Raccogliere i log di Microsoft Azure AD
Supportato in:
Google secops
SIEM
Questo documento descrive come raccogliere i log di Microsoft Azure Active Directory (AD) configurando un feed Google Security Operations.
Azure Active Directory (AZURE_AD) ora si chiama Microsoft Entra ID. I log di controllo di Azure AD
(AZURE_AD_AUDIT) ora sono log di controllo di Microsoft Entra ID.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un abbonamento Azure a cui puoi accedere
- Un ruolo di amministratore globale o amministratore di Azure AD
- Un Azure AD (tenant) in Azure
Come configurare Azure AD
- Accedi al portale Azure.
- Vai a Home > Registrazione app, seleziona un'applicazione registrata o registrala se non ne hai ancora creata una.
- Per registrare un'applicazione, nella sezione Registrazione app, fai clic su Nuova registrazione.
- Nel campo Nome, fornisci il nome visualizzato per l'applicazione.
- Nella sezione Tipi di account supportati, seleziona l'opzione richiesta per specificare chi può utilizzare l'applicazione o accedere all'API.
- Fai clic su Register (Registrati).
- Vai alla pagina Panoramica e copia l'ID applicazione (client) e l'ID directory (tenant), necessari per configurare il feed Google Security Operations.
- Fai clic su Autorizzazioni API.
- Fai clic su Aggiungi un'autorizzazione e seleziona Microsoft Graph nel nuovo riquadro.
- Fai clic su Autorizzazioni applicazione.
- Seleziona le autorizzazioni AuditLog.Read.All, Directory.Read.All e SecurityEvents.Read.All. Assicurati che le autorizzazioni siano autorizzazioni applicative e non autorizzazioni delegate.
- Fai clic su Concedi il consenso amministratore per la directory predefinita. Le applicazioni sono autorizzate a chiamare le API quando gli utenti o gli amministratori concedono loro le autorizzazioni nell'ambito della procedura di consenso.
- Vai a Impostazioni > Gestisci.
- Fai clic su Certificati e secret.
- Fai clic su Nuovo segreto client. Nel campo Valore viene visualizzato il client secret.
- Copia il valore del client secret. Il valore viene visualizzato solo al momento della creazione ed è necessario per la registrazione dell'app Azure e per configurare il feed Google Security Operations.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed
- Hub dei contenuti > Pacchetti di contenuti
Configurare i feed da Impostazioni SIEM > Feed
Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Per configurare un singolo feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed. Ignora questo passaggio se utilizzi la piattaforma autonoma Google SecOps SIEM.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Azure AD.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Azure AD come Tipo di log.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- ID client OAUTH: specifica l'ID client che hai ottenuto in precedenza.
- Client secret OAUTH: specifica il client secret che hai ottenuto in precedenza.
- ID tenant: specifica l'ID tenant che hai ottenuto in precedenza.
- Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione sui feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Configurare i feed dall'hub dei contenuti
Specifica i valori per i seguenti campi:
- ID client OAUTH: specifica l'ID client che hai ottenuto in precedenza.
- Client secret OAUTH: specifica il client secret che hai ottenuto in precedenza.
- ID tenant: specifica l'ID tenant che hai ottenuto in precedenza.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
- Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Riferimento alla mappatura dei campi
Questo codice del parser trasforma i log Azure AD non elaborati in formato JSON in un modello Unified Data Model (UDM). Innanzitutto, normalizza i dati rimuovendo i campi non necessari, poi estrae le informazioni pertinenti, come i dettagli dell'utente, i timestamp e i dettagli dell'evento, mappandoli ai campi UDM corrispondenti per una rappresentazione e un'analisi coerenti.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp.seconds | Il valore viene estratto dal campo activityDateTime e convertito in secondi trascorsi da epoca. |
| activityDisplayName | read_only_udm.security_result.summary | Il valore viene mappato direttamente dal campo activityDisplayName. |
| additionalDetails.0.value | read_only_udm.network.http.user_agent | Il valore viene mappato direttamente dal campo additionalDetails.0.value. |
| additionalDetails.1.key | read_only_udm.target.resource.attribute.labels.key | Il valore viene mappato direttamente dal campo additionalDetails.1.key. |
| additionalDetails.1.value | read_only_udm.target.resource.attribute.labels.value | Il valore viene mappato direttamente dal campo additionalDetails.1.value. |
| am_category | read_only_udm.metadata.description | Il valore viene mappato direttamente dal campo am_category. |
| am_tenantId | read_only_udm.metadata.product_deployment_id | Il valore viene mappato direttamente dal campo am_tenantId. |
| appDisplayName | read_only_udm.target.application | Il valore viene mappato direttamente dal campo appDisplayName. Se appDisplayName è vuoto, il valore viene estratto da resourceDisplayName. |
| appId | read_only_udm.target.resource.attribute.labels.value | Il valore viene mappato direttamente dal campo appId. |
| appliedConditionalAccessPolicies.displayName | read_only_udm.about.user.user_display_name | Il valore viene mappato direttamente dal campo appliedConditionalAccessPolicies.displayName. |
| appliedConditionalAccessPolicies.enforcedGrantControls | read_only_udm.security_result.rule_labels.value | Il valore viene mappato direttamente dal campo appliedConditionalAccessPolicies.enforcedGrantControls. |
| appliedConditionalAccessPolicies.enforcedSessionControls | read_only_udm.security_result.rule_labels.value | Il valore viene mappato direttamente dal campo appliedConditionalAccessPolicies.enforcedSessionControls. |
| appliedConditionalAccessPolicies.id | read_only_udm.about.user.userid | Il valore viene mappato direttamente dal campo appliedConditionalAccessPolicies.id. |
| appliedConditionalAccessPolicies.result | read_only_udm.about.labels.value | Il valore viene mappato direttamente dal campo appliedConditionalAccessPolicies.result. |
| authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo authenticationDetails.authenticationMethod. |
| authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo authenticationDetails.authenticationMethodDetail. |
| authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo authenticationDetails.authenticationStepDateTime. |
| authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo authenticationDetails.authenticationStepRequirement. |
| authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo authenticationDetails.authenticationStepResultDetail. |
| authenticationProcessingDetails.key | read_only_udm.additional.fields.key | Il valore viene mappato direttamente dal campo authenticationProcessingDetails.key, con il prefisso "authenticationProcessingDetails - ". |
| authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo authenticationProcessingDetails.value. |
| callerIpAddress | read_only_udm.principal.ip | Il valore viene mappato direttamente dal campo callerIpAddress. |
| callerIpAddress | read_only_udm.principal.asset.ip | Il valore viene mappato direttamente dal campo callerIpAddress. |
| categoria | read_only_udm.metadata.description | Il valore viene mappato direttamente dal campo category. |
| clientAppUsed | read_only_udm.principal.application | Il valore viene mappato direttamente dal campo clientAppUsed. |
| conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo conditionalAccessStatus. |
| correlationId | read_only_udm.network.session_id | Il valore viene mappato direttamente dal campo correlationId. |
| correlationId | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo correlationId. |
| createdDateTime | read_only_udm.metadata.event_timestamp.seconds | Il valore viene estratto dal campo createdDateTime e convertito in secondi trascorsi da epoca. |
| deviceDetail.browser | read_only_udm.network.http.user_agent | Il valore viene mappato direttamente dal campo deviceDetail.browser. |
| deviceDetail.deviceId | read_only_udm.principal.asset.asset_id | Il valore viene mappato direttamente dal campo deviceDetail.deviceId, con il prefisso "ID dispositivo:". |
| deviceDetail.deviceId | read_only_udm.principal.asset_id | Il valore viene mappato direttamente dal campo deviceDetail.deviceId, con il prefisso "ID dispositivo:". |
| deviceDetail.displayName | read_only_udm.principal.asset.hostname | Il valore viene mappato direttamente dal campo deviceDetail.displayName. |
| deviceDetail.isCompliant | read_only_udm.principal.asset.attribute.labels.value | Il valore viene mappato direttamente dal campo deviceDetail.isCompliant. |
| deviceDetail.isManaged | read_only_udm.principal.asset.attribute.labels.value | Il valore viene mappato direttamente dal campo deviceDetail.isManaged. |
| deviceDetail.operatingSystem | read_only_udm.principal.platform_version | Il valore viene mappato direttamente dal campo deviceDetail.operatingSystem. |
| deviceDetail.trustType | read_only_udm.principal.asset.attribute.labels.value | Il valore viene mappato direttamente dal campo deviceDetail.trustType. |
| durationMs | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo durationMs. |
| errorCode | read_only_udm.security_result.rule_id | Il valore viene mappato direttamente dal campo errorCode. |
| identity | read_only_udm.target.user.user_display_name | Il valore viene mappato direttamente dal campo identity se è diverso da userId e non corrisponde a un pattern di indirizzo email. |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | Il valore viene mappato direttamente dal campo initiatedBy.user.displayName. |
| initiatedBy.user.id | read_only_udm.principal.user.userid | Il valore viene mappato direttamente dal campo initiatedBy.user.id. |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip | Il valore viene mappato direttamente dal campo initiatedBy.user.ipAddress. |
| initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | Il valore viene mappato direttamente dal campo initiatedBy.user.ipAddress. |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | Il valore viene mappato direttamente dal campo initiatedBy.user.userPrincipalName se corrisponde a un pattern di indirizzo email. |
| ipAddress | read_only_udm.principal.ip | Il valore viene estratto dal campo ipAddress utilizzando un pattern grok per estrarre l'indirizzo IP. |
| ipAddress | read_only_udm.principal.asset.ip | Il valore viene estratto dal campo ipAddress utilizzando un pattern grok per estrarre l'indirizzo IP. |
| isInteractive | read_only_udm.extensions.auth.mechanism | Il valore viene mappato su "INTERACTIVE" se isInteractive è "true", altrimenti viene mappato su "MECHANISM_OTHER". |
| isInteractive | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo isInteractive. |
| livello | read_only_udm.security_result.severity | Il valore viene mappato dal campo level in base alla seguente logica: * "Information", "Informational", "0", "4" vengono mappati su "INFORMATIONAL". * "Warning", "1", "3" sono mappati su "MEDIUM". * "Error" (Errore) e "2" sono mappati su "ERROR" (ERRORE). * "Critica", "CRITICA", "critical" vengono mappati su "CRITICA". |
| livello | read_only_udm.security_result.severity_details | Il valore viene mappato direttamente dal campo level. |
| location.city | read_only_udm.principal.location.city | Il valore viene mappato direttamente dal campo location.city. |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Il valore viene mappato direttamente dal campo location.countryOrRegion. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | Il valore viene mappato direttamente dal campo location.geoCoordinates.latitude e convertito in un numero in virgola mobile. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Il valore viene mappato direttamente dal campo location.geoCoordinates.latitude e convertito in un numero in virgola mobile. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | Il valore viene mappato direttamente dal campo location.geoCoordinates.longitude e convertito in un numero in virgola mobile. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Il valore viene mappato direttamente dal campo location.geoCoordinates.longitude e convertito in un numero in virgola mobile. |
| location.state | read_only_udm.principal.location.state | Il valore viene mappato direttamente dal campo location.state. |
| networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | Il valore viene generato concatenando tutti i valori dell'array networkLocationDetails.networkNames, separati da virgole. |
| networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo networkLocationDetails.networkType. |
| networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo networkLocationDetails.networkType. |
| operationName | read_only_udm.metadata.event_type | Il valore viene mappato su "USER_LOGIN" se operationName è "Attività di accesso", su "USER_CHANGE_PERMISSIONS" se operationName è "Aggiungi membro al gruppo" e su "USER_RESOURCE_UPDATE_PERMISSIONS" se operationName è "Aggiungi assegnazione di ruolo app all'entità servizio". In caso contrario, il valore viene determinato in base alla presenza di altri campi: * "USER_LOGIN" se has_target_user è "true". * "USER_UNCATEGORIZED" se has_principal_user è "true". * "STATUS_UPDATE" se has_principal è "true". * "GENERIC_EVENT" altrimenti. |
| operationType | read_only_udm.security_result.action_details | Il valore viene mappato direttamente dal campo operationType. |
| properties.activity | read_only_udm.security_result.summary | Il valore viene mappato direttamente dal campo properties.activity. |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp.seconds | Il valore viene estratto dal campo properties.activityDateTime e convertito in secondi trascorsi da epoca. |
| properties.additionalInfo | read_only_udm.network.http.user_agent | Il valore viene estratto dal campo properties.additionalInfo analizzando la stringa JSON ed estraendo il valore corrispondente alla chiave "userAgent". |
| properties.additionalInfo | read_only_udm.target.url | Il valore viene estratto dal campo properties.additionalInfo analizzando la stringa JSON ed estraendo il valore corrispondente alla chiave "alertUrl". |
| properties.appId | read_only_udm.target.resource.attribute.labels.value | Il valore viene mappato direttamente dal campo properties.appId. |
| properties.appDisplayName | read_only_udm.target.application | Il valore viene mappato direttamente dal campo properties.appDisplayName. |
| properties.appliedConditionalAccessPolicies.displayName | read_only_udm.security_result.rule_name | Il valore viene mappato direttamente dal campo properties.appliedConditionalAccessPolicies.displayName. |
| properties.appliedConditionalAccessPolicies.id | read_only_udm.security_result.rule_id | Il valore viene mappato direttamente dal campo properties.appliedConditionalAccessPolicies.id. |
| properties.appliedConditionalAccessPolicies.result | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo properties.appliedConditionalAccessPolicies.result. |
| properties.authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo properties.authenticationDetails.authenticationMethod. |
| properties.authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo properties.authenticationDetails.authenticationMethodDetail. |
| properties.authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo properties.authenticationDetails.authenticationStepDateTime. |
| properties.authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo properties.authenticationDetails.authenticationStepRequirement. |
| properties.authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo properties.authenticationDetails.authenticationStepResultDetail. |
| properties.authenticationProcessingDetails.key | read_only_udm.additional.fields.key | Il valore viene mappato direttamente dal campo properties.authenticationProcessingDetails.key, con il prefisso "properties authenticationProcessingDetails - ". |
| properties.authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.authenticationProcessingDetails.value. |
| properties.authenticationRequirement | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.authenticationRequirement. |
| properties.authenticationRequirementPolicies.detail | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo properties.authenticationRequirementPolicies.detail. |
| properties.authenticationRequirementPolicies.requirementProvider | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo properties.authenticationRequirementPolicies.requirementProvider. |
| properties.clientAppUsed | read_only_udm.principal.application | Il valore viene mappato direttamente dal campo properties.clientAppUsed. |
| properties.conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.conditionalAccessStatus. |
| properties.createdDateTime | read_only_udm.metadata.event_timestamp.seconds | Il valore viene estratto dal campo properties.createdDateTime e convertito in secondi trascorsi da epoca. |
| properties.crossTenantAccessType | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.crossTenantAccessType. |
| properties.detectedDateTime | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.detectedDateTime. |
| properties.detectionTimingType | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.detectionTimingType. |
| properties.homeTenantId | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.homeTenantId. |
| properties.id | read_only_udm.metadata.product_log_id | Il valore viene mappato direttamente dal campo properties.id. |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | Il valore viene mappato direttamente dal campo properties.initiatedBy.user.displayName. |
| properties.initiatedBy.user.id | read_only_udm.principal.user.windows_sid | Il valore viene mappato direttamente dal campo properties.initiatedBy.user.id. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip | Il valore viene mappato direttamente dal campo properties.initiatedBy.user.ipAddress. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | Il valore viene mappato direttamente dal campo properties.initiatedBy.user.ipAddress. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid | Il valore viene mappato direttamente dal campo properties.initiatedBy.user.userPrincipalName se non corrisponde a un pattern di indirizzo email. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | Il valore viene mappato direttamente dal campo properties.initiatedBy.user.userPrincipalName se corrisponde a un pattern di indirizzo email. |
| properties.ipAddress | read_only_udm.principal.ip | Il valore viene estratto dal campo properties.ipAddress utilizzando un pattern grok per estrarre l'indirizzo IP. |
| properties.ipAddress | read_only_udm.principal.asset.ip | Il valore viene estratto dal campo properties.ipAddress utilizzando un pattern grok per estrarre l'indirizzo IP. |
| properties.isGuest | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.isGuest. |
| properties.isDeleted | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.isDeleted. |
| properties.isProcessing | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.isProcessing. |
| properties.lastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.lastUpdatedDateTime. |
| properties.location.city | read_only_udm.principal.location.city | Il valore viene mappato direttamente dal campo properties.location.city. |
| properties.location.countryOrRegion | read_only_udm.principal.location.country_or_region | Il valore viene mappato direttamente dal campo properties.location.countryOrRegion. |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | Il valore viene mappato direttamente dal campo properties.location.geoCoordinates.latitude e convertito in un numero in virgola mobile. |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Il valore viene mappato direttamente dal campo properties.location.geoCoordinates.latitude e convertito in un numero in virgola mobile. |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | Il valore viene mappato direttamente dal campo properties.location.geoCoordinates.longitude e convertito in un numero in virgola mobile. |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Il valore viene mappato direttamente dal campo properties.location.geoCoordinates.longitude e convertito in un numero in virgola mobile. |
| properties.location.state | read_only_udm.principal.location.state | Il valore viene mappato direttamente dal campo properties.location.state. |
| properties.networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | Il valore viene generato concatenando tutti i valori dell'array properties.networkLocationDetails.networkNames, separati da virgole. |
| properties.networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.networkLocationDetails.networkType. |
| properties.networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | Il valore viene mappato direttamente dal campo properties.networkLocationDetails.networkType. |
| properties.resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | Il valore viene mappato direttamente dal campo properties.resourceServicePrincipalId. |
| properties.riskDetail | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.riskDetail. |
| properties.riskEventType | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.riskEventType. |
| properties.riskLastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.riskLastUpdatedDateTime. |
| properties.riskLevel | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.riskLevel. |
| properties.riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.riskLevelDuringSignIn. |
| properties.riskState | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.riskState. |
| properties.riskType | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.riskType. |
| properties.source | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.source. |
| properties.targetResources.0.id | read_only_udm.target.user.product_object_id | Il valore viene mappato direttamente dal campo properties.targetResources.0.id. |
| properties.targetResources.modifiedProperties.0.newValue | read_only_udm.target.group.product_object_id | Il valore viene mappato direttamente dal campo properties.targetResources.modifiedProperties.0.newValue. |
| properties.tokenIssuerType | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo properties.tokenIssuerType. |
| properties.userAgent | read_only_udm.network.http.parsed_user_agent | Il valore viene mappato direttamente dal campo properties.userAgent e convertito in un oggetto user agent analizzato. |
| properties.userAgent | read_only_udm.network.http.user_agent | Il valore viene mappato direttamente dal campo properties.userAgent. |
| properties.userId | read_only_udm.target.user.product_object_id | Il valore viene mappato direttamente dal campo properties.userId. |
| properties.userPrincipalName | read_only_udm.target.user.userid | Il valore viene mappato direttamente dal campo properties.userPrincipalName se non corrisponde a un pattern di indirizzo email. |
| properties.userPrincipalName | read_only_udm.target.user.email_addresses | Il valore viene mappato direttamente dal campo properties.userPrincipalName se corrisponde a un pattern di indirizzo email. |
| result | read_only_udm.security_result.action | Il valore viene mappato su "ALLOW" se result è "success". |
| result | read_only_udm.security_result.action_details | Il valore viene mappato direttamente dal campo result se result è "success". |
| resultDescription | read_only_udm.security_result.description | Il valore viene mappato direttamente dal campo resultDescription. |
| resultSignature | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo resultSignature. |
| resultType | read_only_udm.security_result.action | Il valore viene mappato su "ALLOW" se resultType è "0". |
| resultType | read_only_udm.security_result.rule_id | Il valore viene mappato direttamente dal campo resultType se non è vuoto e non è "0". |
| resultType | read_only_udm.security_result.summary | Il valore viene mappato su "Accesso riuscito" se resultType è "0" e su "Accesso non riuscito" in caso contrario. |
| resourceDisplayName | read_only_udm.target.application | Il valore viene mappato direttamente dal campo resourceDisplayName. |
| resourceDisplayName | read_only_udm.target.resource.name | Il valore viene mappato direttamente dal campo resourceDisplayName. |
| resourceId | read_only_udm.target.resource.id | Il valore viene mappato direttamente dal campo resourceId. |
| resourceId | read_only_udm.target.resource.product_object_id | Il valore viene mappato direttamente dal campo resourceId. |
| resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | Il valore viene mappato direttamente dal campo resourceServicePrincipalId. |
| riskDetail | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo riskDetail. |
| riskEventTypes | read_only_udm.additional.fields.value.string_value | Il valore viene estratto dall'array riskEventTypes e mappato a un valore stringa nell'array additional.fields. |
| riskEventTypes | read_only_udm.additional.fields.value.list_value.values.string_value | Il valore viene mappato direttamente da ogni elemento dell'array riskEventTypes. |
| riskEventTypes_v2 | read_only_udm.additional.fields.value.list_value.values.string_value | Il valore viene mappato direttamente da ogni elemento dell'array riskEventTypes_v2. |
| riskLevelAggregated | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo riskLevelAggregated. |
| riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo riskLevelDuringSignIn. |
| riskState | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo riskState. |
| status.additionalDetails | read_only_udm.security_result.description | Il valore viene mappato direttamente dal campo status.additionalDetails. |
| status.errorCode | read_only_udm.security_result.action | Il valore viene mappato su "ALLOW" se status.errorCode è "0". |
| status.errorCode | read_only_udm.security_result.rule_id | Il valore viene mappato direttamente dal campo status.errorCode se non è vuoto. |
| status.errorCode | read_only_udm.security_result.summary | Il valore viene mappato su "Accesso riuscito" se status.errorCode è "0" e su "Accesso non riuscito" in caso contrario. |
| status.failureReason | read_only_udm.additional.fields.value.string_value | Il valore viene mappato direttamente dal campo status.failureReason. |
| targetResources.displayName | read_only_udm.target.resource.name | Il valore viene mappato direttamente dal campo targetResources.displayName. |
| targetResources.id | read_only_udm.target.resource.id | Il valore viene mappato direttamente dal campo targetResources.id. |
| targetResources.id | read_only_udm.target.resource.product_object_id | Il valore viene mappato direttamente dal campo targetResources.id. |
| targetResources.modifiedProperties.displayName | read_only_udm.target.resource.attribute.labels.key | Il valore viene mappato direttamente dal campo targetResources.modifiedProperties.displayName. |
| targetResources.modifiedProperties.newValue | read_only_udm.target.resource.attribute.labels.value | Il valore viene mappato direttamente dal campo targetResources.modifiedProperties.newValue dopo la rimozione delle virgolette doppie. |
| targetResources.modifiedProperties.oldValue | read_only_udm.target.resource.attribute.labels.value | Il valore viene mappato direttamente dal campo targetResources.modifiedProperties.oldValue. |
| targetResources.type | read_only_udm.target.resource.type | Il valore viene mappato direttamente dal campo targetResources.type. |
| targetResources.userPrincipalName | read_only_udm.target.user.user_display_name | Il valore viene mappato direttamente dal campo targetResources.userPrincipalName. |
| tenantId | read_only_udm.metadata.product_deployment_id | Il valore viene mappato direttamente dal campo tenantId. |
| tempo | read_only_udm.metadata.event_timestamp.seconds | Il valore viene estratto dal campo time e convertito in secondi trascorsi da epoca. |
| userAgent | read_only_udm.network.http.parsed_user_agent | Il valore viene mappato direttamente dal campo userAgent e convertito in un oggetto user agent analizzato. |
| userAgent | read_only_udm.network.http.user_agent | Il valore viene mappato direttamente dal campo userAgent. |
| userDisplayName | read_only_udm.target.user.user_display_name | Il valore viene mappato direttamente dal campo userDisplayName se è diverso da userId e non corrisponde a un pattern di indirizzo email. |
| userPrincipalName | read_only_udm.principal.administrative_domain | La parte del dominio dell'indirizzo email viene estratta dal campo userPrincipalName utilizzando un pattern grok e mappata al campo principal.administrative_domain. |
| userPrincipalName | read_only_udm.target.user.email_addresses | Il valore viene mappato direttamente dal campo userPrincipalName se corrisponde a un pattern di indirizzo email. |
| userPrincipalName | read_only_udm.target.user.userid | Il valore viene mappato direttamente dal campo userPrincipalName se non corrisponde a un pattern di indirizzo email. |
| userId | read_only_udm.target.user.product_object_id | Il valore viene mappato direttamente dal campo userId. |
| read_only_udm.metadata.log_type | AZURE_AD | Questo valore è hardcoded nel parser. |
| read_only_udm.metadata.vendor_name | Microsoft | Questo valore è hardcoded nel parser. |
| read_only_udm.metadata.product_name | Azure AD | Questo valore è hardcoded nel parser. |
| read_only_udm.extensions.auth.type | SSO | Questo valore è hardcoded nel parser. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.