Collecter les journaux d'audit Microsoft Entra ID
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux Microsoft Entra ID (AD) en configurant un flux Google Security Operations.
Azure Active Directory (AZURE_AD) s'appelle désormais Microsoft Entra ID. Les journaux d'audit Azure AD (AZURE_AD_AUDIT) sont désormais des journaux d'audit Microsoft Entra ID.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Un abonnement Azure auquel vous pouvez vous connecter
- Un rôle d'administrateur général ou d'administrateur Azure AD
- Un locataire Azure AD dans Azure
Configurer Azure AD
- Connectez-vous au portail Azure.
- Accédez à Accueil > Enregistrement de l'application, puis sélectionnez une application enregistrée ou enregistrez-en une si vous n'en avez pas encore créé.
- Pour enregistrer une application, dans la section Enregistrement de l'application, cliquez sur Nouvel enregistrement.
- Dans le champ Nom, indiquez le nom à afficher de votre application.
- Dans la section Types de compte compatibles, sélectionnez l'option requise pour spécifier qui peut utiliser l'application ou accéder à l'API.
- Cliquez sur S'inscrire.
- Accédez à la page Vue d'ensemble, puis copiez l'ID (client) de l'application et l'ID du répertoire (locataire), qui sont nécessaires pour configurer le flux Google Security Operations.
- Cliquez sur Autorisations des API.
- Cliquez sur Ajouter une autorisation, puis sélectionnez Microsoft Graph dans le nouveau volet.
- Cliquez sur Autorisations de l'application.
- Sélectionnez les autorisations AuditLog.Read.All, Directory.Read.All et SecurityEvents.Read.All. Assurez-vous que les autorisations sont des autorisations d'application et non des autorisations déléguées.
- Cliquez sur Accorder le consentement administrateur pour l'annuaire par défaut. Les applications sont autorisées à appeler des API lorsqu'elles reçoivent des autorisations de la part des utilisateurs ou des administrateurs dans le cadre du processus de consentement.
- Accédez à Paramètres > Gérer.
- Cliquez sur Certificats et codes secrets.
- Cliquez sur Nouvelle clé secrète client. Le code secret du client s'affiche dans le champ Valeur.
- Copiez la valeur du code secret du client. La valeur n'est affichée qu'au moment de la création. Elle est requise pour l'enregistrement de l'application Azure et pour configurer le flux Google Security Operations.
Pour en savoir plus, consultez Configurer l'application Microsoft Entra ID.
Pour en savoir plus sur Microsoft Entra pour les autorisations, consultez Microsoft Entra pour les autorisations.
Configurer des flux
Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :
- Paramètres SIEM> Flux
- Plate-forme de contenu > Packs de contenu
Configurer des flux à partir de Paramètres SIEM > Flux
Pour configurer plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.
Pour configurer un seul flux :
- Accédez à Paramètres SIEM> Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Sur la page suivante, cliquez sur Configurer un seul flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux d'audit Azure AD).
- Sélectionnez API tierce comme type de source.
- Sélectionnez Audit du répertoire Azure AD comme Type de journal.
- Cliquez sur Suivant.
- Configurez les paramètres d'entrée obligatoires suivants :
- ID client OAUTH : spécifiez l'ID client que vous avez obtenu précédemment.
- Code secret du client OAUTH : spécifiez le code secret du client que vous avez obtenu précédemment.
- ID de locataire : spécifiez l'ID de locataire que vous avez obtenu précédemment.
- Cliquez sur Suivant, puis sur Envoyer.
Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences de chaque type de flux, consultez Configuration des flux par type. Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.
Configurer des flux depuis le Hub de contenu
Indiquez les valeurs des champs suivants :
- ID client OAUTH : spécifiez l'ID client que vous avez obtenu précédemment.
- Code secret du client OAUTH : spécifiez le code secret du client que vous avez obtenu précédemment.
- ID de locataire : spécifiez l'ID de locataire que vous avez obtenu précédemment.
Options avancées
- Nom du flux : valeur préremplie qui identifie le flux.
- Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
- Espace de noms de l'élément : espace de noms associé au flux.
- Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
Référence du mappage de champs
Ce parseur traite les journaux d'audit du répertoire Azure AD au format JSON. Il extrait les champs pertinents, les transforme en modèle de données unifié (UDM) et enrichit les données avec un contexte supplémentaire, comme les informations sur les utilisateurs, les adresses IP et les résultats de sécurité. L'analyseur catégorise également les événements en fonction de leurs caractéristiques, en les associant à des types d'événements UDM spécifiques pour faciliter l'analyse.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | Mappage direct à partir du champ de journal brut "activityDateTime". |
| activityDisplayName | read_only_udm.metadata.product_event_type | Mappage direct à partir du champ de journal brut "activityDisplayName". |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "ApplicationId". |
| additionalDetails.Client | read_only_udm.network.http.user_agent | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "Client". |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "ClientIpAddress". |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "DomainName". |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "EmailAddress". |
| additionalDetails.GrantType | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "GrantType". |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "LocalAccountUsername". |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "PhoneNumber". |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "PolicyId". |
| additionalDetails.Scopes | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "Scopes". |
| additionalDetails.TenantId | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "TenantId". |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "additionalDetails", où la clé est "VerificationMethod". |
| appId | read_only_udm.target.process.pid | Mappage direct à partir du champ de journal brut "appId". |
| appliedConditionalAccessPolicies | read_only_udm.about | Le champ "displayName" est mappé sur "read_only_udm.about.user.user_display_name" et le champ "id" est mappé sur "read_only_udm.about.user.userid". Le champ "result" est mappé sur "read_only_udm.about.labels", avec la clé définie sur "Result". |
| category | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Mappage direct à partir du champ de journal brut "category". La clé "read_only_udm.additional.fields" est définie sur "log_category". |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappage direct à partir du champ de journal brut "callerIpAddress". |
| clientAppUsed | read_only_udm.principal.application | Mappage direct à partir du champ de journal brut "clientAppUsed". |
| correlationId | read_only_udm.network.session_id | Mappage direct à partir du champ de journal brut "correlationId". |
| id | read_only_udm.metadata.product_log_id | Mappage direct à partir du champ de journal brut "id". |
| identity | read_only_udm.target.user.userid | Mappage direct à partir du champ de journal brut "identity" (identité). |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Mappage direct à partir du champ de journal brut "initiatedBy.app.appId". La clé "read_only_udm.principal.resource.attribute.labels" est définie sur "ID de l'application". |
| initiatedBy.app.displayName | read_only_udm.principal.application | Mappage direct à partir du champ de journal brut "initiatedBy.app.displayName". |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Mappage direct à partir du champ de journal brut "initiatedBy.app.servicePrincipalId". |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Mappage direct à partir du champ de journal brut "initiatedBy.app.servicePrincipalName". |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Si la valeur contient "@", elle est analysée comme une adresse e-mail et mappée sur "read_only_udm.principal.user.email_addresses". Sinon, il est mappé sur "read_only_udm.principal.user.user_display_name". |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Mappage direct à partir du champ de journal brut "initiatedBy.user.id". |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappage direct à partir du champ de journal brut "initiatedBy.user.ipAddress". |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Si la valeur contient "@", elle est analysée comme une adresse e-mail et mappée sur "read_only_udm.principal.user.email_addresses". Sinon, il est mappé sur "read_only_udm.principal.user.userid". La partie domaine de l'adresse e-mail est mappée sur "read_only_udm.principal.administrative_domain". La valeur complète est également mappée sur "read_only_udm.principal.resource.attribute.labels" avec la clé définie sur "Nom d'utilisateur principal". |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappage direct à partir du champ de journal brut "ipAddress". |
| Niveau | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | La valeur est convertie en chaîne et mappée sur "read_only_udm.security_result.severity_details". Le champ "read_only_udm.security_result.severity" est défini sur "INFORMATIONAL". |
| location.city | read_only_udm.principal.location.city | Mappage direct à partir du champ de journal brut "location.city". |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Mappage direct à partir du champ de journal brut "location.countryOrRegion". |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Mappage direct à partir du champ de journal brut "location.geoCoordinates.latitude". |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Mappage direct à partir du champ de journal brut "location.geoCoordinates.longitude". |
| location.state | read_only_udm.principal.location.state | Mappage direct à partir du champ de journal brut "location.state". |
| loggedByService | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "loggedByService". La clé "read_only_udm.additional.fields" est définie sur "loggedByService". |
| operationName | read_only_udm.metadata.product_event_type | Mappage direct à partir du champ de journal brut "operationName". |
| operationType | read_only_udm.security_result.action_details | Mappage direct à partir du champ de journal brut "operationType". |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | Mappage direct à partir du champ de journal brut "properties.activityDateTime". |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | Mappage direct à partir du champ de journal brut "properties.activityDisplayName". |
| properties.appDisplayName | read_only_udm.target.application | Mappage direct à partir du champ de journal brut "properties.appDisplayName". |
| properties.category | read_only_udm.security_result.category_details | Mappage direct à partir du champ de journal brut "properties.category". |
| properties.id | read_only_udm.metadata.product_log_id | Mappage direct à partir du champ de journal brut "properties.id". |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Mappage direct à partir du champ de journal brut "properties.initiatedBy.app.appId". La clé "read_only_udm.principal.resource.attribute.labels" est définie sur "ID de l'application". |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | Mappage direct à partir du champ de journal brut "properties.initiatedBy.app.displayName". |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Mappage direct à partir du champ de journal brut "properties.initiatedBy.app.servicePrincipalId". |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Mappage direct à partir du champ de journal brut "properties.initiatedBy.app.servicePrincipalName". |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Si la valeur contient "@", elle est analysée comme une adresse e-mail et mappée sur "read_only_udm.principal.user.email_addresses". Sinon, il est mappé sur "read_only_udm.principal.user.user_display_name". |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Mappage direct à partir du champ de journal brut "properties.initiatedBy.user.id". |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappage direct à partir du champ de journal brut "properties.initiatedBy.user.ipAddress". |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Si la valeur contient "@", elle est analysée comme une adresse e-mail et mappée sur "read_only_udm.principal.user.email_addresses". Sinon, il est mappé sur "read_only_udm.principal.user.userid". La partie domaine de l'adresse e-mail est mappée sur "read_only_udm.principal.administrative_domain". La valeur complète est également mappée sur "read_only_udm.principal.resource.attribute.labels" avec la clé définie sur "Nom d'utilisateur principal". |
| properties.loggedByService | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "properties.loggedByService". La clé "read_only_udm.additional.fields" est définie sur "loggedByService". |
| properties.operationType | read_only_udm.security_result.action_details | Mappage direct à partir du champ de journal brut "properties.operationType". |
| properties.result | read_only_udm.security_result.summary | Mappage direct à partir du champ de journal brut "properties.result". |
| properties.resultReason | read_only_udm.security_result.description | Mappage direct à partir du champ de journal brut "properties.resultReason". |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | Mappage direct à partir du champ de journal brut "properties.userPrincipalName". |
| résultat | read_only_udm.security_result.summary, read_only_udm.security_result.action | Mappage direct à partir du champ de journal brut "result". Si la valeur est "success", "read_only_udm.security_result.action" est défini sur "ALLOW". Si la valeur est "failure", "read_only_udm.security_result.action" est définie sur "BLOCK". |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Mappage direct à partir du champ de journal brut "resultDescription". |
| resultReason | read_only_udm.security_result.description | Mappage direct à partir du champ de journal brut "resultReason". |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Mappage direct à partir du champ de journal brut "resultType". Si la valeur est "0", "read_only_udm.security_result.action" est défini sur "ALLOW" et "read_only_udm.security_result.summary" est défini sur "Successful login occurred" (Connexion réussie). Sinon, "read_only_udm.security_result.action" est défini sur "BLOCK", "read_only_udm.security_result.summary" est défini sur "Failed login occurred", "read_only_udm.security_result.description" est défini sur la valeur de "resultDescription" et "read_only_udm.security_result.severity" est défini sur "ERROR". |
| resourceDisplayName | read_only_udm.target.resource.name | Mappage direct à partir du champ de journal brut "resourceDisplayName". |
| resourceId | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "resourceId". La clé "read_only_udm.additional.fields" est définie sur "resourceId". |
| riskDetail | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "riskDetail". La clé de "read_only_udm.additional.fields" est définie sur "riskDetail". |
| riskEventTypes | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "riskEventTypes". La clé "read_only_udm.additional.fields" est définie sur "riskEventTypes". |
| riskEventTypes_v2 | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "riskEventTypes_v2". La clé "read_only_udm.additional.fields" est définie sur "riskEventTypes_v2". |
| riskLevelAggregated | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "riskLevelAggregated". La clé de "read_only_udm.additional.fields" est définie sur "riskLevelAggregated". |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Mappage direct à partir du champ de journal brut "riskLevelDuringSignIn". La clé pour "read_only_udm.additional.fields" est définie sur "riskLevelDuringSignIn". Si la valeur est "medium", "read_only_udm.security_result.priority" est définie sur "MEDIUM_PRIORITY". |
| riskState | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "riskState". La clé "read_only_udm.additional.fields" est définie sur "riskState". |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Si la valeur de "targetResources.0.type" est "User" ou "ServicePrincipal", la valeur est mappée sur "read_only_udm.target.user.user_display_name". Si la valeur de "targetResources.0.type" est "Group", la valeur est mappée sur "read_only_udm.target.group.group_display_name". Sinon, la valeur est mappée sur "read_only_udm.target.resource.name". |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Mappage direct à partir du champ de journal brut "targetResources.0.groupType". La clé "read_only_udm.target.group.attribute.labels" est définie sur "groupType". |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Si la valeur de "targetResources.0.type" est "User" ou "ServicePrincipal", la valeur est mappée sur "read_only_udm.target.user.product_object_id". Si la valeur de "targetResources.0.type" est "Group", la valeur est mappée sur "read_only_udm.target.group.product_object_id". Sinon, la valeur est mappée sur "read_only_udm.target.resource.product_object_id". |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | La valeur est mappée sur "read_only_udm.additional.fields" avec la clé définie sur "targetResources.modifiedProperties.displayname {index}". Si la valeur est "TargetId.DeviceId", la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.asset.asset_id" avec le préfixe "Device ID:". Si la valeur est "DisplayName" ou "jobTitle", la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.user.title". Si la valeur est "WellKnownObjectName", la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.resource.attribute.roles" avec la clé définie sur "name". Si la valeur est "displayName" et que "targetResources.0.displayName" est nulle, la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.user.user_display_name". Si la valeur est "givenName", la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.user.first_name". Si la valeur est "surname", la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.user.last_name". Si la valeur est "department", la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.user.department". Si la valeur est "physicalDeliveryOfficeName", la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.user.office_address.name". Si la valeur est "employeeId", la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.user.employee_id". Si la valeur est "mobile", la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.user.phone_numbers". Si la valeur est "MailNickname", la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.user.userid". Sinon, la valeur de "targetResources.0.modifiedProperties.newValue" est mappée sur "read_only_udm.target.resource.attribute.labels" avec la clé définie sur la valeur de "targetResources.0.modifiedProperties.displayName". La valeur de "targetResources.0.modifiedProperties.oldValue" est mappée sur "read_only_udm.src.resource.attribute.labels" avec la clé définie sur la valeur de "targetResources.0.modifiedProperties.displayName". |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Si la valeur de "targetResources.0.modifiedProperties.displayName" est "TargetId.DeviceId", la valeur est mappée sur "read_only_udm.target.asset.asset_id" avec le préfixe "Device ID:". Si la valeur de "targetResources.0.modifiedProperties.displayName" est "DisplayName" ou "jobTitle", la valeur est mappée sur "read_only_udm.target.user.title". Si la valeur de "targetResources.0.modifiedProperties.displayName" est "WellKnownObjectName", la valeur est mappée sur "read_only_udm.target.resource.attribute.roles" avec la clé définie sur "name". Si la valeur de "targetResources.0.modifiedProperties.displayName" est "displayName" et que "targetResources.0.displayName" est nulle, la valeur est mappée sur "read_only_udm.target.user.user_display_name". Si la valeur de "targetResources.0.modifiedProperties.displayName" est "givenName", la valeur est mappée sur "read_only_udm.target.user.first_name". Si la valeur de "targetResources.0.modifiedProperties.displayName" est "surname", la valeur est mappée sur "read_only_udm.target.user.last_name". Si la valeur de "targetResources.0.modifiedProperties.displayName" est "department", la valeur est mappée sur "read_only_udm.target.user.department". Si la valeur de "targetResources.0.modifiedProperties.displayName" est "physicalDeliveryOfficeName", la valeur est mappée sur "read_only_udm.target.user.office_address.name". Si la valeur de "targetResources.0.modifiedProperties.displayName" est "employeeId", la valeur est mappée sur "read_only_udm.target.user.employee_id". Si la valeur de "targetResources.0.modifiedProperties.displayName" est "mobile", la valeur est mappée sur "read_only_udm.target.user.phone_numbers". Si la valeur de "targetResources.0.modifiedProperties.displayName" est "MailNickname", la valeur est mappée sur "read_only_udm.target.user.userid". Sinon, la valeur est mappée sur "read_only_udm.target.resource.attribute.labels", avec la clé définie sur la valeur de "targetResources.0.modifiedProperties.displayName". La valeur est également mappée à "read_only_udm.additional.fields" avec la clé définie sur "targetResources.modifiedProperties.newValue {index}". |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | La valeur est mappée sur "read_only_udm.src.resource.attribute.labels", avec la clé définie sur la valeur de "targetResources.0.modifiedProperties.displayName". La valeur est également mappée sur "read_only_udm.additional.fields" avec la clé définie sur "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Mappage direct à partir du champ de journal brut "targetResources.0.type". Si la valeur est "ServicePrincipal", "read_only_udm.target.resource.resource_type" est défini sur "SERVICE_ACCOUNT". Si la valeur est "Device", "read_only_udm.target.resource.resource_type" est défini sur "DEVICE". Sinon, "read_only_udm.target.resource.resource_type" est défini sur "UNSPECIFIED". Si la valeur est "User" ou "ServicePrincipal", la valeur de "targetResources.0.userPrincipalName" est mappée sur "read_only_udm.target.user.userid", la valeur de "targetResources.0.id" est mappée sur "read_only_udm.target.user.product_object_id" et la valeur de "targetResources.0.displayName" est mappée sur "read_only_udm.target.user.user_display_name". Si la valeur est "Group", la valeur de "targetResources.0.id" est mappée sur "read_only_udm.target.group.product_object_id" et la valeur de "targetResources.0.displayName" est mappée sur "read_only_udm.target.group.group_display_name". |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Si la valeur contient "@", elle est analysée comme une adresse e-mail et mappée sur "read_only_udm.target.user.email_addresses". Sinon, il est mappé sur "read_only_udm.target.user.userid". |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Si la valeur de "targetResources.type" est "User" ou "ServicePrincipal", la valeur est mappée sur "read_only_udm.about.user.user_display_name" et "read_only_udm.about.user.userid". Si la valeur de "targetResources.type" est "Group", la valeur est mappée sur "read_only_udm.about.group.group_display_name". La valeur de "targetResources.groupType" est mappée sur "read_only_udm.about.group.attribute.labels" avec la clé définie sur "groupType". Sinon, la valeur est mappée sur "read_only_udm.about.resource.name". |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Mappage direct à partir du champ de journal brut "targetResources.groupType". La clé "read_only_udm.about.group.attribute.labels" est définie sur "groupType". |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Si la valeur de "targetResources.type" est "User" ou "ServicePrincipal", la valeur est mappée sur "read_only_udm.about.user.product_object_id". Si la valeur de "targetResources.type" est "Group", la valeur est mappée sur "read_only_udm.about.group.product_object_id". Sinon, la valeur est mappée sur "read_only_udm.about.resource.product_object_id". |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | La valeur est mappée sur "read_only_udm.additional.fields" avec la clé définie sur "targetResources.modifiedProperties.displayname {index}". |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | La valeur est mappée sur "read_only_udm.additional.fields" avec la clé définie sur "targetResources.modifiedProperties.newValue {index}". |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | La valeur est mappée sur "read_only_udm.additional.fields" avec la clé définie sur "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Mappage direct à partir du champ de journal brut "targetResources.type". Si la valeur est "ServicePrincipal", "read_only_udm.about.resource.resource_type" est défini sur "SERVICE_ACCOUNT". Si la valeur est "Device", "read_only_udm.about.resource.resource_type" est défini sur "DEVICE". Sinon, "read_only_udm.about.resource.resource_type" est défini sur "UNSPECIFIED". Si la valeur est "User" ou "ServicePrincipal", la valeur de "targetResources.userPrincipalName" est mappée sur "read_only_udm.about.user.userid", la valeur de "targetResources.id" est mappée sur "read_only_udm.about.user.product_object_id" et la valeur de "targetResources.displayName" est mappée sur "read_only_udm.about.user.user_display_name". Si la valeur est "Group", la valeur de "targetResources.id" est mappée sur "read_only_udm.about.group.product_object_id" et la valeur de "targetResources.displayName" est mappée sur "read_only_udm.about.group.group_display_name". |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Si la valeur contient "@", elle est analysée comme une adresse e-mail et mappée sur "read_only_udm.about.user.email_addresses". Sinon, il est mappé sur "read_only_udm.about.user.userid". |
| tenantId | read_only_udm.additional.fields | Mappage direct à partir du champ de journal brut "tenantId". La clé "read_only_udm.additional.fields" est définie sur "tenantId". |
| temps | read_only_udm.metadata.event_timestamp | Mappage direct à partir du champ de journal brut "time". |
| userId | read_only_udm.target.user.product_object_id | Mappage direct à partir du champ de journal brut "userId". La valeur est définie en fonction de celles d'autres champs, y compris "activityDisplayName", "principal_userid_present", "target_userid_present", "principal_ip_present", "loggedByService" et "category". La logique de définition de la valeur est complexe et dépend de la combinaison spécifique de valeurs dans ces champs. La valeur est définie sur "SSO" si la valeur de "operationName" est "Sign-in activity" (Activité de connexion). La valeur est définie sur "Microsoft". La valeur est définie sur "Audit du répertoire Azure AD". La valeur est définie sur "AZURE_AD_AUDIT". |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.