Raccogliere i log di controllo di Microsoft Entra ID
Supportato in:
Google secops
SIEM
Questo documento descrive come raccogliere i log di Microsoft Entra ID (AD) impostando un feed Google Security Operations.
Azure Active Directory (AZURE_AD) ora si chiama Microsoft Entra ID. I log di controllo di Azure AD
(AZURE_AD_AUDIT) ora sono log di controllo di Microsoft Entra ID.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un abbonamento Azure a cui puoi accedere
- Un ruolo di amministratore globale o amministratore di Azure AD
- Un Azure AD (tenant) in Azure
Come configurare Azure AD
- Accedi al portale Azure.
- Vai a Home > Registrazione app, seleziona un'applicazione registrata o registrala se non ne hai ancora creata una.
- Per registrare un'applicazione, nella sezione Registrazione app, fai clic su Nuova registrazione.
- Nel campo Nome, fornisci il nome visualizzato per l'applicazione.
- Nella sezione Tipi di account supportati, seleziona l'opzione richiesta per specificare chi può utilizzare l'applicazione o accedere all'API.
- Fai clic su Register (Registrati).
- Vai alla pagina Panoramica e copia l'ID applicazione (client) e l'ID directory (tenant), necessari per configurare il feed Google Security Operations.
- Fai clic su Autorizzazioni API.
- Fai clic su Aggiungi un'autorizzazione e seleziona Microsoft Graph nel nuovo riquadro.
- Fai clic su Autorizzazioni applicazione.
- Seleziona le autorizzazioni AuditLog.Read.All, Directory.Read.All e SecurityEvents.Read.All. Assicurati che le autorizzazioni siano autorizzazioni applicative e non autorizzazioni delegate.
- Fai clic su Concedi il consenso amministratore per la directory predefinita. Le applicazioni sono autorizzate a chiamare le API quando gli utenti o gli amministratori concedono loro le autorizzazioni nell'ambito della procedura di consenso.
- Vai a Impostazioni > Gestisci.
- Fai clic su Certificati e secret.
- Fai clic su Nuovo segreto client. Nel campo Valore viene visualizzato il client secret.
- Copia il valore del client secret. Il valore viene visualizzato solo al momento della creazione ed è necessario per la registrazione dell'app Azure e per configurare il feed Google Security Operations.
Per ulteriori informazioni, consulta Come configurare l'app Microsoft Entra ID.
Per ulteriori informazioni su Microsoft Entra per le autorizzazioni, vedi Microsoft Entra per le autorizzazioni.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed
- Hub dei contenuti > Pacchetti di contenuti
Configurare i feed da Impostazioni SIEM > Feed
Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Per configurare un singolo feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Azure AD Audit Logs.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Azure AD Directory Audit come Tipo di log.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- ID client OAUTH: specifica l'ID client che hai ottenuto in precedenza.
- Client secret OAUTH: specifica il client secret che hai ottenuto in precedenza.
- ID tenant: specifica l'ID tenant che hai ottenuto in precedenza.
- Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione sui feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Configurare i feed dall'hub dei contenuti
Specifica i valori per i seguenti campi:
- ID client OAUTH: specifica l'ID client che hai ottenuto in precedenza.
- Client secret OAUTH: specifica il client secret che hai ottenuto in precedenza.
- ID tenant: specifica l'ID tenant che hai ottenuto in precedenza.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
- Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Riferimento alla mappatura dei campi
Questo parser elabora i log di controllo della directory Azure AD in formato JSON. Estrae i campi pertinenti, li trasforma in un modello dei dati unificato (UDM) e arricchisce i dati con un contesto aggiuntivo, come dettagli utente, indirizzi IP e risultati di sicurezza. Il parser classifica anche gli eventi in base alle loro caratteristiche, mappandoli a tipi di eventi UDM specifici per semplificare l'analisi.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | Mappatura diretta dal campo del log grezzo "activityDateTime". |
| activityDisplayName | read_only_udm.metadata.product_event_type | Mappatura diretta dal campo del log non elaborato "activityDisplayName". |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", in cui la chiave è "ApplicationId". |
| additionalDetails.Client | read_only_udm.network.http.user_agent | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "Client". |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappatura diretta dal campo del log non elaborato "additionalDetails", in cui la chiave è "ClientIpAddress". |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "DomainName". |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Mappatura diretta dal campo del log non elaborato "additionalDetails", in cui la chiave è "EmailAddress". |
| additionalDetails.GrantType | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "GrantType". |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", in cui la chiave è "LocalAccountUsername". |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Mappatura diretta dal campo del log non elaborato "additionalDetails", in cui la chiave è "PhoneNumber". |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Mappatura diretta dal campo del log non elaborato "additionalDetails", dove la chiave è "PolicyId". |
| additionalDetails.Scopes | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", in cui la chiave è "Scopes". |
| additionalDetails.TenantId | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", in cui la chiave è "TenantId". |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "additionalDetails", in cui la chiave è "VerificationMethod". |
| appId | read_only_udm.target.process.pid | Mappatura diretta dal campo del log non elaborato "appId". |
| appliedConditionalAccessPolicies | read_only_udm.about | Il campo "displayName" è mappato a "read_only_udm.about.user.user_display_name" e il campo "id" è mappato a "read_only_udm.about.user.userid". Il campo "result" è mappato a "read_only_udm.about.labels", con la chiave impostata su "Result". |
| categoria | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Mappatura diretta dal campo del log non elaborato "category". La chiave per "read_only_udm.additional.fields" è impostata su "log_category". |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappatura diretta dal campo del log non elaborato "callerIpAddress". |
| clientAppUsed | read_only_udm.principal.application | Mappatura diretta dal campo del log non elaborato "clientAppUsed". |
| correlationId | read_only_udm.network.session_id | Mappatura diretta dal campo log non elaborato "correlationId". |
| ID | read_only_udm.metadata.product_log_id | Mappatura diretta dal campo del log non elaborato "id". |
| identity | read_only_udm.target.user.userid | Mappatura diretta dal campo del log non elaborato "identity". |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Mappatura diretta dal campo del log non elaborato "initiatedBy.app.appId". La chiave per "read_only_udm.principal.resource.attribute.labels" è impostata su "ID app". |
| initiatedBy.app.displayName | read_only_udm.principal.application | Mappatura diretta dal campo del log non elaborato "initiatedBy.app.displayName". |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Mappatura diretta dal campo di log non elaborato "initiatedBy.app.servicePrincipalId". |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Mappatura diretta dal campo del log non elaborato "initiatedBy.app.servicePrincipalName". |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.user_display_name". |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Mappatura diretta dal campo del log non elaborato "initiatedBy.user.id". |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappatura diretta dal campo del log non elaborato "initiatedBy.user.ipAddress". |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.userid". La parte del dominio dell'indirizzo email è mappata a "read_only_udm.principal.administrative_domain". Il valore completo viene mappato anche a "read_only_udm.principal.resource.attribute.labels" con la chiave impostata su "User Principal Name". |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappatura diretta dal campo del log non elaborato "ipAddress". |
| Livello | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | Il valore viene convertito in una stringa e mappato a "read_only_udm.security_result.severity_details". Il campo "read_only_udm.security_result.severity" è impostato su "INFORMATIONAL". |
| location.city | read_only_udm.principal.location.city | Mappatura diretta dal campo di log non elaborato "location.city". |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Mappatura diretta dal campo del log non elaborato "location.countryOrRegion". |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Mappatura diretta dal campo di log non elaborato "location.geoCoordinates.latitude". |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Mappatura diretta dal campo di log non elaborato "location.geoCoordinates.longitude". |
| location.state | read_only_udm.principal.location.state | Mappatura diretta dal campo del log non elaborato "location.state". |
| loggedByService | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "loggedByService". La chiave per "read_only_udm.additional.fields" è impostata su "loggedByService". |
| operationName | read_only_udm.metadata.product_event_type | Mappatura diretta dal campo del log non elaborato "operationName". |
| operationType | read_only_udm.security_result.action_details | Mappatura diretta dal campo del log non elaborato "operationType". |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | Mappatura diretta dal campo del log non elaborato "properties.activityDateTime". |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | Mappatura diretta dal campo del log grezzo "properties.activityDisplayName". |
| properties.appDisplayName | read_only_udm.target.application | Mappatura diretta dal campo del log non elaborato "properties.appDisplayName". |
| properties.category | read_only_udm.security_result.category_details | Mappatura diretta dal campo del log non elaborato "properties.category". |
| properties.id | read_only_udm.metadata.product_log_id | Mappatura diretta dal campo del log non elaborato "properties.id". |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.appId". La chiave per "read_only_udm.principal.resource.attribute.labels" è impostata su "ID app". |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.displayName". |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.servicePrincipalId". |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.app.servicePrincipalName". |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.user_display_name". |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.user.id". |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mappatura diretta dal campo del log non elaborato "properties.initiatedBy.user.ipAddress". |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.principal.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.principal.user.userid". La parte del dominio dell'indirizzo email è mappata a "read_only_udm.principal.administrative_domain". Il valore completo viene mappato anche a "read_only_udm.principal.resource.attribute.labels" con la chiave impostata su "User Principal Name". |
| properties.loggedByService | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "properties.loggedByService". La chiave per "read_only_udm.additional.fields" è impostata su "loggedByService". |
| properties.operationType | read_only_udm.security_result.action_details | Mappatura diretta dal campo del log non elaborato "properties.operationType". |
| properties.result | read_only_udm.security_result.summary | Mappatura diretta dal campo del log non elaborato "properties.result". |
| properties.resultReason | read_only_udm.security_result.description | Mappatura diretta dal campo del log non elaborato "properties.resultReason". |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | Mappatura diretta dal campo del log non elaborato "properties.userPrincipalName". |
| result | read_only_udm.security_result.summary, read_only_udm.security_result.action | Mappatura diretta dal campo del log non elaborato "result". Se il valore è "success", "read_only_udm.security_result.action" è impostato su "ALLOW". Se il valore è "failure", "read_only_udm.security_result.action" è impostato su "BLOCK". |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Mappatura diretta dal campo del log non elaborato "resultDescription". |
| resultReason | read_only_udm.security_result.description | Mappatura diretta dal campo del log non elaborato "resultReason". |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Mappatura diretta dal campo del log non elaborato "resultType". Se il valore è "0", "read_only_udm.security_result.action" è impostato su "ALLOW" e "read_only_udm.security_result.summary" è impostato su "Successful login occurred". In caso contrario, "read_only_udm.security_result.action" è impostato su "BLOCK", "read_only_udm.security_result.summary" è impostato su "Failed login occurred", "read_only_udm.security_result.description" è impostato sul valore di "resultDescription" e "read_only_udm.security_result.severity" è impostato su "ERROR". |
| resourceDisplayName | read_only_udm.target.resource.name | Mappatura diretta dal campo del log non elaborato "resourceDisplayName". |
| resourceId | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "resourceId". La chiave per "read_only_udm.additional.fields" è impostata su "resourceId". |
| riskDetail | read_only_udm.additional.fields | Mappatura diretta dal campo log non elaborato "riskDetail". La chiave per "read_only_udm.additional.fields" è impostata su "riskDetail". |
| riskEventTypes | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "riskEventTypes". La chiave per "read_only_udm.additional.fields" è impostata su "riskEventTypes". |
| riskEventTypes_v2 | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "riskEventTypes_v2". La chiave per "read_only_udm.additional.fields" è impostata su "riskEventTypes_v2". |
| riskLevelAggregated | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "riskLevelAggregated". La chiave per "read_only_udm.additional.fields" è impostata su "riskLevelAggregated". |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Mappatura diretta dal campo log non elaborato "riskLevelDuringSignIn". La chiave per "read_only_udm.additional.fields" è impostata su "riskLevelDuringSignIn". Se il valore è "medium", "read_only_udm.security_result.priority" è impostato su "MEDIUM_PRIORITY". |
| riskState | read_only_udm.additional.fields | Mappatura diretta dal campo log non elaborato "riskState". La chiave per "read_only_udm.additional.fields" è impostata su "riskState". |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Se il valore di "targetResources.0.type" è "User" o "ServicePrincipal", il valore viene mappato su "read_only_udm.target.user.user_display_name". Se il valore di "targetResources.0.type" è "Group", il valore viene mappato a "read_only_udm.target.group.group_display_name". In caso contrario, il valore viene mappato a "read_only_udm.target.resource.name". |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Mappatura diretta dal campo del log non elaborato "targetResources.0.groupType". La chiave per "read_only_udm.target.group.attribute.labels" è impostata su "groupType". |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Se il valore di "targetResources.0.type" è "User" o "ServicePrincipal", il valore viene mappato a "read_only_udm.target.user.product_object_id". Se il valore di "targetResources.0.type" è "Group", il valore viene mappato a "read_only_udm.target.group.product_object_id". In caso contrario, il valore viene mappato a "read_only_udm.target.resource.product_object_id". |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.displayname {index}". Se il valore è "TargetId.DeviceId", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.asset.asset_id" con il prefisso "ID dispositivo:". Se il valore è "DisplayName" o "jobTitle", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.title". Se il valore è "WellKnownObjectName", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.resource.attribute.roles" con la chiave impostata su "name". Se il valore è "displayName" e "targetResources.0.displayName" è null, il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.user_display_name". Se il valore è "givenName", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.first_name". Se il valore è "surname", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.last_name". Se il valore è "department", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.department". Se il valore è "physicalDeliveryOfficeName", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.office_address.name". Se il valore è "employeeId", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.employee_id". Se il valore è "mobile", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.phone_numbers". Se il valore è "MailNickname", il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.user.userid". In caso contrario, il valore di "targetResources.0.modifiedProperties.newValue" viene mappato a "read_only_udm.target.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". Il valore di "targetResources.0.modifiedProperties.oldValue" viene mappato a "read_only_udm.src.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Se il valore di "targetResources.0.modifiedProperties.displayName" è "TargetId.DeviceId", il valore viene mappato a "read_only_udm.target.asset.asset_id" con il prefisso "ID dispositivo:". Se il valore di "targetResources.0.modifiedProperties.displayName" è "DisplayName" o "jobTitle", il valore viene mappato a "read_only_udm.target.user.title". Se il valore di "targetResources.0.modifiedProperties.displayName" è "WellKnownObjectName", il valore viene mappato a "read_only_udm.target.resource.attribute.roles" con la chiave impostata su "name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "displayName" e "targetResources.0.displayName" è null, il valore viene mappato a "read_only_udm.target.user.user_display_name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "givenName", il valore viene mappato a "read_only_udm.target.user.first_name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "surname", il valore viene mappato a "read_only_udm.target.user.last_name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "department", il valore viene mappato a "read_only_udm.target.user.department". Se il valore di "targetResources.0.modifiedProperties.displayName" è "physicalDeliveryOfficeName", il valore viene mappato a "read_only_udm.target.user.office_address.name". Se il valore di "targetResources.0.modifiedProperties.displayName" è "employeeId", il valore viene mappato a "read_only_udm.target.user.employee_id". Se il valore di "targetResources.0.modifiedProperties.displayName" è "mobile", il valore viene mappato a "read_only_udm.target.user.phone_numbers". Se il valore di "targetResources.0.modifiedProperties.displayName" è "MailNickname", il valore viene mappato a "read_only_udm.target.user.userid". In caso contrario, il valore viene mappato a "read_only_udm.target.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". Il valore viene mappato anche a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.newValue {index}". |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | Il valore viene mappato a "read_only_udm.src.resource.attribute.labels" con la chiave impostata sul valore di "targetResources.0.modifiedProperties.displayName". Il valore viene mappato anche a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Mappatura diretta dal campo del log non elaborato "targetResources.0.type". Se il valore è "ServicePrincipal", "read_only_udm.target.resource.resource_type" è impostato su "SERVICE_ACCOUNT". Se il valore è "Device", "read_only_udm.target.resource.resource_type" è impostato su "DEVICE". In caso contrario, "read_only_udm.target.resource.resource_type" è impostato su "UNSPECIFIED". Se il valore è "User" o "ServicePrincipal", il valore di "targetResources.0.userPrincipalName" viene mappato a "read_only_udm.target.user.userid", il valore di "targetResources.0.id" viene mappato a "read_only_udm.target.user.product_object_id" e il valore di "targetResources.0.displayName" viene mappato a "read_only_udm.target.user.user_display_name". Se il valore è "Group", il valore di "targetResources.0.id" viene mappato a "read_only_udm.target.group.product_object_id" e il valore di "targetResources.0.displayName" viene mappato a "read_only_udm.target.group.group_display_name". |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.target.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.target.user.userid". |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Se il valore di "targetResources.type" è "User" o "ServicePrincipal", il valore viene mappato su "read_only_udm.about.user.user_display_name" e "read_only_udm.about.user.userid". Se il valore di "targetResources.type" è "Group", il valore viene mappato a "read_only_udm.about.group.group_display_name". Il valore di "targetResources.groupType" viene mappato a "read_only_udm.about.group.attribute.labels" con la chiave impostata su "groupType". In caso contrario, il valore viene mappato a "read_only_udm.about.resource.name". |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Mappatura diretta dal campo del log non elaborato "targetResources.groupType". La chiave per "read_only_udm.about.group.attribute.labels" è impostata su "groupType". |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Se il valore di "targetResources.type" è "User" o "ServicePrincipal", il valore viene mappato a "read_only_udm.about.user.product_object_id". Se il valore di "targetResources.type" è "Group", il valore viene mappato a "read_only_udm.about.group.product_object_id". In caso contrario, il valore viene mappato a "read_only_udm.about.resource.product_object_id". |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.displayname {index}". |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.newValue {index}". |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | Il valore viene mappato a "read_only_udm.additional.fields" con la chiave impostata su "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Mappatura diretta dal campo del log non elaborato "targetResources.type". Se il valore è "ServicePrincipal", "read_only_udm.about.resource.resource_type" è impostato su "SERVICE_ACCOUNT". Se il valore è "Device", "read_only_udm.about.resource.resource_type" è impostato su "DEVICE". In caso contrario, "read_only_udm.about.resource.resource_type" è impostato su "UNSPECIFIED". Se il valore è "User" o "ServicePrincipal", il valore di "targetResources.userPrincipalName" viene mappato a "read_only_udm.about.user.userid", il valore di "targetResources.id" viene mappato a "read_only_udm.about.user.product_object_id" e il valore di "targetResources.displayName" viene mappato a "read_only_udm.about.user.user_display_name". Se il valore è "Group", il valore di "targetResources.id" viene mappato a "read_only_udm.about.group.product_object_id" e il valore di "targetResources.displayName" viene mappato a "read_only_udm.about.group.group_display_name". |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Se il valore contiene "@", viene analizzato come indirizzo email e mappato a "read_only_udm.about.user.email_addresses". In caso contrario, viene mappato a "read_only_udm.about.user.userid". |
| tenantId | read_only_udm.additional.fields | Mappatura diretta dal campo del log non elaborato "tenantId". La chiave per "read_only_udm.additional.fields" è impostata su "tenantId". |
| tempo | read_only_udm.metadata.event_timestamp | Mappatura diretta dal campo del log non elaborato "time". |
| userId | read_only_udm.target.user.product_object_id | Mappatura diretta dal campo del log non elaborato "userId". Il valore viene impostato in base ai valori di altri campi, tra cui "activityDisplayName", "principal_userid_present", "target_userid_present", "principal_ip_present", "loggedByService" e "category". La logica per impostare il valore è complessa e dipende dalla combinazione specifica di valori in questi campi. Il valore è impostato su "SSO" se il valore di "operationName" è "Sign-in activity". Il valore è impostato su "Microsoft". Il valore è impostato su "Azure AD Directory Audit". Il valore è impostato su "AZURE_AD_AUDIT". |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.