Collecter les journaux de contexte Microsoft Azure AD
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux Microsoft Azure Active Directory (AD) en configurant un flux Google Security Operations.
Azure Active Directory (AZURE_AD) s'appelle désormais Microsoft Entra ID. Les journaux d'audit Azure AD (AZURE_AD_AUDIT) sont désormais des journaux d'audit Microsoft Entra ID.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Un abonnement Azure auquel vous pouvez vous connecter
- Un rôle d'administrateur général ou d'administrateur Azure AD
- Un locataire Azure AD dans Azure
Configurer Azure AD
- Connectez-vous au portail Azure.
- Accédez à Accueil > Enregistrement de l'application, puis sélectionnez une application enregistrée ou enregistrez-en une si vous n'en avez pas encore créé.
- Pour enregistrer une application, dans la section Enregistrement de l'application, cliquez sur Nouvel enregistrement.
- Dans le champ Nom, indiquez le nom à afficher de votre application.
- Dans la section Types de compte compatibles, sélectionnez l'option requise pour spécifier qui peut utiliser l'application ou accéder à l'API.
- Cliquez sur S'inscrire.
- Accédez à la page Vue d'ensemble, puis copiez l'ID (client) de l'application et l'ID du répertoire (locataire), qui sont nécessaires pour configurer le flux Google Security Operations.
- Cliquez sur Autorisations des API.
- Cliquez sur Ajouter une autorisation, puis sélectionnez Microsoft Graph dans le nouveau volet.
- Cliquez sur Autorisations de l'application.
- Sélectionnez les autorisations AuditLog.Read.All, Directory.Read.All et SecurityEvents.Read.All. Assurez-vous que les autorisations sont des autorisations d'application et non des autorisations déléguées.
- Cliquez sur Accorder le consentement administrateur pour l'annuaire par défaut. Les applications sont autorisées à appeler des API lorsqu'elles reçoivent des autorisations de la part des utilisateurs ou des administrateurs dans le cadre du processus de consentement.
- Accédez à Paramètres > Gérer.
- Cliquez sur Certificats et codes secrets.
- Cliquez sur Nouvelle clé secrète client. Le code secret du client s'affiche dans le champ Valeur.
- Copiez la valeur du code secret du client. La valeur n'est affichée qu'au moment de la création. Elle est requise pour l'enregistrement de l'application Azure et pour configurer le flux Google Security Operations.
Configurer des flux
Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :
- Paramètres SIEM> Flux
- Plate-forme de contenu > Packs de contenu
Configurer des flux à partir de Paramètres SIEM > Flux
Pour configurer plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.
Pour configurer un seul flux :
- Accédez à Paramètres SIEM> Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Sur la page suivante, cliquez sur Configurer un seul flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux de contexte Azure AD).
- Sélectionnez API tierce comme type de source.
- Sélectionnez Contexte organisationnel Azure AD comme Type de journal.
- Cliquez sur Suivant.
- Configurez les paramètres d'entrée obligatoires suivants :
- ID client OAUTH : spécifiez l'ID client que vous avez obtenu précédemment.
- Code secret du client OAUTH : spécifiez le code secret du client que vous avez obtenu précédemment.
- ID de locataire : spécifiez l'ID de locataire que vous avez obtenu précédemment.
- Cliquez sur Suivant, puis sur Envoyer.
Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences de chaque type de flux, consultez Configuration des flux par type. Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.
Configurer des flux depuis le Hub de contenu
Indiquez les valeurs des champs suivants :
- ID client OAUTH : spécifiez l'ID client que vous avez obtenu précédemment.
- Code secret du client OAUTH : spécifiez le code secret du client que vous avez obtenu précédemment.
- ID de locataire : spécifiez l'ID de locataire que vous avez obtenu précédemment.
Options avancées
- Nom du flux : valeur préremplie qui identifie le flux.
- Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
- Espace de noms de l'élément : espace de noms associé au flux.
- Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
Référence du mappage de champs
Ce code d'analyseur transforme les journaux bruts au format JSON d'Azure Active Directory en modèle de données unifié (UDM). Il extrait les informations sur les utilisateurs et les administrateurs, y compris les attributs, les rôles, les relations et les libellés, tout en gérant diverses incohérences de données et en enrichissant la sortie avec des champs standardisés.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| businessPhones | user.phone_numbers | Mappé directement à partir du champ businessPhones dans le journal brut. Plusieurs numéros de téléphone sont extraits et mappés en tant qu'entrées distinctes. |
| city | user.personal_address.city | Mappé directement à partir du champ city dans le journal brut. |
| companyName | user.company_name | Mappé directement à partir du champ companyName dans le journal brut. |
| pays | user.personal_address.country_or_region | Mappé directement à partir du champ country dans le journal brut. Si country est vide, la valeur est extraite de usageLocation. |
| createdDateTime | user.attribute.creation_time | Converti en code temporel à partir du champ createdDateTime du journal brut au format RFC 3339. |
| department | user.department | Mappé directement à partir du champ department dans le journal brut. Plusieurs services sont extraits et mappés en tant qu'entrées distinctes. |
| displayName | user.user_display_name | Mappé directement à partir du champ displayName dans le journal brut. |
| employeeId | user.employee_id | Mappé directement à partir du champ employeeId dans le journal brut. Si employeeId est vide, la valeur est extraite de extension_employeeNumber. |
| employeeType | user.attribute.labels.value (clé : employeeType) | Directement mappé à partir du champ employeeType dans le journal brut et ajouté en tant que libellé avec la clé employeeType. |
| extension_employeeNumber | user.employee_id | Mappé sur user.employee_id si employeeId est vide. |
| extension_wfc_AccountType | event.idm.entity.entity.labels.value (clé : wfc_AccountType) | Directement mappé à partir du champ extension_wfc_AccountType dans le journal brut et ajouté en tant que libellé avec la clé wfc_AccountType. |
| extension_wfc_AccountingUnitName | event.idm.entity.entity.labels.value (clé : extension_wfc_AccountingUnitName) | Directement mappé à partir du champ extension_wfc_AccountingUnitName dans le journal brut et ajouté en tant que libellé avec la clé extension_wfc_AccountingUnitName. |
| extension_wfc_execDescription | event.idm.entity.entity.labels.value (key: extension_wfc_execDescription) | Directement mappé à partir du champ extension_wfc_execDescription dans le journal brut et ajouté en tant que libellé avec la clé extension_wfc_execDescription. |
| extension_wfc_groupDescription | event.idm.entity.entity.labels.value (clé : extension_wfc_groupDescription) | Directement mappé à partir du champ extension_wfc_groupDescription dans le journal brut et ajouté en tant que libellé avec la clé extension_wfc_groupDescription. |
| extension_wfc_orgDescription | event.idm.entity.entity.labels.value (key: extension_wfc_orgDescription) | Directement mappé à partir du champ extension_wfc_orgDescription dans le journal brut et ajouté en tant que libellé avec la clé extension_wfc_orgDescription. |
| givenName | user.first_name | Mappé directement à partir du champ givenName dans le journal brut. |
| gopher-devices | event.idm.entity.relations | Chaque appareil du tableau gopher-devices est mappé sur une entrée de relation distincte. deviceId est mappé sur product_object_id, operatingSystem et operatingSystemVersion sont combinés pour former platform_version, model est directement mappé et createdDateTime est converti en code temporel et mappé sur created_timestamp. La relation est définie sur OWNS et la direction sur UNIDIRECTIONAL. |
| gopher-groups | event.idm.entity.relations | Chaque groupe du tableau gopher-groups est mappé sur une entrée de relation distincte. id est mappé sur product_object_id et displayName est mappé sur group_display_name. La relation est définie sur MEMBER et la direction sur UNIDIRECTIONAL. |
| gopher-manager.businessPhones | empmanager.phone_numbers | Mappé sur empmanager.phone_numbers si manager est vide. |
| gopher-manager.country | empmanager.personal_address.country_or_region | Mappé sur empmanager.personal_address.country_or_region si manager est vide. Si gopher-manager.country et gopher-manager.usageLocation sont tous les deux vides, le champ reste vide. |
| gopher-manager.department | empmanager.department | Mappé sur empmanager.department si manager est vide. |
| gopher-manager.displayName | empmanager.user_display_name | Mappé sur empmanager.user_display_name si manager est vide. |
| gopher-manager.employeeId | empmanager.employee_id | Mappé sur empmanager.employee_id si manager est vide et gopher-manager.employeeId ne l'est pas. |
| gopher-manager.extension_employeeNumber | empmanager.employee_id | Mappé sur empmanager.employee_id si manager et gopher-manager.employeeId sont vides, et gopher-manager.extension_employeeNumber n'est pas vide. |
| gopher-manager.givenName | empmanager.first_name | Mappé sur empmanager.first_name si manager est vide. |
| gopher-manager.id | empmanager.product_object_id | Mappé sur empmanager.product_object_id si manager est vide. |
| gopher-manager.jobTitle | empmanager.title | Mappé sur empmanager.title si manager est vide. |
| gopher-manager.mail | empmanager.email_addresses | Mappé sur empmanager.email_addresses si manager est vide. |
| gopher-manager.onPremisesImmutableId | user.attribute.labels.value (clé : gopher-manager onPremisesImmutableId) | Mappé en tant que libellé avec la clé gopher-manager onPremisesImmutableId. |
| gopher-manager.onPremisesSamAccountName | empmanager.userid | Mappé sur empmanager.userid si manager est vide. |
| gopher-manager.onPremisesSecurityIdentifier | empmanager.windows_sid | Mappé sur empmanager.windows_sid si manager est vide. |
| gopher-manager.proxyAddresses | empmanager.email_addresses, empmanager.group_identifiers | Si manager est vide, chaque adresse du tableau gopher-manager.proxyAddresses est mappée sur empmanager.email_addresses ou empmanager.group_identifiers selon qu'elle commence par "smtp" ou "SMTP". |
| gopher-manager.refreshTokensValidFromDateTime | empmanager.attribute.labels.value (key: refreshTokensValidFromDateTime) | Mappé en tant que libellé avec la clé refreshTokensValidFromDateTime si manager est vide. |
| gopher-manager.streetAddress | empmanager.personal_address.name | Mappé sur empmanager.personal_address.name si manager est vide. |
| gopher-manager.surname | empmanager.last_name | Mappé sur empmanager.last_name si manager est vide. |
| gopher-manager.usageLocation | user.attribute.labels.value (key: manager_src_usageLocation) | Mappé en tant que libellé avec la clé manager_src_usageLocation. |
| gopher-manager.userType | empmanager.attribute.roles.name | Mappé sur empmanager.attribute.roles.name si manager est vide. |
| id | user.product_object_id | Mappé directement à partir du champ id dans le journal brut. |
| identités | user.attribute.labels.value (clé : signInType), user.attribute.labels.value (clé : userPrincipalName) | Le signInType est mappé en tant que libellé avec la clé signInType. Si signInType et userPrincipalName ne sont pas vides, ils sont combinés et mappés en tant que libellé avec la clé userPrincipalName. |
| jobTitle | user.title | Mappé directement à partir du champ jobTitle dans le journal brut. |
| user.email_addresses | Mappé directement à partir du champ mail dans le journal brut. Si mail commence par "svc-", user_role.type est défini sur SERVICE_ACCOUNT. |
|
| mailNickname | user.attribute.labels.value (clé : mailNickname) | Directement mappé à partir du champ mailNickname dans le journal brut et ajouté en tant que libellé avec la clé mailNickname. |
| manager.businessPhones | empmanager.phone_numbers | Mappé sur empmanager.phone_numbers si gopher-manager est vide. |
| manager.city | empmanager.personal_address.city | Mappé sur empmanager.personal_address.city si gopher-manager est vide. |
| manager.companyName | empmanager.company_name | Mappé sur empmanager.company_name si gopher-manager est vide. |
| manager.country | empmanager.personal_address.country_or_region | Mappé sur empmanager.personal_address.country_or_region si gopher-manager est vide. Si manager.country et manager.usageLocation sont tous les deux vides, le champ reste vide. |
| manager.department | empmanager.department | Mappé sur empmanager.department si gopher-manager est vide. |
| manager.displayName | empmanager.user_display_name | Mappé sur empmanager.user_display_name si gopher-manager est vide. |
| manager.employeeId | empmanager.employee_id | Mappé sur empmanager.employee_id si gopher-manager est vide et manager.employeeId ne l'est pas. |
| manager.extension_employeeNumber | empmanager.employee_id | Mappé sur empmanager.employee_id si gopher-manager et manager.employeeId sont vides, et manager.extension_employeeNumber n'est pas vide. |
| manager.givenName | empmanager.first_name | Mappé sur empmanager.first_name si gopher-manager est vide. |
| manager.id | empmanager.product_object_id | Mappé sur empmanager.product_object_id si gopher-manager est vide. |
| manager.jobTitle | empmanager.title | Mappé sur empmanager.title si gopher-manager est vide. |
| manager.mail | empmanager.email_addresses | Mappé sur empmanager.email_addresses si gopher-manager est vide. |
| manager.onPremisesSamAccountName | empmanager.userid | Mappé sur empmanager.userid si gopher-manager est vide. |
| manager.onPremisesSecurityIdentifier | empmanager.windows_sid | Mappé sur empmanager.windows_sid si gopher-manager est vide. |
| manager.proxyAddresses | empmanager.email_addresses, empmanager.group_identifiers | Si gopher-manager est vide, chaque adresse du tableau manager.proxyAddresses est mappée sur empmanager.email_addresses ou empmanager.group_identifiers selon qu'elle commence par "smtp" ou "SMTP". |
| manager.refreshTokensValidFromDateTime | empmanager.attribute.labels.value (key: refreshTokensValidFromDateTime) | Mappé en tant que libellé avec la clé refreshTokensValidFromDateTime si gopher-manager est vide. |
| manager.state | empmanager.personal_address.state | Mappé sur empmanager.personal_address.state si gopher-manager est vide. |
| manager.streetAddress | empmanager.personal_address.name | Mappé sur empmanager.personal_address.name si gopher-manager est vide. |
| manager.surname | empmanager.last_name | Mappé sur empmanager.last_name si gopher-manager est vide. |
| manager.usageLocation | user.attribute.labels.value (key: manager_src_usageLocation), empmanager.personal_address.country_or_region | Mappé en tant que libellé avec la clé manager_src_usageLocation. Si manager.country est vide, la valeur est également mappée sur empmanager.personal_address.country_or_region. |
| manager.userType | empmanager.attribute.roles.name | Mappé sur empmanager.attribute.roles.name si gopher-manager est vide. |
| onPremisesDistinguishedName | user.attribute.labels.value (key: onPremisesDistinguishedName), user.attribute.labels.value (key: onPremisesDistinguishedName-OU data) | Le nom distinctif complet est mappé en tant que libellé avec la clé onPremisesDistinguishedName. La partie UO du nom distinctif est extraite et mappée en tant que libellé avec la clé onPremisesDistinguishedName-OU data. Si la partie UO contient "Admin", user_role.type est défini sur ADMINISTRATOR. S'il contient "Comptes de service", user_role.type est défini sur SERVICE_ACCOUNT. |
| onPremisesDomainName | user.group_identifiers, user.attribute.labels.value (key: onPremisesDomainName) | Directement mappé sur user.group_identifiers et ajouté en tant que libellé avec la clé onPremisesDomainName. |
| onPremisesImmutableId | user.attribute.labels.value (clé : onPremisesImmutableId) | Directement mappé à partir du champ onPremisesImmutableId dans le journal brut et ajouté en tant que libellé avec la clé onPremisesImmutableId. |
| onPremisesSamAccountName | user.userid, user.attribute.labels.value (key: onPremisesSamAccountName) | Mappé sur user.userid si sAMAccountName est vide. Elle est également ajoutée en tant que libellé avec la clé onPremisesSamAccountName. |
| onPremisesSecurityIdentifier | user.windows_sid | Mappé directement à partir du champ onPremisesSecurityIdentifier dans le journal brut. |
| proxyAddresses | user.email_addresses, user.group_identifiers | Chaque adresse du tableau proxyAddresses est associée à user.email_addresses ou user.group_identifiers selon qu'elle commence par "smtp" ou "SMTP". Si l'adresse commence par "smtp" ou "SMTP", le préfixe "smtp:" ou "SMTP:" est supprimé, et l'adresse e-mail restante est extraite et associée à user.email_addresses. |
| refreshTokensValidFromDateTime | user.attribute.labels.value (clé : refreshTokensValidFromDateTime) | Directement mappé à partir du champ refreshTokensValidFromDateTime dans le journal brut et ajouté en tant que libellé avec la clé refreshTokensValidFromDateTime. |
| sAMAccountName | user.userid | Mappé directement à partir du champ sAMAccountName dans le journal brut. |
| state | user.personal_address.state | Mappé directement à partir du champ state dans le journal brut. |
| streetAddress | user.personal_address.name | Mappé directement à partir du champ streetAddress dans le journal brut. |
| surname | user.last_name | Mappé directement à partir du champ surname dans le journal brut. |
| usageLocation | user.personal_address.country_or_region | Si country est vide, la valeur est mappée sur user.personal_address.country_or_region. |
| userPrincipalName | user.email_addresses | Mappé directement à partir du champ userPrincipalName dans le journal brut. Si userPrincipalName commence par "svc-", user_role.type est défini sur SERVICE_ACCOUNT. |
| userType | user.attribute.roles.name | Directement mappé à partir du champ userType du journal brut et ajouté à user.attribute.roles.name. |
| Logique de l'analyseur | Mappage UDM | Logique |
| N/A | event.idm.entity.metadata.vendor_name | Défini sur "Microsoft". |
| N/A | event.idm.entity.metadata.product_name | Définissez la valeur sur "Azure Active Directory". |
| N/A | event.idm.entity.metadata.entity_type | Définissez-le sur "USER" (UTILISATEUR). |
| N/A | event.idm.entity.metadata.collected_timestamp | Définissez le champ create_time à partir du journal brut. |
| accountEnabled | user.user_authentication_status, user.attribute.labels.value (clé : accountEnabled) | Si accountEnabled est défini sur "true", user.user_authentication_status est défini sur "ACTIVE" et un libellé avec la clé accountEnabled et la valeur "true" est ajouté. Sinon, un libellé avec la clé accountEnabled et la valeur "false" est ajouté. |
| empmanager-src.accountEnabled | user.user_authentication_status, user.attribute.labels.value (clé : accountEnabled) | Si manager est vide et que empmanager-src.accountEnabled est défini sur "true", user.user_authentication_status est défini sur "ACTIVE" et un libellé avec la clé accountEnabled et la valeur "true" est ajouté. Sinon, un libellé avec la clé accountEnabled et la valeur "false" est ajouté. |
| onPremisesDistinguishedName | user_role.type | Si la partie UO du nom distinctif contient "Admin", user_role.type est défini sur ADMINISTRATOR. S'il contient "Comptes de service", user_role.type est défini sur SERVICE_ACCOUNT. |
| userPrincipalName | user_role.type | Si userPrincipalName commence par "svc-", user_role.type est défini sur SERVICE_ACCOUNT. |
| empmanager-src.onPremisesDistinguishedName | manager_role.type | Si gopher-manager est vide et que la partie UO du nom distinctif du responsable contient "Users", manager_role.type est défini sur ADMINISTRATOR. S'il contient "Comptes de service", manager_role.type est défini sur SERVICE_ACCOUNT. |
| empmanager-src.userPrincipalName | manager_role.type | Si gopher-manager est vide et que empmanager-src.userPrincipalName commence par "svc-", manager_role.type est défini sur SERVICE_ACCOUNT. |
| user_role.type | Si mail commence par "svc-", user_role.type est défini sur SERVICE_ACCOUNT. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.