Microsoft Entra ID-Kontextprotokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Entra ID-Logs (AD) erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Azure Active Directory (AZURE_AD) heißt jetzt Microsoft Entra ID. Azure AD-Audit-Logs (AZURE_AD_AUDIT) sind jetzt Microsoft Entra ID-Audit-Logs.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert.
Hinweise
Für die Aufgaben auf dieser Seite benötigen Sie Folgendes:
- Die Rolle „Globaler Administrator“ oder „Entra ID-Administrator“.
- Einen Entra ID-Mandanten in Azure.
Microsoft Entra ID konfigurieren
Die Erfassung von AZURE_AD_CONTEXT-Logs in Google SecOps erfolgt über die Integration von API-Feeds von Drittanbietern.Dazu müssen Sie eine Microsoft Entra-App erstellen und konfigurieren, die von Google SecOps verwendet wird.
So erstellen und konfigurieren Sie eine Microsoft Entra-App:
- Melden Sie sich im Microsoft Entra Admin Center an.
- Gehen Sie zu Identität > Anwendungen > App-Registrierungen und wählen Sie Neue Registrierung aus.
- Geben Sie im Feld Name den Anzeigenamen für Ihre Anwendung ein.
- Wählen Sie im Abschnitt Unterstützte Kontotypen die gewünschte Option aus, um anzugeben, wer die Anwendung verwenden oder auf die API zugreifen darf.
- Klicken Sie auf Registrieren.
- Rufen Sie die Seite Übersicht auf und kopieren Sie die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Tenant-ID), die zum Konfigurieren des Google Security Operations-Feeds erforderlich sind.
- Klicken Sie auf API-Berechtigungen.
- Klicken Sie auf Berechtigung hinzufügen und wählen Sie im neuen Bereich Microsoft Graph aus.
- Klicken Sie auf Anwendungsberechtigungen.
- Wählen Sie die Berechtigungen AuditLog.Read.All, Directory.Read.All und SecurityEvents.Read.All aus. Achten Sie darauf, dass es sich bei den Berechtigungen um Anwendungsberechtigungen und nicht um delegierte Berechtigungen handelt.
- Klicken Sie auf Administratoreinwilligung für Standardverzeichnis erteilen. Anwendungen sind berechtigt, APIs aufzurufen, wenn sie im Rahmen des Einwilligungsverfahrens von Nutzern oder Administratoren Berechtigungen erhalten.
- Gehen Sie zu Einstellungen > Verwalten.
- Klicken Sie auf Zertifikate und Secrets.
- Klicken Sie auf Neuer geheimer Clientschlüssel. Im Feld Wert wird der Clientschlüssel angezeigt.
- Kopieren Sie den Clientschlüsselwert. Der Wert wird nur zum Zeitpunkt der Erstellung angezeigt und ist für die Azure-App-Registrierung und die Konfiguration des Google Security Operations-Feeds erforderlich.
Weitere Informationen finden Sie unter Microsoft Entra ID App einrichten.
Weitere Informationen zu Microsoft Entra for permissions finden Sie unter Microsoft Entra for permissions.
Feed in Google Security Operations für die Aufnahme von Azure AD-Kontextprotokollen konfigurieren
- Wählen Sie SIEM-Einstellungen > Feeds aus.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie einen eindeutigen Namen für den Feednamen ein.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Azure AD-Organisationskontext als Logtyp aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- OAUTH-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
- OAUTH-Clientschlüssel: Geben Sie den Clientschlüssel an, den Sie zuvor abgerufen haben.
- Mandanten-ID: Geben Sie die zuvor abgerufene Mandanten-ID an.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parsercode wandelt Roh-JSON-Logs aus Azure Active Directory in ein einheitliches Datenmodell (Unified Data Model, UDM) um. Es werden Nutzer- und Administratorinformationen extrahiert, einschließlich Attributen, Rollen, Beziehungen und Labels. Dabei werden verschiedene Dateninkonsistenzen verarbeitet und die Ausgabe mit standardisierten Feldern angereichert.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| businessPhones | user.phone_numbers | Direkt aus dem Feld businessPhones im Rohprotokoll zugeordnet. Mehrere Telefonnummern werden extrahiert und als separate Einträge zugeordnet. |
| Ort | user.personal_address.city | Direkt aus dem Feld city im Rohprotokoll zugeordnet. |
| companyName | user.company_name | Direkt aus dem Feld companyName im Rohprotokoll zugeordnet. |
| Land | user.personal_address.country_or_region | Direkt aus dem Feld country im Rohprotokoll zugeordnet. Wenn country leer ist, wird der Wert aus usageLocation übernommen. |
| createdDateTime | user.attribute.creation_time | Aus dem Feld createdDateTime im Rohprotokoll in das RFC3339-Format konvertierter Zeitstempel. |
| department | user.department | Direkt aus dem Feld department im Rohprotokoll zugeordnet. Mehrere Abteilungen werden extrahiert und als separate Einträge zugeordnet. |
| displayName | user.user_display_name | Direkt aus dem Feld displayName im Rohprotokoll zugeordnet. |
| employeeId | user.employee_id | Direkt aus dem Feld employeeId im Rohprotokoll zugeordnet. Wenn employeeId leer ist, wird der Wert aus extension_employeeNumber übernommen. |
| employeeType | user.attribute.labels.value (Schlüssel: employeeType) | Wird direkt aus dem Feld employeeType im Rohprotokoll zugeordnet und als Label mit dem Schlüssel employeeType hinzugefügt. |
| extension_employeeNumber | user.employee_id | Wird user.employee_id zugeordnet, wenn employeeId leer ist. |
| extension_wfc_AccountType | event.idm.entity.entity.labels.value (Schlüssel: wfc_AccountType) | Wird direkt aus dem Feld extension_wfc_AccountType im Rohprotokoll zugeordnet und als Label mit dem Schlüssel wfc_AccountType hinzugefügt. |
| extension_wfc_AccountingUnitName | event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_AccountingUnitName) | Wird direkt aus dem Feld extension_wfc_AccountingUnitName im Rohprotokoll zugeordnet und als Label mit dem Schlüssel extension_wfc_AccountingUnitName hinzugefügt. |
| extension_wfc_execDescription | event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_execDescription) | Wird direkt aus dem Feld extension_wfc_execDescription im Rohprotokoll zugeordnet und als Label mit dem Schlüssel extension_wfc_execDescription hinzugefügt. |
| extension_wfc_groupDescription | event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_groupDescription) | Wird direkt aus dem Feld extension_wfc_groupDescription im Rohprotokoll zugeordnet und als Label mit dem Schlüssel extension_wfc_groupDescription hinzugefügt. |
| extension_wfc_orgDescription | event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_orgDescription) | Wird direkt aus dem Feld extension_wfc_orgDescription im Rohprotokoll zugeordnet und als Label mit dem Schlüssel extension_wfc_orgDescription hinzugefügt. |
| givenName | user.first_name | Direkt aus dem Feld givenName im Rohprotokoll zugeordnet. |
| gopher-devices | event.idm.entity.relations | Jedem Gerät im gopher-devices-Array wird ein separater Beziehungseintrag zugeordnet. deviceId wird product_object_id zugeordnet, operatingSystem und operatingSystemVersion werden zu platform_version kombiniert, model wird direkt zugeordnet und createdDateTime wird in einen Zeitstempel umgewandelt und created_timestamp zugeordnet. Die Beziehung ist auf OWNS und die Richtung auf UNIDIRECTIONAL festgelegt. |
| gopher-groups | event.idm.entity.relations | Jede Gruppe im gopher-groups-Array wird einem separaten Beziehungseintrag zugeordnet. id ist product_object_id zugeordnet und displayName ist group_display_name zugeordnet. Die Beziehung ist auf MEMBER und die Richtung auf UNIDIRECTIONAL festgelegt. |
| gopher-manager.businessPhones | empmanager.phone_numbers | Wird empmanager.phone_numbers zugeordnet, wenn manager leer ist. |
| gopher-manager.country | empmanager.personal_address.country_or_region | Wird empmanager.personal_address.country_or_region zugeordnet, wenn manager leer ist. Wenn sowohl gopher-manager.country als auch gopher-manager.usageLocation leer sind, wird das Feld leer gelassen. |
| gopher-manager.department | empmanager.department | Wird empmanager.department zugeordnet, wenn manager leer ist. |
| gopher-manager.displayName | empmanager.user_display_name | Wird empmanager.user_display_name zugeordnet, wenn manager leer ist. |
| gopher-manager.employeeId | empmanager.employee_id | Wird empmanager.employee_id zugeordnet, wenn manager leer und gopher-manager.employeeId nicht leer ist. |
| gopher-manager.extension_employeeNumber | empmanager.employee_id | Wird empmanager.employee_id zugeordnet, wenn manager und gopher-manager.employeeId leer sind und gopher-manager.extension_employeeNumber nicht leer ist. |
| gopher-manager.givenName | empmanager.first_name | Wird empmanager.first_name zugeordnet, wenn manager leer ist. |
| gopher-manager.id | empmanager.product_object_id | Wird empmanager.product_object_id zugeordnet, wenn manager leer ist. |
| gopher-manager.jobTitle | empmanager.title | Wird empmanager.title zugeordnet, wenn manager leer ist. |
| gopher-manager.mail | empmanager.email_addresses | Wird empmanager.email_addresses zugeordnet, wenn manager leer ist. |
| gopher-manager.onPremisesImmutableId | user.attribute.labels.value (Schlüssel: gopher-manager onPremisesImmutableId) | Als Label mit dem Schlüssel gopher-manager onPremisesImmutableId zugeordnet. |
| gopher-manager.onPremisesSamAccountName | empmanager.userid | Wird empmanager.userid zugeordnet, wenn manager leer ist. |
| gopher-manager.onPremisesSecurityIdentifier | empmanager.windows_sid | Wird empmanager.windows_sid zugeordnet, wenn manager leer ist. |
| gopher-manager.proxyAddresses | empmanager.email_addresses, empmanager.group_identifiers | Wenn manager leer ist, wird jeder Adresse im gopher-manager.proxyAddresses-Array entweder empmanager.email_addresses oder empmanager.group_identifiers zugewiesen, je nachdem, ob sie mit „smtp“ oder „SMTP“ beginnt. |
| gopher-manager.refreshTokensValidFromDateTime | empmanager.attribute.labels.value (Schlüssel: refreshTokensValidFromDateTime) | Wird als Label mit dem Schlüssel refreshTokensValidFromDateTime zugeordnet, wenn manager leer ist. |
| gopher-manager.streetAddress | empmanager.personal_address.name | Wird empmanager.personal_address.name zugeordnet, wenn manager leer ist. |
| gopher-manager.surname | empmanager.last_name | Wird empmanager.last_name zugeordnet, wenn manager leer ist. |
| gopher-manager.usageLocation | user.attribute.labels.value (Schlüssel: manager_src_usageLocation) | Als Label mit dem Schlüssel manager_src_usageLocation zugeordnet. |
| gopher-manager.userType | empmanager.attribute.roles.name | Wird empmanager.attribute.roles.name zugeordnet, wenn manager leer ist. |
| id | user.product_object_id | Direkt aus dem Feld id im Rohprotokoll zugeordnet. |
| identities | user.attribute.labels.value (Schlüssel: signInType), user.attribute.labels.value (Schlüssel: userPrincipalName) | signInType wird als Label mit dem Schlüssel signInType zugeordnet. Wenn signInType und userPrincipalName nicht leer sind, werden sie kombiniert und als Label mit dem Schlüssel userPrincipalName zugeordnet. |
| jobTitle | user.title | Direkt aus dem Feld jobTitle im Rohprotokoll zugeordnet. |
| user.email_addresses | Direkt aus dem Feld mail im Rohprotokoll zugeordnet. Wenn mail mit „svc-“ beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
|
| mailNickname | user.attribute.labels.value (Schlüssel: mailNickname) | Wird direkt aus dem Feld mailNickname im Rohprotokoll zugeordnet und als Label mit dem Schlüssel mailNickname hinzugefügt. |
| manager.businessPhones | empmanager.phone_numbers | Wird empmanager.phone_numbers zugeordnet, wenn gopher-manager leer ist. |
| manager.city | empmanager.personal_address.city | Wird empmanager.personal_address.city zugeordnet, wenn gopher-manager leer ist. |
| manager.companyName | empmanager.company_name | Wird empmanager.company_name zugeordnet, wenn gopher-manager leer ist. |
| manager.country | empmanager.personal_address.country_or_region | Wird empmanager.personal_address.country_or_region zugeordnet, wenn gopher-manager leer ist. Wenn sowohl manager.country als auch manager.usageLocation leer sind, wird das Feld leer gelassen. |
| manager.department | empmanager.department | Wird empmanager.department zugeordnet, wenn gopher-manager leer ist. |
| manager.displayName | empmanager.user_display_name | Wird empmanager.user_display_name zugeordnet, wenn gopher-manager leer ist. |
| manager.employeeId | empmanager.employee_id | Wird empmanager.employee_id zugeordnet, wenn gopher-manager leer und manager.employeeId nicht leer ist. |
| manager.extension_employeeNumber | empmanager.employee_id | Wird empmanager.employee_id zugeordnet, wenn gopher-manager und manager.employeeId leer sind und manager.extension_employeeNumber nicht leer ist. |
| manager.givenName | empmanager.first_name | Wird empmanager.first_name zugeordnet, wenn gopher-manager leer ist. |
| manager.id | empmanager.product_object_id | Wird empmanager.product_object_id zugeordnet, wenn gopher-manager leer ist. |
| manager.jobTitle | empmanager.title | Wird empmanager.title zugeordnet, wenn gopher-manager leer ist. |
| manager.mail | empmanager.email_addresses | Wird empmanager.email_addresses zugeordnet, wenn gopher-manager leer ist. |
| manager.onPremisesSamAccountName | empmanager.userid | Wird empmanager.userid zugeordnet, wenn gopher-manager leer ist. |
| manager.onPremisesSecurityIdentifier | empmanager.windows_sid | Wird empmanager.windows_sid zugeordnet, wenn gopher-manager leer ist. |
| manager.proxyAddresses | empmanager.email_addresses, empmanager.group_identifiers | Wenn gopher-manager leer ist, wird jeder Adresse im manager.proxyAddresses-Array entweder empmanager.email_addresses oder empmanager.group_identifiers zugewiesen, je nachdem, ob sie mit „smtp“ oder „SMTP“ beginnt. |
| manager.refreshTokensValidFromDateTime | empmanager.attribute.labels.value (Schlüssel: refreshTokensValidFromDateTime) | Wird als Label mit dem Schlüssel refreshTokensValidFromDateTime zugeordnet, wenn gopher-manager leer ist. |
| manager.state | empmanager.personal_address.state | Wird empmanager.personal_address.state zugeordnet, wenn gopher-manager leer ist. |
| manager.streetAddress | empmanager.personal_address.name | Wird empmanager.personal_address.name zugeordnet, wenn gopher-manager leer ist. |
| manager.surname | empmanager.last_name | Wird empmanager.last_name zugeordnet, wenn gopher-manager leer ist. |
| manager.usageLocation | user.attribute.labels.value (key: manager_src_usageLocation), empmanager.personal_address.country_or_region | Als Label mit dem Schlüssel manager_src_usageLocation zugeordnet. Wenn manager.country leer ist, wird der Wert auch empmanager.personal_address.country_or_region zugeordnet. |
| manager.userType | empmanager.attribute.roles.name | Wird empmanager.attribute.roles.name zugeordnet, wenn gopher-manager leer ist. |
| onPremisesDistinguishedName | user.attribute.labels.value (Schlüssel: onPremisesDistinguishedName), user.attribute.labels.value (Schlüssel: onPremisesDistinguishedName-OU-Daten) | Der vollständige Distinguished Name wird als Label mit dem Schlüssel onPremisesDistinguishedName zugeordnet. Der OU-Teil des eindeutigen Namens wird extrahiert und als Label mit dem Schlüssel onPremisesDistinguishedName-OU data zugeordnet. Wenn der OU-Teil „Admin“ enthält, wird user_role.type auf ADMINISTRATOR gesetzt. Wenn „Dienstkonten“ enthalten ist, ist user_role.type auf SERVICE_ACCOUNT festgelegt. |
| onPremisesDomainName | user.group_identifiers, user.attribute.labels.value (Schlüssel: onPremisesDomainName) | Direkt auf user.group_identifiers zugeordnet und als Label mit dem Schlüssel onPremisesDomainName hinzugefügt. |
| onPremisesImmutableId | user.attribute.labels.value (Schlüssel: onPremisesImmutableId) | Wird direkt aus dem Feld onPremisesImmutableId im Rohprotokoll zugeordnet und als Label mit dem Schlüssel onPremisesImmutableId hinzugefügt. |
| onPremisesSamAccountName | user.userid, user.attribute.labels.value (Schlüssel: onPremisesSamAccountName) | Wird user.userid zugeordnet, wenn sAMAccountName leer ist. Wird auch als Label mit dem Schlüssel onPremisesSamAccountName hinzugefügt. |
| onPremisesSecurityIdentifier | user.windows_sid | Direkt aus dem Feld onPremisesSecurityIdentifier im Rohprotokoll zugeordnet. |
| proxyAddresses | user.email_addresses, user.group_identifiers | Jede Adresse im proxyAddresses-Array wird entweder user.email_addresses oder user.group_identifiers zugeordnet, je nachdem, ob sie mit „smtp“ oder „SMTP“ beginnt. Wenn die Adresse mit „smtp“ oder „SMTP“ beginnt, wird das Präfix „smtp:“ oder „SMTP:“ entfernt und die verbleibende E-Mail-Adresse wird extrahiert und user.email_addresses zugeordnet. |
| refreshTokensValidFromDateTime | user.attribute.labels.value (Schlüssel: refreshTokensValidFromDateTime) | Wird direkt aus dem Feld refreshTokensValidFromDateTime im Rohprotokoll zugeordnet und als Label mit dem Schlüssel refreshTokensValidFromDateTime hinzugefügt. |
| sAMAccountName | user.userid | Direkt aus dem Feld sAMAccountName im Rohprotokoll zugeordnet. |
| Status | user.personal_address.state | Direkt aus dem Feld state im Rohprotokoll zugeordnet. |
| streetAddress | user.personal_address.name | Direkt aus dem Feld streetAddress im Rohprotokoll zugeordnet. |
| surname | user.last_name | Direkt aus dem Feld surname im Rohprotokoll zugeordnet. |
| usageLocation | user.personal_address.country_or_region | Wenn country leer ist, wird der Wert user.personal_address.country_or_region zugeordnet. |
| userPrincipalName | user.email_addresses | Direkt aus dem Feld userPrincipalName im Rohprotokoll zugeordnet. Wenn userPrincipalName mit „svc-“ beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
| userType | user.attribute.roles.name | Wird direkt aus dem Feld userType im Rohprotokoll zugeordnet und zu user.attribute.roles.name hinzugefügt. |
| Parserlogik | UDM-Zuordnung | Logik |
| – | event.idm.entity.metadata.vendor_name | Legen Sie diesen Wert auf „Microsoft“ fest. |
| – | event.idm.entity.metadata.product_name | Legen Sie „Azure Active Directory“ fest. |
| – | event.idm.entity.metadata.entity_type | Legen Sie diesen Wert auf „USER“ fest. |
| – | event.idm.entity.metadata.collected_timestamp | Setzen Sie das Feld auf das Feld create_time aus dem Rohprotokoll. |
| accountEnabled | user.user_authentication_status, user.attribute.labels.value (Schlüssel: accountEnabled) | Wenn accountEnabled wahr ist, wird user.user_authentication_status auf „AKTIV“ gesetzt und ein Label mit dem Schlüssel accountEnabled und dem Wert „wahr“ wird hinzugefügt. Andernfalls wird ein Label mit dem Schlüssel accountEnabled und dem Wert „false“ hinzugefügt. |
| empmanager-src.accountEnabled | user.user_authentication_status, user.attribute.labels.value (Schlüssel: accountEnabled) | Wenn manager leer ist und empmanager-src.accountEnabled „wahr“ ist, wird user.user_authentication_status auf „AKTIV“ gesetzt und ein Label mit dem Schlüssel accountEnabled und dem Wert „wahr“ wird hinzugefügt. Andernfalls wird ein Label mit dem Schlüssel accountEnabled und dem Wert „false“ hinzugefügt. |
| onPremisesDistinguishedName | user_role.type | Wenn der OU-Teil des eindeutigen Namens „Admin“ enthält, wird user_role.type auf ADMINISTRATOR gesetzt. Wenn „Dienstkonten“ enthalten ist, ist user_role.type auf SERVICE_ACCOUNT festgelegt. |
| userPrincipalName | user_role.type | Wenn userPrincipalName mit „svc-“ beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
| empmanager-src.onPremisesDistinguishedName | manager_role.type | Wenn gopher-manager leer ist und der OU-Teil des Distinguished Names des Managers „Nutzer“ enthält, wird manager_role.type auf ADMINISTRATOR festgelegt. Wenn „Dienstkonten“ enthalten ist, ist manager_role.type auf SERVICE_ACCOUNT festgelegt. |
| empmanager-src.userPrincipalName | manager_role.type | Wenn gopher-manager leer ist und empmanager-src.userPrincipalName mit „svc-“ beginnt, wird manager_role.type auf SERVICE_ACCOUNT gesetzt. |
| user_role.type | Wenn mail mit „svc-“ beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
Änderungen
2024-04-29
- „officeLocation“ wurde „entity.location.name“ zugeordnet.
- „extension_wfc_groupDescription“, „extension_wfc_execDescription“, „extension_wfc_orgDescription“, „extension_wfc_AccountingUnitName“ und „extension_wfc_AccountType“ wurden auf „entity.labels“ zugeordnet.
2024-05-02
Fehlerkorrektur:
- Es wurden Prüfungen für das Feld „accountEnabled“ hinzugefügt, um den korrekten Wert in das Feld „entity.user.attribute.labels.value“ zu parsen.
2024-03-14
- „onPremisesImmutableId“ wurde auf „entity.user.attribute.labels“ zugeordnet.
- „gopher-manager.onPremisesImmutableId“ wurde in „entity.user.attribute.labels“ geändert.
2024-01-12
Fehlerkorrektur:
- Die Zuordnung „empmanager-src.usageLocation“ wurde von „entity.user.personal_address.country_or_region“ zu „entity.user.attribute.labels“ geändert.
2023-11-24
Optimierung
- Das Attribut „employeeType“ wurde auf „entity.user.attribute.labels“ zugeordnet.
- Ungültige JSON-Protokolle mit dem Tag „TAG_MALFORMED_MESSAGE“ wurden verworfen.
2023-10-25
Fehlerkorrektur
- Es wurden Null- und „on_error“-Prüfungen für fehlende Werte hinzugefügt.
2023-09-25
Optimierung
- Die Funktion „Umbenennen“ wurde anstelle von „Ersetzen“ hinzugefügt, um „group.displayName“ mit „relation_entity.entity.group.group_display_name“ zu verknüpfen.
- „country“ wurde „user.personal_address.country_or_region“ zugeordnet. Wenn „country“ nicht vorhanden ist, wird „usageLocation“ mit „user.personal_address.country_or_region“ abgeglichen.
2023-02-09
Optimierung
- Vor dem Zuordnen von Daten für das Feld „onPremisesDistinguishedName“ wurde eine Null-Prüfung hinzugefügt.
- Gsub wurde hinzugefügt, um E-Mail-Adressen aus dem Feld „proxyAddresses“ zu extrahieren.
2023-01-23
- „onPremisesExtensionAttributes.extensionAttribute4“ wurde „entity.entity.user.attribute.labels“ zugeordnet, wenn „onPremisesExtensionAttributes.extensionAttribute4“ „Mitarbeiter“ ist.
- Gsub für „onPremisesDistinguishedName“ hinzugefügt, um zusätzliche Backslashes zu entfernen.
2022-12-15
Fehlerkorrektur:
- „mailNickname“ wurde „entity.user.attribute.labels“ zugeordnet.
- „country_n_code“ wurde nur dann „user.manager.personal_address.country_or_region“ zugeordnet, wenn „empmanager-src.usageLocation“ den Wert „null“ hat.
2022-09-19
- Fehlerkorrektur:
- „entity.user.attribute.roles“ wurde „ADMINISTRATOR“ zugeordnet, wenn die OU „Admin“ enthält
2022-08-11
- „accountEnabled“ wurde auf „user.attribute.labels“ zugeordnet
2022-05-16
- Es wurden Zuordnungen für die folgenden Felder hinzugefügt:
- „createdDateTime“ wird auf „entity.user.attribute.creation_time“ zugeordnet
- „accountEnabled“ auf „entity.user.user_authentication_status“
2022-05-09
- Verbesserung: Felder, die mit „extension_GUID_sbuxXXXXXXX“ beginnen, werden je nach Vorkommen im Protokoll „user.attribute.labels“ oder „manager.attribute.labels“ zugeordnet.
2022-03-24
- Verbesserung: Einige fehlende Felder hinzugefügt
- onPremisesSamAccountName, onPremisesDomainName und onPremisesDistinguishedName werden entity.user.attribute.labels zugeordnet.
- Für „signInType“ wird „userPrincipalName“ zu „entity.user.attribute.labels“ zugeordnet.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten