Microsoft Azure AD 監査ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フィードを設定して Microsoft Azure Active Directory(AD)のログを収集する方法について説明します。
Azure Active Directory(AZURE_AD)は、Microsoft Entra ID に名称が変更されました。Azure AD 監査ログ(AZURE_AD_AUDIT)は、Microsoft Entra ID 監査ログになりました。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。
始める前に
このページのタスクを完了するには、次のものが必要です。
- ログインできる Azure サブスクリプション。
- グローバル管理者または Azure AD 管理者のロール。
- Azure の Azure AD(テナント)。
Azure AD を構成する
- Azure ポータルにログインします。
- [Home] > [App registration] に移動し、登録済みのアプリケーションを選択するか、まだアプリケーションを作成していない場合はアプリケーションを登録します。
- アプリケーションを登録するには、[App registration] セクションで [New registration] をクリックします。
- [Name] フィールドに、アプリケーションの表示名を入力します。
- [Supported account types] セクションで、必要なオプションを選択して、アプリケーションを使用できるユーザーまたは API にアクセスできるユーザーを指定します。
- [Register] をクリックします。
- [Overview] ページに移動し、Google Security Operations フィードの構成に必要なアプリケーション(クライアント)ID とディレクトリ(テナント)ID をコピーします。
- [API 権限] をクリックします。
- [Add a permission] をクリックし、新しいペインで [Microsoft Graph] を選択します。
- [Application permissions] をクリックします。
- [AuditLog.Read.All]、[Directory.Read.All]、[SecurityEvents.Read.All] 権限を選択します。権限が [委任された権限] ではなく、[アプリケーション権限] であることを確認します。
- [Grant admin consent for default directory] をクリックします。同意プロセスの一環としてユーザーまたは管理者から権限が付与された場合、アプリケーションは API を呼び出す権限を付与されます。
- [Settings] > [Manage] に移動します。
- [Certificates and secrets] をクリックします。
- [New client secret] をクリックします。[Value] フィールドにクライアント シークレットが表示されます。
- クライアント シークレットの値をコピーします。この値は作成時にのみ表示され、Azure アプリの登録と Google Security Operations フィードの構成に必要です。
Azure AD Audit ログを取り込むように Google Security Operations でフィードを構成する
- [SIEM Settings] > [Feeds] を選択します。
- [新しく追加] をクリックします。
- [Feed name] に一意の名前を入力します。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Azure AD Directory Audit] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- OAUTH クライアント ID: 前の手順で取得したクライアント ID を指定します。
- OAUTH クライアント シークレット: 前の手順で取得したクライアント シークレットを指定します。
- テナント ID: 前の手順で取得したテナント ID を指定します。
- [次へ] をクリックしてから、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。 フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、Azure AD ディレクトリ監査ログを JSON 形式で処理します。関連するフィールドを抽出し、統合データモデル(UDM)に変換して、ユーザーの詳細、IP アドレス、セキュリティの結果などの追加コンテキストでデータを拡充します。また、パーサーはイベントの特性に基づいてイベントを分類し、特定の UDM イベントタイプにマッピングして分析を容易にします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | 未加工ログのフィールド「activityDateTime」から直接マッピングされます。 |
| activityDisplayName | read_only_udm.metadata.product_event_type | 未加工ログのフィールド「activityDisplayName」から直接マッピングされます。 |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「ApplicationId」です。 |
| additionalDetails.Client | read_only_udm.network.http.user_agent | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「Client」です。 |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「ClientIpAddress」です。 |
| additionalDetails.DomainName | read_only_udm.target.hostname、read_only_udm.target.asset.hostname | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「DomainName」です。 |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「EmailAddress」です。 |
| additionalDetails.GrantType | read_only_udm.additional.fields | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「GrantType」です。 |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「LocalAccountUsername」です。 |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「PhoneNumber」です。 |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「PolicyId」です。 |
| additionalDetails.Scopes | read_only_udm.additional.fields | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「Scopes」です。 |
| additionalDetails.TenantId | read_only_udm.additional.fields | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「TenantId」です。 |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「VerificationMethod」です。 |
| appId | read_only_udm.target.process.pid | 未加工ログのフィールド「appId」から直接マッピングされます。 |
| appliedConditionalAccessPolicies | read_only_udm.about | 「displayName」フィールドは「read_only_udm.about.user.user_display_name」にマッピングされ、「id」フィールドは「read_only_udm.about.user.userid」にマッピングされます。「result」フィールドは「read_only_udm.about.labels」にマッピングされ、キーは「Result」に設定されます。 |
| category | read_only_udm.additional.fields、read_only_udm.security_result.category_details | 未加工ログのフィールド「category」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「log_category」に設定されています。 |
| callerIpAddress | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 未加工ログのフィールド「callerIpAddress」から直接マッピングされます。 |
| clientAppUsed | read_only_udm.principal.application | 未加工ログのフィールド「clientAppUsed」から直接マッピングされます。 |
| correlationId | read_only_udm.network.session_id | 未加工ログのフィールド「correlationId」から直接マッピングされます。 |
| id | read_only_udm.metadata.product_log_id | 未加工ログのフィールド「id」から直接マッピングされます。 |
| ID | read_only_udm.target.user.userid | 未加工ログのフィールド「identity」から直接マッピングされます。 |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | 未加工ログのフィールド「initiatedBy.app.appId」から直接マッピングされます。「read_only_udm.principal.resource.attribute.labels」のキーは「App Id」に設定されています。 |
| initiatedBy.app.displayName | read_only_udm.principal.application | 未加工ログのフィールド「initiatedBy.app.displayName」から直接マッピングされます。 |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | 未加工ログのフィールド「initiatedBy.app.servicePrincipalId」から直接マッピングされます。 |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | 未加工ログのフィールド「initiatedBy.app.servicePrincipalName」から直接マッピングされます。 |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name、read_only_udm.principal.user.email_addresses | 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.user_display_name」にマッピングされます。 |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | 未加工ログのフィールド「initiatedBy.user.id」から直接マッピングされます。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 未加工ログのフィールド「initiatedBy.user.ipAddress」から直接マッピングされます。 |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels | 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.userid」にマッピングされます。メールアドレスのドメイン部分は「read_only_udm.principal.administrative_domain」にマッピングされます。完全な値は「read_only_udm.principal.resource.attribute.labels」にもマッピングされ、キーは「User Principal Name」に設定されます。 |
| ipAddress | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 未加工ログのフィールド「ipAddress」から直接マッピングされます。 |
| レベル | read_only_udm.security_result.severity、read_only_udm.security_result.severity_details | 値は文字列に変換され、「read_only_udm.security_result.severity_details」にマッピングされます。read_only_udm.security_result.severity フィールドが「INFORMATIONAL」に設定されています。 |
| location.city | read_only_udm.principal.location.city | 未加工ログのフィールド「location.city」から直接マッピングされます。 |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | 未加工ログのフィールド「location.countryOrRegion」から直接マッピングされます。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 未加工ログのフィールド「location.geoCoordinates.latitude」から直接マッピングされます。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 未加工ログのフィールド「location.geoCoordinates.longitude」から直接マッピングされます。 |
| location.state | read_only_udm.principal.location.state | 未加工ログのフィールド「location.state」から直接マッピングされます。 |
| loggedByService | read_only_udm.additional.fields | 未加工ログのフィールド「loggedByService」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「loggedByService」に設定されています。 |
| operationName | read_only_udm.metadata.product_event_type | 未加工ログのフィールド「operationName」から直接マッピングされます。 |
| operationType | read_only_udm.security_result.action_details | 未加工ログのフィールド「operationType」から直接マッピングされます。 |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | 未加工ログのフィールド「properties.activityDateTime」から直接マッピングされます。 |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | 未加工ログのフィールド「properties.activityDisplayName」から直接マッピングされます。 |
| properties.appDisplayName | read_only_udm.target.application | 未加工ログのフィールド「properties.appDisplayName」から直接マッピングされます。 |
| properties.category | read_only_udm.security_result.category_details | 未加工ログのフィールド「properties.category」から直接マッピングされます。 |
| properties.id | read_only_udm.metadata.product_log_id | 未加工ログのフィールド「properties.id」から直接マッピングされます。 |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | 未加工ログのフィールド「properties.initiatedBy.app.appId」から直接マッピングされます。「read_only_udm.principal.resource.attribute.labels」のキーは「App Id」に設定されています。 |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | 未加工ログのフィールド「properties.initiatedBy.app.displayName」から直接マッピングされます。 |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | 未加工ログのフィールド「properties.initiatedBy.app.servicePrincipalId」から直接マッピングされます。 |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | 未加工ログのフィールド「properties.initiatedBy.app.servicePrincipalName」から直接マッピングされます。 |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name、read_only_udm.principal.user.email_addresses | 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.user_display_name」にマッピングされます。 |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | 未加工ログのフィールド「properties.initiatedBy.user.id」から直接マッピングされます。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 未加工ログのフィールド「properties.initiatedBy.user.ipAddress」から直接マッピングされます。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels | 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.userid」にマッピングされます。メールアドレスのドメイン部分は「read_only_udm.principal.administrative_domain」にマッピングされます。完全な値は「read_only_udm.principal.resource.attribute.labels」にもマッピングされ、キーは「User Principal Name」に設定されます。 |
| properties.loggedByService | read_only_udm.additional.fields | 未加工ログのフィールド「properties.loggedByService」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「loggedByService」に設定されています。 |
| properties.operationType | read_only_udm.security_result.action_details | 未加工ログのフィールド「properties.operationType」から直接マッピングされます。 |
| properties.result | read_only_udm.security_result.summary | 未加工ログのフィールド「properties.result」から直接マッピングされます。 |
| properties.resultReason | read_only_udm.security_result.description | 未加工ログのフィールド「properties.resultReason」から直接マッピングされます。 |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | 未加工ログのフィールド「properties.userPrincipalName」から直接マッピングされます。 |
| 結果 | read_only_udm.security_result.summary、read_only_udm.security_result.action | 未加工ログのフィールド「result」から直接マッピングされます。値が「success」の場合、「read_only_udm.security_result.action」は「ALLOW」に設定されます。値が「failure」の場合、「read_only_udm.security_result.action」は「BLOCK」に設定されます。 |
| resultDescription | read_only_udm.metadata.description、read_only_udm.security_result.description | 未加工ログのフィールド「resultDescription」から直接マッピングされます。 |
| resultReason | read_only_udm.security_result.description | 未加工ログのフィールド「resultReason」から直接マッピングされます。 |
| resultType | read_only_udm.security_result.rule_id、read_only_udm.security_result.summary、read_only_udm.security_result.action | 未加工ログのフィールド「resultType」から直接マッピングされます。値が「0」の場合、「read_only_udm.security_result.action」は「ALLOW」に設定され、「read_only_udm.security_result.summary」は「Successful login occurred」に設定されます。それ以外の場合は、「read_only_udm.security_result.action」が「BLOCK」に設定され、「read_only_udm.security_result.summary」が「Failed login occurred」に設定され、「read_only_udm.security_result.description」が「resultDescription」の値に設定され、「read_only_udm.security_result.severity」が「ERROR」に設定されます。 |
| resourceDisplayName | read_only_udm.target.resource.name | 未加工ログのフィールド「resourceDisplayName」から直接マッピングされます。 |
| resourceId | read_only_udm.additional.fields | 未加工ログのフィールド「resourceId」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「resourceId」に設定されています。 |
| riskDetail | read_only_udm.additional.fields | 未加工ログのフィールド「riskDetail」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskDetail」に設定されています。 |
| riskEventTypes | read_only_udm.additional.fields | 未加工ログのフィールド「riskEventTypes」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskEventTypes」に設定されています。 |
| riskEventTypes_v2 | read_only_udm.additional.fields | 未加工ログのフィールド「riskEventTypes_v2」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskEventTypes_v2」に設定されています。 |
| riskLevelAggregated | read_only_udm.additional.fields | 未加工ログのフィールド「riskLevelAggregated」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskLevelAggregated」に設定されています。 |
| riskLevelDuringSignIn | read_only_udm.additional.fields、read_only_udm.security_result.priority | 未加工ログのフィールド「riskLevelDuringSignIn」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskLevelDuringSignIn」に設定されています。値が「medium」の場合、「read_only_udm.security_result.priority」は「MEDIUM_PRIORITY」に設定されます。 |
| riskState | read_only_udm.additional.fields | 未加工ログのフィールド「riskState」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskState」に設定されています。 |
| targetResources.0.displayName | read_only_udm.target.resource.name、read_only_udm.target.user.user_display_name、read_only_udm.target.group.group_display_name | 「targetResources.0.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.target.user.user_display_name」にマッピングされます。targetResources.0.type の値が「Group」の場合、値は read_only_udm.target.group.group_display_name にマッピングされます。それ以外の場合、値は「read_only_udm.target.resource.name」にマッピングされます。 |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | 未加工ログのフィールド「targetResources.0.groupType」から直接マッピングされます。「read_only_udm.target.group.attribute.labels」のキーは「groupType」に設定されています。 |
| targetResources.0.id | read_only_udm.target.resource.product_object_id、read_only_udm.target.user.product_object_id、read_only_udm.target.group.product_object_id | 「targetResources.0.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.target.user.product_object_id」にマッピングされます。「targetResources.0.type」の値が「Group」の場合、値は「read_only_udm.target.group.product_object_id」にマッピングされます。それ以外の場合、値は「read_only_udm.target.resource.product_object_id」にマッピングされます。 |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | 値は「read_only_udm.additional.fields」にマッピングされ、キーは「targetResources.modifiedProperties.displayname {index}」に設定されます。値が「TargetId.DeviceId」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.asset.asset_id」にマッピングされ、「Device ID:」という接頭辞が付いています。値が「DisplayName」または「jobTitle」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.title」にマッピングされます。値が「WellKnownObjectName」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.resource.attribute.roles」にマッピングされ、キーは「name」に設定されます。値が「displayName」で、「targetResources.0.displayName」が null の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.user_display_name」にマッピングされます。値が「givenName」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.first_name」にマッピングされます。値が「surname」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.last_name」にマッピングされます。値が「department」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.department」にマッピングされます。値が「physicalDeliveryOfficeName」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.office_address.name」にマッピングされます。値が「employeeId」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.employee_id」にマッピングされます。値が「mobile」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.phone_numbers」にマッピングされます。値が「MailNickname」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.userid」にマッピングされます。それ以外の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。「targetResources.0.modifiedProperties.oldValue」の値は「read_only_udm.src.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。 |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | 「targetResources.0.modifiedProperties.displayName」の値が「TargetId.DeviceId」の場合、値は「Device ID:」という接頭辞付きで「read_only_udm.target.asset.asset_id」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「DisplayName」または「jobTitle」の場合、その値は「read_only_udm.target.user.title」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「WellKnownObjectName」の場合、値は「read_only_udm.target.resource.attribute.roles」にマッピングされ、キーは「name」に設定されます。「targetResources.0.modifiedProperties.displayName」の値が「displayName」で、「targetResources.0.displayName」が null の場合、値は「read_only_udm.target.user.user_display_name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「givenName」の場合、その値は「read_only_udm.target.user.first_name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「surname」の場合、その値は「read_only_udm.target.user.last_name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「department」の場合、値は「read_only_udm.target.user.department」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「physicalDeliveryOfficeName」の場合、値は「read_only_udm.target.user.office_address.name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「employeeId」の場合、値は「read_only_udm.target.user.employee_id」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「mobile」の場合、その値は「read_only_udm.target.user.phone_numbers」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「MailNickname」の場合、その値は「read_only_udm.target.user.userid」にマッピングされます。それ以外の場合、値は「read_only_udm.target.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。この値は「read_only_udm.additional.fields」にもマッピングされ、キーは「targetResources.modifiedProperties.newValue {index}」に設定されます。 |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels、read_only_udm.additional.fields | この値は「read_only_udm.src.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。この値は「read_only_udm.additional.fields」にもマッピングされ、キーは「targetResources.modifiedProperties.oldValue {index}」に設定されます。 |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | 未加工ログのフィールド「targetResources.0.type」から直接マッピングされます。値が「ServicePrincipal」の場合、「read_only_udm.target.resource.resource_type」は「SERVICE_ACCOUNT」に設定されます。値が「Device」の場合、「read_only_udm.target.resource.resource_type」は「DEVICE」に設定されます。それ以外の場合、「read_only_udm.target.resource.resource_type」は「UNSPECIFIED」に設定されます。値が「User」または「ServicePrincipal」の場合、「targetResources.0.userPrincipalName」の値は「read_only_udm.target.user.userid」にマッピングされ、「targetResources.0.id」の値は「read_only_udm.target.user.product_object_id」にマッピングされ、「targetResources.0.displayName」の値は「read_only_udm.target.user.user_display_name」にマッピングされます。値が「Group」の場合、「targetResources.0.id」の値は「read_only_udm.target.group.product_object_id」にマッピングされ、「targetResources.0.displayName」の値は「read_only_udm.target.group.group_display_name」にマッピングされます。 |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid、read_only_udm.target.user.email_addresses | 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.target.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.target.user.userid」にマッピングされます。 |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | 「targetResources.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.about.user.user_display_name」と「read_only_udm.about.user.userid」にマッピングされます。targetResources.type の値が「Group」の場合、値は read_only_udm.about.group.group_display_name にマッピングされます。「targetResources.groupType」の値は、「read_only_udm.about.group.attribute.labels」にマッピングされ、キーは「groupType」に設定されます。それ以外の場合、値は「read_only_udm.about.resource.name」にマッピングされます。 |
| targetResources.groupType | read_only_udm.about.group.attribute.labels、read_only_udm.target.user.group_identifiers | 未加工ログのフィールド「targetResources.groupType」から直接マッピングされます。「read_only_udm.about.group.attribute.labels」のキーは「groupType」に設定されています。 |
| targetResources.id | read_only_udm.about.resource.product_object_id、read_only_udm.about.user.product_object_id、read_only_udm.about.group.product_object_id | 「targetResources.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.about.user.product_object_id」にマッピングされます。「targetResources.type」の値が「Group」の場合、値は「read_only_udm.about.group.product_object_id」にマッピングされます。それ以外の場合、値は「read_only_udm.about.resource.product_object_id」にマッピングされます。 |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | 値は「read_only_udm.additional.fields」にマッピングされ、キーは「targetResources.modifiedProperties.displayname {index}」に設定されます。 |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | 値は「read_only_udm.additional.fields」にマッピングされ、キーは「targetResources.modifiedProperties.newValue {index}」に設定されます。 |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | 値は「read_only_udm.additional.fields」にマッピングされ、キーは「targetResources.modifiedProperties.oldValue {index}」に設定されます。 |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | 未加工ログのフィールド「targetResources.type」から直接マッピングされます。値が「ServicePrincipal」の場合、「read_only_udm.about.resource.resource_type」は「SERVICE_ACCOUNT」に設定されます。値が「Device」の場合、「read_only_udm.about.resource.resource_type」は「DEVICE」に設定されます。それ以外の場合、「read_only_udm.about.resource.resource_type」は「UNSPECIFIED」に設定されます。値が「User」または「ServicePrincipal」の場合、「targetResources.userPrincipalName」の値は「read_only_udm.about.user.userid」にマッピングされ、「targetResources.id」の値は「read_only_udm.about.user.product_object_id」にマッピングされ、「targetResources.displayName」の値は「read_only_udm.about.user.user_display_name」にマッピングされます。値が「Group」の場合、「targetResources.id」の値は「read_only_udm.about.group.product_object_id」にマッピングされ、「targetResources.displayName」の値は「read_only_udm.about.group.group_display_name」にマッピングされます。 |
| targetResources.userPrincipalName | read_only_udm.about.user.userid、read_only_udm.about.user.email_addresses | 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.about.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.about.user.userid」にマッピングされます。 |
| tenantId | read_only_udm.additional.fields | 未加工ログのフィールド「tenantId」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「tenantId」に設定されています。 |
| 時間 | read_only_udm.metadata.event_timestamp | 未加工ログのフィールド「time」から直接マッピングされます。 |
| userId | read_only_udm.target.user.product_object_id | 未加工ログのフィールド「userId」から直接マッピングされます。値は、他のフィールドの値(activityDisplayName、principal_userid_present、target_userid_present、principal_ip_present、loggedByService、category など)に基づいて設定されます。値を設定するロジックは複雑で、これらのフィールドの値の特定の組み合わせによって異なります。「operationName」の値が「Sign-in activity」の場合、値は「SSO」に設定されます。値は「Microsoft」に設定されます。値は「Azure AD Directory Audit」に設定されます。値は「AZURE_AD_AUDIT」に設定されます。 |
変更点
2024-07-30
- 「principal.user.userid」または「target.user.userid」が存在する場合は、「metadata.event_type」のみを「USER_CHANGE_PERMISSIONS」にマッピングしました。
2024-06-26
- 「targetResources.modifiedProperties.newValue」と「targetResources.modifiedProperties.oldValue」の差分を「additional.fields」にマッピングしました。
2024-06-10
- 「initiatedBy.user.ipAddress」に IP がある場合は、「principal_ip_present」を「true」に設定します。
- 「principal_ip_present」が「true」の場合にのみ、「metadata.event_type」を「USER_DELETION」に設定する条件を追加しました。
2024-06-03
- 未解析ログを解析するための JSON ブロックを追加しました。
- 「event_type」が「USER_DELETION」の場合の条件付きチェックを追加しました。
2024-05-20
バグの修正:
- 「targetResource」のマッピングを変更しました。
- 「targetResource」の最初の反復処理を「target」に、次の反復処理を「about」にマッピングしました。
- 「loggedByService」フィールドのキー名を「log_Service」から「loggedByService」に変更しました。
- 「resourceId」のマッピングを「target.resource.id」から「additional_fields」に変更しました。
- 「targetResources.type」が「Application」、「Policy」、「Role」、「Directory」、「RoleAssignment」、「Request」、「Provider」、「Other」の場合、「targetResources.displayName」を「noun.resource.name」、「targetResources.id」を「noun.resource.product_object_id」、「noun.resource.resource_type」を「UNSPECIFIED」、「targetResource.type」を「noun.resource.resource_subtype」にマッピングしました。
- 「targetResources.type」が「User」の場合、「targetResources.displayName」を「noun.resource.name」に、「targetResources.id」を「noun.resource.product_object_id」に、「noun.resource.resource_type」を「UNSPECIFIED」に、「targetResource.type」を「noun.resource.resource_subtype」に、「targetResources.displayName」を「noun.user.user_display_name」に、「targetResources.id」を「noun.user.product_object_id」に、「targetResources.userPrincipalName」を「noun.user.userid」にマッピングしました。
- 「targetResources.type」が「ServicePrincipal」の場合、「targetResources.displayName」を「noun.resource.name」、「targetResources.id」を「noun.resource.product_object_id」、「noun.resource.resource_type」を「SERVICE_ACCOUNT」、「targetResource.type」を「noun.resource.resource_subtype」、「targetResources.displayName」を「noun.user.user_display_name」、「targetResources.id」を「noun.user.product_object_id」、「targetResources.userPrincipalName」を「noun.user.userid」にマッピングしました。
- 「targetResources.type」が「Group」の場合、「targetResources.displayName」を「noun.resource.name」、「targetResources.id」を「noun.resource.product_object_id」、「noun.resource.resource_type」を「UNSPECIFIED」、「targetResource.type」を「noun.resource.resource_subtype」、「targetResources.displayName」を「noun.group.group_display_name」、「targetResources.id」を「noun.group.product_object_id」、「groupType」を「noun.group.attribute.labels」にマッピングしました。
2024-05-17
- 「initiatedBy.user.id」を「principal.user.product_object_id」にマッピングしました。
- 「initiatedBy.user.userPrincipalName」を「principal.user.userid」にマッピングしました。
2024-03-18
- 値が null の場合でも、「targetResources.modifiedProperties.displayname」、「targetResources.modifiedProperties.newValue」、「targetResources.modifiedProperties.oldValue」フィールドが表示される。
- 「callerIpAddress」を「principal.ip」にマッピングしました。
2024-03-12
バグの修正:
- Azure Monitor エンベロープ形式のログマッピングと Microsoft Graph API 形式のログのマッピングが同期されています。
- 「targetResources.type」に基づいて「target.resource.resource_type」をマッピングしました。
- 「targetResources.type」を「target.resource.type」にマッピングしました。
2024-03-04
- 「user_principal_name」を「initiatedBy.user.userPrincipalName」から「principal.resource.attribute.labels」にマッピングしました。
- 「domain」を「initiatedBy.user.userPrincipalName」から「principal.administrative_domain」にマッピングしました。
- 「loggedByService」と「properties.loggedByService」を「additional.fields」にマッピングしました。
- 「initiatedBy.user.id」のマッピングを「principal.user.product_object_id」から「principal.user.userid」に変更しました。
- 「tgt_user_principal_name」を「target.userPrincipalName」から「target.resource.attribute.labels」にマッピングしました。
- 「domain」を「target.userPrincipalName」から「target.administrative_domain」にマッピングしました。
- 「category」を「additional.fields」にマッピングしました。
- 「additionalDetails[n].key」が「AppId」の場合、「additionalDetails[n].value」を「target.process.pid」にマッピングしました。
- 「additionalDetails[n].key」が「User-Agent」の場合、「additionalDetails[n].value」を「network.http.user_agent」と「network.http.parsed_user_agent」にマッピングしました。
- 「loggedByService」、「category」、「activityDisplayName」に基づいて「metadata.event_type」をマッピングしました。
- 「targetResources.modifiedProperties.displayname」、「targetResources.modifiedProperties.newValue」、「targetResources.modifiedProperties.oldValue」を「additional.fields」にマッピングしました。
2024-02-21
- 「metadata.event_type」を「USER_CREATION」に設定する前に、「principal.user.userid」が存在するかどうかの条件付きチェックを追加しました。
- 「initiatedBy.user.id」のマッピングを「principal.user.userid」から「principal.user.product_object_id」に変更しました。
- 「initiatedBy.app.servicePrincipalId」のマッピングを「principal.user.userid」から「principal.user.product_object_id」に変更しました。
- 「initiatedBy.app.servicePrincipalName」のマッピングを「principal.user.user_display_name」から「principal.user.userid」に変更しました。
- 「properties.initiatedBy.user.id」のマッピングを「principal.user.userid」から「principal.user.product_object_id」に変更しました。
- 「properties.initiatedBy.app.servicePrincipalId」のマッピングを「principal.user.userid」から「principal.user.product_object_id」に変更しました。
- 「properties.initiatedBy.app.servicePrincipalName」のマッピングを「principal.user.user_display_name」から「principal.user.userid」に変更しました。
- 「targetResourceType」の値が「User」または「ServicePrincipal」に類似している場合、「target.id」のマッピングを「target.user.userid」から「target.user.product_object_id」に変更しました。
- 「targetResourceType」の値が「User」または「ServicePrincipal」に類似している場合、「target.userPrincipalName」を「target.user.userid」にマッピングしました。
- 「targetResourceType」の値が「User」または「ServicePrincipal」に類似している場合、「target.displayName」を「target.user.user_display_name」にマッピングしました。
2024-02-12
- 「modifiedProperty.displayName」、「modifiedProperty.newValue」、「modifiedProperty.oldValue」の条件付きチェックを追加しました。
- 「targetResource.id」が「User」または「ServicePrincipal」の場合、「target.user.userid」にマッピングしました。
2024-01-08
バグの修正:
- メール値を「principal.user.email_addresses」と「target.user.email_addresses」にマッピングする前に検証する Grok パターンを追加しました。
2023-12-19
- 「targetResource.modifiedProperties.newValue」、「targetResource.modifiedProperties.oldValue」、「targetResource.modifiedProperties.displayName」を「additional.fields」にマッピングしました。
2023-11-23
- 「targetResources.0.modifiedProperties.newValue/oldValue」フィールドを「event.idm.read_only_udm.additional.fields」にマッピングしました。
- UDM にマッピングする前に、「initiatedBy.user.ipAddress」に IP アドレスの形式チェックを追加しました。
2023-10-16
- 次のマッピングを変更しました。
- 「target.type が user でない」場合の「metadata.event_type」を「USER_UNCATEGORIZED」から「USER_RESOURCE_ACCESS」に変更しました。
- 「target.id」のマッピングを「principal.user.userid」から「principal.user.group_or_identifiers」に変更しました(「target.type」が「user」でない場合)。
- 「target.resource.id」が非推奨になったため、「target.resource.id」にマッピングされているフィールドを「target.resource.product_object_id」にもマッピングしました。
2023-08-03
- 次のマッピングを変更しました。
- 「activityDisplayName」が「Add user」の場合に、「metadata.event_type」を「USER_UNCATEGORIZED」から「USER_CREATION」に変更しました。
- 「activityDisplayName」のマッピングを「metadata.description」から「metadata.product_event_type」に変更しました。
- 「activityDisplayName」が「Add member to group」、「Add owner to group」の場合に適切な「metadata.event_type」をマッピングしました。
- [targetResources] の下のすべてのフィールドは、UDM target.user. フィールドの一部である必要があります。
- 「target.user.userid」が「targetResource」の正しい「id」にマッピングされています。
- リソースタイプが「ユーザー」の場合、「activityDisplayName」が「Add member to role outside of PIM (permanent)」の場合に「target.user.xxx」にマッピングしました。
- 「activityDisplayName」が「Add Member to Role」の場合に、「Role.WellKnownObjectName」を「target.resource.attribute.roles.name」にマッピングしました。
2023-07-24
- 「targetresources.modifiedproperties.displayname」の値に「role.displayname」が含まれている場合に、「targetresources.modifiedproperties.newvalue」を「target.user.title」にマッピングしました。
2023-05-25
- バグの修正: 「targetResources.modifiedProperties.displayName」が「mailNickname」の場合に、マッピングを「target.resource.attribute.labels.value」から「target.user.userid」に変更しました。
2023-05-05
- 次のマッピングを変更しました。
- 「targetResources.modifiedProperties.displayName」が「objectId」の場合に、マッピングを「target.resource.attribute.labels.value」から「target.user.product_object_id」に変更しました。
- 「targetResources.modifiedProperties.displayName」が「displayName」の場合に、マッピングを「target.resource.attribute.labels.value」から「target.user.user_display_name」に変更しました。
- 「targetResources.modifiedProperties.displayName」が「givenName」の場合に、マッピングを「target.resource.attribute.labels.value」から「target.user.first_name」に変更しました。
- 「targetResources.modifiedProperties.displayName」が「jobTitle」の場合、マッピングを「target.resource.attribute.labels.value」から「target.user.title」に変更しました。
- 「targetResources.modifiedProperties.displayName」が「mail」の場合に、マッピングを「target.resource.attribute.labels.value」から「target.user.email_addresses」に変更しました。
- 「targetResources.modifiedProperties.displayName」が「surname」の場合、マッピングを「target.resource.attribute.labels.value」から「target.user.last_name」に変更しました。
- 「targetResources.modifiedProperties.displayName」が「department」の場合、マッピングを「target.resource.attribute.labels.value」から「target.user.department」に変更しました。
- 「targetResources.modifiedProperties.displayName」が「physicalDeliveryOfficeName」の場合に、マッピングを「target.resource.attribute.labels.value」から「target.user.office_address.name」に変更しました。
- 「targetResources.modifiedProperties.displayName」が「employeeId」の場合、マッピングを「target.resource.attribute.labels.value」から「target.user.employee_id」に変更しました。
- 「targetResources.modifiedProperties.displayName」が「mobile」の場合に、マッピングを「target.resource.attribute.labels.value」から「target.user.phone_numbers」に変更しました。
2023-04-18
- 「initiatedBy.user.userPrincipalName」を「principal.user.user_display_name」、「principal.user.userid」、「principal.user.email_addresses」にマッピングしました。
- 「targetResources.type」を「target.resource.attribute.labels」にマッピングしました。
2023-04-12
機能強化 -
- 「initiatedBy.user.userPrincipalName」を「principal.user.email_addresses」にマッピングし、「event_type」を「USER_UNCATEGORIZED」にマッピングしました。
- 「initiatedBy.user.userPrincipalName」が null でない場合。
- 「targetResources.modifiedProperties.displayName」が「userPrincipalName」の場合は、「principal.user.email_addresses」にマッピングしました。
- 「activityDisplayName」が ["Issue an id_token to the application"、"Set Company Information"] の場合、「event_type」を「USER_UNCATEGORIZED」にマッピングしました。
2023-02-20
バグの修正:
- キー「additionalDetails.ClientIpAddress」に含まれる複数の IP アドレスを「principal.ip」にマッピングしました。
- 「activityDisplayName」が「Delete user」で、「initiatedBy.user.userPrincipalName」フィールドが存在しない場合、metadata.event_type を「USER_UNCATEGORIZED」にマッピングしました。
2023-02-02
- 機能拡張 - 「activityDisplayName」が「ユーザーを削除」の場合、次のようにマッピングしました。
- 「event_type」を「USER_DELETION」にマッピングしました。
- 「initiatedBy.user.userPrincipalName」を「principal.user.userid」にマッピングしました。
2022-11-24
機能強化 -
- 「modifiedProperties.newValue」を「target.resource.attribute.labels」にマッピングしました。
- 「modifiedProperties.oldValue」を「src.resource.attribute.labels」にマッピングしました。
2022-11-07
機能強化 -
- 「target.modifiedProperties.TargetId.DeviceId」を「event.idm.read_only_udm.target.asset.asset_id」にマッピングしました。
2022-09-16
機能強化 -
- 「properties.initiatedBy.user.ipAddress」を「principal.ip」にマッピングしました。
- 「properties.initiatedBy.user.userPrincipalName」を「principal.user.userid」にマッピングしました。
- 「properties.resultReason」を「security_result.description」にマッピングしました。
- 「identity」を「target.user.userid」にマッピングしました。
- 「operationName」を「metadata.product_event_type」にマッピングしました。
- 「properties.activityDisplayName」が「Get resource properties of a tenant」の場合に「metadata.event_type」を「USER_UNCATEGORIZED」にマッピングしました。
- 「category」と「properties.category」を「security_result.category_details」にマッピングしました。
- 「resultDescription」を「metadata.description」にマッピングしました。
- 「resultType」を「security_result.rule_id」にマッピングしました。
2022-06-20
- 機能強化 - 次のマッピングを追加して、カテゴリが「AuditLogs」と「SignInLogs」のログを解析するようにパーサーを強化しました。
- フィールド「properties.id」を「metadata.product_log_id」にマッピングしました。
- フィールド「properties.loggedByService」を「target.application」にマッピングしました。
- フィールド「Level」を「security_result.severity」と「security_result.severity_details」にマッピングしました。
- フィールド「properties.result」を「security_result.summary」と「security_result.action」にマッピングしました。
- フィールド「properties.operationType」を「security_result.action_details」にマッピングしました。
- フィールド「properties.activityDisplayName」を「metadata.description」にマッピングしました。
- フィールド「properties.category」を「metadata.product_event_type」にマッピングしました。
- フィールド「properties.resultReason」を「security_result.description」にマッピングしました。
- フィールド「properties.initiatedBy.app.displayName」を「principal.application」にマッピングしました。
- フィールド「properties.ipAddress」を「principal.ip」にマッピングしました。
- フィールド「properties.initiatedBy.app.servicePrincipalId」を「principal.user.userid」にマッピングしました。
- フィールド「properties.initiatedBy.app.servicePrincipalName」を「principal.user.user_display_name」にマッピングしました。
- フィールド「properties.appId」と「properties.initiatedBy.app.appId」を「principal.resource.attribute.labels」にマッピングしました。
- フィールド「properties.location.city」を「principal.location.city」にマッピングしました。
- フィールド「properties.location.state」を「principal.location.state」にマッピングしました。
- フィールド「properties.location.countryOrRegion」を「principal.location.country_or_region」にマッピングしました。
- フィールド「properties.location.geoCoordinates.latitude」を「principal.location.region_latitude」にマッピングしました。
- フィールド「properties.location.geoCoordinates.longitude」を「principal.location.region_longitude」にマッピングしました。
- フィールド「properties.targetResources.modifiedProperties」を「target.user.attribute.labels」にマッピングしました。
- フィールド「targetResources.displayName」を「target.user.user_display_name」にマッピングしました。
- フィールド「targetResources.id」を「target.user.userid」にマッピングしました。
- フィールド「properties.additionalDetails」、「properties.riskDetail」、「properties.riskEventTypes」、「properties.riskEventTypes_v2」、「properties.riskLevelAggregated」、「properties.riskLevelDuringSignIn」、「properties.riskState」、「properties.conditionalAccessStatus」、「tenantId」を「additional.fields」にマッピングしました。
- フィールド「operationVersion」を「metadata.product_version」にマッピングしました。
- フィールド「properties.appliedConditionalAccessPolicies.displayName」を「about.user.user_display_name」にマッピングしました。
- フィールド「properties.appliedConditionalAccessPolicies..id」を「about.user.userid」にマッピングしました。
- フィールド「properties.appliedConditionalAccessPolicies.result」を「about.labels」にマッピングしました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。