收集 Microsoft Entra ID 稽核記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何設定 Google Security Operations 資訊提供,以收集 Microsoft Entra ID (AD) 記錄。
Azure Active Directory (AZURE_AD) 現在稱為 Microsoft Entra ID。Azure AD 稽核記錄 (AZURE_AD_AUDIT) 現在稱為 Microsoft Entra ID 稽核記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。
事前準備
請確認您已完成下列事前準備事項:
- 可登入的 Azure 訂用帳戶
- 全域管理員或 Azure AD 管理員角色
- Azure 中的 Azure AD (租用戶)
如何設定 Azure AD
- 登入 Azure 入口網站。
- 依序前往「首頁」>「應用程式註冊」,選取已註冊的應用程式,或註冊應用程式 (如果尚未建立應用程式)。
- 如要註冊應用程式,請在「App registration」部分點選「New registration」。
- 在「名稱」欄位中,提供應用程式的顯示名稱。
- 在「支援的帳戶類型」部分,選取所需選項,指定可使用應用程式或存取 API 的對象。
- 按一下「註冊」。
- 前往「總覽」頁面,複製應用程式 (用戶端) ID 和目錄 (租戶) ID,這些 ID 是設定 Google Security Operations 資訊動態饋給時的必要資訊。
- 按一下「API 權限」。
- 按一下「Add a permission」,然後在新窗格中選取「Microsoft Graph」。
- 按一下「應用程式權限」。
- 選取「AuditLog.Read.All」、「Directory.Read.All」和「SecurityEvents.Read.All」權限。確認權限為「應用程式權限」,而非「委派權限」。
- 按一下「Grant admin consent for default directory」(為預設目錄授予管理員同意)。應用程式獲得使用者或管理員在同意程序中授予的權限後,即可呼叫 API。
- 依序前往「設定」>「管理」。
- 按一下「憑證和密鑰」。
- 按一下「新增用戶端密碼」。「Value」(值) 欄位會顯示用戶端密碼。
- 複製用戶端密鑰值。這個值只會在建立時顯示,而且是 Azure 應用程式註冊和設定 Google Security Operations 資訊動態饋給的必要條件。
詳情請參閱「如何設定 Microsoft Entra ID 應用程式」。
如要進一步瞭解 Microsoft Entra 權限,請參閱「Microsoft Entra 權限」。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態消息」,設定動態消息
如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
如要設定單一動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Azure AD 稽核記錄」。
- 選取「第三方 API」做為「來源類型」。
- 選取「Azure AD Directory Audit」(Azure AD 目錄稽核) 做為「記錄類型」。
- 點選「下一步」。
- 設定下列必要輸入參數:
- OAUTH 用戶端 ID:指定您先前取得的用戶端 ID。
- OAUTH 用戶端密鑰:指定先前取得的用戶端密鑰。
- 租戶 ID:指定您先前取得的租戶 ID。
- 依序點按「繼續」和「提交」。
如要進一步瞭解 Google Security Operations 動態消息,請參閱 Google Security Operations 動態消息說明文件。如要瞭解各動態饋給類型的規定,請參閱「依類型設定動態饋給」。如果在建立動態饋給時遇到問題,請與 Google Security Operations 支援團隊聯絡。
從內容中心設定動態饋給
為下列欄位指定值:
- OAUTH 用戶端 ID:指定您先前取得的用戶端 ID。
- OAUTH 用戶端密鑰:指定先前取得的用戶端密鑰。
- 租戶 ID:指定您先前取得的租戶 ID。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
欄位對應參考資料
這個剖析器會處理 JSON 格式的 Azure AD 目錄稽核記錄。這項服務會擷取相關欄位、將其轉換為整合式資料模型 (UDM),並使用使用者詳細資料、IP 位址和安全性結果等額外脈絡資訊,擴充資料內容。剖析器也會根據事件的特徵將事件分類,並對應至特定 UDM 事件類型,方便您進行分析。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | 直接對應原始記錄欄位「activityDateTime」。 |
| activityDisplayName | read_only_udm.metadata.product_event_type | 直接對應原始記錄欄位「activityDisplayName」。 |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | 直接從原始記錄欄位「additionalDetails」對應,其中鍵為「ApplicationId」。 |
| additionalDetails.Client | read_only_udm.network.http.user_agent | 直接對應原始記錄欄位「additionalDetails」,其中鍵為「Client」。 |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 直接對應原始記錄欄位「additionalDetails」,其中鍵為「ClientIpAddress」。 |
| additionalDetails.DomainName | read_only_udm.target.hostname、read_only_udm.target.asset.hostname | 直接對應原始記錄欄位「additionalDetails」,其中鍵為「DomainName」。 |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | 直接對應原始記錄欄位「additionalDetails」,其中鍵為「EmailAddress」。 |
| additionalDetails.GrantType | read_only_udm.additional.fields | 直接從原始記錄欄位「additionalDetails」對應,其中鍵為「GrantType」。 |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | 直接對應原始記錄欄位「additionalDetails」,其中鍵為「LocalAccountUsername」。 |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | 直接從原始記錄欄位「additionalDetails」對應,其中鍵為「PhoneNumber」。 |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | 直接對應原始記錄欄位「additionalDetails」,其中鍵為「PolicyId」。 |
| additionalDetails.Scopes | read_only_udm.additional.fields | 直接從原始記錄欄位「additionalDetails」對應,其中鍵為「Scopes」。 |
| additionalDetails.TenantId | read_only_udm.additional.fields | 直接從原始記錄欄位「additionalDetails」對應,其中鍵為「TenantId」。 |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | 直接對應原始記錄欄位「additionalDetails」,其中鍵為「VerificationMethod」。 |
| appId | read_only_udm.target.process.pid | 直接對應原始記錄欄位「appId」。 |
| appliedConditionalAccessPolicies | read_only_udm.about | 「displayName」欄位會對應至「read_only_udm.about.user.user_display_name」,「id」欄位則會對應至「read_only_udm.about.user.userid」。「result」欄位會對應至「read_only_udm.about.labels」,且鍵設為「Result」。 |
| category | read_only_udm.additional.fields、read_only_udm.security_result.category_details | 直接對應原始記錄欄位「category」。「read_only_udm.additional.fields」的鍵設為「log_category」。 |
| callerIpAddress | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 直接對應原始記錄欄位「callerIpAddress」。 |
| clientAppUsed | read_only_udm.principal.application | 直接對應原始記錄欄位「clientAppUsed」。 |
| correlationId | read_only_udm.network.session_id | 直接對應原始記錄欄位「correlationId」。 |
| id | read_only_udm.metadata.product_log_id | 直接從原始記錄欄位「id」對應。 |
| identity | read_only_udm.target.user.userid | 直接從原始記錄欄位「身分」對應。 |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | 直接對應原始記錄欄位「initiatedBy.app.appId」。「read_only_udm.principal.resource.attribute.labels」的鍵設為「應用程式 ID」。 |
| initiatedBy.app.displayName | read_only_udm.principal.application | 直接對應原始記錄欄位「initiatedBy.app.displayName」。 |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | 直接對應原始記錄欄位「initiatedBy.app.servicePrincipalId」。 |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | 直接對應原始記錄欄位「initiatedBy.app.servicePrincipalName」。 |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name、read_only_udm.principal.user.email_addresses | 如果值包含「@」,系統會將其剖析為電子郵件地址,並對應至「read_only_udm.principal.user.email_addresses」。否則會對應至「read_only_udm.principal.user.user_display_name」。 |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | 直接對應原始記錄欄位「initiatedBy.user.id」。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 直接對應原始記錄欄位「initiatedBy.user.ipAddress」。 |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels | 如果值包含「@」,系統會將其剖析為電子郵件地址,並對應至「read_only_udm.principal.user.email_addresses」。否則會對應至「read_only_udm.principal.user.userid」。電子郵件地址的網域部分會對應至「read_only_udm.principal.administrative_domain」。完整值也會對應至「read_only_udm.principal.resource.attribute.labels」,且鍵設為「使用者主體名稱」。 |
| ipAddress | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 直接對應原始記錄欄位「ipAddress」。 |
| 等級 | read_only_udm.security_result.severity、read_only_udm.security_result.severity_details | 該值會轉換為字串,並對應至「read_only_udm.security_result.severity_details」。「read_only_udm.security_result.severity」欄位設為「INFORMATIONAL」。 |
| location.city | read_only_udm.principal.location.city | 直接對應原始記錄欄位「location.city」。 |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | 直接對應原始記錄欄位「location.countryOrRegion」。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 直接對應原始記錄欄位「location.geoCoordinates.latitude」。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 直接對應原始記錄欄位「location.geoCoordinates.longitude」。 |
| location.state | read_only_udm.principal.location.state | 直接對應原始記錄欄位「location.state」。 |
| loggedByService | read_only_udm.additional.fields | 直接對應原始記錄欄位「loggedByService」。「read_only_udm.additional.fields」的鍵設為「loggedByService」。 |
| operationName | read_only_udm.metadata.product_event_type | 直接對應原始記錄欄位「operationName」。 |
| operationType | read_only_udm.security_result.action_details | 直接從原始記錄欄位「operationType」對應。 |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | 直接對應原始記錄欄位「properties.activityDateTime」。 |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | 直接對應原始記錄欄位「properties.activityDisplayName」。 |
| properties.appDisplayName | read_only_udm.target.application | 直接對應原始記錄欄位「properties.appDisplayName」。 |
| properties.category | read_only_udm.security_result.category_details | 直接對應原始記錄欄位「properties.category」。 |
| properties.id | read_only_udm.metadata.product_log_id | 直接對應原始記錄欄位「properties.id」。 |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | 直接從原始記錄欄位「properties.initiatedBy.app.appId」對應。「read_only_udm.principal.resource.attribute.labels」的鍵設為「應用程式 ID」。 |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | 直接對應原始記錄欄位「properties.initiatedBy.app.displayName」。 |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | 直接對應原始記錄欄位「properties.initiatedBy.app.servicePrincipalId」。 |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | 直接對應原始記錄欄位「properties.initiatedBy.app.servicePrincipalName」。 |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name、read_only_udm.principal.user.email_addresses | 如果值包含「@」,系統會將其剖析為電子郵件地址,並對應至「read_only_udm.principal.user.email_addresses」。否則會對應至「read_only_udm.principal.user.user_display_name」。 |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | 直接對應原始記錄欄位「properties.initiatedBy.user.id」。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 直接對應原始記錄欄位「properties.initiatedBy.user.ipAddress」。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels | 如果值包含「@」,系統會將其剖析為電子郵件地址,並對應至「read_only_udm.principal.user.email_addresses」。否則會對應至「read_only_udm.principal.user.userid」。電子郵件地址的網域部分會對應至「read_only_udm.principal.administrative_domain」。完整值也會對應至「read_only_udm.principal.resource.attribute.labels」,且鍵設為「使用者主體名稱」。 |
| properties.loggedByService | read_only_udm.additional.fields | 直接從原始記錄欄位「properties.loggedByService」對應。「read_only_udm.additional.fields」的鍵設為「loggedByService」。 |
| properties.operationType | read_only_udm.security_result.action_details | 直接從原始記錄欄位「properties.operationType」對應。 |
| properties.result | read_only_udm.security_result.summary | 直接對應原始記錄欄位「properties.result」。 |
| properties.resultReason | read_only_udm.security_result.description | 直接對應原始記錄欄位「properties.resultReason」。 |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | 直接對應原始記錄欄位「properties.userPrincipalName」。 |
| result | read_only_udm.security_result.summary、read_only_udm.security_result.action | 直接從原始記錄欄位「result」對應。如果值為「success」,則「read_only_udm.security_result.action」會設為「ALLOW」。如果值為「failure」,則「read_only_udm.security_result.action」會設為「BLOCK」。 |
| resultDescription | read_only_udm.metadata.description、read_only_udm.security_result.description | 直接對應原始記錄欄位「resultDescription」。 |
| resultReason | read_only_udm.security_result.description | 直接對應原始記錄欄位「resultReason」。 |
| resultType | read_only_udm.security_result.rule_id、read_only_udm.security_result.summary、read_only_udm.security_result.action | 直接從原始記錄欄位「resultType」對應。如果值為「0」,則「read_only_udm.security_result.action」會設為「ALLOW」,「read_only_udm.security_result.summary」會設為「Successful login occurred」。否則,「read_only_udm.security_result.action」會設為「BLOCK」,「read_only_udm.security_result.summary」會設為「Failed login occurred」,「read_only_udm.security_result.description」會設為「resultDescription」的值,而「read_only_udm.security_result.severity」會設為「ERROR」。 |
| resourceDisplayName | read_only_udm.target.resource.name | 直接對應原始記錄欄位「resourceDisplayName」。 |
| resourceId | read_only_udm.additional.fields | 直接對應原始記錄欄位「resourceId」。「read_only_udm.additional.fields」的鍵設為「resourceId」。 |
| riskDetail | read_only_udm.additional.fields | 直接對應原始記錄欄位「riskDetail」。「read_only_udm.additional.fields」的鍵設為「riskDetail」。 |
| riskEventTypes | read_only_udm.additional.fields | 直接對應原始記錄欄位「riskEventTypes」。「read_only_udm.additional.fields」的鍵設為「riskEventTypes」。 |
| riskEventTypes_v2 | read_only_udm.additional.fields | 直接對應原始記錄欄位「riskEventTypes_v2」。「read_only_udm.additional.fields」的鍵設為「riskEventTypes_v2」。 |
| riskLevelAggregated | read_only_udm.additional.fields | 直接對應原始記錄欄位「riskLevelAggregated」。「read_only_udm.additional.fields」的鍵設為「riskLevelAggregated」。 |
| riskLevelDuringSignIn | read_only_udm.additional.fields、read_only_udm.security_result.priority | 直接從原始記錄欄位「riskLevelDuringSignIn」對應。「read_only_udm.additional.fields」的鍵設為「riskLevelDuringSignIn」。如果值為「medium」,則「read_only_udm.security_result.priority」會設為「MEDIUM_PRIORITY」。 |
| riskState | read_only_udm.additional.fields | 直接對應原始記錄欄位「riskState」。「read_only_udm.additional.fields」的鍵設為「riskState」。 |
| targetResources.0.displayName | read_only_udm.target.resource.name、read_only_udm.target.user.user_display_name、read_only_udm.target.group.group_display_name | 如果「targetResources.0.type」的值為「User」或「ServicePrincipal」,則該值會對應至「read_only_udm.target.user.user_display_name」。如果「targetResources.0.type」的值為「Group」,則該值會對應至「read_only_udm.target.group.group_display_name」。否則,該值會對應至「read_only_udm.target.resource.name」。 |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | 直接從原始記錄欄位「targetResources.0.groupType」對應。「read_only_udm.target.group.attribute.labels」的鍵設為「groupType」。 |
| targetResources.0.id | read_only_udm.target.resource.product_object_id、read_only_udm.target.user.product_object_id、read_only_udm.target.group.product_object_id | 如果「targetResources.0.type」的值為「User」或「ServicePrincipal」,則該值會對應至「read_only_udm.target.user.product_object_id」。如果「targetResources.0.type」的值為「Group」,則該值會對應至「read_only_udm.target.group.product_object_id」。否則,該值會對應至「read_only_udm.target.resource.product_object_id」。 |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields、read_only_udm.target.asset.asset_id、read_only_udm.target.user.title、read_only_udm.target.resource.attribute.roles、read_only_udm.target.user.user_display_name、read_only_udm.target.user.first_name、read_only_udm.target.user.last_name、read_only_udm.target.user.department、read_only_udm.target.user.office_address.name、read_only_udm.target.user.employee_id、read_only_udm.target.user.phone_numbers、read_only_udm.target.user.userid、read_only_udm.target.resource.attribute.labels、read_only_udm.src.resource.attribute.labels | 值會對應至「read_only_udm.additional.fields」,且索引鍵設為「targetResources.modifiedProperties.displayname {index}」。如果值為「TargetId.DeviceId」,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.asset.asset_id」,並加上「裝置 ID:」前置字元。如果值為「DisplayName」或「jobTitle」,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.user.title」。如果值為「WellKnownObjectName」,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.resource.attribute.roles」,且鍵設為「name」。如果值為「displayName」且「targetResources.0.displayName」為空值,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.user.user_display_name」。如果值為「givenName」,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.user.first_name」。如果值為「surname」,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.user.last_name」。如果值為「department」,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.user.department」。如果值為「physicalDeliveryOfficeName」,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.user.office_address.name」。如果值為「employeeId」,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.user.employee_id」。如果值為「mobile」,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.user.phone_numbers」。如果值為「MailNickname」,則「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.user.userid」。否則,「targetResources.0.modifiedProperties.newValue」的值會對應至「read_only_udm.target.resource.attribute.labels」,且鍵會設為「targetResources.0.modifiedProperties.displayName」的值。「targetResources.0.modifiedProperties.oldValue」的值會對應至「read_only_udm.src.resource.attribute.labels」,且鍵會設為「targetResources.0.modifiedProperties.displayName」的值。 |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id、read_only_udm.target.user.title、read_only_udm.target.resource.attribute.roles、read_only_udm.target.user.user_display_name、read_only_udm.target.user.first_name、read_only_udm.target.user.last_name、read_only_udm.target.user.department、read_only_udm.target.user.office_address.name、read_only_udm.target.user.employee_id、read_only_udm.target.user.phone_numbers、read_only_udm.target.user.userid、read_only_udm.target.resource.attribute.labels、read_only_udm.additional.fields | 如果「targetResources.0.modifiedProperties.displayName」的值為「TargetId.DeviceId」,則該值會對應至「read_only_udm.target.asset.asset_id」,並加上「裝置 ID:」前置字元。如果「targetResources.0.modifiedProperties.displayName」的值為「DisplayName」或「jobTitle」,則該值會對應至「read_only_udm.target.user.title」。如果「targetResources.0.modifiedProperties.displayName」的值為「WellKnownObjectName」,則該值會對應至「read_only_udm.target.resource.attribute.roles」,且鍵設為「name」。如果「targetResources.0.modifiedProperties.displayName」的值為「displayName」,且「targetResources.0.displayName」為空值,則該值會對應至「read_only_udm.target.user.user_display_name」。如果「targetResources.0.modifiedProperties.displayName」的值為「givenName」,則該值會對應至「read_only_udm.target.user.first_name」。如果「targetResources.0.modifiedProperties.displayName」的值為「surname」,則該值會對應至「read_only_udm.target.user.last_name」。如果「targetResources.0.modifiedProperties.displayName」的值為「department」,則該值會對應至「read_only_udm.target.user.department」。如果「targetResources.0.modifiedProperties.displayName」的值為「physicalDeliveryOfficeName」,則該值會對應至「read_only_udm.target.user.office_address.name」。如果「targetResources.0.modifiedProperties.displayName」的值為「employeeId」,則該值會對應至「read_only_udm.target.user.employee_id」。如果「targetResources.0.modifiedProperties.displayName」的值為「mobile」,則該值會對應至「read_only_udm.target.user.phone_numbers」。如果「targetResources.0.modifiedProperties.displayName」的值為「MailNickname」,則該值會對應至「read_only_udm.target.user.userid」。否則,系統會將值對應至「read_only_udm.target.resource.attribute.labels」,並將鍵設為「targetResources.0.modifiedProperties.displayName」的值。該值也會對應至「read_only_udm.additional.fields」,且鍵會設為「targetResources.modifiedProperties.newValue {index}」。 |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels、read_only_udm.additional.fields | 該值會對應至「read_only_udm.src.resource.attribute.labels」,且鍵會設為「targetResources.0.modifiedProperties.displayName」的值。該值也會對應至「read_only_udm.additional.fields」,且鍵會設為「targetResources.modifiedProperties.oldValue {index}」。 |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | 直接從原始記錄欄位「targetResources.0.type」對應。如果值為「ServicePrincipal」,則「read_only_udm.target.resource.resource_type」會設為「SERVICE_ACCOUNT」。如果值為「裝置」,則「read_only_udm.target.resource.resource_type」會設為「DEVICE」。否則,「read_only_udm.target.resource.resource_type」會設為「UNSPECIFIED」。如果值為「User」或「ServicePrincipal」,「targetResources.0.userPrincipalName」的值會對應至「read_only_udm.target.user.userid」,「targetResources.0.id」的值會對應至「read_only_udm.target.user.product_object_id」,「targetResources.0.displayName」的值會對應至「read_only_udm.target.user.user_display_name」。如果值為「群組」,則「targetResources.0.id」的值會對應至「read_only_udm.target.group.product_object_id」,而「targetResources.0.displayName」的值會對應至「read_only_udm.target.group.group_display_name」。 |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid、read_only_udm.target.user.email_addresses | 如果值包含「@」,系統會將其剖析為電子郵件地址,並對應至「read_only_udm.target.user.email_addresses」。否則會對應至「read_only_udm.target.user.userid」。 |
| targetResources.displayName | read_only_udm.about.resource.name、read_only_udm.about.user.userid、read_only_udm.about.user.user_display_name、read_only_udm.about.group.group_display_name、read_only_udm.about.group.attribute.labels | 如果「targetResources.type」的值為「User」或「ServicePrincipal」,則該值會對應至「read_only_udm.about.user.user_display_name」和「read_only_udm.about.user.userid」。如果「targetResources.type」的值為「Group」,則該值會對應至「read_only_udm.about.group.group_display_name」。「targetResources.groupType」的值會對應至「read_only_udm.about.group.attribute.labels」,且鍵設為「groupType」。否則,該值會對應至「read_only_udm.about.resource.name」。 |
| targetResources.groupType | read_only_udm.about.group.attribute.labels、read_only_udm.target.user.group_identifiers | 直接對應原始記錄欄位「targetResources.groupType」。「read_only_udm.about.group.attribute.labels」的鍵設為「groupType」。 |
| targetResources.id | read_only_udm.about.resource.product_object_id、read_only_udm.about.user.product_object_id、read_only_udm.about.group.product_object_id | 如果「targetResources.type」的值為「User」或「ServicePrincipal」,則該值會對應至「read_only_udm.about.user.product_object_id」。如果「targetResources.type」的值為「Group」,則該值會對應至「read_only_udm.about.group.product_object_id」。否則,該值會對應至「read_only_udm.about.resource.product_object_id」。 |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | 值會對應至「read_only_udm.additional.fields」,且索引鍵設為「targetResources.modifiedProperties.displayname {index}」。 |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | 值會對應至「read_only_udm.additional.fields」,且鍵會設為「targetResources.modifiedProperties.newValue {index}」。 |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | 值會對應至「read_only_udm.additional.fields」,且鍵會設為「targetResources.modifiedProperties.oldValue {index}」。 |
| targetResources.type | read_only_udm.about.resource.resource_subtype、read_only_udm.about.resource.resource_type、read_only_udm.about.user.userid、read_only_udm.about.user.product_object_id、read_only_udm.about.user.user_display_name、read_only_udm.about.group.product_object_id、read_only_udm.about.group.group_display_name | 直接對應原始記錄欄位「targetResources.type」。如果值為「ServicePrincipal」,則「read_only_udm.about.resource.resource_type」會設為「SERVICE_ACCOUNT」。如果值為「裝置」,則「read_only_udm.about.resource.resource_type」會設為「DEVICE」。否則,「read_only_udm.about.resource.resource_type」會設為「UNSPECIFIED」。如果值為「User」或「ServicePrincipal」,則「targetResources.userPrincipalName」的值會對應至「read_only_udm.about.user.userid」,「targetResources.id」的值會對應至「read_only_udm.about.user.product_object_id」,「targetResources.displayName」的值會對應至「read_only_udm.about.user.user_display_name」。如果值為「Group」,「targetResources.id」的值會對應至「read_only_udm.about.group.product_object_id」,「targetResources.displayName」的值則會對應至「read_only_udm.about.group.group_display_name」。 |
| targetResources.userPrincipalName | read_only_udm.about.user.userid、read_only_udm.about.user.email_addresses | 如果值包含「@」,系統會將其剖析為電子郵件地址,並對應至「read_only_udm.about.user.email_addresses」。否則會對應至「read_only_udm.about.user.userid」。 |
| tenantId | read_only_udm.additional.fields | 直接對應原始記錄欄位「tenantId」。「read_only_udm.additional.fields」的鍵設為「tenantId」。 |
| 時間 | read_only_udm.metadata.event_timestamp | 直接對應原始記錄欄位「time」。 |
| userId | read_only_udm.target.user.product_object_id | 直接對應原始記錄欄位「userId」。系統會根據其他欄位的值設定此值,包括「activityDisplayName」、「principal_userid_present」、「target_userid_present」、「principal_ip_present」、「loggedByService」和「category」。設定值的邏輯很複雜,取決於這些欄位中的特定值組合。如果「operationName」的值為「Sign-in activity」,則此值會設為「SSO」。值設為「Microsoft」。此值會設為「Azure AD Directory Audit」。此值會設為「AZURE_AD_AUDIT」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。