收集 Microsoft Azure AD 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Microsoft Azure Active Directory (AD) 日志。
Azure Active Directory (AZURE_AD) 现在称为 Microsoft Entra ID。Azure AD 审核日志 (AZURE_AD_AUDIT) 现在称为 Microsoft Entra ID 审核日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。
准备工作
确保您满足以下前提条件:
- 您可以登录的 Azure 订阅
- 全局管理员或 Azure AD 管理员角色
- Azure 中的 Azure AD(租户)
如何配置 Azure AD
- 登录 Azure 门户。
- 前往首页 > 应用注册,选择已注册的应用,或者如果您尚未创建应用,请注册应用。
- 如需注册应用,请在应用注册部分点击新注册。
- 在名称字段中,提供应用的显示名称。
- 在支持的账号类型部分,选择所需选项以指定哪些人可以使用应用或访问 API。
- 点击注册。
- 前往概览页面,然后复制应用(客户端)ID 和目录(租户)ID,这些信息是配置 Google Security Operations Feed 所必需的。
- 点击 API 权限。
- 点击添加权限,然后在新窗格中选择 Microsoft Graph。
- 点击应用权限。
- 选择 AuditLog.Read.All、Directory.Read.All 和 SecurityEvents.Read.All 权限。确保权限是应用权限,而不是委托权限。
- 点击为默认目录授予管理员同意书。当应用在许可流程中获得用户或管理员授予的权限时,便有权调用 API。
- 依次前往设置 > 管理。
- 点击证书和密钥。
- 点击 New client secret(新建客户端密钥)。 在值字段中,系统会显示客户端密钥。
- 复制客户端密钥值。该值仅在创建时显示,并且是 Azure 应用注册和配置 Google Security Operations Feed 所必需的。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed
- 内容中心 > 内容包
通过“SIEM 设置”>“Feed”设置 Feed
如需为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed。
如需配置单个 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置> Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。如果您使用的是 Google SecOps SIEM 独立平台,请跳过此步骤。
- 在 Feed name(Feed 名称)字段中,输入 Feed 的名称,例如 Azure AD Logs。
- 选择第三方 API 作为来源类型。
- 选择 Azure AD 作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- OAuth 客户端 ID:指定您之前获得的客户端 ID。
- OAuth 客户端密钥:指定您之前获得的客户端密钥。
- 租户 ID:指定您之前获得的租户 ID。
- 点击下一步,然后点击提交。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求,请参阅按类型划分的 Feed 配置。 如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。
设置来自内容中心的 Feed
为以下字段指定值:
- OAuth 客户端 ID:指定您之前获得的客户端 ID。
- OAuth 客户端密钥:指定您之前获得的客户端密钥。
- 租户 ID:指定您之前获得的租户 ID。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 来源类型:用于将日志收集到 Google SecOps 中的方法。
- 资产命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
字段映射参考
此解析器代码可将 JSON 格式的原始 Azure AD 日志转换为统一数据模型 (UDM)。它首先通过移除不必要的字段来对数据进行归一化处理,然后提取相关信息(例如用户详细信息、时间戳和事件具体信息),并将这些信息映射到相应的 UDM 字段,以便进行一致的表示和分析。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp.seconds | 该值从 activityDateTime 字段中提取,并转换为自纪元以来的秒数。 |
| activityDisplayName | read_only_udm.security_result.summary | 该值直接从 activityDisplayName 字段映射。 |
| additionalDetails.0.value | read_only_udm.network.http.user_agent | 该值直接从 additionalDetails.0.value 字段映射。 |
| additionalDetails.1.key | read_only_udm.target.resource.attribute.labels.key | 该值直接从 additionalDetails.1.key 字段映射。 |
| additionalDetails.1.value | read_only_udm.target.resource.attribute.labels.value | 该值直接从 additionalDetails.1.value 字段映射。 |
| am_category | read_only_udm.metadata.description | 该值直接从 am_category 字段映射。 |
| am_tenantId | read_only_udm.metadata.product_deployment_id | 该值直接从 am_tenantId 字段映射。 |
| appDisplayName | read_only_udm.target.application | 该值直接从 appDisplayName 字段映射。如果 appDisplayName 为空,则该值取自 resourceDisplayName。 |
| appId | read_only_udm.target.resource.attribute.labels.value | 该值直接从 appId 字段映射。 |
| appliedConditionalAccessPolicies.displayName | read_only_udm.about.user.user_display_name | 该值直接从 appliedConditionalAccessPolicies.displayName 字段映射。 |
| appliedConditionalAccessPolicies.enforcedGrantControls | read_only_udm.security_result.rule_labels.value | 该值直接从 appliedConditionalAccessPolicies.enforcedGrantControls 字段映射。 |
| appliedConditionalAccessPolicies.enforcedSessionControls | read_only_udm.security_result.rule_labels.value | 该值直接从 appliedConditionalAccessPolicies.enforcedSessionControls 字段映射。 |
| appliedConditionalAccessPolicies.id | read_only_udm.about.user.userid | 该值直接从 appliedConditionalAccessPolicies.id 字段映射。 |
| appliedConditionalAccessPolicies.result | read_only_udm.about.labels.value | 该值直接从 appliedConditionalAccessPolicies.result 字段映射。 |
| authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | 该值直接从 authenticationDetails.authenticationMethod 字段映射。 |
| authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | 该值直接从 authenticationDetails.authenticationMethodDetail 字段映射。 |
| authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | 该值直接从 authenticationDetails.authenticationStepDateTime 字段映射。 |
| authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | 该值直接从 authenticationDetails.authenticationStepRequirement 字段映射。 |
| authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | 该值直接从 authenticationDetails.authenticationStepResultDetail 字段映射。 |
| authenticationProcessingDetails.key | read_only_udm.additional.fields.key | 该值直接从 authenticationProcessingDetails.key 字段映射,并以“authenticationProcessingDetails - ”为前缀。 |
| authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | 该值直接从 authenticationProcessingDetails.value 字段映射。 |
| callerIpAddress | read_only_udm.principal.ip | 该值直接从 callerIpAddress 字段映射。 |
| callerIpAddress | read_only_udm.principal.asset.ip | 该值直接从 callerIpAddress 字段映射。 |
| 类别 | read_only_udm.metadata.description | 该值直接从 category 字段映射。 |
| clientAppUsed | read_only_udm.principal.application | 该值直接从 clientAppUsed 字段映射。 |
| conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | 该值直接从 conditionalAccessStatus 字段映射。 |
| correlationId | read_only_udm.network.session_id | 该值直接从 correlationId 字段映射。 |
| correlationId | read_only_udm.security_result.detection_fields.value | 该值直接从 correlationId 字段映射。 |
| createdDateTime | read_only_udm.metadata.event_timestamp.seconds | 该值从 createdDateTime 字段中提取,并转换为自纪元以来的秒数。 |
| deviceDetail.browser | read_only_udm.network.http.user_agent | 该值直接从 deviceDetail.browser 字段映射。 |
| deviceDetail.deviceId | read_only_udm.principal.asset.asset_id | 该值直接从 deviceDetail.deviceId 字段映射,并带有“设备 ID:”前缀。 |
| deviceDetail.deviceId | read_only_udm.principal.asset_id | 该值直接从 deviceDetail.deviceId 字段映射,并带有“设备 ID:”前缀。 |
| deviceDetail.displayName | read_only_udm.principal.asset.hostname | 该值直接从 deviceDetail.displayName 字段映射。 |
| deviceDetail.isCompliant | read_only_udm.principal.asset.attribute.labels.value | 该值直接从 deviceDetail.isCompliant 字段映射。 |
| deviceDetail.isManaged | read_only_udm.principal.asset.attribute.labels.value | 该值直接从 deviceDetail.isManaged 字段映射。 |
| deviceDetail.operatingSystem | read_only_udm.principal.platform_version | 该值直接从 deviceDetail.operatingSystem 字段映射。 |
| deviceDetail.trustType | read_only_udm.principal.asset.attribute.labels.value | 该值直接从 deviceDetail.trustType 字段映射。 |
| durationMs | read_only_udm.additional.fields.value.string_value | 该值直接从 durationMs 字段映射。 |
| errorCode | read_only_udm.security_result.rule_id | 该值直接从 errorCode 字段映射。 |
| identity | read_only_udm.target.user.user_display_name | 如果该值与 userId 不同且不符合电子邮件地址格式,则直接从 identity 字段映射该值。 |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | 该值直接从 initiatedBy.user.displayName 字段映射。 |
| initiatedBy.user.id | read_only_udm.principal.user.userid | 该值直接从 initiatedBy.user.id 字段映射。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip | 该值直接从 initiatedBy.user.ipAddress 字段映射。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | 该值直接从 initiatedBy.user.ipAddress 字段映射。 |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | 如果该值与电子邮件地址模式匹配,则直接从 initiatedBy.user.userPrincipalName 字段映射该值。 |
| ipAddress | read_only_udm.principal.ip | 该值是从 ipAddress 字段中提取的,使用 grok 模式提取 IP 地址。 |
| ipAddress | read_only_udm.principal.asset.ip | 该值是从 ipAddress 字段中提取的,使用 grok 模式提取 IP 地址。 |
| isInteractive | read_only_udm.extensions.auth.mechanism | 如果 isInteractive 为“true”,则该值会映射到“INTERACTIVE”,否则会映射到“MECHANISM_OTHER”。 |
| isInteractive | read_only_udm.security_result.detection_fields.value | 该值直接从 isInteractive 字段映射。 |
| level | read_only_udm.security_result.severity | 该值根据以下逻辑从 level 字段映射而来:*“信息”“信息性”“0”“4”映射到“INFORMATIONAL”。*“警告”“1”“3”映射到“中”。*“Error”“2”映射到“ERROR”。*“Critical”“CRITICAL”“critical”映射到“CRITICAL”。 |
| level | read_only_udm.security_result.severity_details | 该值直接从 level 字段映射。 |
| location.city | read_only_udm.principal.location.city | 该值直接从 location.city 字段映射。 |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | 该值直接从 location.countryOrRegion 字段映射。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | 该值直接从 location.geoCoordinates.latitude 字段映射并转换为浮点数。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 该值直接从 location.geoCoordinates.latitude 字段映射并转换为浮点数。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | 该值直接从 location.geoCoordinates.longitude 字段映射并转换为浮点数。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 该值直接从 location.geoCoordinates.longitude 字段映射并转换为浮点数。 |
| location.state | read_only_udm.principal.location.state | 该值直接从 location.state 字段映射。 |
| networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | 该值是通过连接 networkLocationDetails.networkNames 数组中的所有值(以英文逗号分隔)生成的。 |
| networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | 该值直接从 networkLocationDetails.networkType 字段映射。 |
| networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | 该值直接从 networkLocationDetails.networkType 字段映射。 |
| operationName | read_only_udm.metadata.event_type | 如果 operationName 为“登录活动”,则该值会映射到“USER_LOGIN”;如果 operationName 为“向群组添加成员”,则该值会映射到“USER_CHANGE_PERMISSIONS”;如果 operationName 为“向服务正文添加应用角色分配”,则该值会映射到“USER_RESOURCE_UPDATE_PERMISSIONS”。否则,该值将根据是否存在其他字段来确定:* 如果 has_target_user 为“true”,则为“USER_LOGIN”。* 如果 has_principal_user 为“true”,则为“USER_UNCATEGORIZED”。* 如果 has_principal 为“true”,则为“STATUS_UPDATE”。* 否则为“GENERIC_EVENT”。 |
| operationType | read_only_udm.security_result.action_details | 该值直接从 operationType 字段映射。 |
| properties.activity | read_only_udm.security_result.summary | 该值直接从 properties.activity 字段映射。 |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp.seconds | 该值从 properties.activityDateTime 字段中提取,并转换为自纪元以来的秒数。 |
| properties.additionalInfo | read_only_udm.network.http.user_agent | 该值通过解析 JSON 字符串并提取与键“userAgent”对应的值来从 properties.additionalInfo 字段中提取。 |
| properties.additionalInfo | read_only_udm.target.url | 该值通过解析 JSON 字符串并提取与键“alertUrl”对应的值来从 properties.additionalInfo 字段中提取。 |
| properties.appId | read_only_udm.target.resource.attribute.labels.value | 该值直接从 properties.appId 字段映射。 |
| properties.appDisplayName | read_only_udm.target.application | 该值直接从 properties.appDisplayName 字段映射。 |
| properties.appliedConditionalAccessPolicies.displayName | read_only_udm.security_result.rule_name | 该值直接从 properties.appliedConditionalAccessPolicies.displayName 字段映射。 |
| properties.appliedConditionalAccessPolicies.id | read_only_udm.security_result.rule_id | 该值直接从 properties.appliedConditionalAccessPolicies.id 字段映射。 |
| properties.appliedConditionalAccessPolicies.result | read_only_udm.security_result.detection_fields.value | 该值直接从 properties.appliedConditionalAccessPolicies.result 字段映射。 |
| properties.authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | 该值直接从 properties.authenticationDetails.authenticationMethod 字段映射。 |
| properties.authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | 该值直接从 properties.authenticationDetails.authenticationMethodDetail 字段映射。 |
| properties.authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | 该值直接从 properties.authenticationDetails.authenticationStepDateTime 字段映射。 |
| properties.authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | 该值直接从 properties.authenticationDetails.authenticationStepRequirement 字段映射。 |
| properties.authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | 该值直接从 properties.authenticationDetails.authenticationStepResultDetail 字段映射。 |
| properties.authenticationProcessingDetails.key | read_only_udm.additional.fields.key | 该值直接从 properties.authenticationProcessingDetails.key 字段映射,并以“properties authenticationProcessingDetails - ”为前缀。 |
| properties.authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.authenticationProcessingDetails.value 字段映射。 |
| properties.authenticationRequirement | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.authenticationRequirement 字段映射。 |
| properties.authenticationRequirementPolicies.detail | read_only_udm.security_result.detection_fields.value | 该值直接从 properties.authenticationRequirementPolicies.detail 字段映射。 |
| properties.authenticationRequirementPolicies.requirementProvider | read_only_udm.security_result.detection_fields.value | 该值直接从 properties.authenticationRequirementPolicies.requirementProvider 字段映射。 |
| properties.clientAppUsed | read_only_udm.principal.application | 该值直接从 properties.clientAppUsed 字段映射。 |
| properties.conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.conditionalAccessStatus 字段映射。 |
| properties.createdDateTime | read_only_udm.metadata.event_timestamp.seconds | 该值从 properties.createdDateTime 字段中提取,并转换为自纪元以来的秒数。 |
| properties.crossTenantAccessType | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.crossTenantAccessType 字段映射。 |
| properties.detectedDateTime | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.detectedDateTime 字段映射。 |
| properties.detectionTimingType | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.detectionTimingType 字段映射。 |
| properties.homeTenantId | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.homeTenantId 字段映射。 |
| properties.id | read_only_udm.metadata.product_log_id | 该值直接从 properties.id 字段映射。 |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | 该值直接从 properties.initiatedBy.user.displayName 字段映射。 |
| properties.initiatedBy.user.id | read_only_udm.principal.user.windows_sid | 该值直接从 properties.initiatedBy.user.id 字段映射。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip | 该值直接从 properties.initiatedBy.user.ipAddress 字段映射。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | 该值直接从 properties.initiatedBy.user.ipAddress 字段映射。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid | 如果该值与电子邮件地址格式不匹配,则直接从 properties.initiatedBy.user.userPrincipalName 字段映射。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | 如果该值与电子邮件地址模式匹配,则直接从 properties.initiatedBy.user.userPrincipalName 字段映射该值。 |
| properties.ipAddress | read_only_udm.principal.ip | 该值是从 properties.ipAddress 字段中提取的,使用 grok 模式提取 IP 地址。 |
| properties.ipAddress | read_only_udm.principal.asset.ip | 该值是从 properties.ipAddress 字段中提取的,使用 grok 模式提取 IP 地址。 |
| properties.isGuest | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.isGuest 字段映射。 |
| properties.isDeleted | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.isDeleted 字段映射。 |
| properties.isProcessing | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.isProcessing 字段映射。 |
| properties.lastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.lastUpdatedDateTime 字段映射。 |
| properties.location.city | read_only_udm.principal.location.city | 该值直接从 properties.location.city 字段映射。 |
| properties.location.countryOrRegion | read_only_udm.principal.location.country_or_region | 该值直接从 properties.location.countryOrRegion 字段映射。 |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | 该值直接从 properties.location.geoCoordinates.latitude 字段映射并转换为浮点数。 |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 该值直接从 properties.location.geoCoordinates.latitude 字段映射并转换为浮点数。 |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | 该值直接从 properties.location.geoCoordinates.longitude 字段映射并转换为浮点数。 |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 该值直接从 properties.location.geoCoordinates.longitude 字段映射并转换为浮点数。 |
| properties.location.state | read_only_udm.principal.location.state | 该值直接从 properties.location.state 字段映射。 |
| properties.networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | 该值是通过连接 properties.networkLocationDetails.networkNames 数组中的所有值(以英文逗号分隔)生成的。 |
| properties.networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.networkLocationDetails.networkType 字段映射。 |
| properties.networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | 该值直接从 properties.networkLocationDetails.networkType 字段映射。 |
| properties.resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | 该值直接从 properties.resourceServicePrincipalId 字段映射。 |
| properties.riskDetail | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.riskDetail 字段映射。 |
| properties.riskEventType | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.riskEventType 字段映射。 |
| properties.riskLastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.riskLastUpdatedDateTime 字段映射。 |
| properties.riskLevel | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.riskLevel 字段映射。 |
| properties.riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.riskLevelDuringSignIn 字段映射。 |
| properties.riskState | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.riskState 字段映射。 |
| properties.riskType | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.riskType 字段映射。 |
| properties.source | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.source 字段映射。 |
| properties.targetResources.0.id | read_only_udm.target.user.product_object_id | 该值直接从 properties.targetResources.0.id 字段映射。 |
| properties.targetResources.modifiedProperties.0.newValue | read_only_udm.target.group.product_object_id | 该值直接从 properties.targetResources.modifiedProperties.0.newValue 字段映射。 |
| properties.tokenIssuerType | read_only_udm.additional.fields.value.string_value | 该值直接从 properties.tokenIssuerType 字段映射。 |
| properties.userAgent | read_only_udm.network.http.parsed_user_agent | 该值直接从 properties.userAgent 字段映射,并转换为已解析的用户代理对象。 |
| properties.userAgent | read_only_udm.network.http.user_agent | 该值直接从 properties.userAgent 字段映射。 |
| properties.userId | read_only_udm.target.user.product_object_id | 该值直接从 properties.userId 字段映射。 |
| properties.userPrincipalName | read_only_udm.target.user.userid | 如果该值与电子邮件地址格式不匹配,则直接从 properties.userPrincipalName 字段映射。 |
| properties.userPrincipalName | read_only_udm.target.user.email_addresses | 如果该值与电子邮件地址模式匹配,则直接从 properties.userPrincipalName 字段映射该值。 |
| 结果 | read_only_udm.security_result.action | 如果 result 为“success”,则该值会映射到“ALLOW”。 |
| 结果 | read_only_udm.security_result.action_details | 如果 result 为“success”,则该值直接从 result 字段映射。 |
| resultDescription | read_only_udm.security_result.description | 该值直接从 resultDescription 字段映射。 |
| resultSignature | read_only_udm.additional.fields.value.string_value | 该值直接从 resultSignature 字段映射。 |
| resultType | read_only_udm.security_result.action | 如果 resultType 为“0”,则该值会映射到“ALLOW”。 |
| resultType | read_only_udm.security_result.rule_id | 如果 resultType 字段不为空且不为“0”,则该值直接从 resultType 字段映射。 |
| resultType | read_only_udm.security_result.summary | 如果 resultType 为“0”,则该值会映射到“登录成功”;否则,该值会映射到“登录失败”。 |
| resourceDisplayName | read_only_udm.target.application | 该值直接从 resourceDisplayName 字段映射。 |
| resourceDisplayName | read_only_udm.target.resource.name | 该值直接从 resourceDisplayName 字段映射。 |
| resourceId | read_only_udm.target.resource.id | 该值直接从 resourceId 字段映射。 |
| resourceId | read_only_udm.target.resource.product_object_id | 该值直接从 resourceId 字段映射。 |
| resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | 该值直接从 resourceServicePrincipalId 字段映射。 |
| riskDetail | read_only_udm.additional.fields.value.string_value | 该值直接从 riskDetail 字段映射。 |
| riskEventTypes | read_only_udm.additional.fields.value.string_value | 该值从 riskEventTypes 数组中提取,并映射到 additional.fields 数组中的字符串值。 |
| riskEventTypes | read_only_udm.additional.fields.value.list_value.values.string_value | 该值直接从 riskEventTypes 数组的每个元素映射而来。 |
| riskEventTypes_v2 | read_only_udm.additional.fields.value.list_value.values.string_value | 该值直接从 riskEventTypes_v2 数组的每个元素映射而来。 |
| riskLevelAggregated | read_only_udm.additional.fields.value.string_value | 该值直接从 riskLevelAggregated 字段映射。 |
| riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | 该值直接从 riskLevelDuringSignIn 字段映射。 |
| riskState | read_only_udm.additional.fields.value.string_value | 该值直接从 riskState 字段映射。 |
| status.additionalDetails | read_only_udm.security_result.description | 该值直接从 status.additionalDetails 字段映射。 |
| status.errorCode | read_only_udm.security_result.action | 如果 status.errorCode 为“0”,则该值会映射到“ALLOW”。 |
| status.errorCode | read_only_udm.security_result.rule_id | 如果 status.errorCode 字段不为空,则该值直接从该字段映射。 |
| status.errorCode | read_only_udm.security_result.summary | 如果 status.errorCode 为“0”,则该值会映射到“登录成功”;否则,该值会映射到“登录失败”。 |
| status.failureReason | read_only_udm.additional.fields.value.string_value | 该值直接从 status.failureReason 字段映射。 |
| targetResources.displayName | read_only_udm.target.resource.name | 该值直接从 targetResources.displayName 字段映射。 |
| targetResources.id | read_only_udm.target.resource.id | 该值直接从 targetResources.id 字段映射。 |
| targetResources.id | read_only_udm.target.resource.product_object_id | 该值直接从 targetResources.id 字段映射。 |
| targetResources.modifiedProperties.displayName | read_only_udm.target.resource.attribute.labels.key | 该值直接从 targetResources.modifiedProperties.displayName 字段映射。 |
| targetResources.modifiedProperties.newValue | read_only_udm.target.resource.attribute.labels.value | 该值直接从 targetResources.modifiedProperties.newValue 字段映射而来,但会移除双引号。 |
| targetResources.modifiedProperties.oldValue | read_only_udm.target.resource.attribute.labels.value | 该值直接从 targetResources.modifiedProperties.oldValue 字段映射。 |
| targetResources.type | read_only_udm.target.resource.type | 该值直接从 targetResources.type 字段映射。 |
| targetResources.userPrincipalName | read_only_udm.target.user.user_display_name | 该值直接从 targetResources.userPrincipalName 字段映射。 |
| tenantId | read_only_udm.metadata.product_deployment_id | 该值直接从 tenantId 字段映射。 |
| 时间 | read_only_udm.metadata.event_timestamp.seconds | 该值从 time 字段中提取,并转换为自纪元以来的秒数。 |
| userAgent | read_only_udm.network.http.parsed_user_agent | 该值直接从 userAgent 字段映射,并转换为已解析的用户代理对象。 |
| userAgent | read_only_udm.network.http.user_agent | 该值直接从 userAgent 字段映射。 |
| userDisplayName | read_only_udm.target.user.user_display_name | 如果该值与 userId 不同且不符合电子邮件地址格式,则直接从 userDisplayName 字段映射该值。 |
| userPrincipalName | read_only_udm.principal.administrative_domain | 电子邮件地址的网域部分使用 grok 模式从 userPrincipalName 字段中提取,并映射到 principal.administrative_domain 字段。 |
| userPrincipalName | read_only_udm.target.user.email_addresses | 如果该值与电子邮件地址模式匹配,则直接从 userPrincipalName 字段映射该值。 |
| userPrincipalName | read_only_udm.target.user.userid | 如果该值与电子邮件地址格式不匹配,则直接从 userPrincipalName 字段映射。 |
| userId | read_only_udm.target.user.product_object_id | 该值直接从 userId 字段映射。 |
| read_only_udm.metadata.log_type | AZURE_AD | 此值在解析器中进行了硬编码。 |
| read_only_udm.metadata.vendor_name | Microsoft | 此值在解析器中进行了硬编码。 |
| read_only_udm.metadata.product_name | Azure AD | 此值在解析器中进行了硬编码。 |
| read_only_udm.extensions.auth.type | SSO | 此值在解析器中进行了硬编码。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。