Recolha registos de auditoria do Microsoft Entra ID
Compatível com:
Google secops
SIEM
Este documento descreve como pode recolher registos do Microsoft Entra ID (AD) configurando um feed do Google Security Operations.
O Azure Active Directory (AZURE_AD) chama-se agora Microsoft Entra ID. Os registos de auditoria do Azure AD
(AZURE_AD_AUDIT) são agora registos de auditoria do Microsoft Entra ID.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado.
Antes de começar
Certifique-se de que cumpre os seguintes pré-requisitos:
- Uma subscrição do Azure na qual pode iniciar sessão
- Uma função de administrador global ou administrador do Azure AD
- Um Azure AD (inquilino) no Azure
Como configurar o Azure AD
- Inicie sessão no portal do Azure.
- Aceda a Página inicial > Registo de apps, selecione uma aplicação registada ou registe uma aplicação se ainda não tiver criado uma.
- Para registar uma aplicação, na secção Registo de apps, clique em Novo registo.
- No campo Nome, indique o nome a apresentar da sua aplicação.
- Na secção Tipos de contas suportados, selecione a opção necessária para especificar quem pode usar a aplicação ou aceder à API.
- Clique em Registar.
- Aceda à página Vista geral e copie o ID da aplicação (cliente) e o ID do diretório (inquilino), que são necessários para configurar o feed do Google Security Operations.
- Clique em Autorizações da API.
- Clique em Adicionar uma autorização e, de seguida, selecione Microsoft Graph no novo painel.
- Clique em Autorizações da aplicação.
- Selecione as autorizações AuditLog.Read.All, Directory.Read.All e SecurityEvents.Read.All. Certifique-se de que as autorizações são Autorizações da aplicação e não Autorizações delegadas.
- Clique em Conceder consentimento de administrador para o diretório predefinido. As aplicações são autorizadas a chamar APIs quando lhes são concedidas autorizações por utilizadores ou administradores como parte do processo de consentimento.
- Aceda a Definições > Gerir.
- Clique em Certificados e secrets.
- Clique em Novo segredo do cliente. No campo Valor, é apresentado o segredo do cliente.
- Copie o valor do segredo do cliente. O valor é apresentado apenas no momento da criação e é necessário para o registo da app Azure e para configurar o feed do Google Security Operations.
Para mais informações, consulte o artigo Como configurar a app Microsoft Entra ID.
Para mais informações acerca do Microsoft Entra para autorizações, consulte o artigo Microsoft Entra para autorizações.
Configure feeds
Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:
- Definições do SIEM > Feeds > Adicionar novo
- Content Hub > Pacotes de conteúdo > Começar
Como configurar o feed de auditoria do Microsoft Entra ID (AZURE AD)
- Clique no pacote Plataforma Azure.
- Localize o tipo de registo Azure AD Directory Audit.
Especifique valores para os seguintes campos:
- Tipo de origem: API de terceiros (recomendado)
- ID de cliente OAUTH: especifique o ID de cliente que obteve anteriormente.
- Segredo do cliente OAUTH: especifique o segredo do cliente que obteve anteriormente.
- ID do inquilino: especifique o ID do inquilino que obteve anteriormente.
- Caminho completo da API: URL do ponto final da API REST Microsoft Graph.
- Ponto final de autenticação da API: ponto final de autenticação do Microsoft Active Directory.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Espaço de nomes do recurso: espaço de nomes associado ao feed.
- Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
Clique em Criar feed.
Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.
Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para obter informações sobre os requisitos de cada tipo de feed, consulte o artigo Configuração do feed por tipo. Se tiver problemas ao criar feeds, contacte o apoio técnico das Operações de segurança da Google.
Referência de mapeamento de campos
Este analisador processa registos de auditoria do diretório do Azure AD no formato JSON. Extrai campos relevantes, transforma-os num modelo de dados unificado (UDM) e enriquece os dados com contexto adicional, como detalhes do utilizador, endereços IP e resultados de segurança. O analisador também categoriza os eventos com base nas respetivas características, mapeando-os para tipos de eventos da UDM específicos para uma análise mais fácil.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | Mapeamento direto do campo de registo não processado "activityDateTime". |
| activityDisplayName | read_only_udm.metadata.product_event_type | Mapeamento direto do campo de registo não processado "activityDisplayName". |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "ApplicationId". |
| additionalDetails.Client | read_only_udm.network.http.user_agent | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "Client". |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "ClientIpAddress". |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "DomainName". |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Mapeamento direto do campo de registo não processado "additionalDetails", onde a chave é "EmailAddress". |
| additionalDetails.GrantType | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "GrantType". |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "LocalAccountUsername". |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "PhoneNumber". |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "PolicyId". |
| additionalDetails.Scopes | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "Scopes". |
| additionalDetails.TenantId | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "TenantId". |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "additionalDetails", em que a chave é "VerificationMethod". |
| appId | read_only_udm.target.process.pid | Mapeamento direto do campo de registo não processado "appId". |
| appliedConditionalAccessPolicies | read_only_udm.about | O campo "displayName" está mapeado para "read_only_udm.about.user.user_display_name" e o campo "id" está mapeado para "read_only_udm.about.user.userid". O campo "result" é mapeado para "read_only_udm.about.labels", com a chave definida como "Result". |
| categoria | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Mapeamento direto do campo de registo não processado "category". A chave para "read_only_udm.additional.fields" está definida como "log_category". |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mapeamento direto do campo de registo não processado "callerIpAddress". |
| clientAppUsed | read_only_udm.principal.application | Mapeamento direto do campo de registo não processado "clientAppUsed". |
| correlationId | read_only_udm.network.session_id | Mapeamento direto do campo de registo não processado "correlationId". |
| id | read_only_udm.metadata.product_log_id | Mapeamento direto do campo de registo não processado "id". |
| identidade | read_only_udm.target.user.userid | Mapeamento direto do campo de registo não processado "identity". |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Mapeamento direto do campo de registo não processado "initiatedBy.app.appId". A chave de "read_only_udm.principal.resource.attribute.labels" está definida como "ID da app". |
| initiatedBy.app.displayName | read_only_udm.principal.application | Mapeamento direto do campo de registo não processado "initiatedBy.app.displayName". |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Mapeamento direto do campo de registo não processado "initiatedBy.app.servicePrincipalId". |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Mapeamento direto do campo de registo não processado "initiatedBy.app.servicePrincipalName". |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Se o valor contiver "@", é analisado como um endereço de email e mapeado para "read_only_udm.principal.user.email_addresses". Caso contrário, é mapeado para "read_only_udm.principal.user.user_display_name". |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Mapeamento direto do campo de registo não processado "initiatedBy.user.id". |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mapeamento direto do campo de registo não processado "initiatedBy.user.ipAddress". |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Se o valor contiver "@", é analisado como um endereço de email e mapeado para "read_only_udm.principal.user.email_addresses". Caso contrário, é mapeado para "read_only_udm.principal.user.userid". A parte do domínio do endereço de email é mapeada para "read_only_udm.principal.administrative_domain". O valor completo também é mapeado para "read_only_udm.principal.resource.attribute.labels" com a chave definida como "Nome principal do utilizador". |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mapeamento direto do campo de registo não processado "ipAddress". |
| Nível | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | O valor é convertido numa string e mapeado para "read_only_udm.security_result.severity_details". O campo "read_only_udm.security_result.severity" está definido como "INFORMATIONAL". |
| location.city | read_only_udm.principal.location.city | Mapeamento direto do campo de registo não processado "location.city". |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Mapeamento direto do campo de registo não processado "location.countryOrRegion". |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Mapeamento direto do campo de registo não processado "location.geoCoordinates.latitude". |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Mapeamento direto do campo de registo não processado "location.geoCoordinates.longitude". |
| location.state | read_only_udm.principal.location.state | Mapeamento direto do campo de registo não processado "location.state". |
| loggedByService | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "loggedByService". A chave de "read_only_udm.additional.fields" está definida como "loggedByService". |
| operationName | read_only_udm.metadata.product_event_type | Mapeamento direto do campo de registo não processado "operationName". |
| operationType | read_only_udm.security_result.action_details | Mapeamento direto do campo de registo não processado "operationType". |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | Mapeamento direto do campo de registo não processado "properties.activityDateTime". |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | Mapeamento direto do campo de registo não processado "properties.activityDisplayName". |
| properties.appDisplayName | read_only_udm.target.application | Mapeamento direto do campo de registo não processado "properties.appDisplayName". |
| properties.category | read_only_udm.security_result.category_details | Mapeamento direto do campo de registo não processado "properties.category". |
| properties.id | read_only_udm.metadata.product_log_id | Mapeamento direto do campo de registo não processado "properties.id". |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Mapeamento direto do campo de registo não processado "properties.initiatedBy.app.appId". A chave de "read_only_udm.principal.resource.attribute.labels" está definida como "ID da app". |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | Mapeamento direto do campo de registo não processado "properties.initiatedBy.app.displayName". |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Mapeamento direto do campo de registo não processado "properties.initiatedBy.app.servicePrincipalId". |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Mapeamento direto do campo de registo não processado "properties.initiatedBy.app.servicePrincipalName". |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Se o valor contiver "@", é analisado como um endereço de email e mapeado para "read_only_udm.principal.user.email_addresses". Caso contrário, é mapeado para "read_only_udm.principal.user.user_display_name". |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Mapeamento direto do campo de registo não processado "properties.initiatedBy.user.id". |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Mapeamento direto do campo de registo não processado "properties.initiatedBy.user.ipAddress". |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Se o valor contiver "@", é analisado como um endereço de email e mapeado para "read_only_udm.principal.user.email_addresses". Caso contrário, é mapeado para "read_only_udm.principal.user.userid". A parte do domínio do endereço de email é mapeada para "read_only_udm.principal.administrative_domain". O valor completo também é mapeado para "read_only_udm.principal.resource.attribute.labels" com a chave definida como "Nome principal do utilizador". |
| properties.loggedByService | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "properties.loggedByService". A chave de "read_only_udm.additional.fields" está definida como "loggedByService". |
| properties.operationType | read_only_udm.security_result.action_details | Mapeamento direto do campo de registo não processado "properties.operationType". |
| properties.result | read_only_udm.security_result.summary | Mapeamento direto do campo de registo não processado "properties.result". |
| properties.resultReason | read_only_udm.security_result.description | Mapeamento direto do campo de registo não processado "properties.resultReason". |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | Mapeamento direto do campo de registo não processado "properties.userPrincipalName". |
| result | read_only_udm.security_result.summary, read_only_udm.security_result.action | Mapeamento direto do campo de registo não processado "result". Se o valor for "success", "read_only_udm.security_result.action" é definido como "ALLOW". Se o valor for "failure", "read_only_udm.security_result.action" é definido como "BLOCK". |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Mapeamento direto do campo de registo não processado "resultDescription". |
| resultReason | read_only_udm.security_result.description | Mapeamento direto do campo de registo não processado "resultReason". |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Mapeamento direto do campo de registo não processado "resultType". Se o valor for "0", "read_only_udm.security_result.action" é definido como "ALLOW" e "read_only_udm.security_result.summary" é definido como "Início de sessão bem-sucedido". Caso contrário, "read_only_udm.security_result.action" é definido como "BLOCK", "read_only_udm.security_result.summary" é definido como "Falha ao iniciar sessão", "read_only_udm.security_result.description" é definido como o valor de "resultDescription" e "read_only_udm.security_result.severity" é definido como "ERROR". |
| resourceDisplayName | read_only_udm.target.resource.name | Mapeamento direto do campo de registo não processado "resourceDisplayName". |
| resourceId | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "resourceId". A chave de "read_only_udm.additional.fields" está definida como "resourceId". |
| riskDetail | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "riskDetail". A chave de "read_only_udm.additional.fields" está definida como "riskDetail". |
| riskEventTypes | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "riskEventTypes". A chave para "read_only_udm.additional.fields" está definida como "riskEventTypes". |
| riskEventTypes_v2 | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "riskEventTypes_v2". A chave de "read_only_udm.additional.fields" está definida como "riskEventTypes_v2". |
| riskLevelAggregated | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "riskLevelAggregated". A chave de "read_only_udm.additional.fields" está definida como "riskLevelAggregated". |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Mapeamento direto do campo de registo não processado "riskLevelDuringSignIn". A chave para "read_only_udm.additional.fields" está definida como "riskLevelDuringSignIn". Se o valor for "medium", "read_only_udm.security_result.priority" é definido como "MEDIUM_PRIORITY". |
| riskState | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "riskState". A chave para "read_only_udm.additional.fields" está definida como "riskState". |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Se o valor de "targetResources.0.type" for "User" ou "ServicePrincipal", o valor é mapeado para "read_only_udm.target.user.user_display_name". Se o valor de "targetResources.0.type" for "Group", o valor é mapeado para "read_only_udm.target.group.group_display_name". Caso contrário, o valor é mapeado para "read_only_udm.target.resource.name". |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Mapeamento direto do campo de registo não processado "targetResources.0.groupType". A chave de "read_only_udm.target.group.attribute.labels" está definida como "groupType". |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Se o valor de "targetResources.0.type" for "User" ou "ServicePrincipal", o valor é mapeado para "read_only_udm.target.user.product_object_id". Se o valor de "targetResources.0.type" for "Group", o valor é mapeado para "read_only_udm.target.group.product_object_id". Caso contrário, o valor é mapeado para "read_only_udm.target.resource.product_object_id". |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | O valor é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.displayname {index}". Se o valor for "TargetId.DeviceId", o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.asset.asset_id" com o prefixo "ID do dispositivo:". Se o valor for "DisplayName" ou "jobTitle", o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.user.title". Se o valor for "WellKnownObjectName", o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.resource.attribute.roles" com a chave definida como "name". Se o valor for "displayName" e "targetResources.0.displayName" for nulo, o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.user.user_display_name". Se o valor for "givenName", o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.user.first_name". Se o valor for "surname", o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.user.last_name". Se o valor for "department", o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.user.department". Se o valor for "physicalDeliveryOfficeName", o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.user.office_address.name". Se o valor for "employeeId", o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.user.employee_id". Se o valor for "mobile", o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.user.phone_numbers". Se o valor for "MailNickname", o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.user.userid". Caso contrário, o valor de "targetResources.0.modifiedProperties.newValue" é mapeado para "read_only_udm.target.resource.attribute.labels" com a chave definida para o valor de "targetResources.0.modifiedProperties.displayName". O valor de "targetResources.0.modifiedProperties.oldValue" é mapeado para "read_only_udm.src.resource.attribute.labels" com a chave definida para o valor de "targetResources.0.modifiedProperties.displayName". |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Se o valor de "targetResources.0.modifiedProperties.displayName" for "TargetId.DeviceId", o valor é mapeado para "read_only_udm.target.asset.asset_id" com o prefixo "ID do dispositivo:". Se o valor de "targetResources.0.modifiedProperties.displayName" for "DisplayName" ou "jobTitle", o valor é mapeado para "read_only_udm.target.user.title". Se o valor de "targetResources.0.modifiedProperties.displayName" for "WellKnownObjectName", o valor é mapeado para "read_only_udm.target.resource.attribute.roles" com a chave definida como "name". Se o valor de "targetResources.0.modifiedProperties.displayName" for "displayName" e "targetResources.0.displayName" for nulo, o valor é mapeado para "read_only_udm.target.user.user_display_name". Se o valor de "targetResources.0.modifiedProperties.displayName" for "givenName", o valor é mapeado para "read_only_udm.target.user.first_name". Se o valor de "targetResources.0.modifiedProperties.displayName" for "surname", o valor é mapeado para "read_only_udm.target.user.last_name". Se o valor de "targetResources.0.modifiedProperties.displayName" for "department", o valor é mapeado para "read_only_udm.target.user.department". Se o valor de "targetResources.0.modifiedProperties.displayName" for "physicalDeliveryOfficeName", o valor é mapeado para "read_only_udm.target.user.office_address.name". Se o valor de "targetResources.0.modifiedProperties.displayName" for "employeeId", o valor é mapeado para "read_only_udm.target.user.employee_id". Se o valor de "targetResources.0.modifiedProperties.displayName" for "mobile", o valor é mapeado para "read_only_udm.target.user.phone_numbers". Se o valor de "targetResources.0.modifiedProperties.displayName" for "MailNickname", o valor é mapeado para "read_only_udm.target.user.userid". Caso contrário, o valor é mapeado para "read_only_udm.target.resource.attribute.labels" com a chave definida para o valor de "targetResources.0.modifiedProperties.displayName". O valor também é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.newValue {index}". |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | O valor é mapeado para "read_only_udm.src.resource.attribute.labels" com a chave definida para o valor de "targetResources.0.modifiedProperties.displayName". O valor também é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Mapeamento direto do campo de registo não processado "targetResources.0.type". Se o valor for "ServicePrincipal", "read_only_udm.target.resource.resource_type" é definido como "SERVICE_ACCOUNT". Se o valor for "Device", "read_only_udm.target.resource.resource_type" é definido como "DEVICE". Caso contrário, "read_only_udm.target.resource.resource_type" é definido como "UNSPECIFIED". Se o valor for "User" ou "ServicePrincipal", o valor de "targetResources.0.userPrincipalName" é mapeado para "read_only_udm.target.user.userid", o valor de "targetResources.0.id" é mapeado para "read_only_udm.target.user.product_object_id" e o valor de "targetResources.0.displayName" é mapeado para "read_only_udm.target.user.user_display_name". Se o valor for "Group", o valor de "targetResources.0.id" é mapeado para "read_only_udm.target.group.product_object_id" e o valor de "targetResources.0.displayName" é mapeado para "read_only_udm.target.group.group_display_name". |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Se o valor contiver "@", é analisado como um endereço de email e mapeado para "read_only_udm.target.user.email_addresses". Caso contrário, é mapeado para "read_only_udm.target.user.userid". |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Se o valor de "targetResources.type" for "User" ou "ServicePrincipal", o valor é mapeado para "read_only_udm.about.user.user_display_name" e "read_only_udm.about.user.userid". Se o valor de "targetResources.type" for "Group", o valor é mapeado para "read_only_udm.about.group.group_display_name". O valor de "targetResources.groupType" é mapeado para "read_only_udm.about.group.attribute.labels" com a chave definida como "groupType". Caso contrário, o valor é mapeado para "read_only_udm.about.resource.name". |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Mapeamento direto do campo de registo não processado "targetResources.groupType". A chave de "read_only_udm.about.group.attribute.labels" está definida como "groupType". |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Se o valor de "targetResources.type" for "User" ou "ServicePrincipal", o valor é mapeado para "read_only_udm.about.user.product_object_id". Se o valor de "targetResources.type" for "Group", o valor é mapeado para "read_only_udm.about.group.product_object_id". Caso contrário, o valor é mapeado para "read_only_udm.about.resource.product_object_id". |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | O valor é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.displayname {index}". |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | O valor é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.newValue {index}". |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | O valor é mapeado para "read_only_udm.additional.fields" com a chave definida como "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Mapeamento direto do campo de registo não processado "targetResources.type". Se o valor for "ServicePrincipal", "read_only_udm.about.resource.resource_type" é definido como "SERVICE_ACCOUNT". Se o valor for "Device", então "read_only_udm.about.resource.resource_type" é definido como "DEVICE". Caso contrário, "read_only_udm.about.resource.resource_type" é definido como "UNSPECIFIED". Se o valor for "User" ou "ServicePrincipal", o valor de "targetResources.userPrincipalName" é mapeado para "read_only_udm.about.user.userid", o valor de "targetResources.id" é mapeado para "read_only_udm.about.user.product_object_id" e o valor de "targetResources.displayName" é mapeado para "read_only_udm.about.user.user_display_name". Se o valor for "Group", o valor de "targetResources.id" é mapeado para "read_only_udm.about.group.product_object_id" e o valor de "targetResources.displayName" é mapeado para "read_only_udm.about.group.group_display_name". |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Se o valor contiver "@", é analisado como um endereço de email e mapeado para "read_only_udm.about.user.email_addresses". Caso contrário, é mapeado para "read_only_udm.about.user.userid". |
| tenantId | read_only_udm.additional.fields | Mapeamento direto do campo de registo não processado "tenantId". A chave de "read_only_udm.additional.fields" está definida como "tenantId". |
| tempo | read_only_udm.metadata.event_timestamp | Mapeamento direto do campo de registo não processado "time". |
| userId | read_only_udm.target.user.product_object_id | Mapeamento direto do campo de registo não processado "userId". O valor é definido com base nos valores de outros campos, incluindo "activityDisplayName", "principal_userid_present", "target_userid_present", "principal_ip_present", "loggedByService" e "category". A lógica para definir o valor é complexa e depende da combinação específica de valores nestes campos. O valor é definido como "SSO" se o valor de "operationName" for "Sign-in activity". O valor está definido como "Microsoft". O valor é definido como "Azure AD Directory Audit". O valor é definido como "AZURE_AD_AUDIT". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.