Microsoft Azure AD ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フィードを設定して Microsoft Azure Active Directory(AD)ログを収集する方法について説明します。
Azure Active Directory(AZURE_AD)は Microsoft Entra ID に名称変更されました。Azure AD 監査ログ(AZURE_AD_AUDIT)は、Microsoft Entra ID 監査ログになりました。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。
始める前に
次の前提条件を満たしていることを確認します。
- ログインできる Azure サブスクリプション
- グローバル管理者または Azure AD 管理者のロール
- Azure の Azure AD(テナント)
Azure AD の構成方法
- Azure ポータルにログインします。
- [Home] > [App registration] に移動し、登録済みのアプリケーションを選択するか、まだアプリケーションを作成していない場合はアプリケーションを登録します。
- アプリケーションを登録するには、[App registration] セクションで [New registration] をクリックします。
- [Name] フィールドに、アプリケーションの表示名を入力します。
- [Supported account types] セクションで、必要なオプションを選択して、アプリケーションを使用できるユーザーまたは API にアクセスできるユーザーを指定します。
- [Register] をクリックします。
- [Overview] ページに移動し、Google Security Operations フィードの構成に必要なアプリケーション(クライアント)ID とディレクトリ(テナント)ID をコピーします。
- [API 権限] をクリックします。
- [Add a permission] をクリックし、新しいペインで [Microsoft Graph] を選択します。
- [Application permissions] をクリックします。
- [AuditLog.Read.All]、[Directory.Read.All]、[SecurityEvents.Read.All] 権限を選択します。権限が [委任された権限] ではなく、[アプリケーション権限] であることを確認します。
- [Grant admin consent for default directory] をクリックします。同意プロセスの一環としてユーザーまたは管理者から権限が付与された場合、アプリケーションは API を呼び出す権限を付与されます。
- [Settings] > [Manage] に移動します。
- [Certificates and secrets] をクリックします。
- [New client secret] をクリックします。[Value] フィールドにクライアント シークレットが表示されます。
- クライアント シークレットの値をコピーします。この値は作成時にのみ表示され、Azure アプリの登録と Google Security Operations フィードの構成に必要です。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [Content Hub] > [Content Packs]
[SIEM 設定] > [フィード] でフィードを設定する
このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。
1 つのフィードを設定する手順は次のとおりです。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで、[単一フィードを設定] をクリックします。Google SecOps SIEM スタンドアロン プラットフォームを使用している場合は、この手順をスキップします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Azure AD Logs)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Azure AD] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- OAUTH クライアント ID: 前の手順で取得したクライアント ID を指定します。
- OAUTH クライアント シークレット: 前の手順で取得したクライアント シークレットを指定します。
- テナント ID: 前の手順で取得したテナント ID を指定します。
- [次へ] をクリックしてから、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。 フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
コンテンツ ハブからフィードを設定する
次のフィールドに値を指定します。
- OAUTH クライアント ID: 前の手順で取得したクライアント ID を指定します。
- OAUTH クライアント シークレット: 前の手順で取得したクライアント シークレットを指定します。
- テナント ID: 前の手順で取得したテナント ID を指定します。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- Asset Namespace: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
フィールド マッピング リファレンス
このパーサーコードは、JSON 形式の未加工の Azure AD ログを統合データモデル(UDM)に変換します。まず、不要なフィールドを削除してデータを正規化し、ユーザーの詳細、タイムスタンプ、イベントの詳細などの関連情報を抽出して、対応する UDM フィールドにマッピングし、一貫した表現と分析を実現します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp.seconds | 値は activityDateTime フィールドから抽出され、エポックからの経過秒数に変換されます。 |
| activityDisplayName | read_only_udm.security_result.summary | 値は activityDisplayName フィールドから直接マッピングされます。 |
| additionalDetails.0.value | read_only_udm.network.http.user_agent | 値は additionalDetails.0.value フィールドから直接マッピングされます。 |
| additionalDetails.1.key | read_only_udm.target.resource.attribute.labels.key | 値は additionalDetails.1.key フィールドから直接マッピングされます。 |
| additionalDetails.1.value | read_only_udm.target.resource.attribute.labels.value | 値は additionalDetails.1.value フィールドから直接マッピングされます。 |
| am_category | read_only_udm.metadata.description | 値は am_category フィールドから直接マッピングされます。 |
| am_tenantId | read_only_udm.metadata.product_deployment_id | 値は am_tenantId フィールドから直接マッピングされます。 |
| appDisplayName | read_only_udm.target.application | 値は appDisplayName フィールドから直接マッピングされます。appDisplayName が空の場合、値は resourceDisplayName から取得されます。 |
| appId | read_only_udm.target.resource.attribute.labels.value | 値は appId フィールドから直接マッピングされます。 |
| appliedConditionalAccessPolicies.displayName | read_only_udm.about.user.user_display_name | 値は appliedConditionalAccessPolicies.displayName フィールドから直接マッピングされます。 |
| appliedConditionalAccessPolicies.enforcedGrantControls | read_only_udm.security_result.rule_labels.value | 値は appliedConditionalAccessPolicies.enforcedGrantControls フィールドから直接マッピングされます。 |
| appliedConditionalAccessPolicies.enforcedSessionControls | read_only_udm.security_result.rule_labels.value | 値は appliedConditionalAccessPolicies.enforcedSessionControls フィールドから直接マッピングされます。 |
| appliedConditionalAccessPolicies.id | read_only_udm.about.user.userid | 値は appliedConditionalAccessPolicies.id フィールドから直接マッピングされます。 |
| appliedConditionalAccessPolicies.result | read_only_udm.about.labels.value | 値は appliedConditionalAccessPolicies.result フィールドから直接マッピングされます。 |
| authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | 値は authenticationDetails.authenticationMethod フィールドから直接マッピングされます。 |
| authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | 値は authenticationDetails.authenticationMethodDetail フィールドから直接マッピングされます。 |
| authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | 値は authenticationDetails.authenticationStepDateTime フィールドから直接マッピングされます。 |
| authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | 値は authenticationDetails.authenticationStepRequirement フィールドから直接マッピングされます。 |
| authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | 値は authenticationDetails.authenticationStepResultDetail フィールドから直接マッピングされます。 |
| authenticationProcessingDetails.key | read_only_udm.additional.fields.key | 値は authenticationProcessingDetails.key フィールドから直接マッピングされ、「authenticationProcessingDetails -」という接頭辞が付いています。 |
| authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | 値は authenticationProcessingDetails.value フィールドから直接マッピングされます。 |
| callerIpAddress | read_only_udm.principal.ip | 値は callerIpAddress フィールドから直接マッピングされます。 |
| callerIpAddress | read_only_udm.principal.asset.ip | 値は callerIpAddress フィールドから直接マッピングされます。 |
| カテゴリ | read_only_udm.metadata.description | 値は category フィールドから直接マッピングされます。 |
| clientAppUsed | read_only_udm.principal.application | 値は clientAppUsed フィールドから直接マッピングされます。 |
| conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | 値は conditionalAccessStatus フィールドから直接マッピングされます。 |
| correlationId | read_only_udm.network.session_id | 値は correlationId フィールドから直接マッピングされます。 |
| correlationId | read_only_udm.security_result.detection_fields.value | 値は correlationId フィールドから直接マッピングされます。 |
| createdDateTime | read_only_udm.metadata.event_timestamp.seconds | 値は createdDateTime フィールドから抽出され、エポックからの経過秒数に変換されます。 |
| deviceDetail.browser | read_only_udm.network.http.user_agent | 値は deviceDetail.browser フィールドから直接マッピングされます。 |
| deviceDetail.deviceId | read_only_udm.principal.asset.asset_id | 値は deviceDetail.deviceId フィールドから直接マッピングされ、「Device ID:」という接頭辞が付いています。 |
| deviceDetail.deviceId | read_only_udm.principal.asset_id | 値は deviceDetail.deviceId フィールドから直接マッピングされ、「Device ID:」という接頭辞が付いています。 |
| deviceDetail.displayName | read_only_udm.principal.asset.hostname | 値は deviceDetail.displayName フィールドから直接マッピングされます。 |
| deviceDetail.isCompliant | read_only_udm.principal.asset.attribute.labels.value | 値は deviceDetail.isCompliant フィールドから直接マッピングされます。 |
| deviceDetail.isManaged | read_only_udm.principal.asset.attribute.labels.value | 値は deviceDetail.isManaged フィールドから直接マッピングされます。 |
| deviceDetail.operatingSystem | read_only_udm.principal.platform_version | 値は deviceDetail.operatingSystem フィールドから直接マッピングされます。 |
| deviceDetail.trustType | read_only_udm.principal.asset.attribute.labels.value | 値は deviceDetail.trustType フィールドから直接マッピングされます。 |
| durationMs | read_only_udm.additional.fields.value.string_value | 値は durationMs フィールドから直接マッピングされます。 |
| errorCode | read_only_udm.security_result.rule_id | 値は errorCode フィールドから直接マッピングされます。 |
| ID | read_only_udm.target.user.user_display_name | この値が userId と異なり、メールアドレス パターンと一致しない場合、値は identity フィールドから直接マッピングされます。 |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | 値は initiatedBy.user.displayName フィールドから直接マッピングされます。 |
| initiatedBy.user.id | read_only_udm.principal.user.userid | 値は initiatedBy.user.id フィールドから直接マッピングされます。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip | 値は initiatedBy.user.ipAddress フィールドから直接マッピングされます。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | 値は initiatedBy.user.ipAddress フィールドから直接マッピングされます。 |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | この値がメールアドレスのパターンと一致する場合、値は initiatedBy.user.userPrincipalName フィールドから直接マッピングされます。 |
| ipAddress | read_only_udm.principal.ip | 値は、grok パターンを使用して ipAddress フィールドから抽出され、IP アドレスが抽出されます。 |
| ipAddress | read_only_udm.principal.asset.ip | 値は、grok パターンを使用して ipAddress フィールドから抽出され、IP アドレスが抽出されます。 |
| isInteractive | read_only_udm.extensions.auth.mechanism | isInteractive が「true」の場合、値は「INTERACTIVE」にマッピングされ、それ以外の場合は「MECHANISM_OTHER」にマッピングされます。 |
| isInteractive | read_only_udm.security_result.detection_fields.value | 値は isInteractive フィールドから直接マッピングされます。 |
| level | read_only_udm.security_result.severity | 値は、次のロジックに基づいて level フィールドからマッピングされます: *「Information」、「Informational」、「0」、「4」は「INFORMATIONAL」にマッピングされます。*「Warning」、「1」、「3」は「MEDIUM」にマッピングされます。*「Error」、「2」は「ERROR」にマッピングされます。*「Critical」、「CRITICAL」、「critical」は「CRITICAL」にマッピングされます。 |
| level | read_only_udm.security_result.severity_details | 値は level フィールドから直接マッピングされます。 |
| location.city | read_only_udm.principal.location.city | 値は location.city フィールドから直接マッピングされます。 |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | 値は location.countryOrRegion フィールドから直接マッピングされます。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | 値は location.geoCoordinates.latitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 値は location.geoCoordinates.latitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | 値は location.geoCoordinates.longitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 値は location.geoCoordinates.longitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| location.state | read_only_udm.principal.location.state | 値は location.state フィールドから直接マッピングされます。 |
| networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | 値は、networkLocationDetails.networkNames 配列のすべての値をカンマで区切って連結することで生成されます。 |
| networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | 値は networkLocationDetails.networkType フィールドから直接マッピングされます。 |
| networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | 値は networkLocationDetails.networkType フィールドから直接マッピングされます。 |
| operationName | read_only_udm.metadata.event_type | 値は、operationName が「Sign-in activity」の場合「USER_LOGIN」に、operationName が「Add member to group」の場合「USER_CHANGE_PERMISSIONS」に、operationName が「Add app role assignment to service principal」の場合「USER_RESOURCE_UPDATE_PERMISSIONS」にマッピングされます。それ以外の場合、値は他のフィールドの存在に基づいて決定されます: * has_target_user が「true」の場合は「USER_LOGIN」。* has_principal_user が「true」の場合は「USER_UNCATEGORIZED」。* has_principal が「true」の場合は「STATUS_UPDATE」。* それ以外の場合は「GENERIC_EVENT」。 |
| operationType | read_only_udm.security_result.action_details | 値は operationType フィールドから直接マッピングされます。 |
| properties.activity | read_only_udm.security_result.summary | 値は properties.activity フィールドから直接マッピングされます。 |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp.seconds | 値は properties.activityDateTime フィールドから抽出され、エポックからの経過秒数に変換されます。 |
| properties.additionalInfo | read_only_udm.network.http.user_agent | 値は、JSON 文字列を解析し、キー「userAgent」に対応する値を抽出することで、properties.additionalInfo フィールドから抽出されます。 |
| properties.additionalInfo | read_only_udm.target.url | 値は、JSON 文字列を解析し、キー「alertUrl」に対応する値を抽出することで、properties.additionalInfo フィールドから抽出されます。 |
| properties.appId | read_only_udm.target.resource.attribute.labels.value | 値は properties.appId フィールドから直接マッピングされます。 |
| properties.appDisplayName | read_only_udm.target.application | 値は properties.appDisplayName フィールドから直接マッピングされます。 |
| properties.appliedConditionalAccessPolicies.displayName | read_only_udm.security_result.rule_name | 値は properties.appliedConditionalAccessPolicies.displayName フィールドから直接マッピングされます。 |
| properties.appliedConditionalAccessPolicies.id | read_only_udm.security_result.rule_id | 値は properties.appliedConditionalAccessPolicies.id フィールドから直接マッピングされます。 |
| properties.appliedConditionalAccessPolicies.result | read_only_udm.security_result.detection_fields.value | 値は properties.appliedConditionalAccessPolicies.result フィールドから直接マッピングされます。 |
| properties.authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationDetails.authenticationMethod フィールドから直接マッピングされます。 |
| properties.authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationDetails.authenticationMethodDetail フィールドから直接マッピングされます。 |
| properties.authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationDetails.authenticationStepDateTime フィールドから直接マッピングされます。 |
| properties.authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationDetails.authenticationStepRequirement フィールドから直接マッピングされます。 |
| properties.authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationDetails.authenticationStepResultDetail フィールドから直接マッピングされます。 |
| properties.authenticationProcessingDetails.key | read_only_udm.additional.fields.key | 値は properties.authenticationProcessingDetails.key フィールドから直接マッピングされ、「properties authenticationProcessingDetails -」という接頭辞が付いています。 |
| properties.authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | 値は properties.authenticationProcessingDetails.value フィールドから直接マッピングされます。 |
| properties.authenticationRequirement | read_only_udm.additional.fields.value.string_value | 値は properties.authenticationRequirement フィールドから直接マッピングされます。 |
| properties.authenticationRequirementPolicies.detail | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationRequirementPolicies.detail フィールドから直接マッピングされます。 |
| properties.authenticationRequirementPolicies.requirementProvider | read_only_udm.security_result.detection_fields.value | 値は properties.authenticationRequirementPolicies.requirementProvider フィールドから直接マッピングされます。 |
| properties.clientAppUsed | read_only_udm.principal.application | 値は properties.clientAppUsed フィールドから直接マッピングされます。 |
| properties.conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | 値は properties.conditionalAccessStatus フィールドから直接マッピングされます。 |
| properties.createdDateTime | read_only_udm.metadata.event_timestamp.seconds | 値は properties.createdDateTime フィールドから抽出され、エポックからの経過秒数に変換されます。 |
| properties.crossTenantAccessType | read_only_udm.additional.fields.value.string_value | 値は properties.crossTenantAccessType フィールドから直接マッピングされます。 |
| properties.detectedDateTime | read_only_udm.additional.fields.value.string_value | 値は properties.detectedDateTime フィールドから直接マッピングされます。 |
| properties.detectionTimingType | read_only_udm.additional.fields.value.string_value | 値は properties.detectionTimingType フィールドから直接マッピングされます。 |
| properties.homeTenantId | read_only_udm.additional.fields.value.string_value | 値は properties.homeTenantId フィールドから直接マッピングされます。 |
| properties.id | read_only_udm.metadata.product_log_id | 値は properties.id フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | 値は properties.initiatedBy.user.displayName フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.id | read_only_udm.principal.user.windows_sid | 値は properties.initiatedBy.user.id フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip | 値は properties.initiatedBy.user.ipAddress フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | 値は properties.initiatedBy.user.ipAddress フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid | この値がメールアドレスのパターンと一致しない場合、値は properties.initiatedBy.user.userPrincipalName フィールドから直接マッピングされます。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | この値がメールアドレスのパターンと一致する場合、値は properties.initiatedBy.user.userPrincipalName フィールドから直接マッピングされます。 |
| properties.ipAddress | read_only_udm.principal.ip | 値は、grok パターンを使用して properties.ipAddress フィールドから抽出され、IP アドレスが抽出されます。 |
| properties.ipAddress | read_only_udm.principal.asset.ip | 値は、grok パターンを使用して properties.ipAddress フィールドから抽出され、IP アドレスが抽出されます。 |
| properties.isGuest | read_only_udm.additional.fields.value.string_value | 値は properties.isGuest フィールドから直接マッピングされます。 |
| properties.isDeleted | read_only_udm.additional.fields.value.string_value | 値は properties.isDeleted フィールドから直接マッピングされます。 |
| properties.isProcessing | read_only_udm.additional.fields.value.string_value | 値は properties.isProcessing フィールドから直接マッピングされます。 |
| properties.lastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | 値は properties.lastUpdatedDateTime フィールドから直接マッピングされます。 |
| properties.location.city | read_only_udm.principal.location.city | 値は properties.location.city フィールドから直接マッピングされます。 |
| properties.location.countryOrRegion | read_only_udm.principal.location.country_or_region | 値は properties.location.countryOrRegion フィールドから直接マッピングされます。 |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | 値は properties.location.geoCoordinates.latitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 値は properties.location.geoCoordinates.latitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | 値は properties.location.geoCoordinates.longitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 値は properties.location.geoCoordinates.longitude フィールドから直接マッピングされ、浮動小数点数に変換されます。 |
| properties.location.state | read_only_udm.principal.location.state | 値は properties.location.state フィールドから直接マッピングされます。 |
| properties.networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | 値は、properties.networkLocationDetails.networkNames 配列のすべての値をカンマで区切って連結することで生成されます。 |
| properties.networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | 値は properties.networkLocationDetails.networkType フィールドから直接マッピングされます。 |
| properties.networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | 値は properties.networkLocationDetails.networkType フィールドから直接マッピングされます。 |
| properties.resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | 値は properties.resourceServicePrincipalId フィールドから直接マッピングされます。 |
| properties.riskDetail | read_only_udm.additional.fields.value.string_value | 値は properties.riskDetail フィールドから直接マッピングされます。 |
| properties.riskEventType | read_only_udm.additional.fields.value.string_value | 値は properties.riskEventType フィールドから直接マッピングされます。 |
| properties.riskLastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | 値は properties.riskLastUpdatedDateTime フィールドから直接マッピングされます。 |
| properties.riskLevel | read_only_udm.additional.fields.value.string_value | 値は properties.riskLevel フィールドから直接マッピングされます。 |
| properties.riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | 値は properties.riskLevelDuringSignIn フィールドから直接マッピングされます。 |
| properties.riskState | read_only_udm.additional.fields.value.string_value | 値は properties.riskState フィールドから直接マッピングされます。 |
| properties.riskType | read_only_udm.additional.fields.value.string_value | 値は properties.riskType フィールドから直接マッピングされます。 |
| properties.source | read_only_udm.additional.fields.value.string_value | 値は properties.source フィールドから直接マッピングされます。 |
| properties.targetResources.0.id | read_only_udm.target.user.product_object_id | 値は properties.targetResources.0.id フィールドから直接マッピングされます。 |
| properties.targetResources.modifiedProperties.0.newValue | read_only_udm.target.group.product_object_id | 値は properties.targetResources.modifiedProperties.0.newValue フィールドから直接マッピングされます。 |
| properties.tokenIssuerType | read_only_udm.additional.fields.value.string_value | 値は properties.tokenIssuerType フィールドから直接マッピングされます。 |
| properties.userAgent | read_only_udm.network.http.parsed_user_agent | 値は properties.userAgent フィールドから直接マッピングされ、解析されたユーザー エージェント オブジェクトに変換されます。 |
| properties.userAgent | read_only_udm.network.http.user_agent | 値は properties.userAgent フィールドから直接マッピングされます。 |
| properties.userId | read_only_udm.target.user.product_object_id | 値は properties.userId フィールドから直接マッピングされます。 |
| properties.userPrincipalName | read_only_udm.target.user.userid | この値がメールアドレスのパターンと一致しない場合、値は properties.userPrincipalName フィールドから直接マッピングされます。 |
| properties.userPrincipalName | read_only_udm.target.user.email_addresses | この値がメールアドレスのパターンと一致する場合、値は properties.userPrincipalName フィールドから直接マッピングされます。 |
| 結果 | read_only_udm.security_result.action | result が「success」の場合、値は「ALLOW」にマッピングされます。 |
| 結果 | read_only_udm.security_result.action_details | result が「success」の場合、値は result フィールドから直接マッピングされます。 |
| resultDescription | read_only_udm.security_result.description | 値は resultDescription フィールドから直接マッピングされます。 |
| resultSignature | read_only_udm.additional.fields.value.string_value | 値は resultSignature フィールドから直接マッピングされます。 |
| resultType | read_only_udm.security_result.action | resultType が「0」の場合、値は「ALLOW」にマッピングされます。 |
| resultType | read_only_udm.security_result.rule_id | この値が空でなく「0」でない場合、値は resultType フィールドから直接マッピングされます。 |
| resultType | read_only_udm.security_result.summary | resultType が「0」の場合、値は「Successful login occurred」にマッピングされ、それ以外の場合は「Failed login occurred」にマッピングされます。 |
| resourceDisplayName | read_only_udm.target.application | 値は resourceDisplayName フィールドから直接マッピングされます。 |
| resourceDisplayName | read_only_udm.target.resource.name | 値は resourceDisplayName フィールドから直接マッピングされます。 |
| resourceId | read_only_udm.target.resource.id | 値は resourceId フィールドから直接マッピングされます。 |
| resourceId | read_only_udm.target.resource.product_object_id | 値は resourceId フィールドから直接マッピングされます。 |
| resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | 値は resourceServicePrincipalId フィールドから直接マッピングされます。 |
| riskDetail | read_only_udm.additional.fields.value.string_value | 値は riskDetail フィールドから直接マッピングされます。 |
| riskEventTypes | read_only_udm.additional.fields.value.string_value | 値は riskEventTypes 配列から抽出され、additional.fields 配列の文字列値にマッピングされます。 |
| riskEventTypes | read_only_udm.additional.fields.value.list_value.values.string_value | 値は riskEventTypes 配列の各要素から直接マッピングされます。 |
| riskEventTypes_v2 | read_only_udm.additional.fields.value.list_value.values.string_value | 値は riskEventTypes_v2 配列の各要素から直接マッピングされます。 |
| riskLevelAggregated | read_only_udm.additional.fields.value.string_value | 値は riskLevelAggregated フィールドから直接マッピングされます。 |
| riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | 値は riskLevelDuringSignIn フィールドから直接マッピングされます。 |
| riskState | read_only_udm.additional.fields.value.string_value | 値は riskState フィールドから直接マッピングされます。 |
| status.additionalDetails | read_only_udm.security_result.description | 値は status.additionalDetails フィールドから直接マッピングされます。 |
| status.errorCode | read_only_udm.security_result.action | status.errorCode が「0」の場合、値は「ALLOW」にマッピングされます。 |
| status.errorCode | read_only_udm.security_result.rule_id | この値が空でない場合、値は status.errorCode フィールドから直接マッピングされます。 |
| status.errorCode | read_only_udm.security_result.summary | status.errorCode が「0」の場合、値は「Successful login occurred」にマッピングされ、それ以外の場合は「Failed login occurred」にマッピングされます。 |
| status.failureReason | read_only_udm.additional.fields.value.string_value | 値は status.failureReason フィールドから直接マッピングされます。 |
| targetResources.displayName | read_only_udm.target.resource.name | 値は targetResources.displayName フィールドから直接マッピングされます。 |
| targetResources.id | read_only_udm.target.resource.id | 値は targetResources.id フィールドから直接マッピングされます。 |
| targetResources.id | read_only_udm.target.resource.product_object_id | 値は targetResources.id フィールドから直接マッピングされます。 |
| targetResources.modifiedProperties.displayName | read_only_udm.target.resource.attribute.labels.key | 値は targetResources.modifiedProperties.displayName フィールドから直接マッピングされます。 |
| targetResources.modifiedProperties.newValue | read_only_udm.target.resource.attribute.labels.value | 値は、二重引用符を削除した後、targetResources.modifiedProperties.newValue フィールドから直接マッピングされます。 |
| targetResources.modifiedProperties.oldValue | read_only_udm.target.resource.attribute.labels.value | 値は targetResources.modifiedProperties.oldValue フィールドから直接マッピングされます。 |
| targetResources.type | read_only_udm.target.resource.type | 値は targetResources.type フィールドから直接マッピングされます。 |
| targetResources.userPrincipalName | read_only_udm.target.user.user_display_name | 値は targetResources.userPrincipalName フィールドから直接マッピングされます。 |
| tenantId | read_only_udm.metadata.product_deployment_id | 値は tenantId フィールドから直接マッピングされます。 |
| 時間 | read_only_udm.metadata.event_timestamp.seconds | 値は time フィールドから抽出され、エポックからの経過秒数に変換されます。 |
| userAgent | read_only_udm.network.http.parsed_user_agent | 値は userAgent フィールドから直接マッピングされ、解析されたユーザー エージェント オブジェクトに変換されます。 |
| userAgent | read_only_udm.network.http.user_agent | 値は userAgent フィールドから直接マッピングされます。 |
| userDisplayName | read_only_udm.target.user.user_display_name | この値が userId と異なり、メールアドレス パターンと一致しない場合、値は userDisplayName フィールドから直接マッピングされます。 |
| userPrincipalName | read_only_udm.principal.administrative_domain | メールアドレスのドメイン部分が Grok パターンを使用して userPrincipalName フィールドから抽出され、principal.administrative_domain フィールドにマッピングされます。 |
| userPrincipalName | read_only_udm.target.user.email_addresses | この値がメールアドレスのパターンと一致する場合、値は userPrincipalName フィールドから直接マッピングされます。 |
| userPrincipalName | read_only_udm.target.user.userid | この値がメールアドレスのパターンと一致しない場合、値は userPrincipalName フィールドから直接マッピングされます。 |
| userId | read_only_udm.target.user.product_object_id | 値は userId フィールドから直接マッピングされます。 |
| read_only_udm.metadata.log_type | AZURE_AD | この値はパーサーにハードコードされています。 |
| read_only_udm.metadata.vendor_name | Microsoft | この値はパーサーにハードコードされています。 |
| read_only_udm.metadata.product_name | Azure AD | この値はパーサーにハードコードされています。 |
| read_only_udm.extensions.auth.type | SSO | この値はパーサーにハードコードされています。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。