Recopila registros de auditoría de Microsoft Entra ID
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo recopilar registros de Microsoft Entra ID (AD) configurando un feed de Google Security Operations.
Azure Active Directory (AZURE_AD) ahora se llama Microsoft Entra ID. Los registros de auditoría de Azure AD (AZURE_AD_AUDIT) ahora son registros de auditoría de Microsoft Entra ID.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una suscripción a Azure a la que puedas acceder
- Un rol de administrador global o de administrador de Azure AD
- Un directorio de Azure AD (inquilino) en Azure
Cómo configurar Azure AD
- Accede al portal de Azure.
- Ve a Página principal > Registro de la aplicación, selecciona una aplicación registrada o registra una aplicación si aún no creaste una.
- Para registrar una aplicación, en la sección Registro de aplicaciones, haz clic en Nuevo registro.
- En el campo Nombre, proporciona el nombre visible de tu aplicación.
- En la sección Tipos de cuentas compatibles, selecciona la opción requerida para especificar quién puede usar la aplicación o acceder a la API.
- Haz clic en Register.
- Ve a la página Descripción general y copia el ID de la aplicación (cliente) y el ID del directorio (inquilino), que son necesarios para configurar el feed de Google Security Operations.
- Haz clic en Permisos de la API.
- Haz clic en Agregar un permiso y, luego, selecciona Microsoft Graph en el panel nuevo.
- Haz clic en Permisos de aplicación.
- Selecciona los permisos AuditLog.Read.All, Directory.Read.All y SecurityEvents.Read.All. Asegúrate de que los permisos sean permisos de la aplicación y no permisos delegados.
- Haz clic en Grant admin consent for default directory. Las aplicaciones están autorizadas para llamar a las APIs cuando los usuarios o administradores les otorgan permisos como parte del proceso de consentimiento.
- Ve a Configuración > Administrar.
- Haz clic en Certificados y Secrets.
- Haz clic en Nuevo secreto de cliente. En el campo Valor, aparece el secreto del cliente.
- Copia el valor del secreto del cliente. El valor se muestra solo en el momento de la creación y es necesario para el registro de la app de Azure y para configurar el feed de Google Security Operations.
Para obtener más información, consulta Cómo configurar la app de Microsoft Entra ID.
Para obtener más información sobre Microsoft Entra para permisos, consulta Microsoft Entra para permisos.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración de SIEM > Feeds
- Centro de contenido > Paquetes de contenido
Configura feeds desde Configuración del SIEM > Feeds
Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.
Para configurar un solo feed, sigue estos pasos:
- Ve a SIEM Settings > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de auditoría de Azure AD.
- Selecciona API de terceros como el Tipo de origen.
- Selecciona Auditoría de directorio de Azure AD como el Tipo de registro.
- Haz clic en Siguiente.
- Configura los siguientes parámetros de entrada obligatorios:
- ID de cliente de OAUTH: Especifica el ID de cliente que obtuviste antes.
- Secreto del cliente de OAUTH: Especifica el secreto del cliente que obtuviste antes.
- ID de arrendatario: Especifica el ID de arrendatario que obtuviste antes.
- Haz clic en Siguiente y, luego, en Enviar.
Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo. Si tienes problemas para crear feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Configura feeds desde el Centro de contenido
Especifica valores para los siguientes campos:
- ID de cliente de OAUTH: Especifica el ID de cliente que obtuviste antes.
- Secreto del cliente de OAUTH: Especifica el secreto del cliente que obtuviste antes.
- ID de arrendatario: Especifica el ID de arrendatario que obtuviste antes.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
- Espacio de nombres del recurso: Espacio de nombres asociado al feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Referencia de la asignación de campos
Este analizador procesa los registros de auditoría del directorio de Azure AD en formato JSON. Extrae los campos pertinentes, los transforma en un modelo de datos unificado (UDM) y enriquece los datos con contexto adicional, como detalles del usuario, direcciones IP y resultados de seguridad. El analizador también categoriza los eventos según sus características y los asigna a tipos de eventos específicos del UDM para facilitar el análisis.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | Asignación directa del campo de registro sin procesar "activityDateTime". |
| activityDisplayName | read_only_udm.metadata.product_event_type | Es una asignación directa del campo de registro sin procesar "activityDisplayName". |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "ApplicationId". |
| additionalDetails.Client | read_only_udm.network.http.user_agent | Es una asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "Client". |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "ClientIpAddress". |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Es una asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "DomainName". |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "EmailAddress". |
| additionalDetails.GrantType | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "GrantType". |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "LocalAccountUsername". |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Es una asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "PhoneNumber". |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Es una asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "PolicyId". |
| additionalDetails.Scopes | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "Scopes". |
| additionalDetails.TenantId | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "TenantId". |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "additionalDetails", en el que la clave es "VerificationMethod". |
| appId | read_only_udm.target.process.pid | Es una asignación directa del campo de registro sin procesar "appId". |
| appliedConditionalAccessPolicies | read_only_udm.about | El campo "displayName" se asigna a "read_only_udm.about.user.user_display_name", y el campo "id" se asigna a "read_only_udm.about.user.userid". El campo "result" se asigna a "read_only_udm.about.labels", con la clave establecida en "Result". |
| category | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Es una asignación directa del campo de registro sin procesar "category". La clave de "read_only_udm.additional.fields" se establece en "log_category". |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Es una asignación directa del campo de registro sin procesar "callerIpAddress". |
| clientAppUsed | read_only_udm.principal.application | Es una asignación directa del campo de registro sin procesar "clientAppUsed". |
| correlationId | read_only_udm.network.session_id | Es una asignación directa del campo de registro sin procesar "correlationId". |
| id | read_only_udm.metadata.product_log_id | Es una asignación directa del campo de registro sin procesar "id". |
| nivel empresarial | read_only_udm.target.user.userid | Es una asignación directa del campo de registro sin procesar "identity". |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Asignación directa del campo de registro sin procesar "initiatedBy.app.appId". La clave de "read_only_udm.principal.resource.attribute.labels" se establece en "ID de la app". |
| initiatedBy.app.displayName | read_only_udm.principal.application | Es una asignación directa del campo de registro sin procesar "initiatedBy.app.displayName". |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Es una asignación directa del campo de registro sin procesar "initiatedBy.app.servicePrincipalId". |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Es una asignación directa del campo de registro sin procesar "initiatedBy.app.servicePrincipalName". |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.principal.user.email_addresses". De lo contrario, se asigna a "read_only_udm.principal.user.user_display_name". |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Es una asignación directa del campo de registro sin procesar "initiatedBy.user.id". |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Es una asignación directa del campo de registro sin procesar "initiatedBy.user.ipAddress". |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.principal.user.email_addresses". De lo contrario, se asigna a "read_only_udm.principal.user.userid". La parte del dominio de la dirección de correo electrónico se asigna a "read_only_udm.principal.administrative_domain". El valor completo también se asigna a "read_only_udm.principal.resource.attribute.labels" con la clave establecida en "Nombre principal del usuario". |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Es una asignación directa del campo de registro sin procesar "ipAddress". |
| Nivel | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | El valor se convierte en una cadena y se asigna a "read_only_udm.security_result.severity_details". El campo "read_only_udm.security_result.severity" se establece en "INFORMATIONAL". |
| location.city | read_only_udm.principal.location.city | Es una asignación directa del campo de registro sin procesar "location.city". |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Es una asignación directa del campo de registro sin procesar "location.countryOrRegion". |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Es una asignación directa del campo de registro sin procesar "location.geoCoordinates.latitude". |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Es una asignación directa del campo de registro sin procesar "location.geoCoordinates.longitude". |
| location.state | read_only_udm.principal.location.state | Es una asignación directa del campo de registro sin procesar "location.state". |
| loggedByService | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "loggedByService". La clave de "read_only_udm.additional.fields" se establece en "loggedByService". |
| operationName | read_only_udm.metadata.product_event_type | Es una asignación directa del campo de registro sin procesar "operationName". |
| operationType | read_only_udm.security_result.action_details | Asignación directa del campo de registro sin procesar "operationType". |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | Asignación directa del campo de registro sin procesar "properties.activityDateTime". |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | Asignación directa del campo de registro sin procesar "properties.activityDisplayName". |
| properties.appDisplayName | read_only_udm.target.application | Es una asignación directa del campo de registro sin procesar "properties.appDisplayName". |
| properties.category | read_only_udm.security_result.category_details | Es una asignación directa del campo de registro sin procesar "properties.category". |
| properties.id | read_only_udm.metadata.product_log_id | Es una asignación directa del campo de registro sin procesar "properties.id". |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Es una asignación directa del campo de registro sin procesar "properties.initiatedBy.app.appId". La clave de "read_only_udm.principal.resource.attribute.labels" se establece en "ID de la app". |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | Es una asignación directa del campo de registro sin procesar "properties.initiatedBy.app.displayName". |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Es una asignación directa del campo de registro sin procesar "properties.initiatedBy.app.servicePrincipalId". |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Es una asignación directa del campo de registro sin procesar "properties.initiatedBy.app.servicePrincipalName". |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.principal.user.email_addresses". De lo contrario, se asigna a "read_only_udm.principal.user.user_display_name". |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Es una asignación directa del campo de registro sin procesar "properties.initiatedBy.user.id". |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Es una asignación directa del campo de registro sin procesar "properties.initiatedBy.user.ipAddress". |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.principal.user.email_addresses". De lo contrario, se asigna a "read_only_udm.principal.user.userid". La parte del dominio de la dirección de correo electrónico se asigna a "read_only_udm.principal.administrative_domain". El valor completo también se asigna a "read_only_udm.principal.resource.attribute.labels" con la clave establecida en "Nombre principal del usuario". |
| properties.loggedByService | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "properties.loggedByService". La clave de "read_only_udm.additional.fields" se establece en "loggedByService". |
| properties.operationType | read_only_udm.security_result.action_details | Asignación directa del campo de registro sin procesar "properties.operationType". |
| properties.result | read_only_udm.security_result.summary | Es una asignación directa del campo de registro sin procesar "properties.result". |
| properties.resultReason | read_only_udm.security_result.description | Es una asignación directa del campo de registro sin procesar "properties.resultReason". |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | Es una asignación directa del campo de registro sin procesar "properties.userPrincipalName". |
| Resultado | read_only_udm.security_result.summary, read_only_udm.security_result.action | Es una asignación directa del campo de registro sin procesar "result". Si el valor es "success", "read_only_udm.security_result.action" se establece en "ALLOW". Si el valor es "failure", "read_only_udm.security_result.action" se establece en "BLOCK". |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Es la asignación directa del campo de registro sin procesar "resultDescription". |
| resultReason | read_only_udm.security_result.description | Es una asignación directa del campo de registro sin procesar "resultReason". |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Es la asignación directa del campo de registro sin procesar "resultType". Si el valor es "0", "read_only_udm.security_result.action" se establece en "ALLOW" y "read_only_udm.security_result.summary" se establece en "Se produjo un acceso exitoso". De lo contrario, "read_only_udm.security_result.action" se establece en "BLOCK", "read_only_udm.security_result.summary" se establece en "Failed login occurred", "read_only_udm.security_result.description" se establece en el valor de "resultDescription" y "read_only_udm.security_result.severity" se establece en "ERROR". |
| resourceDisplayName | read_only_udm.target.resource.name | Es una asignación directa del campo de registro sin procesar "resourceDisplayName". |
| resourceId | read_only_udm.additional.fields | Es la asignación directa del campo de registro sin procesar "resourceId". La clave de "read_only_udm.additional.fields" se establece en "resourceId". |
| riskDetail | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "riskDetail". La clave de "read_only_udm.additional.fields" se establece en "riskDetail". |
| riskEventTypes | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "riskEventTypes". La clave de "read_only_udm.additional.fields" se establece en "riskEventTypes". |
| riskEventTypes_v2 | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "riskEventTypes_v2". La clave de "read_only_udm.additional.fields" se establece en "riskEventTypes_v2". |
| riskLevelAggregated | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "riskLevelAggregated". La clave de "read_only_udm.additional.fields" se establece en "riskLevelAggregated". |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Es una asignación directa del campo de registro sin procesar "riskLevelDuringSignIn". La clave de "read_only_udm.additional.fields" se establece en "riskLevelDuringSignIn". Si el valor es "medium", "read_only_udm.security_result.priority" se establece en "MEDIUM_PRIORITY". |
| riskState | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "riskState". La clave de "read_only_udm.additional.fields" se establece en "riskState". |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Si el valor de "targetResources.0.type" es "User" o "ServicePrincipal", el valor se asigna a "read_only_udm.target.user.user_display_name". Si el valor de "targetResources.0.type" es "Group", el valor se asigna a "read_only_udm.target.group.group_display_name". De lo contrario, el valor se asigna a "read_only_udm.target.resource.name". |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Es la asignación directa del campo de registro sin procesar "targetResources.0.groupType". La clave de "read_only_udm.target.group.attribute.labels" se establece en "groupType". |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Si el valor de "targetResources.0.type" es "User" o "ServicePrincipal", el valor se asigna a "read_only_udm.target.user.product_object_id". Si el valor de "targetResources.0.type" es "Group", el valor se asigna a "read_only_udm.target.group.product_object_id". De lo contrario, el valor se asigna a "read_only_udm.target.resource.product_object_id". |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | El valor se asigna a "read_only_udm.additional.fields" con la clave establecida en "targetResources.modifiedProperties.displayname {index}". Si el valor es "TargetId.DeviceId", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.asset.asset_id" con el prefijo "ID del dispositivo:". Si el valor es "DisplayName" o "jobTitle", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.title". Si el valor es "WellKnownObjectName", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.resource.attribute.roles" con la clave establecida en "name". Si el valor es "displayName" y "targetResources.0.displayName" es nulo, el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.user_display_name". Si el valor es "givenName", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.first_name". Si el valor es "surname", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.last_name". Si el valor es "department", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.department". Si el valor es "physicalDeliveryOfficeName", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.office_address.name". Si el valor es "employeeId", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.employee_id". Si el valor es "mobile", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.phone_numbers". Si el valor es "MailNickname", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.userid". De lo contrario, el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.resource.attribute.labels" con la clave establecida en el valor de "targetResources.0.modifiedProperties.displayName". El valor de "targetResources.0.modifiedProperties.oldValue" se asigna a "read_only_udm.src.resource.attribute.labels" con la clave establecida en el valor de "targetResources.0.modifiedProperties.displayName". |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Si el valor de "targetResources.0.modifiedProperties.displayName" es "TargetId.DeviceId", el valor se asigna a "read_only_udm.target.asset.asset_id" con el prefijo "ID del dispositivo:". Si el valor de "targetResources.0.modifiedProperties.displayName" es "DisplayName" o "jobTitle", el valor se asigna a "read_only_udm.target.user.title". Si el valor de "targetResources.0.modifiedProperties.displayName" es "WellKnownObjectName", el valor se asigna a "read_only_udm.target.resource.attribute.roles" con la clave establecida en "name". Si el valor de "targetResources.0.modifiedProperties.displayName" es "displayName" y "targetResources.0.displayName" es nulo, el valor se asigna a "read_only_udm.target.user.user_display_name". Si el valor de "targetResources.0.modifiedProperties.displayName" es "givenName", el valor se asigna a "read_only_udm.target.user.first_name". Si el valor de "targetResources.0.modifiedProperties.displayName" es "surname", el valor se asigna a "read_only_udm.target.user.last_name". Si el valor de "targetResources.0.modifiedProperties.displayName" es "department", el valor se asigna a "read_only_udm.target.user.department". Si el valor de "targetResources.0.modifiedProperties.displayName" es "physicalDeliveryOfficeName", el valor se asigna a "read_only_udm.target.user.office_address.name". Si el valor de "targetResources.0.modifiedProperties.displayName" es "employeeId", el valor se asigna a "read_only_udm.target.user.employee_id". Si el valor de "targetResources.0.modifiedProperties.displayName" es "mobile", el valor se asigna a "read_only_udm.target.user.phone_numbers". Si el valor de "targetResources.0.modifiedProperties.displayName" es "MailNickname", el valor se asigna a "read_only_udm.target.user.userid". De lo contrario, el valor se asigna a "read_only_udm.target.resource.attribute.labels" con la clave establecida en el valor de "targetResources.0.modifiedProperties.displayName". El valor también se asigna a "read_only_udm.additional.fields" con la clave establecida en "targetResources.modifiedProperties.newValue {index}". |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | El valor se asigna a "read_only_udm.src.resource.attribute.labels" con la clave establecida en el valor de "targetResources.0.modifiedProperties.displayName". El valor también se asigna a "read_only_udm.additional.fields" con la clave establecida en "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Es una asignación directa del campo de registro sin procesar "targetResources.0.type". Si el valor es "ServicePrincipal", "read_only_udm.target.resource.resource_type" se establece en "SERVICE_ACCOUNT". Si el valor es "Device", "read_only_udm.target.resource.resource_type" se establece en "DEVICE". De lo contrario, "read_only_udm.target.resource.resource_type" se establece en "UNSPECIFIED". Si el valor es "User" o "ServicePrincipal", el valor de "targetResources.0.userPrincipalName" se asigna a "read_only_udm.target.user.userid", el valor de "targetResources.0.id" se asigna a "read_only_udm.target.user.product_object_id" y el valor de "targetResources.0.displayName" se asigna a "read_only_udm.target.user.user_display_name". Si el valor es "Group", el valor de "targetResources.0.id" se asigna a "read_only_udm.target.group.product_object_id" y el valor de "targetResources.0.displayName" se asigna a "read_only_udm.target.group.group_display_name". |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.target.user.email_addresses". De lo contrario, se asigna a "read_only_udm.target.user.userid". |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Si el valor de "targetResources.type" es "User" o "ServicePrincipal", el valor se asigna a "read_only_udm.about.user.user_display_name" y "read_only_udm.about.user.userid". Si el valor de "targetResources.type" es "Group", el valor se asigna a "read_only_udm.about.group.group_display_name". El valor de "targetResources.groupType" se asigna a "read_only_udm.about.group.attribute.labels" con la clave establecida en "groupType". De lo contrario, el valor se asigna a "read_only_udm.about.resource.name". |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Es una asignación directa del campo de registro sin procesar "targetResources.groupType". La clave de "read_only_udm.about.group.attribute.labels" se establece en "groupType". |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Si el valor de "targetResources.type" es "User" o "ServicePrincipal", el valor se asigna a "read_only_udm.about.user.product_object_id". Si el valor de "targetResources.type" es "Group", el valor se asigna a "read_only_udm.about.group.product_object_id". De lo contrario, el valor se asigna a "read_only_udm.about.resource.product_object_id". |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | El valor se asigna a "read_only_udm.additional.fields" con la clave establecida en "targetResources.modifiedProperties.displayname {index}". |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | El valor se asigna a "read_only_udm.additional.fields" con la clave establecida en "targetResources.modifiedProperties.newValue {index}". |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | El valor se asigna a "read_only_udm.additional.fields" con la clave establecida en "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Es una asignación directa del campo de registro sin procesar "targetResources.type". Si el valor es "ServicePrincipal", "read_only_udm.about.resource.resource_type" se establece en "SERVICE_ACCOUNT". Si el valor es "Device", "read_only_udm.about.resource.resource_type" se establece en "DEVICE". De lo contrario, "read_only_udm.about.resource.resource_type" se establece en "UNSPECIFIED". Si el valor es "User" o "ServicePrincipal", el valor de "targetResources.userPrincipalName" se asigna a "read_only_udm.about.user.userid", el valor de "targetResources.id" se asigna a "read_only_udm.about.user.product_object_id" y el valor de "targetResources.displayName" se asigna a "read_only_udm.about.user.user_display_name". Si el valor es "Group", el valor de "targetResources.id" se asigna a "read_only_udm.about.group.product_object_id" y el valor de "targetResources.displayName" se asigna a "read_only_udm.about.group.group_display_name". |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.about.user.email_addresses". De lo contrario, se asigna a "read_only_udm.about.user.userid". |
| tenantId | read_only_udm.additional.fields | Es una asignación directa del campo de registro sin procesar "tenantId". La clave de "read_only_udm.additional.fields" se establece en "tenantId". |
| hora | read_only_udm.metadata.event_timestamp | Es una asignación directa del campo de registro sin procesar "time". |
| userid | read_only_udm.target.user.product_object_id | Es una asignación directa del campo de registro sin procesar "userId". El valor se establece en función de los valores de otros campos, incluidos "activityDisplayName", "principal_userid_present", "target_userid_present", "principal_ip_present", "loggedByService" y "category". La lógica para establecer el valor es compleja y depende de la combinación específica de valores en estos campos. El valor se establece en "SSO" si el valor de "operationName" es "Sign-in activity". El valor se establece en "Microsoft". El valor se establece en "Auditoría de directorio de Azure AD". El valor se establece en "AZURE_AD_AUDIT". |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.