Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log aktivitas Microsoft Graph

Didukung di:

Google secops SIEM

Ringkasan

Parser ini mengekstrak kolom dari log aktivitas Microsoft Graph, lalu mengubahnya menjadi Model Data Terpadu (UDM). Fungsi ini menginisialisasi kolom UDM, mengurai payload, mengekstrak stempel waktu, memetakan berbagai properti ke kolom UDM, menangani alamat IP dan port, serta mengategorikan jenis peristiwa berdasarkan keberadaan informasi jaringan dan pokok.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps.
Akses istimewa ke Microsoft Entra ID dan akun penyimpanan Azure.

Mengonfigurasi akun penyimpanan Azure

Di konsol Azure, cari akun penyimpanan.
Klik Buat.
Tentukan nilai untuk parameter input berikut:
- Langganan: pilih langganan.
- Grup Resource: pilih grup resource.
- Region: pilih region.
- Performa: pilih tingkat performa yang Anda inginkan (standar direkomendasikan).
- Redundansi: pilih tingkat redundansi yang Anda inginkan (GRS atau LRS direkomendasikan).
- Nama akun penyimpanan: masukkan nama untuk akun penyimpanan baru.
Klik Review + create.
Tinjau ringkasan akun, lalu klik Buat.
Dari halaman Storage Account Overview, pilih submenu Access keys di Security + networking.
Klik Tampilkan di samping key1 atau key2
Klik Salin ke papan klip untuk menyalin kunci.
Simpan kunci di lokasi yang aman untuk referensi di masa mendatang.
Dari halaman Storage Account Overview, pilih submenu Endpoints di Settings.
Klik Salin ke papan klip untuk menyalin URL endpoint Blob service (misalnya, https://.blob.core.windows.net).
Simpan URL endpoint di lokasi yang aman untuk referensi di masa mendatang.

Mengonfigurasi ekspor log aktivitas Microsoft Graph ke akun penyimpanan

Di konsol Azure, telusuri Entra ID.
Pilih Monitoring > Setelan diagnostik.
Klik + Tambahkan setelan diagnostik.
Beri setelan nama unik (misalnya, ms-graph-activity).
Pilih kategori MicrosoftGraphActivityLog yang ingin Anda ekspor ke Google SecOps.
Di bagian Detail tujuan, pilih Arsipkan ke akun penyimpanan.
Pilih langganan dan akun penyimpanan yang Anda buat di langkah sebelumnya.
Klik Simpan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed; misalnya, Log Aktivitas Microsoft Graph.
Pilih Microsoft Azure Blob Storage sebagai Jenis sumber.
Pilih Microsoft Graph Activity Logs sebagai Log type.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Azure uri: URL endpoint blob.
  
  ENDPOINT_URL/BLOB_NAME
  
  Ganti kode berikut:
  - ENDPOINT_URL: URL endpoint blob (https://<storageaccountname>.blob.core.windows.net)
  - BLOB_NAME: nama blob (misalnya, insights-logs-)
- URI adalah: pilih jenis URI sesuai dengan konfigurasi aliran log (File tunggalS | Direktori | Direktori yang mencakup subdirektori).
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Catatan: Jika Anda memilih opsi Hapus file yang ditransfer atau Hapus file yang ditransfer dan direktori kosong, pastikan Anda memberikan izin yang sesuai ke akun layanan.
- Kunci bersama: kunci akses ke Azure Blob Storage.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

Azure uri: URL endpoint blob. ENDPOINT_URL/BLOB_NAME Ganti kode berikut:
- ENDPOINT_URL: URL endpoint blob (https://<storageaccountname>.blob.core.windows.net)
- BLOB_NAME: nama blob (misalnya, insights-logs-)
URI adalah: pilih jenis URI sesuai dengan konfigurasi aliran log (File tunggalS | Direktori | Direktori yang mencakup subdirektori).
Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

Kunci bersama: kunci akses ke Azure Blob Storage.

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`callerIpAddress`	`principal.asset.ip`	Kolom log mentah `callerIpAddress` disalin ke kolom UDM.
`callerIpAddress`	`principal.ip`	Kolom log mentah `callerIpAddress` disalin ke kolom UDM.
`category`	`security_result.category_details`	Kolom log mentah `category` disalin ke kolom UDM.
`correlationId`	`security_result.detection_fields.value`	Kolom log mentah `correlationId` disalin ke kolom UDM, dengan kunci adalah `correlationId`.
`Level`	`security_result.detection_fields.value`	Kolom log mentah `Level` dikonversi menjadi string dan disalin ke kolom UDM, dengan kunci adalah `Level`.
`operationName`	`metadata.product_event_type`	Kolom log mentah `operationName` disalin ke kolom UDM.
`operationVersion`	`additional.fields.value.string_value`	Kolom log mentah `operationVersion` disalin ke kolom UDM, dengan kunci adalah `operationVersion`.
`properties.apiVersion`	`metadata.product_version`	Kolom log mentah `properties.apiVersion` disalin ke kolom UDM.
`properties.appId`	`target.resource.product_object_id`	Kolom log mentah `properties.appId` disalin ke kolom UDM.
`properties.atContent`	`additional.fields.value.string_value`	Kolom log mentah `properties.atContent` disalin ke kolom UDM, dengan kunci adalah `atContent`.
`properties.clientAuthMethod`	`extensions.auth.auth_details`	Berdasarkan nilai `properties.clientAuthMethod`, kolom UDM disetel ke "Public Client" (0), "Client ID/Client Secret" (1), atau "Client Certificate" (2).
`properties.clientRequestId`	`additional.fields.value.string_value`	Kolom log mentah `properties.clientRequestId` disalin ke kolom UDM, dengan kunci adalah `clientRequestId`.
`properties.durationMs`	`network.session_duration.seconds`	Kolom log mentah `properties.durationMs` dikonversi dari milidetik ke detik dan disalin ke kolom UDM.
`properties.identityProvider`	`security_result.detection_fields.value`	Kolom log mentah `properties.identityProvider` disalin ke kolom UDM, dengan kunci adalah `identityProvider`.
`properties.ipAddress`	`principal.asset.ip`	Alamat IP dari kolom log mentah `properties.ipAddress` diekstrak dan disalin ke kolom UDM.
`properties.ipAddress`	`principal.ip`	Alamat IP dari kolom log mentah `properties.ipAddress` diekstrak dan disalin ke kolom UDM.
`properties.location`	`principal.location.name`	Kolom log mentah `properties.location` disalin ke kolom UDM.
`properties.operationId`	`security_result.detection_fields.value`	Kolom log mentah `properties.operationId` disalin ke kolom UDM, dengan kunci adalah `operationId`.
`properties.requestMethod`	`network.http.method`	Kolom log mentah `properties.requestMethod` disalin ke kolom UDM.
`properties.requestId`	`metadata.product_log_id`	Kolom log mentah `properties.requestId` disalin ke kolom UDM.
`properties.responseSizeBytes`	`network.received_bytes`	Kolom log mentah `properties.responseSizeBytes` dikonversi menjadi bilangan bulat yang tidak bertanda tangan dan disalin ke kolom UDM.
`properties.responseStatusCode`	`network.http.response_code`	Kolom log mentah `properties.responseStatusCode` dikonversi menjadi bilangan bulat dan disalin ke kolom UDM.
`properties.roles`	`additional.fields.value.string_value`	Kolom log mentah `properties.roles` disalin ke kolom UDM, dengan kunci adalah `roles`.
`properties.scopes`	`additional.fields.value.string_value`	Kolom log mentah `properties.scopes` disalin ke kolom UDM, dengan kunci adalah `Scopes`.
`properties.servicePrincipalId`	`principal.user.userid`	Kolom log mentah `properties.servicePrincipalId` disalin ke kolom UDM jika `properties.userId` kosong.
`properties.signInActivityId`	`network.session_id`	Kolom log mentah `properties.signInActivityId` disalin ke kolom UDM.
`properties.tenantId`	`metadata.product_deployment_id`	Kolom log mentah `properties.tenantId` disalin ke kolom UDM.
`properties.tokenIssuedAt`	`additional.fields.value.string_value`	Kolom log mentah `properties.tokenIssuedAt` disalin ke kolom UDM, dengan kunci adalah `tokenIssuedAt`.
`properties.userAgent`	`network.http.user_agent`	Kolom log mentah `properties.userAgent` disalin ke kolom UDM.
`properties.userId`	`principal.user.userid`	Kolom log mentah `properties.userId` disalin ke kolom UDM.
`properties.wids`	`security_result.detection_fields.value`	Kolom log mentah `properties.wids` disalin ke kolom UDM, dengan kunci adalah `wids`.
`resourceId`	`target.resource.attribute.labels.value`	Kolom log mentah `resourceId` disalin ke kolom UDM, dengan kunci adalah `Resource ID`.
`resultSignature`	`additional.fields.value.string_value`	Kolom log mentah `resultSignature` disalin ke kolom UDM, dengan kunci adalah `resultSignature`.
`time`	`metadata.event_timestamp`	Kolom log mentah `time` diuraikan dan dikonversi menjadi stempel waktu, lalu disalin ke kolom UDM. Kolom UDM `event.idm.read_only_udm.metadata.event_type` disetel ke "NETWORK_HTTP" jika `has_principal` benar (true) dan `network.http` tidak kosong, "STATUS_UPDATE" jika `has_principal` benar (true) dan `network.http` kosong, atau "GENERIC_EVENT" jika tidak. Kolom UDM ditetapkan ke "Microsoft Graph". Kolom UDM ditetapkan ke "Microsoft".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.