收集 Microsoft Entra ID 审核日志
支持的语言:
Google SecOps
SIEM
本文介绍了如何通过设置 Google Security Operations Feed 来收集 Microsoft Entra ID (AD) 日志。
Azure Active Directory (AZURE_AD) 现在称为 Microsoft Entra ID。Azure AD 审核日志 (AZURE_AD_AUDIT) 现在称为 Microsoft Entra ID 审核日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。
准备工作
确保您满足以下前提条件:
- 您可以登录的 Azure 订阅
- 全局管理员或 Azure AD 管理员角色
- Azure 中的 Azure AD(租户)
如何配置 Azure AD
- 登录 Azure 门户。
- 前往首页 > 应用注册,选择已注册的应用,或者如果您尚未创建应用,请注册应用。
- 如需注册应用,请在应用注册部分点击新注册。
- 在名称字段中,提供应用的显示名称。
- 在支持的账号类型部分,选择所需选项以指定哪些人可以使用应用或访问 API。
- 点击注册。
- 前往概览页面,然后复制应用(客户端)ID 和目录(租户)ID,这些信息是配置 Google Security Operations Feed 所必需的。
- 点击 API 权限。
- 点击添加权限,然后在新窗格中选择 Microsoft Graph。
- 点击应用权限。
- 选择 AuditLog.Read.All、Directory.Read.All 和 SecurityEvents.Read.All 权限。确保权限是应用权限,而不是委托权限。
- 点击为默认目录授予管理员同意书。当应用在许可流程中获得用户或管理员授予的权限时,便有权调用 API。
- 依次前往设置 > 管理。
- 点击证书和密钥。
- 点击 New client secret(新建客户端密钥)。 在值字段中,系统会显示客户端密钥。
- 复制客户端密钥值。该值仅在创建时显示,并且是 Azure 应用注册和配置 Google Security Operations Feed 所必需的。
如需了解详情,请参阅如何设置 Microsoft Entra ID 应用。
如需详细了解 Microsoft Entra 权限,请参阅 Microsoft Entra 权限。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed
- 内容中心 > 内容包
通过“SIEM 设置”>“Feed”设置 Feed
如需为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed。
如需配置单个 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置> Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称,例如 Azure AD 审核日志。
- 选择第三方 API 作为来源类型。
- 选择 Azure AD Directory Audit 作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- OAuth 客户端 ID:指定您之前获得的客户端 ID。
- OAuth 客户端密钥:指定您之前获得的客户端密钥。
- 租户 ID:指定您之前获得的租户 ID。
- 点击下一步,然后点击提交。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求,请参阅按类型划分的 Feed 配置。 如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。
设置来自内容中心的 Feed
为以下字段指定值:
- OAuth 客户端 ID:指定您之前获得的客户端 ID。
- OAuth 客户端密钥:指定您之前获得的客户端密钥。
- 租户 ID:指定您之前获得的租户 ID。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 来源类型:用于将日志收集到 Google SecOps 中的方法。
- 资产命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
字段映射参考
此解析器用于处理 JSON 格式的 Azure AD Directory Audit 日志。它会提取相关字段,将其转换为统一数据模型 (UDM),并使用用户详细信息、IP 地址和安全结果等其他背景信息来丰富数据。解析器还会根据事件的特征对事件进行分类,将其映射到特定的 UDM 事件类型,以便更轻松地进行分析。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | 直接从原始日志字段“activityDateTime”进行映射。 |
| activityDisplayName | read_only_udm.metadata.product_event_type | 直接从原始日志字段“activityDisplayName”进行映射。 |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | 直接映射自原始日志字段“additionalDetails”,其中键为“ApplicationId”。 |
| additionalDetails.Client | read_only_udm.network.http.user_agent | 直接从原始日志字段“additionalDetails”进行映射,其中键为“Client”。 |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 直接从原始日志字段“additionalDetails”进行映射,其中键为“ClientIpAddress”。 |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | 直接从原始日志字段“additionalDetails”进行映射,其中键为“DomainName”。 |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | 直接从原始日志字段“additionalDetails”进行映射,其中键为“EmailAddress”。 |
| additionalDetails.GrantType | read_only_udm.additional.fields | 直接从原始日志字段“additionalDetails”进行映射,其中键为“GrantType”。 |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | 直接从原始日志字段“additionalDetails”进行映射,其中键为“LocalAccountUsername”。 |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | 直接从原始日志字段“additionalDetails”进行映射,其中键为“PhoneNumber”。 |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | 直接映射自原始日志字段“additionalDetails”,其中键为“PolicyId”。 |
| additionalDetails.Scopes | read_only_udm.additional.fields | 直接从原始日志字段“additionalDetails”进行映射,其中键为“Scopes”。 |
| additionalDetails.TenantId | read_only_udm.additional.fields | 从原始日志字段“additionalDetails”直接映射,其中键为“TenantId”。 |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | 直接从原始日志字段“additionalDetails”进行映射,其中键为“VerificationMethod”。 |
| appId | read_only_udm.target.process.pid | 直接从原始日志字段“appId”进行映射。 |
| appliedConditionalAccessPolicies | read_only_udm.about | “displayName”字段映射到“read_only_udm.about.user.user_display_name”,而“id”字段映射到“read_only_udm.about.user.userid”。“result”字段映射到“read_only_udm.about.labels”,并将键设置为“Result”。 |
| 类别 | read_only_udm.additional.fields、read_only_udm.security_result.category_details | 直接从原始日志字段“category”进行映射。“read_only_udm.additional.fields”的键设置为“log_category”。 |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 直接从原始日志字段“callerIpAddress”进行映射。 |
| clientAppUsed | read_only_udm.principal.application | 直接映射自原始日志字段“clientAppUsed”。 |
| correlationId | read_only_udm.network.session_id | 从原始日志字段“correlationId”直接映射。 |
| id | read_only_udm.metadata.product_log_id | 从原始日志字段“id”直接映射。 |
| identity | read_only_udm.target.user.userid | 直接从原始日志字段“身份”进行映射。 |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | 直接从原始日志字段“initiatedBy.app.appId”进行映射。“read_only_udm.principal.resource.attribute.labels”的键设置为“应用 ID”。 |
| initiatedBy.app.displayName | read_only_udm.principal.application | 直接映射自原始日志字段“initiatedBy.app.displayName”。 |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | 直接从原始日志字段“initiatedBy.app.servicePrincipalId”进行映射。 |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | 直接从原始日志字段“initiatedBy.app.servicePrincipalName”进行映射。 |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.principal.user.email_addresses”。否则,会映射到“read_only_udm.principal.user.user_display_name”。 |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | 直接从原始日志字段“initiatedBy.user.id”进行映射。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 直接从原始日志字段“initiatedBy.user.ipAddress”进行映射。 |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.principal.user.email_addresses”。否则,它会映射到“read_only_udm.principal.user.userid”。电子邮件地址的网域部分会映射到“read_only_udm.principal.administrative_domain”。完整值还会映射到“read_only_udm.principal.resource.attribute.labels”,并将键设置为“User Principal Name”。 |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 直接从原始日志字段“ipAddress”进行映射。 |
| 级别 | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | 该值会转换为字符串,并映射到“read_only_udm.security_result.severity_details”。“read_only_udm.security_result.severity”字段设置为“INFORMATIONAL”。 |
| location.city | read_only_udm.principal.location.city | 直接从原始日志字段“location.city”进行映射。 |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | 直接从原始日志字段“location.countryOrRegion”进行映射。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 直接从原始日志字段“location.geoCoordinates.latitude”进行映射。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 直接从原始日志字段“location.geoCoordinates.longitude”进行映射。 |
| location.state | read_only_udm.principal.location.state | 直接从原始日志字段“location.state”进行映射。 |
| loggedByService | read_only_udm.additional.fields | 直接从原始日志字段“loggedByService”进行映射。“read_only_udm.additional.fields”的键设置为“loggedByService”。 |
| operationName | read_only_udm.metadata.product_event_type | 直接从原始日志字段“operationName”进行映射。 |
| operationType | read_only_udm.security_result.action_details | 直接从原始日志字段“operationType”进行映射。 |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | 直接从原始日志字段“properties.activityDateTime”进行映射。 |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | 直接从原始日志字段“properties.activityDisplayName”进行映射。 |
| properties.appDisplayName | read_only_udm.target.application | 直接映射自原始日志字段“properties.appDisplayName”。 |
| properties.category | read_only_udm.security_result.category_details | 直接从原始日志字段“properties.category”进行映射。 |
| properties.id | read_only_udm.metadata.product_log_id | 直接从原始日志字段“properties.id”进行映射。 |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | 直接从原始日志字段“properties.initiatedBy.app.appId”映射。“read_only_udm.principal.resource.attribute.labels”的键设置为“应用 ID”。 |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | 直接映射自原始日志字段“properties.initiatedBy.app.displayName”。 |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | 直接从原始日志字段“properties.initiatedBy.app.servicePrincipalId”进行映射。 |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | 直接映射自原始日志字段“properties.initiatedBy.app.servicePrincipalName”。 |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.principal.user.email_addresses”。否则,会映射到“read_only_udm.principal.user.user_display_name”。 |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | 直接映射自原始日志字段“properties.initiatedBy.user.id”。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 从原始日志字段“properties.initiatedBy.user.ipAddress”直接映射。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.principal.user.email_addresses”。否则,它会映射到“read_only_udm.principal.user.userid”。电子邮件地址的网域部分会映射到“read_only_udm.principal.administrative_domain”。完整值还会映射到“read_only_udm.principal.resource.attribute.labels”,并将键设置为“User Principal Name”。 |
| properties.loggedByService | read_only_udm.additional.fields | 直接从原始日志字段“properties.loggedByService”进行映射。“read_only_udm.additional.fields”的键设置为“loggedByService”。 |
| properties.operationType | read_only_udm.security_result.action_details | 直接从原始日志字段“properties.operationType”进行映射。 |
| properties.result | read_only_udm.security_result.summary | 直接从原始日志字段“properties.result”进行映射。 |
| properties.resultReason | read_only_udm.security_result.description | 直接从原始日志字段“properties.resultReason”进行映射。 |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | 直接映射自原始日志字段“properties.userPrincipalName”。 |
| 结果 | read_only_udm.security_result.summary, read_only_udm.security_result.action | 直接从原始日志字段“result”进行映射。如果值为“success”,则“read_only_udm.security_result.action”设置为“ALLOW”。如果值为“failure”,则“read_only_udm.security_result.action”设置为“BLOCK”。 |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | 直接从原始日志字段“resultDescription”进行映射。 |
| resultReason | read_only_udm.security_result.description | 直接从原始日志字段“resultReason”进行映射。 |
| resultType | read_only_udm.security_result.rule_id、read_only_udm.security_result.summary、read_only_udm.security_result.action | 直接从原始日志字段“resultType”进行映射。如果值为“0”,则“read_only_udm.security_result.action”设置为“ALLOW”,并且“read_only_udm.security_result.summary”设置为“Successful login occurred”。否则,“read_only_udm.security_result.action”设置为“BLOCK”,“read_only_udm.security_result.summary”设置为“Failed login occurred”,“read_only_udm.security_result.description”设置为“resultDescription”的值,“read_only_udm.security_result.severity”设置为“ERROR”。 |
| resourceDisplayName | read_only_udm.target.resource.name | 直接从原始日志字段“resourceDisplayName”进行映射。 |
| resourceId | read_only_udm.additional.fields | 直接从原始日志字段“resourceId”进行映射。“read_only_udm.additional.fields”的键设置为“resourceId”。 |
| riskDetail | read_only_udm.additional.fields | 直接从原始日志字段“riskDetail”进行映射。“read_only_udm.additional.fields”的键设置为“riskDetail”。 |
| riskEventTypes | read_only_udm.additional.fields | 直接从原始日志字段“riskEventTypes”进行映射。“read_only_udm.additional.fields”的键设置为“riskEventTypes”。 |
| riskEventTypes_v2 | read_only_udm.additional.fields | 直接从原始日志字段“riskEventTypes_v2”进行映射。“read_only_udm.additional.fields”的键设置为“riskEventTypes_v2”。 |
| riskLevelAggregated | read_only_udm.additional.fields | 直接从原始日志字段“riskLevelAggregated”进行映射。“read_only_udm.additional.fields”的键设置为“riskLevelAggregated”。 |
| riskLevelDuringSignIn | read_only_udm.additional.fields、read_only_udm.security_result.priority | 直接从原始日志字段“riskLevelDuringSignIn”进行映射。“read_only_udm.additional.fields”的键设置为“riskLevelDuringSignIn”。如果值为“medium”,则将“read_only_udm.security_result.priority”设置为“MEDIUM_PRIORITY”。 |
| riskState | read_only_udm.additional.fields | 直接从原始日志字段“riskState”进行映射。“read_only_udm.additional.fields”的键设置为“riskState”。 |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | 如果“targetResources.0.type”的值为“User”或“ServicePrincipal”,则该值会映射到“read_only_udm.target.user.user_display_name”。如果“targetResources.0.type”的值为“Group”,则该值会映射到“read_only_udm.target.group.group_display_name”。否则,该值会映射到“read_only_udm.target.resource.name”。 |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | 直接从原始日志字段“targetResources.0.groupType”进行映射。“read_only_udm.target.group.attribute.labels”的键设置为“groupType”。 |
| targetResources.0.id | read_only_udm.target.resource.product_object_id、read_only_udm.target.user.product_object_id、read_only_udm.target.group.product_object_id | 如果“targetResources.0.type”的值为“User”或“ServicePrincipal”,则该值会映射到“read_only_udm.target.user.product_object_id”。如果“targetResources.0.type”的值为“Group”,则该值会映射到“read_only_udm.target.group.product_object_id”。否则,该值会映射到“read_only_udm.target.resource.product_object_id”。 |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | 该值会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.displayname {index}”。如果值为“TargetId.DeviceId”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.asset.asset_id”,并带有“设备 ID:”前缀。如果值为“DisplayName”或“jobTitle”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.title”。如果值为“WellKnownObjectName”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.resource.attribute.roles”,并将键设置为“name”。如果值为“displayName”且“targetResources.0.displayName”为 null,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.user_display_name”。如果值为“givenName”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.first_name”。如果值为“surname”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.last_name”。如果值为“department”,则将“targetResources.0.modifiedProperties.newValue”的值映射到“read_only_udm.target.user.department”。如果值为“physicalDeliveryOfficeName”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.office_address.name”。如果值为“employeeId”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.employee_id”。如果值为“mobile”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.phone_numbers”。如果值为“MailNickname”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.userid”。否则,系统会将“targetResources.0.modifiedProperties.newValue”的值映射到“read_only_udm.target.resource.attribute.labels”,并将键设置为“targetResources.0.modifiedProperties.displayName”的值。“targetResources.0.modifiedProperties.oldValue”的值映射到“read_only_udm.src.resource.attribute.labels”,并将键设置为“targetResources.0.modifiedProperties.displayName”的值。 |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id、read_only_udm.target.user.title、read_only_udm.target.resource.attribute.roles、read_only_udm.target.user.user_display_name、read_only_udm.target.user.first_name、read_only_udm.target.user.last_name、read_only_udm.target.user.department、read_only_udm.target.user.office_address.name、read_only_udm.target.user.employee_id、read_only_udm.target.user.phone_numbers、read_only_udm.target.user.userid、read_only_udm.target.resource.attribute.labels、read_only_udm.additional.fields | 如果“targetResources.0.modifiedProperties.displayName”的值为“TargetId.DeviceId”,则该值会映射到“read_only_udm.target.asset.asset_id”,并带有“Device ID:”前缀。如果“targetResources.0.modifiedProperties.displayName”的值为“DisplayName”或“jobTitle”,则该值会映射到“read_only_udm.target.user.title”。如果“targetResources.0.modifiedProperties.displayName”的值为“WellKnownObjectName”,则该值会映射到“read_only_udm.target.resource.attribute.roles”,并将键设置为“name”。如果“targetResources.0.modifiedProperties.displayName”的值为“displayName”,且“targetResources.0.displayName”为 null,则该值会映射到“read_only_udm.target.user.user_display_name”。如果“targetResources.0.modifiedProperties.displayName”的值为“givenName”,则该值会映射到“read_only_udm.target.user.first_name”。如果“targetResources.0.modifiedProperties.displayName”的值为“surname”,则该值会映射到“read_only_udm.target.user.last_name”。如果“targetResources.0.modifiedProperties.displayName”的值为“department”,则该值会映射到“read_only_udm.target.user.department”。如果“targetResources.0.modifiedProperties.displayName”的值为“physicalDeliveryOfficeName”,则该值会映射到“read_only_udm.target.user.office_address.name”。如果“targetResources.0.modifiedProperties.displayName”的值为“employeeId”,则该值会映射到“read_only_udm.target.user.employee_id”。如果“targetResources.0.modifiedProperties.displayName”的值为“mobile”,则该值会映射到“read_only_udm.target.user.phone_numbers”。如果“targetResources.0.modifiedProperties.displayName”的值为“MailNickname”,则该值会映射到“read_only_udm.target.user.userid”。否则,该值会映射到“read_only_udm.target.resource.attribute.labels”,并将键设置为“targetResources.0.modifiedProperties.displayName”的值。该值还会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.newValue {index}”。 |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | 该值会映射到“read_only_udm.src.resource.attribute.labels”,并将键设置为“targetResources.0.modifiedProperties.displayName”的值。该值还会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.oldValue {index}”。 |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | 直接从原始日志字段“targetResources.0.type”进行映射。如果值为“ServicePrincipal”,则“read_only_udm.target.resource.resource_type”设置为“SERVICE_ACCOUNT”。如果值为“Device”,则将“read_only_udm.target.resource.resource_type”设置为“DEVICE”。否则,“read_only_udm.target.resource.resource_type”将设置为“UNSPECIFIED”。如果值为“User”或“ServicePrincipal”,则“targetResources.0.userPrincipalName”的值会映射到“read_only_udm.target.user.userid”,“targetResources.0.id”的值会映射到“read_only_udm.target.user.product_object_id”,“targetResources.0.displayName”的值会映射到“read_only_udm.target.user.user_display_name”。如果值为“Group”,则“targetResources.0.id”的值会映射到“read_only_udm.target.group.product_object_id”,而“targetResources.0.displayName”的值会映射到“read_only_udm.target.group.group_display_name”。 |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.target.user.email_addresses”。否则,它会映射到“read_only_udm.target.user.userid”。 |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | 如果“targetResources.type”的值为“User”或“ServicePrincipal”,则该值会映射到“read_only_udm.about.user.user_display_name”和“read_only_udm.about.user.userid”。如果“targetResources.type”的值为“Group”,则该值会映射到“read_only_udm.about.group.group_display_name”。“targetResources.groupType”的值映射到“read_only_udm.about.group.attribute.labels”,并将键设置为“groupType”。否则,该值会映射到“read_only_udm.about.resource.name”。 |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | 直接从原始日志字段“targetResources.groupType”进行映射。“read_only_udm.about.group.attribute.labels”的键设置为“groupType”。 |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | 如果“targetResources.type”的值为“User”或“ServicePrincipal”,则该值会映射到“read_only_udm.about.user.product_object_id”。如果“targetResources.type”的值为“Group”,则该值会映射到“read_only_udm.about.group.product_object_id”。否则,该值会映射到“read_only_udm.about.resource.product_object_id”。 |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | 该值会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.displayname {index}”。 |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | 该值会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.newValue {index}”。 |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | 该值会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.oldValue {index}”。 |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | 直接从原始日志字段“targetResources.type”进行映射。如果值为“ServicePrincipal”,则“read_only_udm.about.resource.resource_type”设置为“SERVICE_ACCOUNT”。如果值为“Device”,则“read_only_udm.about.resource.resource_type”设置为“DEVICE”。否则,“read_only_udm.about.resource.resource_type”会设置为“UNSPECIFIED”。如果值为“User”或“ServicePrincipal”,则“targetResources.userPrincipalName”的值会映射到“read_only_udm.about.user.userid”,“targetResources.id”的值会映射到“read_only_udm.about.user.product_object_id”,“targetResources.displayName”的值会映射到“read_only_udm.about.user.user_display_name”。如果值为“Group”,则“targetResources.id”的值会映射到“read_only_udm.about.group.product_object_id”,“targetResources.displayName”的值会映射到“read_only_udm.about.group.group_display_name”。 |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.about.user.email_addresses”。否则,它会映射到“read_only_udm.about.user.userid”。 |
| tenantId | read_only_udm.additional.fields | 直接从原始日志字段“tenantId”进行映射。“read_only_udm.additional.fields”的键设置为“tenantId”。 |
| 时间 | read_only_udm.metadata.event_timestamp | 直接从原始日志字段“time”进行映射。 |
| userId | read_only_udm.target.user.product_object_id | 直接从原始日志字段“userId”进行映射。该值是根据其他字段的值设置的,包括“activityDisplayName”“principal_userid_present”“target_userid_present”“principal_ip_present”“loggedByService”和“category”。设置该值的逻辑非常复杂,具体取决于这些字段中的值组合。如果“operationName”的值为“Sign-in activity”,则该值设置为“SSO”。该值设置为“Microsoft”。该值设置为“Azure AD Directory Audit”。该值设置为“AZURE_AD_AUDIT”。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。