Recoger registros de auditoría de Microsoft Entra ID
Disponible en:
SecOps de Google
SIEM
En este documento se describe cómo puede recoger registros de Microsoft Entra ID (AD) configurando un feed de Google Security Operations.
Azure Active Directory (AZURE_AD) ahora se llama Microsoft Entra ID. Los registros de auditoría de Azure AD
(AZURE_AD_AUDIT) ahora son registros de auditoría de Microsoft Entra ID.
Para obtener más información, consulta Ingestión de datos en Google Security Operations.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado.
Antes de empezar
Asegúrate de que cumples los siguientes requisitos previos:
- Una suscripción a Azure con la que puedas iniciar sesión
- Rol de administrador global o de Azure AD
- Un Azure AD (inquilino) en Azure
Cómo configurar Azure AD
- Inicia sesión en el portal de Azure.
- Ve a Inicio > Registro de aplicaciones, selecciona una aplicación registrada o registra una si aún no has creado ninguna.
- Para registrar una aplicación, en la sección Registro de aplicaciones, haz clic en Nuevo registro.
- En el campo Name (Nombre), indica el nombre visible de tu aplicación.
- En la sección Tipos de cuentas admitidos, selecciona la opción necesaria para especificar quién puede usar la aplicación o acceder a la API.
- Haz clic en Registrarse.
- Ve a la página Descripción general y copia el ID de aplicación (cliente) y el ID de directorio (inquilino), que son necesarios para configurar el feed de Google Security Operations.
- Haz clic en Permisos de API.
- Haz clic en Añadir un permiso y, a continuación, selecciona Microsoft Graph en el nuevo panel.
- Haz clic en Permisos de la aplicación.
- Selecciona los permisos AuditLog.Read.All, Directory.Read.All y SecurityEvents.Read.All. Asegúrate de que los permisos sean Permisos de aplicación y no Permisos delegados.
- Haz clic en Conceder consentimiento de administrador para el directorio predeterminado. Las aplicaciones están autorizadas para llamar a las APIs cuando los usuarios o los administradores les conceden permisos como parte del proceso de consentimiento.
- Ve a Ajustes > Gestionar.
- Haz clic en Certificados y secretos.
- Haz clic en Nuevo secreto de cliente. En el campo Valor, aparece el secreto de cliente.
- Copia el valor del secreto de cliente. El valor solo se muestra en el momento de la creación y es necesario para registrar la aplicación de Azure y configurar el feed de Google Security Operations.
Para obtener más información, consulta Cómo configurar la aplicación Microsoft Entra ID.
Para obtener más información sobre Microsoft Entra para permisos, consulta Microsoft Entra para permisos.
Configurar feeds
Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:
- Configuración de SIEM > Feeds > Añadir nuevo feed
- Centro de contenido > Paquetes de contenido > Empezar
Cómo configurar el feed de auditoría de Microsoft Entra ID (Azure AD)
- Haz clic en el paquete Plataforma de Azure.
- Busca el tipo de registro Auditoría de directorio de Azure AD.
Especifique los valores de los siguientes campos:
- Tipo de fuente: API de terceros (opción recomendada)
- ID de cliente de OAuth: especifica el ID de cliente que has obtenido anteriormente.
- Secreto de cliente de OAuth: especifica el secreto de cliente que has obtenido anteriormente.
- ID de cliente: especifica el ID de cliente que has obtenido anteriormente.
- Ruta completa de la API: URL del endpoint de la API REST de Microsoft Graph.
- Endpoint de autenticación de la API: endpoint de autenticación de Microsoft Active Directory.
Opciones avanzadas
- Nombre del feed: un valor rellenado automáticamente que identifica el feed.
- Espacio de nombres de recursos: espacio de nombres asociado al feed.
- Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.
Haga clic en Crear feed.
Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.
Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta el artículo Configuración de feeds por tipo. Si tienes problemas al crear feeds, ponte en contacto con el equipo de Asistencia de Google Security Operations.
Referencia de asignación de campos
Este analizador procesa los registros de auditoría de directorios de Azure AD en formato JSON. Extrae los campos relevantes, los transforma en un modelo de datos unificado (UDM) y enriquece los datos con contexto adicional, como detalles del usuario, direcciones IP y resultados de seguridad. El analizador también clasifica los eventos en función de sus características y los asigna a tipos de eventos de UDM específicos para facilitar el análisis.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | Asignación directa del campo de registro sin procesar "activityDateTime". |
| activityDisplayName | read_only_udm.metadata.product_event_type | Asignación directa del campo de registro sin procesar "activityDisplayName". |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | Mapeo directo del campo de registro sin procesar "additionalDetails", donde la clave es "ApplicationId". |
| additionalDetails.Client | read_only_udm.network.http.user_agent | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "Client". |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "ClientIpAddress". |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "DomainName". |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "EmailAddress". |
| additionalDetails.GrantType | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "GrantType". |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "LocalAccountUsername". |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "PhoneNumber". |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "PolicyId". |
| additionalDetails.Scopes | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "Scopes". |
| additionalDetails.TenantId | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "TenantId". |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "additionalDetails", donde la clave es "VerificationMethod". |
| appId | read_only_udm.target.process.pid | Asignación directa del campo de registro sin procesar "appId". |
| appliedConditionalAccessPolicies | read_only_udm.about | El campo "displayName" se asigna a "read_only_udm.about.user.user_display_name" y el campo "id" se asigna a "read_only_udm.about.user.userid". El campo "result" se asigna a "read_only_udm.about.labels", con la clave definida como "Result". |
| category | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Asignación directa del campo de registro sin procesar "category". La clave de "read_only_udm.additional.fields" es "log_category". |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Asignación directa del campo de registro sin procesar "callerIpAddress". |
| clientAppUsed | read_only_udm.principal.application | Asignación directa del campo de registro sin procesar "clientAppUsed". |
| correlationId | read_only_udm.network.session_id | Asignación directa del campo de registro sin procesar "correlationId". |
| id | read_only_udm.metadata.product_log_id | Asignación directa del campo de registro sin procesar "id". |
| identity | read_only_udm.target.user.userid | Asignación directa del campo de registro sin procesar "identity". |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Asignación directa del campo de registro sin procesar "initiatedBy.app.appId". La clave de "read_only_udm.principal.resource.attribute.labels" es "App Id". |
| initiatedBy.app.displayName | read_only_udm.principal.application | Asignación directa del campo de registro sin procesar "initiatedBy.app.displayName". |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Asignación directa del campo de registro sin procesar "initiatedBy.app.servicePrincipalId". |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Asignación directa del campo de registro sin procesar "initiatedBy.app.servicePrincipalName". |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.principal.user.email_addresses". De lo contrario, se asigna a "read_only_udm.principal.user.user_display_name". |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Asignación directa del campo de registro sin procesar "initiatedBy.user.id". |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Asignación directa del campo de registro sin procesar "initiatedBy.user.ipAddress". |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.principal.user.email_addresses". De lo contrario, se asigna a "read_only_udm.principal.user.userid". La parte del dominio de la dirección de correo se asigna a "read_only_udm.principal.administrative_domain". El valor completo también se asigna a "read_only_udm.principal.resource.attribute.labels" con la clave "User Principal Name". |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Asignación directa del campo de registro sin procesar "ipAddress". |
| Nivel | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | El valor se convierte en una cadena y se asigna a "read_only_udm.security_result.severity_details". El campo "read_only_udm.security_result.severity" se ha definido como "INFORMATIONAL". |
| location.city | read_only_udm.principal.location.city | Asignación directa del campo de registro sin procesar "location.city". |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Asignación directa del campo de registro sin procesar "location.countryOrRegion". |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Asignación directa del campo de registro sin procesar "location.geoCoordinates.latitude". |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Asignación directa del campo de registro sin procesar "location.geoCoordinates.longitude". |
| location.state | read_only_udm.principal.location.state | Asignación directa del campo de registro sin procesar "location.state". |
| loggedByService | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "loggedByService". La clave de "read_only_udm.additional.fields" se ha definido como "loggedByService". |
| operationName | read_only_udm.metadata.product_event_type | Asignación directa del campo de registro sin procesar "operationName". |
| operationType | read_only_udm.security_result.action_details | Asignación directa del campo de registro sin procesar "operationType". |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | Asignación directa del campo de registro sin procesar "properties.activityDateTime". |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | Asignación directa del campo de registro sin procesar "properties.activityDisplayName". |
| properties.appDisplayName | read_only_udm.target.application | Asignación directa del campo de registro sin procesar "properties.appDisplayName". |
| properties.category | read_only_udm.security_result.category_details | Asignación directa del campo de registro sin procesar "properties.category". |
| properties.id | read_only_udm.metadata.product_log_id | Asignación directa del campo de registro sin procesar "properties.id". |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Asignación directa del campo de registro sin procesar "properties.initiatedBy.app.appId". La clave de "read_only_udm.principal.resource.attribute.labels" es "App Id". |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | Asignación directa del campo de registro sin procesar "properties.initiatedBy.app.displayName". |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Asignación directa del campo de registro sin procesar "properties.initiatedBy.app.servicePrincipalId". |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Asignación directa del campo de registro sin procesar "properties.initiatedBy.app.servicePrincipalName". |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.principal.user.email_addresses". De lo contrario, se asigna a "read_only_udm.principal.user.user_display_name". |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Asignación directa del campo de registro sin procesar "properties.initiatedBy.user.id". |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Asignación directa del campo de registro sin procesar "properties.initiatedBy.user.ipAddress". |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.principal.user.email_addresses". De lo contrario, se asigna a "read_only_udm.principal.user.userid". La parte del dominio de la dirección de correo se asigna a "read_only_udm.principal.administrative_domain". El valor completo también se asigna a "read_only_udm.principal.resource.attribute.labels" con la clave "User Principal Name". |
| properties.loggedByService | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "properties.loggedByService". La clave de "read_only_udm.additional.fields" se ha definido como "loggedByService". |
| properties.operationType | read_only_udm.security_result.action_details | Asignación directa del campo de registro sin procesar "properties.operationType". |
| properties.result | read_only_udm.security_result.summary | Asignación directa del campo de registro sin procesar "properties.result". |
| properties.resultReason | read_only_udm.security_result.description | Asignación directa del campo de registro sin procesar "properties.resultReason". |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | Asignación directa del campo de registro sin procesar "properties.userPrincipalName". |
| result | read_only_udm.security_result.summary, read_only_udm.security_result.action | Asignación directa del campo de registro sin procesar "result". Si el valor es "success", "read_only_udm.security_result.action" se define como "ALLOW". Si el valor es "failure", "read_only_udm.security_result.action" se define como "BLOCK". |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Asignación directa del campo de registro sin procesar "resultDescription". |
| resultReason | read_only_udm.security_result.description | Asignación directa del campo de registro sin procesar "resultReason". |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Asignación directa del campo de registro sin procesar "resultType". Si el valor es "0", "read_only_udm.security_result.action" se define como "ALLOW" y "read_only_udm.security_result.summary" se define como "Successful login occurred". De lo contrario, "read_only_udm.security_result.action" se asigna a "BLOCK", "read_only_udm.security_result.summary" se asigna a "Failed login occurred", "read_only_udm.security_result.description" se asigna al valor de "resultDescription" y "read_only_udm.security_result.severity" se asigna a "ERROR". |
| resourceDisplayName | read_only_udm.target.resource.name | Asignación directa del campo de registro sin procesar "resourceDisplayName". |
| resourceId | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "resourceId". La clave de "read_only_udm.additional.fields" es "resourceId". |
| riskDetail | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "riskDetail". La clave de "read_only_udm.additional.fields" es "riskDetail". |
| riskEventTypes | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "riskEventTypes". La clave de "read_only_udm.additional.fields" se ha definido como "riskEventTypes". |
| riskEventTypes_v2 | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "riskEventTypes_v2". La clave de "read_only_udm.additional.fields" es "riskEventTypes_v2". |
| riskLevelAggregated | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "riskLevelAggregated". La clave de "read_only_udm.additional.fields" es "riskLevelAggregated". |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Asignación directa del campo de registro sin procesar "riskLevelDuringSignIn". La clave de "read_only_udm.additional.fields" se ha definido como "riskLevelDuringSignIn". Si el valor es "medium", "read_only_udm.security_result.priority" se define como "MEDIUM_PRIORITY". |
| riskState | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "riskState". La clave de "read_only_udm.additional.fields" es "riskState". |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Si el valor de "targetResources.0.type" es "User" o "ServicePrincipal", el valor se asigna a "read_only_udm.target.user.user_display_name". Si el valor de "targetResources.0.type" es "Group", el valor se asigna a "read_only_udm.target.group.group_display_name". De lo contrario, el valor se asigna a "read_only_udm.target.resource.name". |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Asignación directa del campo de registro sin procesar "targetResources.0.groupType". La clave de "read_only_udm.target.group.attribute.labels" se ha definido como "groupType". |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Si el valor de "targetResources.0.type" es "User" o "ServicePrincipal", el valor se asigna a "read_only_udm.target.user.product_object_id". Si el valor de "targetResources.0.type" es "Group", el valor se asigna a "read_only_udm.target.group.product_object_id". De lo contrario, el valor se asigna a "read_only_udm.target.resource.product_object_id". |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | El valor se asigna a "read_only_udm.additional.fields" con la clave definida como "targetResources.modifiedProperties.displayname {index}". Si el valor es "TargetId.DeviceId", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.asset.asset_id" con el prefijo "Device ID:". Si el valor es "DisplayName" o "jobTitle", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.title". Si el valor es "WellKnownObjectName", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.resource.attribute.roles" con la clave definida como "name". Si el valor es "displayName" y "targetResources.0.displayName" es nulo, el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.user_display_name". Si el valor es "givenName", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.first_name". Si el valor es "surname", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.last_name". Si el valor es "department", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.department". Si el valor es "physicalDeliveryOfficeName", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.office_address.name". Si el valor es "employeeId", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.employee_id". Si el valor es "mobile", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.phone_numbers". Si el valor es "MailNickname", el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.user.userid". De lo contrario, el valor de "targetResources.0.modifiedProperties.newValue" se asigna a "read_only_udm.target.resource.attribute.labels" con la clave definida como el valor de "targetResources.0.modifiedProperties.displayName". El valor de "targetResources.0.modifiedProperties.oldValue" se asigna a "read_only_udm.src.resource.attribute.labels" con la clave definida como el valor de "targetResources.0.modifiedProperties.displayName". |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Si el valor de "targetResources.0.modifiedProperties.displayName" es "TargetId.DeviceId", el valor se asigna a "read_only_udm.target.asset.asset_id" con el prefijo "Device ID:". Si el valor de "targetResources.0.modifiedProperties.displayName" es "DisplayName" o "jobTitle", el valor se asigna a "read_only_udm.target.user.title". Si el valor de "targetResources.0.modifiedProperties.displayName" es "WellKnownObjectName", el valor se asigna a "read_only_udm.target.resource.attribute.roles" con la clave definida como "name". Si el valor de "targetResources.0.modifiedProperties.displayName" es "displayName" y "targetResources.0.displayName" es null, el valor se asigna a "read_only_udm.target.user.user_display_name". Si el valor de "targetResources.0.modifiedProperties.displayName" es "givenName", el valor se asigna a "read_only_udm.target.user.first_name". Si el valor de "targetResources.0.modifiedProperties.displayName" es "surname", el valor se asigna a "read_only_udm.target.user.last_name". Si el valor de "targetResources.0.modifiedProperties.displayName" es "department", el valor se asigna a "read_only_udm.target.user.department". Si el valor de "targetResources.0.modifiedProperties.displayName" es "physicalDeliveryOfficeName", el valor se asigna a "read_only_udm.target.user.office_address.name". Si el valor de "targetResources.0.modifiedProperties.displayName" es "employeeId", el valor se asigna a "read_only_udm.target.user.employee_id". Si el valor de "targetResources.0.modifiedProperties.displayName" es "mobile", el valor se asigna a "read_only_udm.target.user.phone_numbers". Si el valor de "targetResources.0.modifiedProperties.displayName" es "MailNickname", el valor se asigna a "read_only_udm.target.user.userid". De lo contrario, el valor se asigna a "read_only_udm.target.resource.attribute.labels" y la clave se define como el valor de "targetResources.0.modifiedProperties.displayName". El valor también se asigna a "read_only_udm.additional.fields" con la clave definida como "targetResources.modifiedProperties.newValue {index}". |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | El valor se asigna a "read_only_udm.src.resource.attribute.labels" con la clave definida como el valor de "targetResources.0.modifiedProperties.displayName". El valor también se asigna a "read_only_udm.additional.fields" con la clave definida como "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Asignación directa del campo de registro sin procesar "targetResources.0.type". Si el valor es "ServicePrincipal", "read_only_udm.target.resource.resource_type" se define como "SERVICE_ACCOUNT". Si el valor es "Device", "read_only_udm.target.resource.resource_type" se define como "DEVICE". De lo contrario, "read_only_udm.target.resource.resource_type" se define como "UNSPECIFIED". Si el valor es "User" o "ServicePrincipal", el valor de "targetResources.0.userPrincipalName" se asigna a "read_only_udm.target.user.userid", el valor de "targetResources.0.id" se asigna a "read_only_udm.target.user.product_object_id" y el valor de "targetResources.0.displayName" se asigna a "read_only_udm.target.user.user_display_name". Si el valor es "Group", el valor de "targetResources.0.id" se asigna a "read_only_udm.target.group.product_object_id" y el valor de "targetResources.0.displayName" se asigna a "read_only_udm.target.group.group_display_name". |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.target.user.email_addresses". De lo contrario, se asigna a "read_only_udm.target.user.userid". |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Si el valor de "targetResources.type" es "User" o "ServicePrincipal", el valor se asigna a "read_only_udm.about.user.user_display_name" y "read_only_udm.about.user.userid". Si el valor de "targetResources.type" es "Group", el valor se asigna a "read_only_udm.about.group.group_display_name". El valor de "targetResources.groupType" se asigna a "read_only_udm.about.group.attribute.labels" con la clave definida como "groupType". De lo contrario, el valor se asigna a "read_only_udm.about.resource.name". |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Asignación directa del campo de registro sin procesar "targetResources.groupType". La clave de "read_only_udm.about.group.attribute.labels" es "groupType". |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Si el valor de "targetResources.type" es "User" o "ServicePrincipal", el valor se asigna a "read_only_udm.about.user.product_object_id". Si el valor de "targetResources.type" es "Group", el valor se asigna a "read_only_udm.about.group.product_object_id". De lo contrario, el valor se asigna a "read_only_udm.about.resource.product_object_id". |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | El valor se asigna a "read_only_udm.additional.fields" con la clave definida como "targetResources.modifiedProperties.displayname {index}". |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | El valor se asigna a "read_only_udm.additional.fields" con la clave definida como "targetResources.modifiedProperties.newValue {index}". |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | El valor se asigna a "read_only_udm.additional.fields" con la clave definida como "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Asignación directa del campo de registro sin procesar "targetResources.type". Si el valor es "ServicePrincipal", "read_only_udm.about.resource.resource_type" se define como "SERVICE_ACCOUNT". Si el valor es "Device", "read_only_udm.about.resource.resource_type" se define como "DEVICE". De lo contrario, "read_only_udm.about.resource.resource_type" se define como "UNSPECIFIED". Si el valor es "User" o "ServicePrincipal", el valor de "targetResources.userPrincipalName" se asigna a "read_only_udm.about.user.userid", el valor de "targetResources.id" se asigna a "read_only_udm.about.user.product_object_id" y el valor de "targetResources.displayName" se asigna a "read_only_udm.about.user.user_display_name". Si el valor es "Group", el valor de "targetResources.id" se asigna a "read_only_udm.about.group.product_object_id" y el valor de "targetResources.displayName" se asigna a "read_only_udm.about.group.group_display_name". |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Si el valor contiene "@", se analiza como una dirección de correo electrónico y se asigna a "read_only_udm.about.user.email_addresses". De lo contrario, se asigna a "read_only_udm.about.user.userid". |
| tenantId | read_only_udm.additional.fields | Asignación directa del campo de registro sin procesar "tenantId". La clave de "read_only_udm.additional.fields" es "tenantId". |
| Tiempo | read_only_udm.metadata.event_timestamp | Asignación directa del campo de registro sin procesar "time". |
| userId | read_only_udm.target.user.product_object_id | Asignación directa del campo de registro sin procesar "userId". El valor se define en función de los valores de otros campos, como "activityDisplayName", "principal_userid_present", "target_userid_present", "principal_ip_present", "loggedByService" y "category". La lógica para definir el valor es compleja y depende de la combinación específica de valores de estos campos. El valor es "SSO" si el valor de "operationName" es "Sign-in activity". El valor es "Microsoft". El valor es "Auditoría de directorio de Azure AD". El valor es "AZURE_AD_AUDIT". |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.