Coletar registros do Microsoft Azure AD
Compatível com:
Google SecOps
SIEM
Neste documento, descrevemos como coletar registros do Microsoft Azure Active Directory (AD) configurando um feed do Google Security Operations.
O Azure Active Directory (AZURE_AD) agora se chama Microsoft Entra ID. Os registros de auditoria do Azure AD
(AZURE_AD_AUDIT) agora são registros de auditoria do ID do Microsoft Entra.
Para mais informações, consulte Ingestão de dados no Google Security Operations.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado.
Antes de começar
Verifique se você atende aos seguintes pré-requisitos:
- Uma assinatura do Azure em que você pode fazer login
- Uma função de administrador global ou do Azure AD
- Um Azure AD (locatário) no Azure
Como configurar o Azure AD
- Faça login no portal do Azure.
- Acesse Página inicial > Registro de app, selecione um aplicativo registrado ou registre um se ainda não tiver criado um.
- Para registrar um aplicativo, na seção Registro do app, clique em Novo registro.
- No campo Nome, insira o nome de exibição do aplicativo.
- Na seção Tipos de contas compatíveis, selecione a opção necessária para especificar quem pode usar o aplicativo ou acessar a API.
- Clique em Registrar.
- Acesse a página Visão geral e copie o ID do aplicativo (cliente) e o ID do diretório (locatário), que são necessários para configurar o feed do Google Security Operations.
- Clique em Permissões da API.
- Clique em Adicionar uma permissão e selecione Microsoft Graph no novo painel.
- Clique em Permissões do aplicativo.
- Selecione as permissões AuditLog.Read.All, Directory.Read.All e SecurityEvents.Read.All. Verifique se as permissões são permissões de aplicativo e não permissões delegadas.
- Clique em Conceder consentimento de administrador para o diretório padrão. Os aplicativos são autorizados a chamar APIs quando recebem permissões de usuários ou administradores como parte do processo de consentimento.
- Acesse Configurações > Gerenciar.
- Clique em Certificados e segredos.
- Clique em New client secret. No campo Valor, a chave secreta do cliente aparece.
- Copie o valor da chave secreta do cliente. O valor é mostrado apenas no momento da criação e é necessário para o registro do app do Azure e para configurar o feed do Google Security Operations.
Configurar feeds
Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:
- Configurações do SIEM > Feeds
- Central de conteúdo > Pacotes de conteúdo
Configure feeds em Configurações do SIEM > Feeds
Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.
Para configurar um único feed, siga estas etapas:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed. Pule esta etapa se você estiver usando a plataforma independente do SIEM do Google SecOps.
- No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Azure AD.
- Selecione API de terceiros como o Tipo de origem.
- Selecione Azure AD como o Tipo de registro.
- Clique em Próxima.
- Configure os seguintes parâmetros de entrada obrigatórios:
- ID do cliente OAuth: especifique o ID do cliente que você recebeu anteriormente.
- Chave secreta do cliente OAuth: especifique a chave secreta do cliente que você recebeu anteriormente.
- ID do locatário: especifique o ID do locatário que você recebeu anteriormente.
- Clique em Próxima e em Enviar.
Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo. Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google Security Operations.
Configurar feeds na Central de conteúdo
Especifique valores para os seguintes campos:
- ID do cliente OAuth: especifique o ID do cliente que você recebeu anteriormente.
- Chave secreta do cliente OAuth: especifique a chave secreta do cliente que você recebeu anteriormente.
- ID do locatário: especifique o ID do locatário que você recebeu anteriormente.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Tipo de origem: método usado para coletar registros no Google SecOps.
- Namespace do recurso: namespace associado ao feed.
- Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Referência de mapeamento de campos
Esse código de analisador transforma registros brutos do Azure AD no formato JSON em um modelo de dados unificado (UDM). Primeiro, ele normaliza os dados removendo campos desnecessários e extrai informações relevantes, como detalhes do usuário, carimbos de data/hora e especificidades do evento, mapeando-os para os campos correspondentes da UDM para representação e análise consistentes.
Tabela de mapeamento da UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp.seconds | O valor é extraído do campo activityDateTime e convertido em segundos desde a época. |
| activityDisplayName | read_only_udm.security_result.summary | O valor é mapeado diretamente do campo activityDisplayName. |
| additionalDetails.0.value | read_only_udm.network.http.user_agent | O valor é mapeado diretamente do campo additionalDetails.0.value. |
| additionalDetails.1.key | read_only_udm.target.resource.attribute.labels.key | O valor é mapeado diretamente do campo additionalDetails.1.key. |
| additionalDetails.1.value | read_only_udm.target.resource.attribute.labels.value | O valor é mapeado diretamente do campo additionalDetails.1.value. |
| am_category | read_only_udm.metadata.description | O valor é mapeado diretamente do campo am_category. |
| am_tenantId | read_only_udm.metadata.product_deployment_id | O valor é mapeado diretamente do campo am_tenantId. |
| appDisplayName | read_only_udm.target.application | O valor é mapeado diretamente do campo appDisplayName. Se appDisplayName estiver vazio, o valor será extraído de resourceDisplayName. |
| appId | read_only_udm.target.resource.attribute.labels.value | O valor é mapeado diretamente do campo appId. |
| appliedConditionalAccessPolicies.displayName | read_only_udm.about.user.user_display_name | O valor é mapeado diretamente do campo appliedConditionalAccessPolicies.displayName. |
| appliedConditionalAccessPolicies.enforcedGrantControls | read_only_udm.security_result.rule_labels.value | O valor é mapeado diretamente do campo appliedConditionalAccessPolicies.enforcedGrantControls. |
| appliedConditionalAccessPolicies.enforcedSessionControls | read_only_udm.security_result.rule_labels.value | O valor é mapeado diretamente do campo appliedConditionalAccessPolicies.enforcedSessionControls. |
| appliedConditionalAccessPolicies.id | read_only_udm.about.user.userid | O valor é mapeado diretamente do campo appliedConditionalAccessPolicies.id. |
| appliedConditionalAccessPolicies.result | read_only_udm.about.labels.value | O valor é mapeado diretamente do campo appliedConditionalAccessPolicies.result. |
| authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo authenticationDetails.authenticationMethod. |
| authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo authenticationDetails.authenticationMethodDetail. |
| authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo authenticationDetails.authenticationStepDateTime. |
| authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo authenticationDetails.authenticationStepRequirement. |
| authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo authenticationDetails.authenticationStepResultDetail. |
| authenticationProcessingDetails.key | read_only_udm.additional.fields.key | O valor é mapeado diretamente do campo authenticationProcessingDetails.key, com o prefixo "authenticationProcessingDetails - ". |
| authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo authenticationProcessingDetails.value. |
| callerIpAddress | read_only_udm.principal.ip | O valor é mapeado diretamente do campo callerIpAddress. |
| callerIpAddress | read_only_udm.principal.asset.ip | O valor é mapeado diretamente do campo callerIpAddress. |
| categoria | read_only_udm.metadata.description | O valor é mapeado diretamente do campo category. |
| clientAppUsed | read_only_udm.principal.application | O valor é mapeado diretamente do campo clientAppUsed. |
| conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo conditionalAccessStatus. |
| correlationId | read_only_udm.network.session_id | O valor é mapeado diretamente do campo correlationId. |
| correlationId | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo correlationId. |
| createdDateTime | read_only_udm.metadata.event_timestamp.seconds | O valor é extraído do campo createdDateTime e convertido em segundos desde a época. |
| deviceDetail.browser | read_only_udm.network.http.user_agent | O valor é mapeado diretamente do campo deviceDetail.browser. |
| deviceDetail.deviceId | read_only_udm.principal.asset.asset_id | O valor é mapeado diretamente do campo deviceDetail.deviceId, com o prefixo "ID do dispositivo:". |
| deviceDetail.deviceId | read_only_udm.principal.asset_id | O valor é mapeado diretamente do campo deviceDetail.deviceId, com o prefixo "ID do dispositivo:". |
| deviceDetail.displayName | read_only_udm.principal.asset.hostname | O valor é mapeado diretamente do campo deviceDetail.displayName. |
| deviceDetail.isCompliant | read_only_udm.principal.asset.attribute.labels.value | O valor é mapeado diretamente do campo deviceDetail.isCompliant. |
| deviceDetail.isManaged | read_only_udm.principal.asset.attribute.labels.value | O valor é mapeado diretamente do campo deviceDetail.isManaged. |
| deviceDetail.operatingSystem | read_only_udm.principal.platform_version | O valor é mapeado diretamente do campo deviceDetail.operatingSystem. |
| deviceDetail.trustType | read_only_udm.principal.asset.attribute.labels.value | O valor é mapeado diretamente do campo deviceDetail.trustType. |
| durationMs | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo durationMs. |
| errorCode | read_only_udm.security_result.rule_id | O valor é mapeado diretamente do campo errorCode. |
| nível empresarial | read_only_udm.target.user.user_display_name | O valor é mapeado diretamente do campo identity se for diferente de userId e não corresponder a um padrão de endereço de e-mail. |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | O valor é mapeado diretamente do campo initiatedBy.user.displayName. |
| initiatedBy.user.id | read_only_udm.principal.user.userid | O valor é mapeado diretamente do campo initiatedBy.user.id. |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip | O valor é mapeado diretamente do campo initiatedBy.user.ipAddress. |
| initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | O valor é mapeado diretamente do campo initiatedBy.user.ipAddress. |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | O valor é mapeado diretamente do campo initiatedBy.user.userPrincipalName se corresponder a um padrão de endereço de e-mail. |
| ipAddress | read_only_udm.principal.ip | O valor é extraído do campo ipAddress usando um padrão grok para extrair o endereço IP. |
| ipAddress | read_only_udm.principal.asset.ip | O valor é extraído do campo ipAddress usando um padrão grok para extrair o endereço IP. |
| isInteractive | read_only_udm.extensions.auth.mechanism | O valor é mapeado como "INTERACTIVE" se isInteractive for "true". Caso contrário, ele será mapeado como "MECHANISM_OTHER". |
| isInteractive | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo isInteractive. |
| level | read_only_udm.security_result.severity | O valor é mapeado do campo level com base na seguinte lógica: * "Information", "Informational", "0", "4" são mapeados para "INFORMATIONAL". * "Warning", "1" e "3" são mapeados como "MEDIUM". * "Error" e "2" são mapeados como "ERROR". * "Critical", "CRITICAL", "critical" são mapeados para "CRITICAL". |
| level | read_only_udm.security_result.severity_details | O valor é mapeado diretamente do campo level. |
| location.city | read_only_udm.principal.location.city | O valor é mapeado diretamente do campo location.city. |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | O valor é mapeado diretamente do campo location.countryOrRegion. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | O valor é mapeado diretamente do campo location.geoCoordinates.latitude e convertido em um ponto flutuante. |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | O valor é mapeado diretamente do campo location.geoCoordinates.latitude e convertido em um ponto flutuante. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | O valor é mapeado diretamente do campo location.geoCoordinates.longitude e convertido em um ponto flutuante. |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | O valor é mapeado diretamente do campo location.geoCoordinates.longitude e convertido em um ponto flutuante. |
| location.state | read_only_udm.principal.location.state | O valor é mapeado diretamente do campo location.state. |
| networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | O valor é gerado concatenando todos os valores da matriz networkLocationDetails.networkNames, separados por vírgulas. |
| networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo networkLocationDetails.networkType. |
| networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo networkLocationDetails.networkType. |
| operationName | read_only_udm.metadata.event_type | O valor é mapeado como "USER_LOGIN" se operationName for "Atividade de login", "USER_CHANGE_PERMISSIONS" se operationName for "Adicionar membro ao grupo" e "USER_RESOURCE_UPDATE_PERMISSIONS" se operationName for "Adicionar atribuição de função do app à entidade de serviço". Caso contrário, o valor será determinado com base na presença de outros campos: * "USER_LOGIN" se has_target_user for "true". * "USER_UNCATEGORIZED" se has_principal_user for "true". * "STATUS_UPDATE" se has_principal for "true". * "GENERIC_EVENT" caso contrário. |
| operationType | read_only_udm.security_result.action_details | O valor é mapeado diretamente do campo operationType. |
| properties.activity | read_only_udm.security_result.summary | O valor é mapeado diretamente do campo properties.activity. |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp.seconds | O valor é extraído do campo properties.activityDateTime e convertido em segundos desde a época. |
| properties.additionalInfo | read_only_udm.network.http.user_agent | O valor é extraído do campo properties.additionalInfo ao analisar a string JSON e extrair o valor correspondente à chave "userAgent". |
| properties.additionalInfo | read_only_udm.target.url | O valor é extraído do campo properties.additionalInfo ao analisar a string JSON e extrair o valor correspondente à chave "alertUrl". |
| properties.appId | read_only_udm.target.resource.attribute.labels.value | O valor é mapeado diretamente do campo properties.appId. |
| properties.appDisplayName | read_only_udm.target.application | O valor é mapeado diretamente do campo properties.appDisplayName. |
| properties.appliedConditionalAccessPolicies.displayName | read_only_udm.security_result.rule_name | O valor é mapeado diretamente do campo properties.appliedConditionalAccessPolicies.displayName. |
| properties.appliedConditionalAccessPolicies.id | read_only_udm.security_result.rule_id | O valor é mapeado diretamente do campo properties.appliedConditionalAccessPolicies.id. |
| properties.appliedConditionalAccessPolicies.result | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo properties.appliedConditionalAccessPolicies.result. |
| properties.authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo properties.authenticationDetails.authenticationMethod. |
| properties.authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo properties.authenticationDetails.authenticationMethodDetail. |
| properties.authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo properties.authenticationDetails.authenticationStepDateTime. |
| properties.authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo properties.authenticationDetails.authenticationStepRequirement. |
| properties.authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo properties.authenticationDetails.authenticationStepResultDetail. |
| properties.authenticationProcessingDetails.key | read_only_udm.additional.fields.key | O valor é mapeado diretamente do campo properties.authenticationProcessingDetails.key, com o prefixo "properties authenticationProcessingDetails - ". |
| properties.authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.authenticationProcessingDetails.value. |
| properties.authenticationRequirement | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.authenticationRequirement. |
| properties.authenticationRequirementPolicies.detail | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo properties.authenticationRequirementPolicies.detail. |
| properties.authenticationRequirementPolicies.requirementProvider | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo properties.authenticationRequirementPolicies.requirementProvider. |
| properties.clientAppUsed | read_only_udm.principal.application | O valor é mapeado diretamente do campo properties.clientAppUsed. |
| properties.conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.conditionalAccessStatus. |
| properties.createdDateTime | read_only_udm.metadata.event_timestamp.seconds | O valor é extraído do campo properties.createdDateTime e convertido em segundos desde a época. |
| properties.crossTenantAccessType | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.crossTenantAccessType. |
| properties.detectedDateTime | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.detectedDateTime. |
| properties.detectionTimingType | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.detectionTimingType. |
| properties.homeTenantId | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.homeTenantId. |
| properties.id | read_only_udm.metadata.product_log_id | O valor é mapeado diretamente do campo properties.id. |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | O valor é mapeado diretamente do campo properties.initiatedBy.user.displayName. |
| properties.initiatedBy.user.id | read_only_udm.principal.user.windows_sid | O valor é mapeado diretamente do campo properties.initiatedBy.user.id. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip | O valor é mapeado diretamente do campo properties.initiatedBy.user.ipAddress. |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | O valor é mapeado diretamente do campo properties.initiatedBy.user.ipAddress. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid | O valor é mapeado diretamente do campo properties.initiatedBy.user.userPrincipalName se não corresponder a um padrão de endereço de e-mail. |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | O valor é mapeado diretamente do campo properties.initiatedBy.user.userPrincipalName se corresponder a um padrão de endereço de e-mail. |
| properties.ipAddress | read_only_udm.principal.ip | O valor é extraído do campo properties.ipAddress usando um padrão grok para extrair o endereço IP. |
| properties.ipAddress | read_only_udm.principal.asset.ip | O valor é extraído do campo properties.ipAddress usando um padrão grok para extrair o endereço IP. |
| properties.isGuest | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.isGuest. |
| properties.isDeleted | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.isDeleted. |
| properties.isProcessing | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.isProcessing. |
| properties.lastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.lastUpdatedDateTime. |
| properties.location.city | read_only_udm.principal.location.city | O valor é mapeado diretamente do campo properties.location.city. |
| properties.location.countryOrRegion | read_only_udm.principal.location.country_or_region | O valor é mapeado diretamente do campo properties.location.countryOrRegion. |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | O valor é mapeado diretamente do campo properties.location.geoCoordinates.latitude e convertido em um ponto flutuante. |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | O valor é mapeado diretamente do campo properties.location.geoCoordinates.latitude e convertido em um ponto flutuante. |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | O valor é mapeado diretamente do campo properties.location.geoCoordinates.longitude e convertido em um ponto flutuante. |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | O valor é mapeado diretamente do campo properties.location.geoCoordinates.longitude e convertido em um ponto flutuante. |
| properties.location.state | read_only_udm.principal.location.state | O valor é mapeado diretamente do campo properties.location.state. |
| properties.networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | O valor é gerado concatenando todos os valores da matriz properties.networkLocationDetails.networkNames, separados por vírgulas. |
| properties.networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.networkLocationDetails.networkType. |
| properties.networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | O valor é mapeado diretamente do campo properties.networkLocationDetails.networkType. |
| properties.resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | O valor é mapeado diretamente do campo properties.resourceServicePrincipalId. |
| properties.riskDetail | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.riskDetail. |
| properties.riskEventType | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.riskEventType. |
| properties.riskLastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.riskLastUpdatedDateTime. |
| properties.riskLevel | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.riskLevel. |
| properties.riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.riskLevelDuringSignIn. |
| properties.riskState | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.riskState. |
| properties.riskType | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.riskType. |
| properties.source | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.source. |
| properties.targetResources.0.id | read_only_udm.target.user.product_object_id | O valor é mapeado diretamente do campo properties.targetResources.0.id. |
| properties.targetResources.modifiedProperties.0.newValue | read_only_udm.target.group.product_object_id | O valor é mapeado diretamente do campo properties.targetResources.modifiedProperties.0.newValue. |
| properties.tokenIssuerType | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo properties.tokenIssuerType. |
| properties.userAgent | read_only_udm.network.http.parsed_user_agent | O valor é mapeado diretamente do campo properties.userAgent e convertido em um objeto de user agent analisado. |
| properties.userAgent | read_only_udm.network.http.user_agent | O valor é mapeado diretamente do campo properties.userAgent. |
| properties.userId | read_only_udm.target.user.product_object_id | O valor é mapeado diretamente do campo properties.userId. |
| properties.userPrincipalName | read_only_udm.target.user.userid | O valor é mapeado diretamente do campo properties.userPrincipalName se não corresponder a um padrão de endereço de e-mail. |
| properties.userPrincipalName | read_only_udm.target.user.email_addresses | O valor é mapeado diretamente do campo properties.userPrincipalName se corresponder a um padrão de endereço de e-mail. |
| result | read_only_udm.security_result.action | O valor é mapeado como "ALLOW" se result for "success". |
| result | read_only_udm.security_result.action_details | O valor é mapeado diretamente do campo result se result for "success". |
| resultDescription | read_only_udm.security_result.description | O valor é mapeado diretamente do campo resultDescription. |
| resultSignature | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo resultSignature. |
| resultType | read_only_udm.security_result.action | O valor é mapeado como "ALLOW" se resultType for "0". |
| resultType | read_only_udm.security_result.rule_id | O valor é mapeado diretamente do campo resultType se não estiver vazio nem for "0". |
| resultType | read_only_udm.security_result.summary | O valor é mapeado para "Login bem-sucedido" se resultType for "0" e "Falha no login" caso contrário. |
| resourceDisplayName | read_only_udm.target.application | O valor é mapeado diretamente do campo resourceDisplayName. |
| resourceDisplayName | read_only_udm.target.resource.name | O valor é mapeado diretamente do campo resourceDisplayName. |
| resourceId | read_only_udm.target.resource.id | O valor é mapeado diretamente do campo resourceId. |
| resourceId | read_only_udm.target.resource.product_object_id | O valor é mapeado diretamente do campo resourceId. |
| resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | O valor é mapeado diretamente do campo resourceServicePrincipalId. |
| riskDetail | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo riskDetail. |
| riskEventTypes | read_only_udm.additional.fields.value.string_value | O valor é extraído da matriz riskEventTypes e mapeado para um valor de string na matriz additional.fields. |
| riskEventTypes | read_only_udm.additional.fields.value.list_value.values.string_value | O valor é mapeado diretamente de cada elemento da matriz riskEventTypes. |
| riskEventTypes_v2 | read_only_udm.additional.fields.value.list_value.values.string_value | O valor é mapeado diretamente de cada elemento da matriz riskEventTypes_v2. |
| riskLevelAggregated | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo riskLevelAggregated. |
| riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo riskLevelDuringSignIn. |
| riskState | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo riskState. |
| status.additionalDetails | read_only_udm.security_result.description | O valor é mapeado diretamente do campo status.additionalDetails. |
| status.errorCode | read_only_udm.security_result.action | O valor é mapeado como "ALLOW" se status.errorCode for "0". |
| status.errorCode | read_only_udm.security_result.rule_id | O valor é mapeado diretamente do campo status.errorCode se ele não estiver vazio. |
| status.errorCode | read_only_udm.security_result.summary | O valor é mapeado para "Login bem-sucedido" se status.errorCode for "0" e "Falha no login" caso contrário. |
| status.failureReason | read_only_udm.additional.fields.value.string_value | O valor é mapeado diretamente do campo status.failureReason. |
| targetResources.displayName | read_only_udm.target.resource.name | O valor é mapeado diretamente do campo targetResources.displayName. |
| targetResources.id | read_only_udm.target.resource.id | O valor é mapeado diretamente do campo targetResources.id. |
| targetResources.id | read_only_udm.target.resource.product_object_id | O valor é mapeado diretamente do campo targetResources.id. |
| targetResources.modifiedProperties.displayName | read_only_udm.target.resource.attribute.labels.key | O valor é mapeado diretamente do campo targetResources.modifiedProperties.displayName. |
| targetResources.modifiedProperties.newValue | read_only_udm.target.resource.attribute.labels.value | O valor é mapeado diretamente do campo targetResources.modifiedProperties.newValue depois da remoção das aspas duplas. |
| targetResources.modifiedProperties.oldValue | read_only_udm.target.resource.attribute.labels.value | O valor é mapeado diretamente do campo targetResources.modifiedProperties.oldValue. |
| targetResources.type | read_only_udm.target.resource.type | O valor é mapeado diretamente do campo targetResources.type. |
| targetResources.userPrincipalName | read_only_udm.target.user.user_display_name | O valor é mapeado diretamente do campo targetResources.userPrincipalName. |
| tenantId | read_only_udm.metadata.product_deployment_id | O valor é mapeado diretamente do campo tenantId. |
| tempo | read_only_udm.metadata.event_timestamp.seconds | O valor é extraído do campo time e convertido em segundos desde a época. |
| userAgent | read_only_udm.network.http.parsed_user_agent | O valor é mapeado diretamente do campo userAgent e convertido em um objeto de user agent analisado. |
| userAgent | read_only_udm.network.http.user_agent | O valor é mapeado diretamente do campo userAgent. |
| userDisplayName | read_only_udm.target.user.user_display_name | O valor é mapeado diretamente do campo userDisplayName se for diferente de userId e não corresponder a um padrão de endereço de e-mail. |
| userPrincipalName | read_only_udm.principal.administrative_domain | A parte do domínio do endereço de e-mail é extraída do campo userPrincipalName usando um padrão grok e mapeada para o campo principal.administrative_domain. |
| userPrincipalName | read_only_udm.target.user.email_addresses | O valor é mapeado diretamente do campo userPrincipalName se corresponder a um padrão de endereço de e-mail. |
| userPrincipalName | read_only_udm.target.user.userid | O valor é mapeado diretamente do campo userPrincipalName se não corresponder a um padrão de endereço de e-mail. |
| userId | read_only_udm.target.user.product_object_id | O valor é mapeado diretamente do campo userId. |
| read_only_udm.metadata.log_type | AZURE_AD | Esse valor é codificado no analisador. |
| read_only_udm.metadata.vendor_name | Microsoft | Esse valor é codificado no analisador. |
| read_only_udm.metadata.product_name | Azure AD | Esse valor é codificado no analisador. |
| read_only_udm.extensions.auth.type | SSO | Esse valor é codificado no analisador. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.