收集 Microsoft Azure AD 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何設定 Google Security Operations 資訊提供,以收集 Microsoft Azure Active Directory (AD) 記錄。
Azure Active Directory (AZURE_AD) 現在稱為 Microsoft Entra ID。Azure AD 稽核記錄 (AZURE_AD_AUDIT) 現在稱為 Microsoft Entra ID 稽核記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。
事前準備
請確認您已完成下列事前準備事項:
- 可登入的 Azure 訂用帳戶
- 全域管理員或 Azure AD 管理員角色
- Azure 中的 Azure AD (租用戶)
如何設定 Azure AD
- 登入 Azure 入口網站。
- 依序前往「首頁」>「應用程式註冊」,選取已註冊的應用程式,或註冊應用程式 (如果尚未建立應用程式)。
- 如要註冊應用程式,請在「App registration」部分點選「New registration」。
- 在「名稱」欄位中,提供應用程式的顯示名稱。
- 在「支援的帳戶類型」部分,選取所需選項,指定可使用應用程式或存取 API 的對象。
- 按一下「註冊」。
- 前往「總覽」頁面,複製應用程式 (用戶端) ID 和目錄 (租戶) ID,這些 ID 是設定 Google Security Operations 資訊動態饋給時的必要資訊。
- 按一下「API 權限」。
- 按一下「Add a permission」,然後在新窗格中選取「Microsoft Graph」。
- 按一下「應用程式權限」。
- 選取「AuditLog.Read.All」、「Directory.Read.All」和「SecurityEvents.Read.All」權限。確認權限為「應用程式權限」,而非「委派權限」。
- 按一下「Grant admin consent for default directory」(為預設目錄授予管理員同意)。應用程式獲得使用者或管理員在同意程序中授予的權限後,即可呼叫 API。
- 依序前往「設定」>「管理」。
- 按一下「憑證和密鑰」。
- 按一下「新增用戶端密碼」。「Value」(值) 欄位會顯示用戶端密碼。
- 複製用戶端密鑰值。這個值只會在建立時顯示,而且是 Azure 應用程式註冊和設定 Google Security Operations 資訊動態饋給的必要條件。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態消息」,設定動態消息
如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
如要設定單一動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。如果您使用 Google SecOps SIEM 獨立平台,請略過這個步驟。
- 在「Feed name」(動態饋給名稱) 欄位中,輸入動態饋給的名稱,例如「Azure AD Logs」(Azure AD 記錄)。
- 選取「第三方 API」做為「來源類型」。
- 選取「Azure AD」做為「記錄類型」。
- 點選「下一步」。
- 設定下列必要輸入參數:
- OAUTH 用戶端 ID:指定您先前取得的用戶端 ID。
- OAUTH 用戶端密鑰:指定先前取得的用戶端密鑰。
- 租戶 ID:指定您先前取得的租戶 ID。
- 依序點按「繼續」和「提交」。
如要進一步瞭解 Google Security Operations 動態消息,請參閱 Google Security Operations 動態消息說明文件。如要瞭解各動態饋給類型的規定,請參閱「依類型設定動態饋給」。如果在建立動態饋給時遇到問題,請與 Google Security Operations 支援團隊聯絡。
從內容中心設定動態饋給
為下列欄位指定值:
- OAUTH 用戶端 ID:指定您先前取得的用戶端 ID。
- OAUTH 用戶端密鑰:指定先前取得的用戶端密鑰。
- 租戶 ID:指定您先前取得的租戶 ID。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
欄位對應參考資料
這段剖析器程式碼會將 JSON 格式的原始 Azure AD 記錄轉換為統一資料模型 (UDM)。首先,系統會移除不必要的欄位,將資料標準化,然後擷取相關資訊 (例如使用者詳細資料、時間戳記和事件詳細資料),並將這些資訊對應至相應的 UDM 欄位,以確保呈現和分析結果一致。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp.seconds | 系統會從 activityDateTime 欄位擷取值,並轉換為自 Epoch 時間起算的秒數。 |
| activityDisplayName | read_only_udm.security_result.summary | 這個值會直接從 activityDisplayName 欄位對應。 |
| additionalDetails.0.value | read_only_udm.network.http.user_agent | 這個值會直接從 additionalDetails.0.value 欄位對應。 |
| additionalDetails.1.key | read_only_udm.target.resource.attribute.labels.key | 這個值會直接從 additionalDetails.1.key 欄位對應。 |
| additionalDetails.1.value | read_only_udm.target.resource.attribute.labels.value | 這個值會直接從 additionalDetails.1.value 欄位對應。 |
| am_category | read_only_udm.metadata.description | 這個值會直接從 am_category 欄位對應。 |
| am_tenantId | read_only_udm.metadata.product_deployment_id | 這個值會直接從 am_tenantId 欄位對應。 |
| appDisplayName | read_only_udm.target.application | 這個值會直接從 appDisplayName 欄位對應。如果 appDisplayName 為空,則會從 resourceDisplayName 取值。 |
| appId | read_only_udm.target.resource.attribute.labels.value | 這個值會直接從 appId 欄位對應。 |
| appliedConditionalAccessPolicies.displayName | read_only_udm.about.user.user_display_name | 這個值會直接從 appliedConditionalAccessPolicies.displayName 欄位對應。 |
| appliedConditionalAccessPolicies.enforcedGrantControls | read_only_udm.security_result.rule_labels.value | 這個值會直接從 appliedConditionalAccessPolicies.enforcedGrantControls 欄位對應。 |
| appliedConditionalAccessPolicies.enforcedSessionControls | read_only_udm.security_result.rule_labels.value | 這個值會直接從 appliedConditionalAccessPolicies.enforcedSessionControls 欄位對應。 |
| appliedConditionalAccessPolicies.id | read_only_udm.about.user.userid | 這個值會直接從 appliedConditionalAccessPolicies.id 欄位對應。 |
| appliedConditionalAccessPolicies.result | read_only_udm.about.labels.value | 這個值會直接從 appliedConditionalAccessPolicies.result 欄位對應。 |
| authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | 這個值會直接從 authenticationDetails.authenticationMethod 欄位對應。 |
| authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | 這個值會直接從 authenticationDetails.authenticationMethodDetail 欄位對應。 |
| authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | 這個值會直接從 authenticationDetails.authenticationStepDateTime 欄位對應。 |
| authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | 這個值會直接從 authenticationDetails.authenticationStepRequirement 欄位對應。 |
| authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | 這個值會直接從 authenticationDetails.authenticationStepResultDetail 欄位對應。 |
| authenticationProcessingDetails.key | read_only_udm.additional.fields.key | 這個值會直接從 authenticationProcessingDetails.key 欄位對應,並加上「authenticationProcessingDetails - 」前置字元。 |
| authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | 這個值會直接從 authenticationProcessingDetails.value 欄位對應。 |
| callerIpAddress | read_only_udm.principal.ip | 這個值會直接從 callerIpAddress 欄位對應。 |
| callerIpAddress | read_only_udm.principal.asset.ip | 這個值會直接從 callerIpAddress 欄位對應。 |
| category | read_only_udm.metadata.description | 這個值會直接從 category 欄位對應。 |
| clientAppUsed | read_only_udm.principal.application | 這個值會直接從 clientAppUsed 欄位對應。 |
| conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | 這個值會直接從 conditionalAccessStatus 欄位對應。 |
| correlationId | read_only_udm.network.session_id | 這個值會直接從 correlationId 欄位對應。 |
| correlationId | read_only_udm.security_result.detection_fields.value | 這個值會直接從 correlationId 欄位對應。 |
| createdDateTime | read_only_udm.metadata.event_timestamp.seconds | 系統會從 createdDateTime 欄位擷取值,並轉換為自 Epoch 時間起算的秒數。 |
| deviceDetail.browser | read_only_udm.network.http.user_agent | 這個值會直接從 deviceDetail.browser 欄位對應。 |
| deviceDetail.deviceId | read_only_udm.principal.asset.asset_id | 這個值直接對應至 deviceDetail.deviceId 欄位,並以「裝置 ID:」為前置字元。 |
| deviceDetail.deviceId | read_only_udm.principal.asset_id | 這個值直接對應至 deviceDetail.deviceId 欄位,並以「裝置 ID:」為前置字元。 |
| deviceDetail.displayName | read_only_udm.principal.asset.hostname | 這個值會直接從 deviceDetail.displayName 欄位對應。 |
| deviceDetail.isCompliant | read_only_udm.principal.asset.attribute.labels.value | 這個值會直接從 deviceDetail.isCompliant 欄位對應。 |
| deviceDetail.isManaged | read_only_udm.principal.asset.attribute.labels.value | 這個值會直接從 deviceDetail.isManaged 欄位對應。 |
| deviceDetail.operatingSystem | read_only_udm.principal.platform_version | 這個值會直接從 deviceDetail.operatingSystem 欄位對應。 |
| deviceDetail.trustType | read_only_udm.principal.asset.attribute.labels.value | 這個值會直接從 deviceDetail.trustType 欄位對應。 |
| durationMs | read_only_udm.additional.fields.value.string_value | 這個值會直接從 durationMs 欄位對應。 |
| errorCode | read_only_udm.security_result.rule_id | 這個值會直接從 errorCode 欄位對應。 |
| identity | read_only_udm.target.user.user_display_name | 如果值與 userId 不同,且不符合電子郵件地址格式,系統會直接從 identity 欄位對應值。 |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | 這個值會直接從 initiatedBy.user.displayName 欄位對應。 |
| initiatedBy.user.id | read_only_udm.principal.user.userid | 這個值會直接從 initiatedBy.user.id 欄位對應。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip | 這個值會直接從 initiatedBy.user.ipAddress 欄位對應。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | 這個值會直接從 initiatedBy.user.ipAddress 欄位對應。 |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | 如果值符合電子郵件地址模式,系統會直接從 initiatedBy.user.userPrincipalName 欄位對應值。 |
| ipAddress | read_only_udm.principal.ip | 系統會使用 grok 模式從 ipAddress 欄位擷取 IP 位址。 |
| ipAddress | read_only_udm.principal.asset.ip | 系統會使用 grok 模式從 ipAddress 欄位擷取 IP 位址。 |
| isInteractive | read_only_udm.extensions.auth.mechanism | 如果 isInteractive 為「true」,則值會對應至「INTERACTIVE」,否則會對應至「MECHANISM_OTHER」。 |
| isInteractive | read_only_udm.security_result.detection_fields.value | 這個值會直接從 isInteractive 欄位對應。 |
| level | read_only_udm.security_result.severity | 系統會根據下列邏輯,從 level 欄位對應值: *「Information」、「Informational」、「0」、「4」會對應至「INFORMATIONAL」。*「Warning」、「1」和「3」會對應至「MEDIUM」。*「Error」和「2」會對應至「ERROR」。*「Critical」、「CRITICAL」、「critical」會對應至「CRITICAL」。 |
| level | read_only_udm.security_result.severity_details | 這個值會直接從 level 欄位對應。 |
| location.city | read_only_udm.principal.location.city | 這個值會直接從 location.city 欄位對應。 |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | 這個值會直接從 location.countryOrRegion 欄位對應。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | 這個值會直接從 location.geoCoordinates.latitude 欄位對應,並轉換為浮點數。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 這個值會直接從 location.geoCoordinates.latitude 欄位對應,並轉換為浮點數。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | 這個值會直接從 location.geoCoordinates.longitude 欄位對應,並轉換為浮點數。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 這個值會直接從 location.geoCoordinates.longitude 欄位對應,並轉換為浮點數。 |
| location.state | read_only_udm.principal.location.state | 這個值會直接從 location.state 欄位對應。 |
| networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | 系統會將 networkLocationDetails.networkNames 陣列中的所有值串連起來,並以半形逗號分隔,藉此產生值。 |
| networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | 這個值會直接從 networkLocationDetails.networkType 欄位對應。 |
| networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | 這個值會直接從 networkLocationDetails.networkType 欄位對應。 |
| operationName | read_only_udm.metadata.event_type | 如果 operationName 是「登入活動」,則值會對應至「USER_LOGIN」;如果 operationName 是「將成員新增至群組」,則值會對應至「USER_CHANGE_PERMISSIONS」;如果 operationName 是「將應用程式角色指派給服務主體」,則值會對應至「USER_RESOURCE_UPDATE_PERMISSIONS」。否則,系統會根據其他欄位是否存在來判斷值:* 如果 has_target_user 為「true」,則為「USER_LOGIN」。* 如果 has_principal_user 為「true」,則為「USER_UNCATEGORIZED」。* 如果 has_principal 為「true」,則為「STATUS_UPDATE」。* 否則為「GENERIC_EVENT」。 |
| operationType | read_only_udm.security_result.action_details | 這個值會直接從 operationType 欄位對應。 |
| properties.activity | read_only_udm.security_result.summary | 這個值會直接從 properties.activity 欄位對應。 |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp.seconds | 系統會從 properties.activityDateTime 欄位擷取值,並轉換為自 Epoch 時間起算的秒數。 |
| properties.additionalInfo | read_only_udm.network.http.user_agent | 系統會剖析 JSON 字串,並擷取與「userAgent」鍵對應的值,從 properties.additionalInfo 欄位中擷取值。 |
| properties.additionalInfo | read_only_udm.target.url | 系統會剖析 JSON 字串,並擷取與「alertUrl」鍵對應的值,從 properties.additionalInfo 欄位中擷取值。 |
| properties.appId | read_only_udm.target.resource.attribute.labels.value | 這個值會直接從 properties.appId 欄位對應。 |
| properties.appDisplayName | read_only_udm.target.application | 這個值會直接從 properties.appDisplayName 欄位對應。 |
| properties.appliedConditionalAccessPolicies.displayName | read_only_udm.security_result.rule_name | 這個值會直接從 properties.appliedConditionalAccessPolicies.displayName 欄位對應。 |
| properties.appliedConditionalAccessPolicies.id | read_only_udm.security_result.rule_id | 這個值會直接從 properties.appliedConditionalAccessPolicies.id 欄位對應。 |
| properties.appliedConditionalAccessPolicies.result | read_only_udm.security_result.detection_fields.value | 這個值會直接從 properties.appliedConditionalAccessPolicies.result 欄位對應。 |
| properties.authenticationDetails.authenticationMethod | read_only_udm.security_result.detection_fields.value | 這個值會直接從 properties.authenticationDetails.authenticationMethod 欄位對應。 |
| properties.authenticationDetails.authenticationMethodDetail | read_only_udm.security_result.detection_fields.value | 這個值會直接從 properties.authenticationDetails.authenticationMethodDetail 欄位對應。 |
| properties.authenticationDetails.authenticationStepDateTime | read_only_udm.security_result.detection_fields.value | 這個值會直接從 properties.authenticationDetails.authenticationStepDateTime 欄位對應。 |
| properties.authenticationDetails.authenticationStepRequirement | read_only_udm.security_result.detection_fields.value | 這個值會直接從 properties.authenticationDetails.authenticationStepRequirement 欄位對應。 |
| properties.authenticationDetails.authenticationStepResultDetail | read_only_udm.security_result.detection_fields.value | 這個值會直接從 properties.authenticationDetails.authenticationStepResultDetail 欄位對應。 |
| properties.authenticationProcessingDetails.key | read_only_udm.additional.fields.key | 這個值會直接從 properties.authenticationProcessingDetails.key 欄位對應,並以「properties authenticationProcessingDetails - 」為前置字元。 |
| properties.authenticationProcessingDetails.value | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.authenticationProcessingDetails.value 欄位對應。 |
| properties.authenticationRequirement | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.authenticationRequirement 欄位對應。 |
| properties.authenticationRequirementPolicies.detail | read_only_udm.security_result.detection_fields.value | 這個值會直接從 properties.authenticationRequirementPolicies.detail 欄位對應。 |
| properties.authenticationRequirementPolicies.requirementProvider | read_only_udm.security_result.detection_fields.value | 這個值會直接從 properties.authenticationRequirementPolicies.requirementProvider 欄位對應。 |
| properties.clientAppUsed | read_only_udm.principal.application | 這個值會直接從 properties.clientAppUsed 欄位對應。 |
| properties.conditionalAccessStatus | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.conditionalAccessStatus 欄位對應。 |
| properties.createdDateTime | read_only_udm.metadata.event_timestamp.seconds | 系統會從 properties.createdDateTime 欄位擷取值,並轉換為自 Epoch 時間起算的秒數。 |
| properties.crossTenantAccessType | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.crossTenantAccessType 欄位對應。 |
| properties.detectedDateTime | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.detectedDateTime 欄位對應。 |
| properties.detectionTimingType | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.detectionTimingType 欄位對應。 |
| properties.homeTenantId | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.homeTenantId 欄位對應。 |
| properties.id | read_only_udm.metadata.product_log_id | 這個值會直接從 properties.id 欄位對應。 |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name | 這個值會直接從 properties.initiatedBy.user.displayName 欄位對應。 |
| properties.initiatedBy.user.id | read_only_udm.principal.user.windows_sid | 這個值會直接從 properties.initiatedBy.user.id 欄位對應。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip | 這個值會直接從 properties.initiatedBy.user.ipAddress 欄位對應。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.asset.ip | 這個值會直接從 properties.initiatedBy.user.ipAddress 欄位對應。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid | 如果值不符合電子郵件地址格式,系統會直接從 properties.initiatedBy.user.userPrincipalName 欄位對應值。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.email_addresses | 如果值符合電子郵件地址模式,系統會直接從 properties.initiatedBy.user.userPrincipalName 欄位對應值。 |
| properties.ipAddress | read_only_udm.principal.ip | 系統會使用 grok 模式從 properties.ipAddress 欄位擷取 IP 位址。 |
| properties.ipAddress | read_only_udm.principal.asset.ip | 系統會使用 grok 模式從 properties.ipAddress 欄位擷取 IP 位址。 |
| properties.isGuest | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.isGuest 欄位對應。 |
| properties.isDeleted | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.isDeleted 欄位對應。 |
| properties.isProcessing | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.isProcessing 欄位對應。 |
| properties.lastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.lastUpdatedDateTime 欄位對應。 |
| properties.location.city | read_only_udm.principal.location.city | 這個值會直接從 properties.location.city 欄位對應。 |
| properties.location.countryOrRegion | read_only_udm.principal.location.country_or_region | 這個值會直接從 properties.location.countryOrRegion 欄位對應。 |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_coordinates.latitude | 這個值會直接從 properties.location.geoCoordinates.latitude 欄位對應,並轉換為浮點數。 |
| properties.location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 這個值會直接從 properties.location.geoCoordinates.latitude 欄位對應,並轉換為浮點數。 |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_coordinates.longitude | 這個值會直接從 properties.location.geoCoordinates.longitude 欄位對應,並轉換為浮點數。 |
| properties.location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 這個值會直接從 properties.location.geoCoordinates.longitude 欄位對應,並轉換為浮點數。 |
| properties.location.state | read_only_udm.principal.location.state | 這個值會直接從 properties.location.state 欄位對應。 |
| properties.networkLocationDetails.networkNames | read_only_udm.additional.fields.value.string_value | 系統會將 properties.networkLocationDetails.networkNames 陣列中的所有值串連起來,並以半形逗號分隔,藉此產生值。 |
| properties.networkLocationDetails.networkType | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.networkLocationDetails.networkType 欄位對應。 |
| properties.networkLocationDetails.networkType | read_only_udm.security_result.detection_fields.value | 這個值會直接從 properties.networkLocationDetails.networkType 欄位對應。 |
| properties.resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | 這個值會直接從 properties.resourceServicePrincipalId 欄位對應。 |
| properties.riskDetail | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.riskDetail 欄位對應。 |
| properties.riskEventType | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.riskEventType 欄位對應。 |
| properties.riskLastUpdatedDateTime | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.riskLastUpdatedDateTime 欄位對應。 |
| properties.riskLevel | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.riskLevel 欄位對應。 |
| properties.riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.riskLevelDuringSignIn 欄位對應。 |
| properties.riskState | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.riskState 欄位對應。 |
| properties.riskType | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.riskType 欄位對應。 |
| properties.source | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.source 欄位對應。 |
| properties.targetResources.0.id | read_only_udm.target.user.product_object_id | 這個值會直接從 properties.targetResources.0.id 欄位對應。 |
| properties.targetResources.modifiedProperties.0.newValue | read_only_udm.target.group.product_object_id | 這個值會直接從 properties.targetResources.modifiedProperties.0.newValue 欄位對應。 |
| properties.tokenIssuerType | read_only_udm.additional.fields.value.string_value | 這個值會直接從 properties.tokenIssuerType 欄位對應。 |
| properties.userAgent | read_only_udm.network.http.parsed_user_agent | 這個值會直接從 properties.userAgent 欄位對應,並轉換為已剖析的使用者代理程式物件。 |
| properties.userAgent | read_only_udm.network.http.user_agent | 這個值會直接從 properties.userAgent 欄位對應。 |
| properties.userId | read_only_udm.target.user.product_object_id | 這個值會直接從 properties.userId 欄位對應。 |
| properties.userPrincipalName | read_only_udm.target.user.userid | 如果值不符合電子郵件地址格式,系統會直接從 properties.userPrincipalName 欄位對應值。 |
| properties.userPrincipalName | read_only_udm.target.user.email_addresses | 如果值符合電子郵件地址模式,系統會直接從 properties.userPrincipalName 欄位對應值。 |
| result | read_only_udm.security_result.action | 如果 result 為「success」,則值會對應至「ALLOW」。 |
| result | read_only_udm.security_result.action_details | 如果 result 為「success」,系統會直接從 result 欄位對應值。 |
| resultDescription | read_only_udm.security_result.description | 這個值會直接從 resultDescription 欄位對應。 |
| resultSignature | read_only_udm.additional.fields.value.string_value | 這個值會直接從 resultSignature 欄位對應。 |
| resultType | read_only_udm.security_result.action | 如果 resultType 為「0」,則值會對應至「ALLOW」。 |
| resultType | read_only_udm.security_result.rule_id | 如果 resultType 欄位不為空白且不是「0」,系統會直接對應該欄位的值。 |
| resultType | read_only_udm.security_result.summary | 如果 resultType 為「0」,則值會對應至「Successful login occurred」(登入成功),否則會對應至「Failed login occurred」(登入失敗)。 |
| resourceDisplayName | read_only_udm.target.application | 這個值會直接從 resourceDisplayName 欄位對應。 |
| resourceDisplayName | read_only_udm.target.resource.name | 這個值會直接從 resourceDisplayName 欄位對應。 |
| resourceId | read_only_udm.target.resource.id | 這個值會直接從 resourceId 欄位對應。 |
| resourceId | read_only_udm.target.resource.product_object_id | 這個值會直接從 resourceId 欄位對應。 |
| resourceServicePrincipalId | read_only_udm.target.resource.attribute.labels.value | 這個值會直接從 resourceServicePrincipalId 欄位對應。 |
| riskDetail | read_only_udm.additional.fields.value.string_value | 這個值會直接從 riskDetail 欄位對應。 |
| riskEventTypes | read_only_udm.additional.fields.value.string_value | 系統會從 riskEventTypes 陣列中擷取值,並對應至 additional.fields 陣列中的字串值。 |
| riskEventTypes | read_only_udm.additional.fields.value.list_value.values.string_value | 這個值會直接對應至 riskEventTypes 陣列的每個元素。 |
| riskEventTypes_v2 | read_only_udm.additional.fields.value.list_value.values.string_value | 這個值會直接對應至 riskEventTypes_v2 陣列的每個元素。 |
| riskLevelAggregated | read_only_udm.additional.fields.value.string_value | 這個值會直接從 riskLevelAggregated 欄位對應。 |
| riskLevelDuringSignIn | read_only_udm.additional.fields.value.string_value | 這個值會直接從 riskLevelDuringSignIn 欄位對應。 |
| riskState | read_only_udm.additional.fields.value.string_value | 這個值會直接從 riskState 欄位對應。 |
| status.additionalDetails | read_only_udm.security_result.description | 這個值會直接從 status.additionalDetails 欄位對應。 |
| status.errorCode | read_only_udm.security_result.action | 如果 status.errorCode 為「0」,則值會對應至「ALLOW」。 |
| status.errorCode | read_only_udm.security_result.rule_id | 如果 status.errorCode 欄位不為空白,系統會直接對應該欄位的值。 |
| status.errorCode | read_only_udm.security_result.summary | 如果 status.errorCode 為「0」,則值會對應至「Successful login occurred」(登入成功),否則會對應至「Failed login occurred」(登入失敗)。 |
| status.failureReason | read_only_udm.additional.fields.value.string_value | 這個值會直接從 status.failureReason 欄位對應。 |
| targetResources.displayName | read_only_udm.target.resource.name | 這個值會直接從 targetResources.displayName 欄位對應。 |
| targetResources.id | read_only_udm.target.resource.id | 這個值會直接從 targetResources.id 欄位對應。 |
| targetResources.id | read_only_udm.target.resource.product_object_id | 這個值會直接從 targetResources.id 欄位對應。 |
| targetResources.modifiedProperties.displayName | read_only_udm.target.resource.attribute.labels.key | 這個值會直接從 targetResources.modifiedProperties.displayName 欄位對應。 |
| targetResources.modifiedProperties.newValue | read_only_udm.target.resource.attribute.labels.value | 移除雙引號後,系統會直接從 targetResources.modifiedProperties.newValue 欄位對應值。 |
| targetResources.modifiedProperties.oldValue | read_only_udm.target.resource.attribute.labels.value | 這個值會直接從 targetResources.modifiedProperties.oldValue 欄位對應。 |
| targetResources.type | read_only_udm.target.resource.type | 這個值會直接從 targetResources.type 欄位對應。 |
| targetResources.userPrincipalName | read_only_udm.target.user.user_display_name | 這個值會直接從 targetResources.userPrincipalName 欄位對應。 |
| tenantId | read_only_udm.metadata.product_deployment_id | 這個值會直接從 tenantId 欄位對應。 |
| 時間 | read_only_udm.metadata.event_timestamp.seconds | 系統會從 time 欄位擷取值,並轉換為自 Epoch 時間起算的秒數。 |
| userAgent | read_only_udm.network.http.parsed_user_agent | 這個值會直接從 userAgent 欄位對應,並轉換為已剖析的使用者代理程式物件。 |
| userAgent | read_only_udm.network.http.user_agent | 這個值會直接從 userAgent 欄位對應。 |
| userDisplayName | read_only_udm.target.user.user_display_name | 如果值與 userId 不同,且不符合電子郵件地址格式,系統會直接從 userDisplayName 欄位對應值。 |
| userPrincipalName | read_only_udm.principal.administrative_domain | 系統會使用 grok 模式從 userPrincipalName 欄位擷取電子郵件地址的網域部分,並對應至 principal.administrative_domain 欄位。 |
| userPrincipalName | read_only_udm.target.user.email_addresses | 如果值符合電子郵件地址模式,系統會直接從 userPrincipalName 欄位對應值。 |
| userPrincipalName | read_only_udm.target.user.userid | 如果值不符合電子郵件地址格式,系統會直接從 userPrincipalName 欄位對應值。 |
| userId | read_only_udm.target.user.product_object_id | 這個值會直接從 userId 欄位對應。 |
| read_only_udm.metadata.log_type | AZURE_AD | 這個值會在剖析器中採用硬式編碼。 |
| read_only_udm.metadata.vendor_name | Microsoft | 這個值會在剖析器中採用硬式編碼。 |
| read_only_udm.metadata.product_name | Azure AD | 這個值會在剖析器中採用硬式編碼。 |
| read_only_udm.extensions.auth.type | 單一登入 (SSO) | 這個值會在剖析器中採用硬式編碼。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。