Microsoft Azure AD-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Azure Active Directory-Logs (AD) erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Azure Active Directory (AZURE_AD) heißt jetzt Microsoft Entra ID. Azure AD-Audit-Logs (AZURE_AD_AUDIT) sind jetzt Microsoft Entra ID-Audit-Logs.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Ein Azure-Abo, bei dem Sie sich anmelden können
- Eine globale Administratorrolle oder eine Azure AD-Administratorrolle
- Ein Azure AD-Mandant in Azure
Azure AD konfigurieren
- Melden Sie sich im Azure an.
- Gehen Sie zu Startseite > App-Registrierung, wählen Sie eine registrierte App aus oder registrieren Sie eine App, falls Sie noch keine erstellt haben.
- Klicken Sie zum Registrieren einer Anwendung im Abschnitt App-Registrierung auf Neue Registrierung.
- Geben Sie im Feld Name den Anzeigenamen für Ihre Anwendung ein.
- Wählen Sie im Abschnitt Unterstützte Kontotypen die erforderliche Option aus, um anzugeben, wer die Anwendung verwenden oder auf die API zugreifen kann.
- Klicken Sie auf Registrieren.
- Rufen Sie die Seite Übersicht auf und kopieren Sie die Anwendungs‑ (Client‑)‑ID und die Verzeichnis‑ (Mandanten‑)‑ID, die zum Konfigurieren des Google Security Operations-Feeds erforderlich sind.
- Klicken Sie auf API-Berechtigungen.
- Klicken Sie auf Berechtigung hinzufügen und wählen Sie im neuen Bereich Microsoft Graph aus.
- Klicken Sie auf Anwendungsberechtigungen.
- Wählen Sie die Berechtigungen AuditLog.Read.All, Directory.Read.All und SecurityEvents.Read.All aus. Die Berechtigungen müssen Anwendungsberechtigungen und nicht delegierte Berechtigungen sein.
- Klicken Sie auf Administratoreinwilligung für das Standardverzeichnis erteilen. Anwendungen dürfen APIs aufrufen, wenn ihnen im Rahmen des Einwilligungsverfahrens Berechtigungen von Nutzern oder Administratoren erteilt werden.
- Rufen Sie die Einstellungen > Verwalten auf.
- Klicken Sie auf Zertifikate und Secrets.
- Klicken Sie auf Neuer geheimer Clientschlüssel. Der Clientschlüssel wird im Feld Wert angezeigt.
- Kopieren Sie den Clientschlüsselwert. Der Wert wird nur bei der Erstellung angezeigt und ist für die Azure-App-Registrierung und die Konfiguration des Google Security Operations-Feeds erforderlich.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub> Content-Pakete
Feeds über die SIEM-Einstellungen > „Feeds“ einrichten
Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.
So konfigurieren Sie einen einzelnen Feed:
- Rufen Sie die SIEM-Einstellungen> Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren. Überspringen Sie diesen Schritt, wenn Sie die eigenständige Google SecOps SIEM-Plattform verwenden.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Azure AD Logs (Azure AD-Protokolle).
- Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie Azure AD als Logtyp aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- OAUTH-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
- OAUTH-Clientschlüssel: Geben Sie den Clientschlüssel an, den Sie zuvor erhalten haben.
- Mandanten-ID: Geben Sie die Mandanten-ID an, die Sie zuvor abgerufen haben.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Feeds über den Content Hub einrichten
Geben Sie Werte für die folgenden Felder an:
- OAUTH-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
- OAUTH-Clientschlüssel: Geben Sie den Clientschlüssel an, den Sie zuvor erhalten haben.
- Mandanten-ID: Geben Sie die Mandanten-ID an, die Sie zuvor abgerufen haben.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
- Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Referenz zur Feldzuordnung
Mit diesem Parsercode werden Rohprotokolle von Azure AD im JSON-Format in ein einheitliches Datenmodell (Unified Data Model, UDM) umgewandelt. Dabei werden die Daten zuerst normalisiert, indem unnötige Felder entfernt werden. Anschließend werden relevante Informationen wie Nutzerdetails, Zeitstempel und Ereignisspezifikationen extrahiert und den entsprechenden UDM-Feldern zugeordnet, um eine einheitliche Darstellung und Analyse zu ermöglichen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld activityDateTime extrahiert und in Sekunden seit der Epoche konvertiert. |
| activityDisplayName | read_only_udm.security_result.summary | Der Wert wird direkt aus dem Feld activityDisplayName übernommen. |
| additionalDetails.0.value | read_only_udm.network.http.user_agent | Der Wert wird direkt aus dem Feld additionalDetails.0.value übernommen. |
| additionalDetails.1.key | read_only_udm.target.resource.attribute.labels.key | Der Wert wird direkt aus dem Feld additionalDetails.1.key übernommen. |
| additionalDetails.1.value | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld additionalDetails.1.value übernommen. |
| am_category | read_only_udm.metadata.description | Der Wert wird direkt aus dem Feld am_category übernommen. |
| am_tenantId | read_only_udm.metadata.product_deployment_id | Der Wert wird direkt aus dem Feld am_tenantId übernommen. |
| appDisplayName | read_only_udm.target.application | Der Wert wird direkt aus dem Feld appDisplayName übernommen. Wenn appDisplayName leer ist, wird der Wert aus resourceDisplayName übernommen. |
| appId | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld appId übernommen. |
| appliedConditionalAccessPolicies.displayName | read_only_udm.about.user.user_display_name | Der Wert wird direkt aus dem Feld appliedConditionalAccessPolicies.displayName übernommen. |
| appliedConditionalAccessPolicies.enforcedGrantControls | read_only_udm.security_result.rule_labels.value | Der Wert wird direkt aus dem Feld appliedConditionalAccessPolicies.enforcedGrantControls übernommen. |
| appliedConditionalAccessPolicies.enforcedSessionControls | read_only_udm.security_result.rule_labels.value | Der Wert wird direkt aus dem Feld appliedConditionalAccessPolicies.enforcedSessionControls übernommen. |
| appliedConditionalAccessPolicies.id | read_only_udm.about.user.userid | Der Wert wird direkt aus dem Feld appliedConditionalAccessPolicies.id übernommen. |
| appliedConditionalAccessPolicies.result | read_only_udm.about.labels.value | Der Wert wird direkt aus dem Feld appliedConditionalAccessPolicies.result übernommen. |
| authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld authenticationDetails.authenticationMethod übernommen. |
| authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld authenticationDetails.authenticationMethodDetail übernommen. |
| authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld authenticationDetails.authenticationStepDateTime übernommen. |
| authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld authenticationDetails.authenticationStepRequirement übernommen. |
| authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld authenticationDetails.authenticationStepResultDetail übernommen. |
| authenticationProcessingDetails.key | read_only_udm.additional.fields.key | Der Wert wird direkt aus dem Feld authenticationProcessingDetails.key zugeordnet und mit „authenticationProcessingDetails – “ vorangestellt. |
| authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld authenticationProcessingDetails.value übernommen. |
| callerIpAddress | read_only_udm.principal.ip | Der Wert wird direkt aus dem Feld callerIpAddress übernommen. |
| callerIpAddress | read_only_udm.principal.asset.ip | Der Wert wird direkt aus dem Feld callerIpAddress übernommen. |
| Kategorie | read_only_udm.metadata.description | Der Wert wird direkt aus dem Feld category übernommen. |
| clientAppUsed | read_only_udm.principal.application | Der Wert wird direkt aus dem Feld clientAppUsed übernommen. |
| conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld conditionalAccessStatus übernommen. |
| correlationId | read_only_udm.network.session_id | Der Wert wird direkt aus dem Feld correlationId übernommen. |
| correlationId | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld correlationId übernommen. |
| createdDateTime | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld createdDateTime extrahiert und in Sekunden seit der Epoche konvertiert. |
| deviceDetail.browser | read_only_udm.network.http.user_agent | Der Wert wird direkt aus dem Feld deviceDetail.browser übernommen. |
| deviceDetail.deviceId | read_only_udm.principal.asset.asset_id | Der Wert wird direkt aus dem Feld deviceDetail.deviceId übernommen und mit „Geräte-ID:“ vorangestellt. |
| deviceDetail.deviceId | read_only_udm.principal.asset_id | Der Wert wird direkt aus dem Feld deviceDetail.deviceId übernommen und mit „Geräte-ID:“ vorangestellt. |
| deviceDetail.displayName | read_only_udm.principal.asset.hostname | Der Wert wird direkt aus dem Feld deviceDetail.displayName übernommen. |
| deviceDetail.isCompliant | read_only_udm.principal.asset.attribute.labels.value | Der Wert wird direkt aus dem Feld deviceDetail.isCompliant übernommen. |
| deviceDetail.isManaged | read_only_udm.principal.asset.attribute.labels.value | Der Wert wird direkt aus dem Feld deviceDetail.isManaged übernommen. |
| deviceDetail.operatingSystem | read_only_udm.principal.platform_version | Der Wert wird direkt aus dem Feld deviceDetail.operatingSystem übernommen. |
| deviceDetail.trustType | read_only_udm.principal.asset.attribute.labels.value | Der Wert wird direkt aus dem Feld deviceDetail.trustType übernommen. |
| durationMs | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld durationMs übernommen. |
| errorCode | read_only_udm.security_result.rule_id | Der Wert wird direkt aus dem Feld errorCode übernommen. |
| identity | read_only_udm.target.user.user_display_name | Der Wert wird direkt aus dem Feld identity übernommen, wenn er sich von userId unterscheidet und kein E-Mail-Adressmuster aufweist. |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | Der Wert wird direkt aus dem Feld initiatedBy.user.displayName übernommen. |
| initiatedBy.user.id | read_only_udm.principal.user.userid | Der Wert wird direkt aus dem Feld initiatedBy.user.id übernommen. |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip | Der Wert wird direkt aus dem Feld initiatedBy.user.ipAddress übernommen. |
| initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | Der Wert wird direkt aus dem Feld initiatedBy.user.ipAddress übernommen. |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | Der Wert wird direkt aus dem Feld initiatedBy.user.userPrincipalName zugeordnet, wenn er einem E-Mail-Adressmuster entspricht. |
| ipAddress | read_only_udm.principal.ip | Der Wert wird aus dem Feld ipAddress extrahiert. Dazu wird ein Grok-Muster verwendet, um die IP-Adresse zu extrahieren. |
| ipAddress | read_only_udm.principal.asset.ip | Der Wert wird aus dem Feld ipAddress extrahiert. Dazu wird ein Grok-Muster verwendet, um die IP-Adresse zu extrahieren. |
| isInteractive | read_only_udm.extensions.auth.mechanism | Der Wert wird „INTERACTIVE“ zugeordnet, wenn isInteractive „true“ ist. Andernfalls wird er „MECHANISM_OTHER“ zugeordnet. |
| isInteractive | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld isInteractive übernommen. |
| level | read_only_udm.security_result.severity | Der Wert wird anhand der folgenden Logik aus dem Feld level abgeleitet: * „Information“, „Informational“, „0“ und „4“ werden „INFORMATIONAL“ zugeordnet. * „Warnung“, „1“ und „3“ werden „MITTEL“ zugeordnet. * „Error“ und „2“ werden „ERROR“ zugeordnet. * „Critical“, „CRITICAL“ und „critical“ werden „CRITICAL“ zugeordnet. |
| level | read_only_udm.security_result.severity_details | Der Wert wird direkt aus dem Feld level übernommen. |
| location.city | read_only_udm.principal.location.city | Der Wert wird direkt aus dem Feld location.city übernommen. |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Der Wert wird direkt aus dem Feld location.countryOrRegion übernommen. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | Der Wert wird direkt aus dem Feld location.geoCoordinates.latitude zugeordnet und in einen Gleitkommawert konvertiert. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Der Wert wird direkt aus dem Feld location.geoCoordinates.latitude zugeordnet und in einen Gleitkommawert konvertiert. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | Der Wert wird direkt aus dem Feld location.geoCoordinates.longitude zugeordnet und in einen Gleitkommawert konvertiert. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Der Wert wird direkt aus dem Feld location.geoCoordinates.longitude zugeordnet und in einen Gleitkommawert konvertiert. |
| location.state | read_only_udm.principal.location.state | Der Wert wird direkt aus dem Feld location.state übernommen. |
| networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | Der Wert wird durch Verketten aller Werte aus dem networkLocationDetails.networkNames-Array generiert, die durch Kommas getrennt sind. |
| networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld networkLocationDetails.networkType übernommen. |
| networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld networkLocationDetails.networkType übernommen. |
| operationName | read_only_udm.metadata.event_type | Der Wert wird „USER_LOGIN“ zugeordnet, wenn operationName „Sign-in activity“ (Anmeldeaktivität) ist, „USER_CHANGE_PERMISSIONS“, wenn operationName „Add member to group“ (Mitglied zur Gruppe hinzufügen) ist, und „USER_RESOURCE_UPDATE_PERMISSIONS“, wenn operationName „Add app role assignment to service principal“ (App-Rollen-Zuweisung zum Dienstprinzipal hinzufügen) ist. Andernfalls wird der Wert anhand des Vorhandenseins anderer Felder bestimmt: * „USER_LOGIN“, wenn has_target_user „true“ ist. * „USER_UNCATEGORIZED“, wenn has_principal_user „true“ ist. * „STATUS_UPDATE“, wenn has_principal „true“ ist. * Andernfalls „GENERIC_EVENT“. |
| operationType | read_only_udm.security_result.action_details | Der Wert wird direkt aus dem Feld operationType übernommen. |
| properties.activity | read_only_udm.security_result.summary | Der Wert wird direkt aus dem Feld properties.activity übernommen. |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld properties.activityDateTime extrahiert und in Sekunden seit der Epoche konvertiert. |
| properties.additionalInfo | read_only_udm.network.http.user_agent | Der Wert wird aus dem Feld properties.additionalInfo extrahiert, indem der JSON-String geparst und der Wert extrahiert wird, der dem Schlüssel „userAgent“ entspricht. |
| properties.additionalInfo | read_only_udm.target.url | Der Wert wird aus dem Feld properties.additionalInfo extrahiert, indem der JSON-String geparst und der Wert extrahiert wird, der dem Schlüssel „alertUrl“ entspricht. |
| properties.appId | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld properties.appId übernommen. |
| properties.appDisplayName | read_only_udm.target.application | Der Wert wird direkt aus dem Feld properties.appDisplayName übernommen. |
| properties.appliedConditionalAccessPolicies.displayName | read_only_udm.security_result.rule_name | Der Wert wird direkt aus dem Feld properties.appliedConditionalAccessPolicies.displayName übernommen. |
| properties.appliedConditionalAccessPolicies.id | read_only_udm.security_result.rule_id | Der Wert wird direkt aus dem Feld properties.appliedConditionalAccessPolicies.id übernommen. |
| properties.appliedConditionalAccessPolicies.result | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.appliedConditionalAccessPolicies.result übernommen. |
| properties.authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationDetails.authenticationMethod übernommen. |
| properties.authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationDetails.authenticationMethodDetail übernommen. |
| properties.authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationDetails.authenticationStepDateTime übernommen. |
| properties.authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationDetails.authenticationStepRequirement übernommen. |
| properties.authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationDetails.authenticationStepResultDetail übernommen. |
| properties.authenticationProcessingDetails.key | read_only_udm.additional.fields.key | Der Wert wird direkt aus dem Feld properties.authenticationProcessingDetails.key übernommen und mit „properties authenticationProcessingDetails – “ vorangestellt. |
| properties.authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.authenticationProcessingDetails.value übernommen. |
| properties.authenticationRequirement | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.authenticationRequirement übernommen. |
| properties.authenticationRequirementPolicies.detail | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationRequirementPolicies.detail übernommen. |
| properties.authenticationRequirementPolicies.requirementProvider | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.authenticationRequirementPolicies.requirementProvider übernommen. |
| properties.clientAppUsed | read_only_udm.principal.application | Der Wert wird direkt aus dem Feld properties.clientAppUsed übernommen. |
| properties.conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.conditionalAccessStatus übernommen. |
| properties.createdDateTime | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld properties.createdDateTime extrahiert und in Sekunden seit der Epoche konvertiert. |
| properties.crossTenantAccessType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.crossTenantAccessType übernommen. |
| properties.detectedDateTime | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.detectedDateTime übernommen. |
| properties.detectionTimingType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.detectionTimingType übernommen. |
| properties.homeTenantId | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.homeTenantId übernommen. |
| properties.id | read_only_udm.metadata.product_log_id | Der Wert wird direkt aus dem Feld properties.id übernommen. |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.displayName übernommen. |
| properties.initiatedBy.user.id | read_only_udm.principal.user.windows_sid | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.id übernommen. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.ipAddress übernommen. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.ipAddress übernommen. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.userPrincipalName übernommen, wenn er kein E-Mail-Adressmuster enthält. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | Der Wert wird direkt aus dem Feld properties.initiatedBy.user.userPrincipalName zugeordnet, wenn er einem E-Mail-Adressmuster entspricht. |
| properties.ipAddress | read_only_udm.principal.ip | Der Wert wird aus dem Feld properties.ipAddress extrahiert. Dazu wird ein Grok-Muster verwendet, um die IP-Adresse zu extrahieren. |
| properties.ipAddress | read_only_udm.principal.asset.ip | Der Wert wird aus dem Feld properties.ipAddress extrahiert. Dazu wird ein Grok-Muster verwendet, um die IP-Adresse zu extrahieren. |
| properties.isGuest | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.isGuest übernommen. |
| properties.isDeleted | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.isDeleted übernommen. |
| properties.isProcessing | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.isProcessing übernommen. |
| properties.lastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.lastUpdatedDateTime übernommen. |
| properties.location.city | read_only_udm.principal.location.city | Der Wert wird direkt aus dem Feld properties.location.city übernommen. |
| properties.location.countryOrRegion | read_only_udm.principal.location.country_or_region | Der Wert wird direkt aus dem Feld properties.location.countryOrRegion übernommen. |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | Der Wert wird direkt aus dem Feld properties.location.geoCoordinates.latitude zugeordnet und in einen Gleitkommawert konvertiert. |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Der Wert wird direkt aus dem Feld properties.location.geoCoordinates.latitude zugeordnet und in einen Gleitkommawert konvertiert. |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | Der Wert wird direkt aus dem Feld properties.location.geoCoordinates.longitude zugeordnet und in einen Gleitkommawert konvertiert. |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Der Wert wird direkt aus dem Feld properties.location.geoCoordinates.longitude zugeordnet und in einen Gleitkommawert konvertiert. |
| properties.location.state | read_only_udm.principal.location.state | Der Wert wird direkt aus dem Feld properties.location.state übernommen. |
| properties.networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | Der Wert wird durch Verketten aller Werte aus dem properties.networkLocationDetails.networkNames-Array generiert, die durch Kommas getrennt sind. |
| properties.networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.networkLocationDetails.networkType übernommen. |
| properties.networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | Der Wert wird direkt aus dem Feld properties.networkLocationDetails.networkType übernommen. |
| properties.resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld properties.resourceServicePrincipalId übernommen. |
| properties.riskDetail | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskDetail übernommen. |
| properties.riskEventType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskEventType übernommen. |
| properties.riskLastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskLastUpdatedDateTime übernommen. |
| properties.riskLevel | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskLevel übernommen. |
| properties.riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskLevelDuringSignIn übernommen. |
| properties.riskState | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskState übernommen. |
| properties.riskType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.riskType übernommen. |
| properties.source | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.source übernommen. |
| properties.targetResources.0.id | read_only_udm.target.user.product_object_id | Der Wert wird direkt aus dem Feld properties.targetResources.0.id übernommen. |
| properties.targetResources.modifiedProperties.0.newValue | read_only_udm.target.group.product_object_id | Der Wert wird direkt aus dem Feld properties.targetResources.modifiedProperties.0.newValue übernommen. |
| properties.tokenIssuerType | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld properties.tokenIssuerType übernommen. |
| properties.userAgent | read_only_udm.network.http.parsed_user_agent | Der Wert wird direkt aus dem Feld properties.userAgent zugeordnet und in ein geparstes User-Agent-Objekt konvertiert. |
| properties.userAgent | read_only_udm.network.http.user_agent | Der Wert wird direkt aus dem Feld properties.userAgent übernommen. |
| properties.userId | read_only_udm.target.user.product_object_id | Der Wert wird direkt aus dem Feld properties.userId übernommen. |
| properties.userPrincipalName | read_only_udm.target.user.userid | Der Wert wird direkt aus dem Feld properties.userPrincipalName übernommen, wenn er kein E-Mail-Adressmuster enthält. |
| properties.userPrincipalName | read_only_udm.target.user.email_addresses | Der Wert wird direkt aus dem Feld properties.userPrincipalName zugeordnet, wenn er einem E-Mail-Adressmuster entspricht. |
| Ergebnis | read_only_udm.security_result.action | Der Wert wird auf „ALLOW“ gesetzt, wenn result „success“ ist. |
| Ergebnis | read_only_udm.security_result.action_details | Der Wert wird direkt aus dem Feld result zugeordnet, wenn result „success“ ist. |
| resultDescription | read_only_udm.security_result.description | Der Wert wird direkt aus dem Feld resultDescription übernommen. |
| resultSignature | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld resultSignature übernommen. |
| resultType | read_only_udm.security_result.action | Der Wert wird „ALLOW“ zugeordnet, wenn resultType „0“ ist. |
| resultType | read_only_udm.security_result.rule_id | Der Wert wird direkt aus dem Feld resultType übernommen, wenn es nicht leer und nicht „0“ ist. |
| resultType | read_only_udm.security_result.summary | Der Wert wird „Erfolgreiche Anmeldung“ zugeordnet, wenn resultType „0“ ist, und „Fehlgeschlagene Anmeldung“ andernfalls. |
| resourceDisplayName | read_only_udm.target.application | Der Wert wird direkt aus dem Feld resourceDisplayName übernommen. |
| resourceDisplayName | read_only_udm.target.resource.name | Der Wert wird direkt aus dem Feld resourceDisplayName übernommen. |
| resourceId | read_only_udm.target.resource.id | Der Wert wird direkt aus dem Feld resourceId übernommen. |
| resourceId | read_only_udm.target.resource.product_object_id | Der Wert wird direkt aus dem Feld resourceId übernommen. |
| resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld resourceServicePrincipalId übernommen. |
| riskDetail | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld riskDetail übernommen. |
| riskEventTypes | read_only_udm.additional.fields.value.string_value | Der Wert wird aus dem Array riskEventTypes extrahiert und einem Stringwert im Array additional.fields zugeordnet. |
| riskEventTypes | read_only_udm.additional.fields.value.list_value.values.string_value | Der Wert wird direkt aus jedem Element des riskEventTypes-Arrays zugeordnet. |
| riskEventTypes_v2 | read_only_udm.additional.fields.value.list_value.values.string_value | Der Wert wird direkt aus jedem Element des riskEventTypes_v2-Arrays zugeordnet. |
| riskLevelAggregated | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld riskLevelAggregated übernommen. |
| riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld riskLevelDuringSignIn übernommen. |
| riskState | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld riskState übernommen. |
| status.additionalDetails | read_only_udm.security_result.description | Der Wert wird direkt aus dem Feld status.additionalDetails übernommen. |
| status.errorCode | read_only_udm.security_result.action | Der Wert wird „ALLOW“ zugeordnet, wenn status.errorCode „0“ ist. |
| status.errorCode | read_only_udm.security_result.rule_id | Der Wert wird direkt aus dem Feld status.errorCode übernommen, wenn es nicht leer ist. |
| status.errorCode | read_only_udm.security_result.summary | Der Wert wird „Erfolgreiche Anmeldung“ zugeordnet, wenn status.errorCode „0“ ist, und „Fehlgeschlagene Anmeldung“ andernfalls. |
| status.failureReason | read_only_udm.additional.fields.value.string_value | Der Wert wird direkt aus dem Feld status.failureReason übernommen. |
| targetResources.displayName | read_only_udm.target.resource.name | Der Wert wird direkt aus dem Feld targetResources.displayName übernommen. |
| targetResources.id | read_only_udm.target.resource.id | Der Wert wird direkt aus dem Feld targetResources.id übernommen. |
| targetResources.id | read_only_udm.target.resource.product_object_id | Der Wert wird direkt aus dem Feld targetResources.id übernommen. |
| targetResources.modifiedProperties.displayName | read_only_udm.target.resource.attribute.labels.key | Der Wert wird direkt aus dem Feld targetResources.modifiedProperties.displayName übernommen. |
| targetResources.modifiedProperties.newValue | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld targetResources.modifiedProperties.newValue zugeordnet, nachdem doppelte Anführungszeichen entfernt wurden. |
| targetResources.modifiedProperties.oldValue | read_only_udm.target.resource.attribute.labels.value | Der Wert wird direkt aus dem Feld targetResources.modifiedProperties.oldValue übernommen. |
| targetResources.type | read_only_udm.target.resource.type | Der Wert wird direkt aus dem Feld targetResources.type übernommen. |
| targetResources.userPrincipalName | read_only_udm.target.user.user_display_name | Der Wert wird direkt aus dem Feld targetResources.userPrincipalName übernommen. |
| tenantId | read_only_udm.metadata.product_deployment_id | Der Wert wird direkt aus dem Feld tenantId übernommen. |
| Zeit | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld time extrahiert und in Sekunden seit der Epoche konvertiert. |
| userAgent | read_only_udm.network.http.parsed_user_agent | Der Wert wird direkt aus dem Feld userAgent zugeordnet und in ein geparstes User-Agent-Objekt konvertiert. |
| userAgent | read_only_udm.network.http.user_agent | Der Wert wird direkt aus dem Feld userAgent übernommen. |
| userDisplayName | read_only_udm.target.user.user_display_name | Der Wert wird direkt aus dem Feld userDisplayName übernommen, wenn er sich von userId unterscheidet und kein E-Mail-Adressmuster aufweist. |
| userPrincipalName | read_only_udm.principal.administrative_domain | Der Domainteil der E-Mail-Adresse wird mit einem Grok-Muster aus dem Feld userPrincipalName extrahiert und dem Feld principal.administrative_domain zugeordnet. |
| userPrincipalName | read_only_udm.target.user.email_addresses | Der Wert wird direkt aus dem Feld userPrincipalName zugeordnet, wenn er einem E-Mail-Adressmuster entspricht. |
| userPrincipalName | read_only_udm.target.user.userid | Der Wert wird direkt aus dem Feld userPrincipalName übernommen, wenn er kein E-Mail-Adressmuster enthält. |
| userId | read_only_udm.target.user.product_object_id | Der Wert wird direkt aus dem Feld userId übernommen. |
| read_only_udm.metadata.log_type | AZURE_AD | Dieser Wert ist im Parser fest codiert. |
| read_only_udm.metadata.vendor_name | Microsoft | Dieser Wert ist im Parser fest codiert. |
| read_only_udm.metadata.product_name | Azure AD | Dieser Wert ist im Parser fest codiert. |
| read_only_udm.extensions.auth.type | SSO, die | Dieser Wert ist im Parser fest codiert. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten