Microsoft Entra ID 監査ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フィードを設定して Microsoft Entra ID(AD)のログを収集する方法について説明します。

Azure Active Directory(AZURE_AD)は Microsoft Entra ID に名称変更されました。Azure AD 監査ログ(AZURE_AD_AUDIT)は、Microsoft Entra ID 監査ログになりました。

詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。

始める前に

次の前提条件を満たしていることを確認します。

  • ログインできる Azure サブスクリプション
  • グローバル管理者または Azure AD 管理者のロール
  • Azure の Azure AD(テナント)

Azure AD の構成方法

  1. Azure ポータルにログインします。
  2. [Home] > [App registration] に移動し、登録済みのアプリケーションを選択するか、まだアプリケーションを作成していない場合はアプリケーションを登録します。
  3. アプリケーションを登録するには、[App registration] セクションで [New registration] をクリックします。
  4. [Name] フィールドに、アプリケーションの表示名を入力します。
  5. [Supported account types] セクションで、必要なオプションを選択して、アプリケーションを使用できるユーザーまたは API にアクセスできるユーザーを指定します。
  6. [Register] をクリックします。
  7. [Overview] ページに移動し、Google Security Operations フィードの構成に必要なアプリケーション(クライアント)ID とディレクトリ(テナント)ID をコピーします。
  8. [API 権限] をクリックします。
  9. [Add a permission] をクリックし、新しいペインで [Microsoft Graph] を選択します。
  10. [Application permissions] をクリックします。
  11. [AuditLog.Read.All]、[Directory.Read.All]、[SecurityEvents.Read.All] 権限を選択します。権限が [委任された権限] ではなく、[アプリケーション権限] であることを確認します。
  12. [Grant admin consent for default directory] をクリックします。同意プロセスの一環としてユーザーまたは管理者から権限が付与された場合、アプリケーションは API を呼び出す権限を付与されます。
  13. [Settings] > [Manage] に移動します。
  14. [Certificates and secrets] をクリックします。
  15. [New client secret] をクリックします。[Value] フィールドにクライアント シークレットが表示されます。
  16. クライアント シークレットの値をコピーします。この値は作成時にのみ表示され、Azure アプリの登録と Google Security Operations フィードの構成に必要です。

詳細については、Microsoft Entra ID アプリを設定する方法をご覧ください。

権限の Microsoft Entra の詳細については、権限の Microsoft Entra をご覧ください。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで、[単一フィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Azure AD Audit Logs)。
  5. [ソースタイプ] として [サードパーティ API] を選択します。
  6. [ログタイプ] として [Azure AD Directory Audit] を選択します。
  7. [次へ] をクリックします。
  8. 次の必須入力パラメータを構成します。
    • OAUTH クライアント ID: 前の手順で取得したクライアント ID を指定します。
    • OAUTH クライアント シークレット: 前の手順で取得したクライアント シークレットを指定します。
    • テナント ID: 前の手順で取得したテナント ID を指定します。
  9. [次へ] をクリックしてから、[送信] をクリックします。

Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。 フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • OAUTH クライアント ID: 前の手順で取得したクライアント ID を指定します。
  • OAUTH クライアント シークレット: 前の手順で取得したクライアント シークレットを指定します。
  • テナント ID: 前の手順で取得したテナント ID を指定します。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • Asset Namespace: フィードに関連付けられた名前空間
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

フィールド マッピング リファレンス

このパーサーは、JSON 形式の Azure AD ディレクトリ監査ログを処理します。関連するフィールドを抽出し、統合データモデル(UDM)に変換して、ユーザーの詳細、IP アドレス、セキュリティ結果などの追加コンテキストでデータを拡充します。パーサーは、イベントの特性に基づいてイベントを分類し、分析を容易にするために特定の UDM イベントタイプにマッピングします。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
activityDateTime read_only_udm.metadata.event_timestamp 未加工ログのフィールド「activityDateTime」から直接マッピングされます。
activityDisplayName read_only_udm.metadata.product_event_type 未加工ログのフィールド「activityDisplayName」から直接マッピングされます。
additionalDetails.ApplicationId read_only_udm.additional.fields 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「ApplicationId」です。
additionalDetails.Client read_only_udm.network.http.user_agent 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「Client」です。
additionalDetails.ClientIpAddress read_only_udm.principal.ip、read_only_udm.principal.asset.ip 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「ClientIpAddress」です。
additionalDetails.DomainName read_only_udm.target.hostname、read_only_udm.target.asset.hostname 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「DomainName」です。
additionalDetails.EmailAddress read_only_udm.target.user.email_addresses 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「EmailAddress」です。
additionalDetails.GrantType read_only_udm.additional.fields 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「GrantType」です。
additionalDetails.LocalAccountUsername read_only_udm.additional.fields 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「LocalAccountUsername」です。
additionalDetails.PhoneNumber read_only_udm.target.user.phone_numbers 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「PhoneNumber」です。
additionalDetails.PolicyId read_only_udm.security_result.rule_name 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「PolicyId」です。
additionalDetails.Scopes read_only_udm.additional.fields 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「Scopes」です。
additionalDetails.TenantId read_only_udm.additional.fields 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「TenantId」です。
additionalDetails.VerificationMethod read_only_udm.additional.fields 未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「VerificationMethod」です。
appId read_only_udm.target.process.pid 未加工ログのフィールド「appId」から直接マッピングされます。
appliedConditionalAccessPolicies read_only_udm.about 「displayName」フィールドは「read_only_udm.about.user.user_display_name」にマッピングされ、「id」フィールドは「read_only_udm.about.user.userid」にマッピングされます。「result」フィールドは「read_only_udm.about.labels」にマッピングされ、キーは「Result」に設定されます。
category read_only_udm.additional.fields、read_only_udm.security_result.category_details 未加工ログのフィールド「category」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「log_category」に設定されます。
callerIpAddress read_only_udm.principal.ip、read_only_udm.principal.asset.ip 未加工ログのフィールド「callerIpAddress」から直接マッピングされます。
clientAppUsed read_only_udm.principal.application 未加工ログのフィールド「clientAppUsed」から直接マッピングされます。
correlationId read_only_udm.network.session_id 未加工ログのフィールド「correlationId」から直接マッピングされます。
id read_only_udm.metadata.product_log_id 未加工ログのフィールド「id」から直接マッピングされます。
ID read_only_udm.target.user.userid 未加工ログのフィールド「identity」から直接マッピングされます。
initiatedBy.app.appId read_only_udm.principal.resource.attribute.labels 未加工ログのフィールド「initiatedBy.app.appId」から直接マッピングされます。「read_only_udm.principal.resource.attribute.labels」のキーは「App Id」に設定されます。
initiatedBy.app.displayName read_only_udm.principal.application 未加工ログのフィールド「initiatedBy.app.displayName」から直接マッピングされます。
initiatedBy.app.servicePrincipalId read_only_udm.principal.user.product_object_id 未加工ログのフィールド「initiatedBy.app.servicePrincipalId」から直接マッピングされます。
initiatedBy.app.servicePrincipalName read_only_udm.principal.user.userid 未加工ログのフィールド「initiatedBy.app.servicePrincipalName」から直接マッピングされます。
initiatedBy.user.displayName read_only_udm.principal.user.user_display_name、read_only_udm.principal.user.email_addresses 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.user_display_name」にマッピングされます。
initiatedBy.user.id read_only_udm.principal.user.product_object_id 未加工ログのフィールド「initiatedBy.user.id」から直接マッピングされます。
initiatedBy.user.ipAddress read_only_udm.principal.ip、read_only_udm.principal.asset.ip 未加工ログのフィールド「initiatedBy.user.ipAddress」から直接マッピングされます。
initiatedBy.user.userPrincipalName read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.userid」にマッピングされます。メールアドレスのドメイン部分が「read_only_udm.principal.administrative_domain」にマッピングされます。完全な値は、「User Principal Name」に設定されたキーとともに「read_only_udm.principal.resource.attribute.labels」にもマッピングされます。
ipAddress read_only_udm.principal.ip、read_only_udm.principal.asset.ip 未加工ログのフィールド「ipAddress」から直接マッピングされます。
レベル read_only_udm.security_result.severity、read_only_udm.security_result.severity_details 値は文字列に変換され、「read_only_udm.security_result.severity_details」にマッピングされます。「read_only_udm.security_result.severity」フィールドが「INFORMATIONAL」に設定されます。
location.city read_only_udm.principal.location.city 未加工ログのフィールド「location.city」から直接マッピングされます。
location.countryOrRegion read_only_udm.principal.location.country_or_region 未加工ログのフィールド「location.countryOrRegion」から直接マッピングされます。
location.geoCoordinates.latitude read_only_udm.principal.location.region_latitude 未加工ログのフィールド「location.geoCoordinates.latitude」から直接マッピングされます。
location.geoCoordinates.longitude read_only_udm.principal.location.region_longitude 未加工ログのフィールド「location.geoCoordinates.longitude」から直接マッピングされます。
location.state read_only_udm.principal.location.state 未加工ログのフィールド「location.state」から直接マッピングされます。
loggedByService read_only_udm.additional.fields 未加工ログのフィールド「loggedByService」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「loggedByService」に設定されます。
operationName read_only_udm.metadata.product_event_type 未加工ログのフィールド「operationName」から直接マッピングされます。
operationType read_only_udm.security_result.action_details 未加工ログのフィールド「operationType」から直接マッピングされます。
properties.activityDateTime read_only_udm.metadata.event_timestamp 未加工ログのフィールド「properties.activityDateTime」から直接マッピングされます。
properties.activityDisplayName read_only_udm.metadata.product_event_type 未加工ログのフィールド「properties.activityDisplayName」から直接マッピングされます。
properties.appDisplayName read_only_udm.target.application 未加工ログのフィールド「properties.appDisplayName」から直接マッピングされます。
properties.category read_only_udm.security_result.category_details 未加工ログのフィールド「properties.category」から直接マッピングされます。
properties.id read_only_udm.metadata.product_log_id 未加工ログのフィールド「properties.id」から直接マッピングされます。
properties.initiatedBy.app.appId read_only_udm.principal.resource.attribute.labels 未加工ログのフィールド「properties.initiatedBy.app.appId」から直接マッピングされます。「read_only_udm.principal.resource.attribute.labels」のキーは「App Id」に設定されます。
properties.initiatedBy.app.displayName read_only_udm.principal.application 未加工ログのフィールド「properties.initiatedBy.app.displayName」から直接マッピングされます。
properties.initiatedBy.app.servicePrincipalId read_only_udm.principal.user.product_object_id 未加工ログのフィールド「properties.initiatedBy.app.servicePrincipalId」から直接マッピングされます。
properties.initiatedBy.app.servicePrincipalName read_only_udm.principal.user.userid 未加工ログのフィールド「properties.initiatedBy.app.servicePrincipalName」から直接マッピングされます。
properties.initiatedBy.user.displayName read_only_udm.principal.user.user_display_name、read_only_udm.principal.user.email_addresses 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.user_display_name」にマッピングされます。
properties.initiatedBy.user.id read_only_udm.principal.user.product_object_id 未加工ログのフィールド「properties.initiatedBy.user.id」から直接マッピングされます。
properties.initiatedBy.user.ipAddress read_only_udm.principal.ip、read_only_udm.principal.asset.ip 未加工ログのフィールド「properties.initiatedBy.user.ipAddress」から直接マッピングされます。
properties.initiatedBy.user.userPrincipalName read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.userid」にマッピングされます。メールアドレスのドメイン部分が「read_only_udm.principal.administrative_domain」にマッピングされます。完全な値は、「User Principal Name」に設定されたキーとともに「read_only_udm.principal.resource.attribute.labels」にもマッピングされます。
properties.loggedByService read_only_udm.additional.fields 未加工ログのフィールド「properties.loggedByService」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「loggedByService」に設定されます。
properties.operationType read_only_udm.security_result.action_details 未加工ログのフィールド「properties.operationType」から直接マッピングされます。
properties.result read_only_udm.security_result.summary 未加工ログのフィールド「properties.result」から直接マッピングされます。
properties.resultReason read_only_udm.security_result.description 未加工ログのフィールド「properties.resultReason」から直接マッピングされます。
properties.userPrincipalName read_only_udm.target.user.user_display_name 未加工ログのフィールド「properties.userPrincipalName」から直接マッピングされます。
結果 read_only_udm.security_result.summary、read_only_udm.security_result.action 未加工ログのフィールド「result」から直接マッピングされます。値が「success」の場合、「read_only_udm.security_result.action」は「ALLOW」に設定されます。値が「failure」の場合、「read_only_udm.security_result.action」は「BLOCK」に設定されます。
resultDescription read_only_udm.metadata.description、read_only_udm.security_result.description 未加工ログのフィールド「resultDescription」から直接マッピングされます。
resultReason read_only_udm.security_result.description 未加工ログのフィールド「resultReason」から直接マッピングされます。
resultType read_only_udm.security_result.rule_id、read_only_udm.security_result.summary、read_only_udm.security_result.action 未加工ログのフィールド「resultType」から直接マッピングされます。値が「0」の場合、「read_only_udm.security_result.action」は「ALLOW」に設定され、「read_only_udm.security_result.summary」は「Successful login occurred」に設定されます。それ以外の場合、「read_only_udm.security_result.action」は「BLOCK」に設定され、「read_only_udm.security_result.summary」は「Failed login occurred」に設定され、「read_only_udm.security_result.description」は「resultDescription」の値に設定され、「read_only_udm.security_result.severity」は「ERROR」に設定されます。
resourceDisplayName read_only_udm.target.resource.name 未加工ログのフィールド「resourceDisplayName」から直接マッピングされます。
resourceId read_only_udm.additional.fields 未加工ログのフィールド「resourceId」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「resourceId」に設定されます。
riskDetail read_only_udm.additional.fields 未加工ログのフィールド「riskDetail」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskDetail」に設定されます。
riskEventTypes read_only_udm.additional.fields 未加工ログのフィールド「riskEventTypes」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskEventTypes」に設定されます。
riskEventTypes_v2 read_only_udm.additional.fields 未加工ログのフィールド「riskEventTypes_v2」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskEventTypes_v2」に設定されます。
riskLevelAggregated read_only_udm.additional.fields 未加工ログのフィールド「riskLevelAggregated」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskLevelAggregated」に設定されます。
riskLevelDuringSignIn read_only_udm.additional.fields、read_only_udm.security_result.priority 未加工ログのフィールド「riskLevelDuringSignIn」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskLevelDuringSignIn」に設定されます。値が「medium」の場合、「read_only_udm.security_result.priority」は「MEDIUM_PRIORITY」に設定されます。
riskState read_only_udm.additional.fields 未加工ログのフィールド「riskState」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskState」に設定されます。
targetResources.0.displayName read_only_udm.target.resource.name、read_only_udm.target.user.user_display_name、read_only_udm.target.group.group_display_name 「targetResources.0.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.target.user.user_display_name」にマッピングされます。「targetResources.0.type」の値が「Group」の場合、値は「read_only_udm.target.group.group_display_name」にマッピングされます。それ以外の場合、値は「read_only_udm.target.resource.name」にマッピングされます。
targetResources.0.groupType read_only_udm.target.group.attribute.labels 未加工ログのフィールド「targetResources.0.groupType」から直接マッピングされます。「read_only_udm.target.group.attribute.labels」のキーは「groupType」に設定されます。
targetResources.0.id read_only_udm.target.resource.product_object_id、read_only_udm.target.user.product_object_id、read_only_udm.target.group.product_object_id 「targetResources.0.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.target.user.product_object_id」にマッピングされます。「targetResources.0.type」の値が「Group」の場合、値は「read_only_udm.target.group.product_object_id」にマッピングされます。それ以外の場合、値は「read_only_udm.target.resource.product_object_id」にマッピングされます。
targetResources.0.modifiedProperties.displayName read_only_udm.additional.fields、read_only_udm.target.asset.asset_id、read_only_udm.target.user.title、read_only_udm.target.resource.attribute.roles、read_only_udm.target.user.user_display_name、read_only_udm.target.user.first_name、read_only_udm.target.user.last_name、read_only_udm.target.user.department、read_only_udm.target.user.office_address.name、read_only_udm.target.user.employee_id、read_only_udm.target.user.phone_numbers、read_only_udm.target.user.userid、read_only_udm.target.resource.attribute.labels、read_only_udm.src.resource.attribute.labels 値は「read_only_udm.additional.fields」にマッピングされ、キーは「targetResources.modifiedProperties.displayname {index}」に設定されます。値が「TargetId.DeviceId」の場合、「targetResources.0.modifiedProperties.newValue」の値は、「Device ID:」という接頭辞付きで「read_only_udm.target.asset.asset_id」にマッピングされます。値が「DisplayName」または「jobTitle」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.title」にマッピングされます。値が「WellKnownObjectName」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.resource.attribute.roles」にマッピングされ、キーは「name」に設定されます。値が「displayName」で、「targetResources.0.displayName」が null の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.user_display_name」にマッピングされます。値が「givenName」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.first_name」にマッピングされます。値が「surname」の場合、「targetResources.0.modifiedProperties.newValue」の値が「read_only_udm.target.user.last_name」にマッピングされます。値が「department」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.department」にマッピングされます。値が「physicalDeliveryOfficeName」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.office_address.name」にマッピングされます。値が「employeeId」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.employee_id」にマッピングされます。値が「mobile」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.phone_numbers」にマッピングされます。値が「MailNickname」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.userid」にマッピングされます。それ以外の場合、「targetResources.0.modifiedProperties.newValue」の値は、「targetResources.0.modifiedProperties.displayName」の値に設定されたキーを使用して「read_only_udm.target.resource.attribute.labels」にマッピングされます。「targetResources.0.modifiedProperties.oldValue」の値は、「read_only_udm.src.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。
targetResources.0.modifiedProperties.newValue read_only_udm.target.asset.asset_id、read_only_udm.target.user.title、read_only_udm.target.resource.attribute.roles、read_only_udm.target.user.user_display_name、read_only_udm.target.user.first_name、read_only_udm.target.user.last_name、read_only_udm.target.user.department、read_only_udm.target.user.office_address.name、read_only_udm.target.user.employee_id、read_only_udm.target.user.phone_numbers、read_only_udm.target.user.userid、read_only_udm.target.resource.attribute.labels、read_only_udm.additional.fields 「targetResources.0.modifiedProperties.displayName」の値が「TargetId.DeviceId」の場合、値は「read_only_udm.target.asset.asset_id」にマッピングされ、「Device ID:」という接頭辞が付加されます。「targetResources.0.modifiedProperties.displayName」の値が「DisplayName」または「jobTitle」の場合、値は「read_only_udm.target.user.title」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「WellKnownObjectName」の場合、値は「read_only_udm.target.resource.attribute.roles」にマッピングされ、キーは「name」に設定されます。「targetResources.0.modifiedProperties.displayName」の値が「displayName」で、「targetResources.0.displayName」が null の場合、値は「read_only_udm.target.user.user_display_name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「givenName」の場合、値は「read_only_udm.target.user.first_name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「surname」の場合、値は「read_only_udm.target.user.last_name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「department」の場合、値は「read_only_udm.target.user.department」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「physicalDeliveryOfficeName」の場合、値は「read_only_udm.target.user.office_address.name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「employeeId」の場合、値は「read_only_udm.target.user.employee_id」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「mobile」の場合、値は「read_only_udm.target.user.phone_numbers」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「MailNickname」の場合、値は「read_only_udm.target.user.userid」にマッピングされます。それ以外の場合、値は「read_only_udm.target.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。値は、「targetResources.modifiedProperties.newValue {index}」に設定されたキーを使用して「read_only_udm.additional.fields」にもマッピングされます。
targetResources.0.modifiedProperties.oldValue read_only_udm.src.resource.attribute.labels、read_only_udm.additional.fields 値は「read_only_udm.src.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。値は、「targetResources.modifiedProperties.oldValue {index}」に設定されたキーを使用して「read_only_udm.additional.fields」にもマッピングされます。
targetResources.0.type read_only_udm.target.resource.resource_subtype、read_only_udm.target.resource.resource_type、read_only_udm.target.user.userid、read_only_udm.target.user.product_object_id、read_only_udm.target.user.user_display_name、read_only_udm.target.group.product_object_id、read_only_udm.target.group.group_display_name 未加工ログのフィールド「targetResources.0.type」から直接マッピングされます。値が「ServicePrincipal」の場合、「read_only_udm.target.resource.resource_type」は「SERVICE_ACCOUNT」に設定されます。値が「Device」の場合、「read_only_udm.target.resource.resource_type」は「DEVICE」に設定されます。それ以外の場合、「read_only_udm.target.resource.resource_type」は「UNSPECIFIED」に設定されます。値が「User」または「ServicePrincipal」の場合、「targetResources.0.userPrincipalName」の値は「read_only_udm.target.user.userid」にマッピングされ、「targetResources.0.id」の値は「read_only_udm.target.user.product_object_id」にマッピングされ、「targetResources.0.displayName」の値は「read_only_udm.target.user.user_display_name」にマッピングされます。値が「Group」の場合、「targetResources.0.id」の値は「read_only_udm.target.group.product_object_id」にマッピングされ、「targetResources.0.displayName」の値は「read_only_udm.target.group.group_display_name」にマッピングされます。
targetResources.0.userPrincipalName read_only_udm.target.user.userid、read_only_udm.target.user.email_addresses 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.target.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.target.user.userid」にマッピングされます。
targetResources.displayName read_only_udm.about.resource.name、read_only_udm.about.user.userid、read_only_udm.about.user.user_display_name、read_only_udm.about.group.group_display_name、read_only_udm.about.group.attribute.labels 「targetResources.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.about.user.user_display_name」と「read_only_udm.about.user.userid」にマッピングされます。「targetResources.type」の値が「Group」の場合、値は「read_only_udm.about.group.group_display_name」にマッピングされます。「targetResources.groupType」の値は、「read_only_udm.about.group.attribute.labels」にマッピングされ、キーは「groupType」に設定されます。それ以外の場合、値は「read_only_udm.about.resource.name」にマッピングされます。
targetResources.groupType read_only_udm.about.group.attribute.labels、read_only_udm.target.user.group_identifiers 未加工ログのフィールド「targetResources.groupType」から直接マッピングされます。「read_only_udm.about.group.attribute.labels」のキーが「groupType」に設定されます。
targetResources.id read_only_udm.about.resource.product_object_id、read_only_udm.about.user.product_object_id、read_only_udm.about.group.product_object_id 「targetResources.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.about.user.product_object_id」にマッピングされます。「targetResources.type」の値が「Group」の場合、値は「read_only_udm.about.group.product_object_id」にマッピングされます。それ以外の場合、値は「read_only_udm.about.resource.product_object_id」にマッピングされます。
targetResources.modifiedProperties.displayName read_only_udm.additional.fields 値は「read_only_udm.additional.fields」にマッピングされ、キーは「targetResources.modifiedProperties.displayname {index}」に設定されます。
targetResources.modifiedProperties.newValue read_only_udm.additional.fields 値は、「targetResources.modifiedProperties.newValue {index}」に設定されたキーを使用して「read_only_udm.additional.fields」にマッピングされます。
targetResources.modifiedProperties.oldValue read_only_udm.additional.fields 値は「read_only_udm.additional.fields」にマッピングされ、キーは「targetResources.modifiedProperties.oldValue {index}」に設定されます。
targetResources.type read_only_udm.about.resource.resource_subtype、read_only_udm.about.resource.resource_type、read_only_udm.about.user.userid、read_only_udm.about.user.product_object_id、read_only_udm.about.user.user_display_name、read_only_udm.about.group.product_object_id、read_only_udm.about.group.group_display_name 未加工ログのフィールド「targetResources.type」から直接マッピングされます。値が「ServicePrincipal」の場合、「read_only_udm.about.resource.resource_type」は「SERVICE_ACCOUNT」に設定されます。値が「Device」の場合、「read_only_udm.about.resource.resource_type」は「DEVICE」に設定されます。それ以外の場合、「read_only_udm.about.resource.resource_type」は「UNSPECIFIED」に設定されます。値が「User」または「ServicePrincipal」の場合、「targetResources.userPrincipalName」の値は「read_only_udm.about.user.userid」にマッピングされ、「targetResources.id」の値は「read_only_udm.about.user.product_object_id」にマッピングされ、「targetResources.displayName」の値は「read_only_udm.about.user.user_display_name」にマッピングされます。値が「Group」の場合、「targetResources.id」の値は「read_only_udm.about.group.product_object_id」にマッピングされ、「targetResources.displayName」の値は「read_only_udm.about.group.group_display_name」にマッピングされます。
targetResources.userPrincipalName read_only_udm.about.user.userid、read_only_udm.about.user.email_addresses 値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.about.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.about.user.userid」にマッピングされます。
tenantId read_only_udm.additional.fields 未加工ログのフィールド「tenantId」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「tenantId」に設定されます。
時間 read_only_udm.metadata.event_timestamp 未加工ログのフィールド「time」から直接マッピングされます。
userId read_only_udm.target.user.product_object_id 未加工ログのフィールド「userId」から直接マッピングされます。値は、「activityDisplayName」、「principal_userid_present」、「target_userid_present」、「principal_ip_present」、「loggedByService」、「category」などの他のフィールドの値に基づいて設定されます。値を設定するロジックは複雑で、これらのフィールドの値の特定の組み合わせによって異なります。「operationName」の値が「Sign-in activity」の場合、値は「SSO」に設定されます。値は「Microsoft」に設定されます。値は「Azure AD Directory Audit」に設定されます。値は「AZURE_AD_AUDIT」に設定されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。