Microsoft Entra ID-Audit-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Entra ID-Logs (AD) erfassen können, indem Sie einen Google Security Operations-Feed einrichten.
Azure Active Directory (AZURE_AD) heißt jetzt Microsoft Entra ID. Azure AD-Audit-Logs (AZURE_AD_AUDIT) sind jetzt Microsoft Entra ID-Audit-Logs.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Ein Azure-Abo, bei dem Sie sich anmelden können
- Eine globale Administratorrolle oder eine Azure AD-Administratorrolle
- Ein Azure AD-Mandant in Azure
Azure AD konfigurieren
- Melden Sie sich im Azure an.
- Gehen Sie zu Startseite > App-Registrierung, wählen Sie eine registrierte App aus oder registrieren Sie eine App, falls Sie noch keine erstellt haben.
- Klicken Sie zum Registrieren einer Anwendung im Abschnitt App-Registrierung auf Neue Registrierung.
- Geben Sie im Feld Name den Anzeigenamen für Ihre Anwendung ein.
- Wählen Sie im Abschnitt Unterstützte Kontotypen die erforderliche Option aus, um anzugeben, wer die Anwendung verwenden oder auf die API zugreifen kann.
- Klicken Sie auf Registrieren.
- Rufen Sie die Seite Übersicht auf und kopieren Sie die Anwendungs‑ (Client‑)‑ID und die Verzeichnis‑ (Mandanten‑)‑ID, die zum Konfigurieren des Google Security Operations-Feeds erforderlich sind.
- Klicken Sie auf API-Berechtigungen.
- Klicken Sie auf Berechtigung hinzufügen und wählen Sie im neuen Bereich Microsoft Graph aus.
- Klicken Sie auf Anwendungsberechtigungen.
- Wählen Sie die Berechtigungen AuditLog.Read.All, Directory.Read.All und SecurityEvents.Read.All aus. Die Berechtigungen müssen Anwendungsberechtigungen und nicht delegierte Berechtigungen sein.
- Klicken Sie auf Administratoreinwilligung für das Standardverzeichnis erteilen. Anwendungen dürfen APIs aufrufen, wenn ihnen im Rahmen des Einwilligungsverfahrens Berechtigungen von Nutzern oder Administratoren erteilt werden.
- Rufen Sie die Einstellungen > Verwalten auf.
- Klicken Sie auf Zertifikate und Secrets.
- Klicken Sie auf Neuer geheimer Clientschlüssel. Der Clientschlüssel wird im Feld Wert angezeigt.
- Kopieren Sie den Clientschlüsselwert. Der Wert wird nur bei der Erstellung angezeigt und ist für die Azure-App-Registrierung und die Konfiguration des Google Security Operations-Feeds erforderlich.
Weitere Informationen finden Sie unter Microsoft Entra ID-App einrichten.
Weitere Informationen zu Microsoft Entra für Berechtigungen finden Sie unter Microsoft Entra für Berechtigungen.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub> Content-Pakete
Feeds über die SIEM-Einstellungen > „Feeds“ einrichten
Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.
So konfigurieren Sie einen einzelnen Feed:
- Rufen Sie die SIEM-Einstellungen> Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Azure AD-Prüfprotokolle.
- Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie Azure AD Directory Audit als Log type (Protokolltyp) aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- OAUTH-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
- OAUTH-Clientschlüssel: Geben Sie den Clientschlüssel an, den Sie zuvor erhalten haben.
- Mandanten-ID: Geben Sie die Mandanten-ID an, die Sie zuvor abgerufen haben.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Feeds über den Content Hub einrichten
Geben Sie Werte für die folgenden Felder an:
- OAUTH-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
- OAUTH-Clientschlüssel: Geben Sie den Clientschlüssel an, den Sie zuvor erhalten haben.
- Mandanten-ID: Geben Sie die Mandanten-ID an, die Sie zuvor abgerufen haben.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
- Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Referenz zur Feldzuordnung
Dieser Parser verarbeitet Azure AD Directory-Audit-Logs im JSON-Format. Es werden relevante Felder extrahiert, in ein einheitliches Datenmodell (Unified Data Model, UDM) umgewandelt und mit zusätzlichem Kontext wie Nutzerdetails, IP-Adressen und Sicherheitsergebnissen angereichert. Der Parser kategorisiert Ereignisse auch anhand ihrer Merkmale und ordnet sie bestimmten UDM-Ereignistypen zu, um die Analyse zu erleichtern.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | Direkte Zuordnung aus dem Rohlogfeld „activityDateTime“. |
| activityDisplayName | read_only_udm.metadata.product_event_type | Direkte Zuordnung aus dem Rohlogfeld „activityDisplayName“. |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „ApplicationId“ ist. |
| additionalDetails.Client | read_only_udm.network.http.user_agent | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „Client“ ist. |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „ClientIpAddress“ ist. |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „DomainName“ ist. |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „EmailAddress“ ist. |
| additionalDetails.GrantType | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „GrantType“ ist. |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „LocalAccountUsername“ ist. |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „PhoneNumber“ ist. |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „PolicyId“ ist. |
| additionalDetails.Scopes | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „Scopes“ ist. |
| additionalDetails.TenantId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „TenantId“ ist. |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „additionalDetails“, wobei der Schlüssel „VerificationMethod“ ist. |
| appId | read_only_udm.target.process.pid | Direkte Zuordnung aus dem Rohlogfeld „appId“. |
| appliedConditionalAccessPolicies | read_only_udm.about | Das Feld „displayName“ wird „read_only_udm.about.user.user_display_name“ und das Feld „id“ „read_only_udm.about.user.userid“ zugeordnet. Das Feld „result“ wird „read_only_udm.about.labels“ zugeordnet und der Schlüssel wird auf „Result“ festgelegt. |
| Kategorie | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Direkte Zuordnung aus dem Rohlogfeld „category“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „log_category“ festgelegt. |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Rohlogfeld „callerIpAddress“. |
| clientAppUsed | read_only_udm.principal.application | Direkte Zuordnung aus dem Rohlogfeld „clientAppUsed“. |
| correlationId | read_only_udm.network.session_id | Direkte Zuordnung aus dem Rohlogfeld „correlationId“. |
| id | read_only_udm.metadata.product_log_id | Direkte Zuordnung aus dem Rohlogfeld „id“. |
| identity | read_only_udm.target.user.userid | Direkte Zuordnung aus dem Rohlogfeld „identity“. |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Direkte Zuordnung aus dem Rohlogfeld „initiatedBy.app.appId“. Der Schlüssel für „read_only_udm.principal.resource.attribute.labels“ ist auf „App-ID“ festgelegt. |
| initiatedBy.app.displayName | read_only_udm.principal.application | Direkte Zuordnung aus dem Rohlogfeld „initiatedBy.app.displayName“. |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Rohlogfeld „initiatedBy.app.servicePrincipalId“. |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Direkte Zuordnung aus dem Rohlogfeld „initiatedBy.app.servicePrincipalName“. |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird sie „read_only_udm.principal.user.user_display_name“ zugeordnet. |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Rohlogfeld „initiatedBy.user.id“. |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Rohlogfeld „initiatedBy.user.ipAddress“. |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird sie „read_only_udm.principal.user.userid“ zugeordnet. Der Domainteil der E‑Mail-Adresse wird „read_only_udm.principal.administrative_domain“ zugeordnet. Der vollständige Wert wird auch „read_only_udm.principal.resource.attribute.labels“ zugeordnet, wobei der Schlüssel auf „User Principal Name“ festgelegt ist. |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Rohlogfeld „ipAddress“. |
| Level | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | Der Wert wird in einen String konvertiert und „read_only_udm.security_result.severity_details“ zugeordnet. Das Feld „read_only_udm.security_result.severity“ ist auf „INFORMATIONAL“ gesetzt. |
| location.city | read_only_udm.principal.location.city | Direkte Zuordnung aus dem Rohlogfeld „location.city“. |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Direkte Zuordnung aus dem Rohlogfeld „location.countryOrRegion“. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Direkte Zuordnung aus dem Rohlogfeld „location.geoCoordinates.latitude“. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Direkte Zuordnung aus dem Rohlogfeld „location.geoCoordinates.longitude“. |
| location.state | read_only_udm.principal.location.state | Direkte Zuordnung aus dem Rohlogfeld „location.state“. |
| loggedByService | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „loggedByService“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „loggedByService“ festgelegt. |
| operationName | read_only_udm.metadata.product_event_type | Direkte Zuordnung aus dem Rohlogfeld „operationName“. |
| operationType | read_only_udm.security_result.action_details | Direkte Zuordnung aus dem Rohlogfeld „operationType“. |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | Direkte Zuordnung aus dem Rohlogfeld „properties.activityDateTime“. |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | Direkte Zuordnung aus dem Rohlogfeld „properties.activityDisplayName“. |
| properties.appDisplayName | read_only_udm.target.application | Direkte Zuordnung aus dem Rohlogfeld „properties.appDisplayName“. |
| properties.category | read_only_udm.security_result.category_details | Direkte Zuordnung aus dem Rohlogfeld „properties.category“. |
| properties.id | read_only_udm.metadata.product_log_id | Direkte Zuordnung aus dem Rohlogfeld „properties.id“. |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Direkte Zuordnung aus dem Rohlogfeld „properties.initiatedBy.app.appId“. Der Schlüssel für „read_only_udm.principal.resource.attribute.labels“ ist auf „App-ID“ festgelegt. |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | Direkte Zuordnung aus dem Rohlogfeld „properties.initiatedBy.app.displayName“. |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Rohlogfeld „properties.initiatedBy.app.servicePrincipalId“. |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Direkte Zuordnung aus dem Rohlogfeld „properties.initiatedBy.app.servicePrincipalName“. |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird sie „read_only_udm.principal.user.user_display_name“ zugeordnet. |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Direkte Zuordnung aus dem Rohlogfeld „properties.initiatedBy.user.id“. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Direkte Zuordnung aus dem Rohlogfeld „properties.initiatedBy.user.ipAddress“. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.principal.user.email_addresses“ zugeordnet. Andernfalls wird sie „read_only_udm.principal.user.userid“ zugeordnet. Der Domainteil der E‑Mail-Adresse wird „read_only_udm.principal.administrative_domain“ zugeordnet. Der vollständige Wert wird auch „read_only_udm.principal.resource.attribute.labels“ zugeordnet, wobei der Schlüssel auf „User Principal Name“ festgelegt ist. |
| properties.loggedByService | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „properties.loggedByService“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „loggedByService“ festgelegt. |
| properties.operationType | read_only_udm.security_result.action_details | Direkte Zuordnung aus dem Rohlogfeld „properties.operationType“. |
| properties.result | read_only_udm.security_result.summary | Direkte Zuordnung aus dem Rohlogfeld „properties.result“. |
| properties.resultReason | read_only_udm.security_result.description | Direkte Zuordnung aus dem Rohlogfeld „properties.resultReason“. |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | Direkte Zuordnung aus dem Rohlogfeld „properties.userPrincipalName“. |
| Ergebnis | read_only_udm.security_result.summary, read_only_udm.security_result.action | Direkte Zuordnung aus dem Rohlogfeld „result“. Wenn der Wert „success“ ist, wird „read_only_udm.security_result.action“ auf „ALLOW“ gesetzt. Wenn der Wert „failure“ ist, wird „read_only_udm.security_result.action“ auf „BLOCK“ gesetzt. |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Direkte Zuordnung aus dem Rohlogfeld „resultDescription“. |
| resultReason | read_only_udm.security_result.description | Direkte Zuordnung aus dem Rohlogfeld „resultReason“. |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Direkte Zuordnung aus dem Rohlogfeld „resultType“. Wenn der Wert „0“ ist, wird „read_only_udm.security_result.action“ auf „ALLOW“ und „read_only_udm.security_result.summary“ auf „Successful login occurred“ gesetzt. Andernfalls wird „read_only_udm.security_result.action“ auf „BLOCK“, „read_only_udm.security_result.summary“ auf „Failed login occurred“ (Fehlgeschlagene Anmeldung) und „read_only_udm.security_result.description“ auf den Wert von „resultDescription“ festgelegt und „read_only_udm.security_result.severity“ auf „ERROR“. |
| resourceDisplayName | read_only_udm.target.resource.name | Direkte Zuordnung aus dem Rohlogfeld „resourceDisplayName“. |
| resourceId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „resourceId“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „resourceId“ festgelegt. |
| riskDetail | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „riskDetail“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskDetail“ festgelegt. |
| riskEventTypes | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „riskEventTypes“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskEventTypes“ festgelegt. |
| riskEventTypes_v2 | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „riskEventTypes_v2“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskEventTypes_v2“ festgelegt. |
| riskLevelAggregated | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „riskLevelAggregated“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskLevelAggregated“ festgelegt. |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Direkte Zuordnung aus dem Rohlogfeld „riskLevelDuringSignIn“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskLevelDuringSignIn“ festgelegt. Wenn der Wert „medium“ ist, wird „read_only_udm.security_result.priority“ auf „MEDIUM_PRIORITY“ gesetzt. |
| riskState | read_only_udm.additional.fields | Direkte Zuordnung des Rohlogfelds „riskState“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „riskState“ festgelegt. |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Wenn der Wert von „targetResources.0.type“ „User“ oder „ServicePrincipal“ ist, wird der Wert „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert von „targetResources.0.type“ „Group“ ist, wird der Wert „read_only_udm.target.group.group_display_name“ zugeordnet. Andernfalls wird der Wert „read_only_udm.target.resource.name“ zugeordnet. |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Direkte Zuordnung aus dem Rohlogfeld „targetResources.0.groupType“. Der Schlüssel für „read_only_udm.target.group.attribute.labels“ ist auf „groupType“ festgelegt. |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Wenn der Wert von „targetResources.0.type“ „User“ oder „ServicePrincipal“ ist, wird der Wert „read_only_udm.target.user.product_object_id“ zugeordnet. Wenn der Wert von „targetResources.0.type“ „Group“ ist, wird der Wert „read_only_udm.target.group.product_object_id“ zugeordnet. Andernfalls wird der Wert „read_only_udm.target.resource.product_object_id“ zugeordnet. |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | Der Wert wird „read_only_udm.additional.fields“ zugeordnet, wobei der Schlüssel auf „targetResources.modifiedProperties.displayname {index}“ festgelegt ist. Wenn der Wert „TargetId.DeviceId“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ mit dem Präfix „Device ID:“ dem Feld „read_only_udm.target.asset.asset_id“ zugeordnet. Wenn der Wert „DisplayName“ oder „jobTitle“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ „read_only_udm.target.user.title“ zugeordnet. Wenn der Wert „WellKnownObjectName“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ mit dem Schlüssel „name“ auf „read_only_udm.target.resource.attribute.roles“ abgebildet. Wenn der Wert „displayName“ ist und „targetResources.0.displayName“ null ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert „givenName“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ „read_only_udm.target.user.first_name“ zugeordnet. Wenn der Wert „surname“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ „read_only_udm.target.user.last_name“ zugeordnet. Wenn der Wert „department“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ „read_only_udm.target.user.department“ zugeordnet. Wenn der Wert „physicalDeliveryOfficeName“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ „read_only_udm.target.user.office_address.name“ zugeordnet. Wenn der Wert „employeeId“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ „read_only_udm.target.user.employee_id“ zugeordnet. Wenn der Wert „mobile“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ dem Wert „read_only_udm.target.user.phone_numbers“ zugeordnet. Wenn der Wert „MailNickname“ ist, wird der Wert von „targetResources.0.modifiedProperties.newValue“ „read_only_udm.target.user.userid“ zugeordnet. Andernfalls wird der Wert von „targetResources.0.modifiedProperties.newValue“ „read_only_udm.target.resource.attribute.labels“ zugeordnet. Der Schlüssel wird auf den Wert von „targetResources.0.modifiedProperties.displayName“ festgelegt. Der Wert von „targetResources.0.modifiedProperties.oldValue“ wird „read_only_udm.src.resource.attribute.labels“ zugeordnet. Der Schlüssel wird auf den Wert von „targetResources.0.modifiedProperties.displayName“ festgelegt. |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „TargetId.DeviceId“ ist, wird der Wert mit dem Präfix „Device ID:“ dem Feld „read_only_udm.target.asset.asset_id“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „DisplayName“ oder „jobTitle“ ist, wird der Wert „read_only_udm.target.user.title“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „WellKnownObjectName“ ist, wird der Wert mit dem Schlüssel „name“ dem Feld „read_only_udm.target.resource.attribute.roles“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „displayName“ und „targetResources.0.displayName“ null ist, wird der Wert „read_only_udm.target.user.user_display_name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „givenName“ ist, wird der Wert „read_only_udm.target.user.first_name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „surname“ ist, wird der Wert „read_only_udm.target.user.last_name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „department“ ist, wird der Wert „read_only_udm.target.user.department“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „physicalDeliveryOfficeName“ ist, wird der Wert „read_only_udm.target.user.office_address.name“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „employeeId“ ist, wird der Wert „read_only_udm.target.user.employee_id“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „mobile“ ist, wird der Wert „read_only_udm.target.user.phone_numbers“ zugeordnet. Wenn der Wert von „targetResources.0.modifiedProperties.displayName“ „MailNickname“ ist, wird der Wert „read_only_udm.target.user.userid“ zugeordnet. Andernfalls wird der Wert „read_only_udm.target.resource.attribute.labels“ zugeordnet. Der Schlüssel wird auf den Wert von „targetResources.0.modifiedProperties.displayName“ festgelegt. Der Wert wird auch „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel ist auf „targetResources.modifiedProperties.newValue {index}“ festgelegt. |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | Der Wert wird „read_only_udm.src.resource.attribute.labels“ zugeordnet. Der Schlüssel wird auf den Wert von „targetResources.0.modifiedProperties.displayName“ festgelegt. Der Wert wird auch „read_only_udm.additional.fields“ zugeordnet, wobei der Schlüssel auf „targetResources.modifiedProperties.oldValue {index}“ festgelegt ist. |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Direkte Zuordnung des Rohlogfeld „targetResources.0.type“. Wenn der Wert „ServicePrincipal“ ist, wird „read_only_udm.target.resource.resource_type“ auf „SERVICE_ACCOUNT“ festgelegt. Wenn der Wert „Device“ ist, wird „read_only_udm.target.resource.resource_type“ auf „DEVICE“ festgelegt. Andernfalls wird „read_only_udm.target.resource.resource_type“ auf „UNSPECIFIED“ gesetzt. Wenn der Wert „User“ oder „ServicePrincipal“ ist, wird der Wert von „targetResources.0.userPrincipalName“ „read_only_udm.target.user.userid“ zugeordnet, der Wert von „targetResources.0.id“ „read_only_udm.target.user.product_object_id“ und der Wert von „targetResources.0.displayName“ „read_only_udm.target.user.user_display_name“. Wenn der Wert „Group“ ist, wird der Wert von „targetResources.0.id“ „read_only_udm.target.group.product_object_id“ und der Wert von „targetResources.0.displayName“ „read_only_udm.target.group.group_display_name“ zugeordnet. |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.target.user.email_addresses“ zugeordnet. Andernfalls wird sie „read_only_udm.target.user.userid“ zugeordnet. |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Wenn der Wert von „targetResources.type“ „User“ oder „ServicePrincipal“ ist, wird der Wert „read_only_udm.about.user.user_display_name“ und „read_only_udm.about.user.userid“ zugeordnet. Wenn der Wert von „targetResources.type“ „Group“ ist, wird der Wert „read_only_udm.about.group.group_display_name“ zugeordnet. Der Wert von „targetResources.groupType“ wird „read_only_udm.about.group.attribute.labels“ mit dem Schlüssel „groupType“ zugeordnet. Andernfalls wird der Wert „read_only_udm.about.resource.name“ zugeordnet. |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Direkte Zuordnung aus dem Rohlogfeld „targetResources.groupType“. Der Schlüssel für „read_only_udm.about.group.attribute.labels“ ist auf „groupType“ festgelegt. |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Wenn der Wert von „targetResources.type“ „User“ oder „ServicePrincipal“ ist, wird der Wert „read_only_udm.about.user.product_object_id“ zugeordnet. Wenn der Wert von „targetResources.type“ „Group“ ist, wird der Wert „read_only_udm.about.group.product_object_id“ zugeordnet. Andernfalls wird der Wert „read_only_udm.about.resource.product_object_id“ zugeordnet. |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | Der Wert wird „read_only_udm.additional.fields“ zugeordnet, wobei der Schlüssel auf „targetResources.modifiedProperties.displayname {index}“ festgelegt ist. |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | Der Wert wird „read_only_udm.additional.fields“ mit dem Schlüssel „targetResources.modifiedProperties.newValue {index}“ zugeordnet. |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | Der Wert wird „read_only_udm.additional.fields“ zugeordnet. Der Schlüssel wird auf „targetResources.modifiedProperties.oldValue {index}“ festgelegt. |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Direkte Zuordnung aus dem Rohlogfeld „targetResources.type“. Wenn der Wert „ServicePrincipal“ ist, wird „read_only_udm.about.resource.resource_type“ auf „SERVICE_ACCOUNT“ festgelegt. Wenn der Wert „Device“ ist, wird „read_only_udm.about.resource.resource_type“ auf „DEVICE“ gesetzt. Andernfalls wird „read_only_udm.about.resource.resource_type“ auf „UNSPECIFIED“ gesetzt. Wenn der Wert „User“ oder „ServicePrincipal“ ist, wird der Wert von „targetResources.userPrincipalName“ „read_only_udm.about.user.userid“ zugeordnet, der Wert von „targetResources.id“ wird „read_only_udm.about.user.product_object_id“ zugeordnet und der Wert von „targetResources.displayName“ wird „read_only_udm.about.user.user_display_name“ zugeordnet. Wenn der Wert „Group“ ist, wird der Wert von „targetResources.id“ „read_only_udm.about.group.product_object_id“ zugeordnet und der Wert von „targetResources.displayName“ „read_only_udm.about.group.group_display_name“. |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse geparst und „read_only_udm.about.user.email_addresses“ zugeordnet. Andernfalls wird sie „read_only_udm.about.user.userid“ zugeordnet. |
| tenantId | read_only_udm.additional.fields | Direkte Zuordnung aus dem Rohlogfeld „tenantId“. Der Schlüssel für „read_only_udm.additional.fields“ ist auf „tenantId“ festgelegt. |
| Zeit | read_only_udm.metadata.event_timestamp | Direkte Zuordnung aus dem Rohlogfeld „time“. |
| userId | read_only_udm.target.user.product_object_id | Direkte Zuordnung aus dem Rohlogfeld „userId“. Der Wert wird auf Grundlage der Werte anderer Felder festgelegt, darunter „activityDisplayName“, „principal_userid_present“, „target_userid_present“, „principal_ip_present“, „loggedByService“ und „category“. Die Logik zum Festlegen des Werts ist komplex und hängt von der jeweiligen Kombination von Werten in diesen Feldern ab. Der Wert wird auf „SSO“ festgelegt, wenn der Wert von „operationName“ „Sign-in activity“ ist. Der Wert ist auf „Microsoft“ festgelegt. Der Wert wird auf „Azure AD Directory Audit“ festgelegt. Der Wert ist auf „AZURE_AD_AUDIT“ festgelegt. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten