principal.user.product_object_id“ geändert.
- Die Zuordnung von „properties.initiatedBy.app.servicePrincipalName“ wurde von „principal.user.user_display_name“ zu „principal.user.userid“ geändert.
- Wenn der Wert „targetResourceType“ mit „User“ oder „ServicePrincipal“ übereinstimmt, wurde die Zuordnung von „target.id“ von „target.user.userid“ zu „target.user.product_object_id“ geändert.
- Wenn der Wert von „targetResourceType“ mit „User“ oder „ServicePrincipal“ übereinstimmt, wird „target.userPrincipalName“ mit „target.user.userid“ abgeglichen.
- Wenn der Wert „targetResourceType“ mit „User“ oder „ServicePrincipal“ übereinstimmt, wird „target.displayName“ mit „target.user.user_display_name“ abgeglichen.
2024-02-12
- Bedingte Prüfung für „modifiedProperty.displayName“, „modifiedProperty.newValue“ und „modifiedProperty.oldValue“ hinzugefügt
- Wenn „targetResource.id“ „Nutzer“ oder „ServicePrincipal“ ist, wird sie „target.user.userid“ zugeordnet.
2024-01-08
Fehlerkorrektur:
- Es wurde ein Grok-Muster hinzugefügt, um E-Mail-Werte zu validieren, bevor sie „principal.user.email_addresses“ und „target.user.email_addresses“ zugeordnet werden.
2023-12-19
- „targetResource.modifiedProperties.newValue“, „targetResource.modifiedProperties.oldValue“ und „targetResource.modifiedProperties.displayName“ wurden in „additional.fields“ umgewandelt.
2023-11-23
- Die Felder „targetResources.0.modifiedProperties.newValue/oldValue“ wurden auf „event.idm.read_only_udm.additional.fields“ zugeordnet.
- Vor der Zuordnung zu UDm wurde „initiatedBy.user.ipAddress“ um eine Formatprüfung für IP-Adressen ergänzt.
2023-10-16
- die folgenden Zuordnungen geändert:
- „metadata.event_type“ wurde von „USER_UNCATEGORIZED“ in „USER_RESOURCE_ACCESS“ geändert, wenn „target.type“ nicht „user“ ist.
- Die Zuordnung von „target.id“ wurde von „principal.user.userid“ zu „principal.user.group_or_identifiers“ geändert, wenn „target.type“ nicht „user“ ist.
- Das Feld, das „target.resource.id“ zugeordnet war, wurde auch „target.resource.product_object_id“ zugeordnet, da „target.resource.id“ eingestellt wird.
2023-08-03
- die folgenden Zuordnungen geändert:
- „metadata.event_type“ wurde von „USER_UNCATEGORIZED“ in „USER_CREATION“ geändert, wenn „activityDisplayName“ „Nutzer hinzufügen“ lautet.
- Die Zuordnung von „activityDisplayName“ wurde von „metadata.description“ zu „metadata.product_event_type“ geändert.
- „metadata.event_type“ wurde korrekt zugeordnet, wenn „activityDisplayName“ „Mitglied zur Gruppe hinzufügen“ oder „Inhaber zur Gruppe hinzufügen“ lautet.
- Alle Felder unter „targetResources“ sollten zu den UDM-Feldern „target.user“ gehören.
- „target.user.userid“ muss der richtigen „id“ unter „targetResource“ zugeordnet sein.
- Für „activityDisplayName“ als „Mitglied einer Rolle außerhalb von PIM hinzufügen (permanent)“ in „activityDisplayName“ wird „target.user.xxx“ zugeordnet, wenn der Ressourcentyp „Nutzer“ ist.
- Für „activityDisplayName“ als „Mitglied der Rolle hinzufügen“ wurde „Role.WellKnownObjectName“ mit „target.resource.attribute.roles.name“ verknüpft.
2023-07-24
- „targetresources.modifiedproperties.newvalue“ wurde in „target.user.title“ umgewandelt, wenn der Wert „targetresources.modifiedproperties.displayname“ „role.displayname“ enthält.
2023-05-25
- Fehlerkorrektur: Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.userid“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „mailNickname“ übereinstimmt.
2023-05-05
- die folgenden Zuordnungen geändert:
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.product_object_id“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „objectId“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.user_display_name“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „displayName“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.first_name“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „givenName“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.title“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „jobTitle“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.email_addresses“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „mail“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.last_name“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „surname“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.department“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „department“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.office_address.name“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „physicalDeliveryOfficeName“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.employee_id“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ mit „employeeId“ übereinstimmt.
- Die Zuordnung von „target.resource.attribute.labels.value“ zu „target.user.phone_numbers“ wurde geändert, wenn „targetResources.modifiedProperties.displayName“ dem Wert „mobile“ entspricht.
2023-04-18
- „initiatedBy.user.userPrincipalName“ ist mit „principal.user.user_display_name“, „principal.user.userid“ oder „principal.user.email_addresses“ verknüpft.
- „targetResources.type“ ist auf „target.resource.attribute.labels“ zugeordnet.
2023-04-12
Verbesserung –
- „initiatedBy.user.userPrincipalName“ wurde auf „principal.user.email_addresses“ und „event_type“ auf „USER_UNCATEGORIZED“ umgestellt.
- wenn „initiatedBy.user.userPrincipalName“ nicht null ist.
- Wenn „targetResources.modifiedProperties.displayName“ „userPrincipalName“ ist, wird es „principal.user.email_addresses“ zugeordnet.
- „event_type“ wurde in „USER_UNCATEGORIZED“ umgewandelt, wenn „activityDisplayName“ zu [„Issue an id_token to the application“, „Set Company Information“] gehört.
2023-02-20
Fehlerkorrektur –
- Mehrere IP-Adressen unter dem Schlüssel „additionalDetails.ClientIpAddress“ wurden „principal.ip“ zugeordnet.
- „metadata.event_type“ wurde als „USER_UNCATEGORIZED“ zugeordnet, wenn „activityDisplayName“ dem Wert „Nutzer löschen“ entspricht und das Feld „initiatedBy.user.userPrincipalName“ nicht vorhanden ist.
2023-02-02
- Verbesserung: Wenn „activityDisplayName“ mit „Nutzer löschen“ übereinstimmt, wird Folgendes zugeordnet:
- „event_type“ wurde in „USER_DELETION“ umgewandelt.
- „initiatedBy.user.userPrincipalName“ wurde in „principal.user.userid“ umgewandelt.
2022-11-24
Verbesserung –
- „modifiedProperties.newValue“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- „modifiedProperties.oldValue“ wurde auf „src.resource.attribute.labels“ zugeordnet.
2022-11-07
Verbesserung –
- „target.modifiedProperties.TargetId.DeviceId“ wurde in „event.idm.read_only_udm.target.asset.asset_id“ geändert.
2022-09-16
Verbesserung –
- „properties.initiatedBy.user.ipAddress“ wurde in „principal.ip“ umgewandelt.
- „properties.initiatedBy.user.userPrincipalName“ wurde in „principal.user.userid“ umgewandelt.
- „properties.resultReason“ wurde in „security_result.description“ umgewandelt.
- „identity“ wurde „target.user.userid“ zugeordnet.
- „operationName“ wurde auf „metadata.product_event_type“ zugeordnet.
- „metadata.event_type“ wurde „USER_UNCATEGORIZED“ zugeordnet, wobei „properties.activityDisplayName“ „Ressourceneigenschaften eines Tenants abrufen“ lautet.
- „category“ und „properties.category“ wurden in „security_result.category_details“ überführt.
- „resultDescription“ wurde „metadata.description“ zugeordnet.
- „resultType“ wurde auf „security_result.rule_id“ zugeordnet.
2022-06-20
- Verbesserung: Der Parser wurde so erweitert, dass er die Protokolle mit der Kategorie „AuditLogs“ und „SignInLogs“ parsen kann. Dazu wurden die folgenden Zuordnungen hinzugefügt :
- Das Feld „properties.id“ wurde „metadata.product_log_id“ zugeordnet.
- Das Feld „properties.loggedByService“ wurde „target.application“ zugeordnet.
- Das Feld „Level“ wurde den Feldern „security_result.severity“ und „security_result.severity_details“ zugeordnet.
- Das Feld „properties.result“ wurde den Feldern „security_result.summary“ und „security_result.action“ zugeordnet.
- Das Feld „properties.operationType“ wurde „security_result.action_details“ zugeordnet.
- Das Feld „properties.activityDisplayName“ wurde „metadata.description“ zugeordnet.
- Das Feld „properties.category“ wurde „metadata.product_event_type“ zugeordnet.
- Das Feld „properties.resultReason“ wurde in „security_result.description“ umgewandelt.
- Das Feld „properties.initiatedBy.app.displayName“ wurde „principal.application“ zugeordnet.
- Das Feld „properties.ipAddress“ wurde „principal.ip“ zugeordnet.
- Das Feld „properties.initiatedBy.app.servicePrincipalId“ wurde „principal.user.userid“ zugeordnet.
- Das Feld „properties.initiatedBy.app.servicePrincipalName“ wurde „principal.user.user_display_name“ zugeordnet.
- Die Felder „properties.appId“ und „properties.initiatedBy.app.appId“ wurden „principal.resource.attribute.labels“ zugeordnet.
- Das Feld „properties.location.city“ wurde „principal.location.city“ zugeordnet.
- Das Feld „properties.location.state“ wurde „principal.location.state“ zugeordnet.
- Das Feld „properties.location.countryOrRegion“ wurde „principal.location.country_or_region“ zugeordnet.
- Das Feld „properties.location.geoCoordinates.latitude“ wurde „principal.location.region_latitude“ zugeordnet.
- Das Feld „properties.location.geoCoordinates.longitude“ wurde „principal.location.region_longitude“ zugeordnet.
- Die Felder „properties.targetResources.modifiedProperties“ wurden „target.user.attribute.labels“ zugeordnet.
- Das Feld „targetResources.displayName“ wurde „target.user.user_display_name“ zugeordnet.
- Das Feld „targetResources.id“ wurde „target.user.userid“ zugeordnet.
- Die Felder „properties.additionalDetails“, „properties.riskDetail“, „properties.riskEventTypes“, „properties.riskEventTypes_v2“, „properties.riskLevelAggregated“, „properties.riskLevelDuringSignIn“, „properties.riskState“, „properties.conditionalAccessStatus“, „tenantId“ wurden in „additional.fields“ zugeordnet.
- Das Feld „operationVersion“ wurde „metadata.product_version“ zugeordnet.
- Das Feld „properties.appliedConditionalAccessPolicies.displayName“ wurde „about.user.user_display_name“ zugeordnet.
- Das Feld „properties.appliedConditionalAccessPolicies..id“ wurde „about.user.userid“ zugeordnet.
- Das Feld „properties.appliedConditionalAccessPolicies.result“ wurde „about.labels“ zugeordnet.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten