Mengumpulkan log Audit Microsoft Entra ID
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Microsoft Entra ID (AD) dengan menyiapkan feed Google Security Operations.
Azure Active Directory (AZURE_AD) kini disebut Microsoft Entra ID. Log audit Azure AD
(AZURE_AD_AUDIT) kini menjadi log audit Microsoft Entra ID.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Langganan Azure yang dapat Anda gunakan untuk login
- Peran administrator global atau administrator Azure AD
- Azure AD (tenant) di Azure
Cara mengonfigurasi Azure AD
- Login ke portal Azure.
- Buka Beranda > Pendaftaran aplikasi, pilih aplikasi yang terdaftar atau daftarkan aplikasi jika Anda belum membuat aplikasi.
- Untuk mendaftarkan aplikasi, di bagian App registration, klik New registration.
- Di kolom Name, berikan nama tampilan untuk aplikasi Anda.
- Di bagian Jenis akun yang didukung, pilih opsi yang diperlukan untuk menentukan siapa yang dapat menggunakan aplikasi atau mengakses API.
- Klik Daftar.
- Buka halaman Overview, lalu salin ID aplikasi (klien) dan ID direktori (tenant), yang diperlukan untuk mengonfigurasi feed Google Security Operations.
- Klik API permissions.
- Klik Add a permission, lalu pilih Microsoft Graph di panel baru.
- Klik Application permissions.
- Pilih izin AuditLog.Read.All, Directory.Read.All, dan SecurityEvents.Read.All. Pastikan izinnya adalah Izin aplikasi, bukan Izin yang didelegasikan.
- Klik Grant admin consent for default directory. Aplikasi diberi otorisasi untuk memanggil API jika aplikasi diberi izin oleh pengguna atau administrator sebagai bagian dari proses izin.
- Buka Setelan > Kelola.
- Klik Certificates and secrets.
- Klik New client secret. Di kolom Nilai, rahasia klien akan muncul.
- Salin nilai rahasia klien. Nilai ini hanya ditampilkan pada saat pembuatan dan diperlukan untuk pendaftaran aplikasi Azure dan untuk mengonfigurasi feed Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Cara menyiapkan aplikasi Microsoft Entra ID.
Untuk mengetahui informasi selengkapnya terkait Microsoft Entra untuk izin, lihat Microsoft Entra untuk izin.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed > Tambahkan Baru
- Hub Konten > Paket Konten > Mulai
Cara menyiapkan feed Audit Microsoft Entra ID (AZURE AD)
- Klik paket Azure Platform.
- Temukan jenis log Azure AD Directory Audit.
Tentukan nilai untuk kolom berikut:
- Jenis Sumber: API pihak ketiga (direkomendasikan)
- OAUTH client ID: Tentukan client ID yang Anda peroleh sebelumnya.
- Rahasia klien OAUTH: Tentukan rahasia klien yang Anda peroleh sebelumnya.
- Tenant ID: Tentukan tenant ID yang Anda peroleh sebelumnya.
- Jalur lengkap API: URL endpoint Microsoft Graph REST API.
- Endpoint Autentikasi API: Endpoint Autentikasi Microsoft Active Directory.
Opsi Lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Klik Buat feed.
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.
Untuk mengetahui informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis. Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Operasi Keamanan Google.
Referensi pemetaan kolom
Parser ini memproses log Audit Direktori Azure AD dalam format JSON. Fitur ini mengekstrak kolom yang relevan, mengubahnya menjadi model data terpadu (UDM), dan memperkaya data dengan konteks tambahan seperti detail pengguna, alamat IP, dan hasil keamanan. Parser juga mengategorikan peristiwa berdasarkan karakteristiknya, memetakannya ke jenis peristiwa UDM tertentu agar lebih mudah dianalisis.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | Pemetaan langsung dari kolom log mentah "activityDateTime". |
| activityDisplayName | read_only_udm.metadata.product_event_type | Pemetaan langsung dari kolom log mentah "activityDisplayName". |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci adalah "ApplicationId". |
| additionalDetails.Client | read_only_udm.network.http.user_agent | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci adalah "Client". |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci "ClientIpAddress". |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci "DomainName". |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci adalah "EmailAddress". |
| additionalDetails.GrantType | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci "GrantType". |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci adalah "LocalAccountUsername". |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci "PhoneNumber". |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci adalah "PolicyId". |
| additionalDetails.Scopes | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci "Scopes". |
| additionalDetails.TenantId | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci adalah "TenantId". |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "additionalDetails", dengan kunci adalah "VerificationMethod". |
| appId | read_only_udm.target.process.pid | Pemetaan langsung dari kolom log mentah "appId". |
| appliedConditionalAccessPolicies | read_only_udm.about | Kolom "displayName" dipetakan ke "read_only_udm.about.user.user_display_name" dan kolom "id" dipetakan ke "read_only_udm.about.user.userid". Kolom "result" dipetakan ke "read_only_udm.about.labels", dengan kunci yang ditetapkan ke "Result". |
| category | read_only_udm.additional.fields, read_only_udm.security_result.category_details | Pemetaan langsung dari kolom log mentah "category". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "log_category". |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Pemetaan langsung dari kolom log mentah "callerIpAddress". |
| clientAppUsed | read_only_udm.principal.application | Pemetaan langsung dari kolom log mentah "clientAppUsed". |
| correlationId | read_only_udm.network.session_id | Pemetaan langsung dari kolom log mentah "correlationId". |
| id | read_only_udm.metadata.product_log_id | Pemetaan langsung dari kolom log mentah "id". |
| identitas | read_only_udm.target.user.userid | Pemetaan langsung dari kolom log mentah "identity". |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Pemetaan langsung dari kolom log mentah "initiatedBy.app.appId". Kunci untuk "read_only_udm.principal.resource.attribute.labels" ditetapkan ke "ID Aplikasi". |
| initiatedBy.app.displayName | read_only_udm.principal.application | Pemetaan langsung dari kolom log mentah "initiatedBy.app.displayName". |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Pemetaan langsung dari kolom log mentah "initiatedBy.app.servicePrincipalId". |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Pemetaan langsung dari kolom log mentah "initiatedBy.app.servicePrincipalName". |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Jika nilai berisi "@", nilai tersebut akan diuraikan sebagai alamat email dan dipetakan ke "read_only_udm.principal.user.email_addresses". Jika tidak, kolom ini dipetakan ke "read_only_udm.principal.user.user_display_name". |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Pemetaan langsung dari kolom log mentah "initiatedBy.user.id". |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Pemetaan langsung dari kolom log mentah "initiatedBy.user.ipAddress". |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Jika nilai berisi "@", nilai tersebut akan diuraikan sebagai alamat email dan dipetakan ke "read_only_udm.principal.user.email_addresses". Jika tidak, ID ini dipetakan ke "read_only_udm.principal.user.userid". Bagian domain dari alamat email dipetakan ke "read_only_udm.principal.administrative_domain". Nilai lengkap juga dipetakan ke "read_only_udm.principal.resource.attribute.labels" dengan kunci yang ditetapkan ke "User Principal Name". |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Pemetaan langsung dari kolom log mentah "ipAddress". |
| Tingkat | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | Nilai dikonversi menjadi string dan dipetakan ke "read_only_udm.security_result.severity_details". Kolom "read_only_udm.security_result.severity" ditetapkan ke "INFORMATIONAL". |
| location.city | read_only_udm.principal.location.city | Pemetaan langsung dari kolom log mentah "location.city". |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | Pemetaan langsung dari kolom log mentah "location.countryOrRegion". |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | Pemetaan langsung dari kolom log mentah "location.geoCoordinates.latitude". |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | Pemetaan langsung dari kolom log mentah "location.geoCoordinates.longitude". |
| location.state | read_only_udm.principal.location.state | Pemetaan langsung dari kolom log mentah "location.state". |
| loggedByService | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "loggedByService". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "loggedByService". |
| operationName | read_only_udm.metadata.product_event_type | Pemetaan langsung dari kolom log mentah "operationName". |
| operationType | read_only_udm.security_result.action_details | Pemetaan langsung dari kolom log mentah "operationType". |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | Pemetaan langsung dari kolom log mentah "properties.activityDateTime". |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | Pemetaan langsung dari kolom log mentah "properties.activityDisplayName". |
| properties.appDisplayName | read_only_udm.target.application | Pemetaan langsung dari kolom log mentah "properties.appDisplayName". |
| properties.category | read_only_udm.security_result.category_details | Pemetaan langsung dari kolom log mentah "properties.category". |
| properties.id | read_only_udm.metadata.product_log_id | Pemetaan langsung dari kolom log mentah "properties.id". |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | Pemetaan langsung dari kolom log mentah "properties.initiatedBy.app.appId". Kunci untuk "read_only_udm.principal.resource.attribute.labels" ditetapkan ke "ID Aplikasi". |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | Pemetaan langsung dari kolom log mentah "properties.initiatedBy.app.displayName". |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | Pemetaan langsung dari kolom log mentah "properties.initiatedBy.app.servicePrincipalId". |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | Pemetaan langsung dari kolom log mentah "properties.initiatedBy.app.servicePrincipalName". |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | Jika nilai berisi "@", nilai tersebut akan diuraikan sebagai alamat email dan dipetakan ke "read_only_udm.principal.user.email_addresses". Jika tidak, kolom ini dipetakan ke "read_only_udm.principal.user.user_display_name". |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | Pemetaan langsung dari kolom log mentah "properties.initiatedBy.user.id". |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | Pemetaan langsung dari kolom log mentah "properties.initiatedBy.user.ipAddress". |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid, read_only_udm.principal.user.email_addresses, read_only_udm.principal.administrative_domain, read_only_udm.principal.resource.attribute.labels | Jika nilai berisi "@", nilai tersebut akan diuraikan sebagai alamat email dan dipetakan ke "read_only_udm.principal.user.email_addresses". Jika tidak, ID ini dipetakan ke "read_only_udm.principal.user.userid". Bagian domain dari alamat email dipetakan ke "read_only_udm.principal.administrative_domain". Nilai lengkap juga dipetakan ke "read_only_udm.principal.resource.attribute.labels" dengan kunci yang ditetapkan ke "User Principal Name". |
| properties.loggedByService | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "properties.loggedByService". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "loggedByService". |
| properties.operationType | read_only_udm.security_result.action_details | Pemetaan langsung dari kolom log mentah "properties.operationType". |
| properties.result | read_only_udm.security_result.summary | Pemetaan langsung dari kolom log mentah "properties.result". |
| properties.resultReason | read_only_udm.security_result.description | Pemetaan langsung dari kolom log mentah "properties.resultReason". |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | Pemetaan langsung dari kolom log mentah "properties.userPrincipalName". |
| hasil | read_only_udm.security_result.summary, read_only_udm.security_result.action | Pemetaan langsung dari kolom log mentah "result". Jika nilainya adalah "success", maka "read_only_udm.security_result.action" akan ditetapkan ke "ALLOW". Jika nilainya adalah "failure", maka "read_only_udm.security_result.action" disetel ke "BLOCK". |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | Pemetaan langsung dari kolom log mentah "resultDescription". |
| resultReason | read_only_udm.security_result.description | Pemetaan langsung dari kolom log mentah "resultReason". |
| resultType | read_only_udm.security_result.rule_id, read_only_udm.security_result.summary, read_only_udm.security_result.action | Pemetaan langsung dari kolom log mentah "resultType". Jika nilainya adalah "0", "read_only_udm.security_result.action" akan disetel ke "ALLOW" dan "read_only_udm.security_result.summary" akan disetel ke "Successful login occurred". Jika tidak, "read_only_udm.security_result.action" ditetapkan ke "BLOCK", "read_only_udm.security_result.summary" ditetapkan ke "Failed login occurred", "read_only_udm.security_result.description" ditetapkan ke nilai "resultDescription", dan "read_only_udm.security_result.severity" ditetapkan ke "ERROR". |
| resourceDisplayName | read_only_udm.target.resource.name | Pemetaan langsung dari kolom log mentah "resourceDisplayName". |
| resourceId | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "resourceId". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "resourceId". |
| riskDetail | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "riskDetail". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "riskDetail". |
| riskEventTypes | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "riskEventTypes". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "riskEventTypes". |
| riskEventTypes_v2 | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "riskEventTypes_v2". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "riskEventTypes_v2". |
| riskLevelAggregated | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "riskLevelAggregated". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "riskLevelAggregated". |
| riskLevelDuringSignIn | read_only_udm.additional.fields, read_only_udm.security_result.priority | Pemetaan langsung dari kolom log mentah "riskLevelDuringSignIn". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "riskLevelDuringSignIn". Jika nilainya adalah "medium", "read_only_udm.security_result.priority" akan ditetapkan ke "MEDIUM_PRIORITY". |
| riskState | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "riskState". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "riskState". |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | Jika nilai "targetResources.0.type" adalah "User" atau "ServicePrincipal", maka nilai tersebut dipetakan ke "read_only_udm.target.user.user_display_name". Jika nilai "targetResources.0.type" adalah "Group", maka nilai tersebut dipetakan ke "read_only_udm.target.group.group_display_name". Jika tidak, nilai akan dipetakan ke "read_only_udm.target.resource.name". |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | Pemetaan langsung dari kolom log mentah "targetResources.0.groupType". Kunci untuk "read_only_udm.target.group.attribute.labels" ditetapkan ke "groupType". |
| targetResources.0.id | read_only_udm.target.resource.product_object_id, read_only_udm.target.user.product_object_id, read_only_udm.target.group.product_object_id | Jika nilai "targetResources.0.type" adalah "User" atau "ServicePrincipal", maka nilai tersebut dipetakan ke "read_only_udm.target.user.product_object_id". Jika nilai "targetResources.0.type" adalah "Group", maka nilai tersebut dipetakan ke "read_only_udm.target.group.product_object_id". Jika tidak, nilai dipetakan ke "read_only_udm.target.resource.product_object_id". |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | Nilai dipetakan ke "read_only_udm.additional.fields" dengan kunci yang ditetapkan ke "targetResources.modifiedProperties.displayname {index}". Jika nilainya adalah "TargetId.DeviceId", maka nilai "targetResources.0.modifiedProperties.newValue" dipetakan ke "read_only_udm.target.asset.asset_id" dengan awalan "ID Perangkat:". Jika nilainya adalah "DisplayName" atau "jobTitle", nilai "targetResources.0.modifiedProperties.newValue" akan dipetakan ke "read_only_udm.target.user.title". Jika nilainya adalah "WellKnownObjectName", nilai "targetResources.0.modifiedProperties.newValue" akan dipetakan ke "read_only_udm.target.resource.attribute.roles" dengan kunci yang ditetapkan ke "name". Jika nilainya adalah "displayName" dan "targetResources.0.displayName" bernilai null, maka nilai "targetResources.0.modifiedProperties.newValue" dipetakan ke "read_only_udm.target.user.user_display_name". Jika nilainya adalah "givenName", maka nilai "targetResources.0.modifiedProperties.newValue" dipetakan ke "read_only_udm.target.user.first_name". Jika nilainya adalah "surname", nilai "targetResources.0.modifiedProperties.newValue" akan dipetakan ke "read_only_udm.target.user.last_name". Jika nilainya adalah "department", nilai "targetResources.0.modifiedProperties.newValue" akan dipetakan ke "read_only_udm.target.user.department". Jika nilainya adalah "physicalDeliveryOfficeName", nilai "targetResources.0.modifiedProperties.newValue" akan dipetakan ke "read_only_udm.target.user.office_address.name". Jika nilainya adalah "employeeId", nilai "targetResources.0.modifiedProperties.newValue" akan dipetakan ke "read_only_udm.target.user.employee_id". Jika nilainya adalah "mobile", nilai "targetResources.0.modifiedProperties.newValue" akan dipetakan ke "read_only_udm.target.user.phone_numbers". Jika nilainya adalah "MailNickname", nilai "targetResources.0.modifiedProperties.newValue" akan dipetakan ke "read_only_udm.target.user.userid". Jika tidak, nilai "targetResources.0.modifiedProperties.newValue" dipetakan ke "read_only_udm.target.resource.attribute.labels" dengan kunci yang ditetapkan ke nilai "targetResources.0.modifiedProperties.displayName". Nilai "targetResources.0.modifiedProperties.oldValue" dipetakan ke "read_only_udm.src.resource.attribute.labels" dengan kunci yang ditetapkan ke nilai "targetResources.0.modifiedProperties.displayName". |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.additional.fields | Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "TargetId.DeviceId", maka nilai tersebut dipetakan ke "read_only_udm.target.asset.asset_id" dengan awalan "Device ID:". Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "DisplayName" atau "jobTitle", maka nilai tersebut dipetakan ke "read_only_udm.target.user.title". Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "WellKnownObjectName", maka nilai tersebut dipetakan ke "read_only_udm.target.resource.attribute.roles" dengan kunci yang ditetapkan ke "name". Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "displayName" dan "targetResources.0.displayName" adalah null, maka nilai tersebut dipetakan ke "read_only_udm.target.user.user_display_name". Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "givenName", maka nilai tersebut dipetakan ke "read_only_udm.target.user.first_name". Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "surname", maka nilai tersebut dipetakan ke "read_only_udm.target.user.last_name". Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "department", maka nilai tersebut dipetakan ke "read_only_udm.target.user.department". Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "physicalDeliveryOfficeName", maka nilai tersebut dipetakan ke "read_only_udm.target.user.office_address.name". Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "employeeId", maka nilai tersebut dipetakan ke "read_only_udm.target.user.employee_id". Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "mobile", maka nilai tersebut dipetakan ke "read_only_udm.target.user.phone_numbers". Jika nilai "targetResources.0.modifiedProperties.displayName" adalah "MailNickname", maka nilai tersebut dipetakan ke "read_only_udm.target.user.userid". Jika tidak, nilai dipetakan ke "read_only_udm.target.resource.attribute.labels" dengan kunci yang ditetapkan ke nilai "targetResources.0.modifiedProperties.displayName". Nilai juga dipetakan ke "read_only_udm.additional.fields" dengan kunci yang ditetapkan ke "targetResources.modifiedProperties.newValue {index}". |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | Nilai dipetakan ke "read_only_udm.src.resource.attribute.labels" dengan kunci yang ditetapkan ke nilai "targetResources.0.modifiedProperties.displayName". Nilai juga dipetakan ke "read_only_udm.additional.fields" dengan kunci yang ditetapkan ke "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | Pemetaan langsung dari kolom log mentah "targetResources.0.type". Jika nilainya adalah "ServicePrincipal", maka "read_only_udm.target.resource.resource_type" akan disetel ke "SERVICE_ACCOUNT". Jika nilainya adalah "Device", maka "read_only_udm.target.resource.resource_type" ditetapkan ke "DEVICE". Jika tidak, "read_only_udm.target.resource.resource_type" disetel ke "UNSPECIFIED". Jika nilainya adalah "User" atau "ServicePrincipal", maka nilai "targetResources.0.userPrincipalName" dipetakan ke "read_only_udm.target.user.userid", nilai "targetResources.0.id" dipetakan ke "read_only_udm.target.user.product_object_id", dan nilai "targetResources.0.displayName" dipetakan ke "read_only_udm.target.user.user_display_name". Jika nilainya adalah "Group", nilai "targetResources.0.id" akan dipetakan ke "read_only_udm.target.group.product_object_id" dan nilai "targetResources.0.displayName" akan dipetakan ke "read_only_udm.target.group.group_display_name". |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | Jika nilai berisi "@", nilai tersebut akan diuraikan sebagai alamat email dan dipetakan ke "read_only_udm.target.user.email_addresses". Jika tidak, ID pengguna akan dipetakan ke "read_only_udm.target.user.userid". |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | Jika nilai "targetResources.type" adalah "User" atau "ServicePrincipal", maka nilai tersebut dipetakan ke "read_only_udm.about.user.user_display_name" dan "read_only_udm.about.user.userid". Jika nilai "targetResources.type" adalah "Group", maka nilai tersebut dipetakan ke "read_only_udm.about.group.group_display_name". Nilai "targetResources.groupType" dipetakan ke "read_only_udm.about.group.attribute.labels" dengan kunci yang ditetapkan ke "groupType". Jika tidak, nilai akan dipetakan ke "read_only_udm.about.resource.name". |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | Pemetaan langsung dari kolom log mentah "targetResources.groupType". Kunci untuk "read_only_udm.about.group.attribute.labels" ditetapkan ke "groupType". |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | Jika nilai "targetResources.type" adalah "User" atau "ServicePrincipal", maka nilai tersebut dipetakan ke "read_only_udm.about.user.product_object_id". Jika nilai "targetResources.type" adalah "Group", maka nilai tersebut dipetakan ke "read_only_udm.about.group.product_object_id". Jika tidak, nilai dipetakan ke "read_only_udm.about.resource.product_object_id". |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | Nilai dipetakan ke "read_only_udm.additional.fields" dengan kunci yang ditetapkan ke "targetResources.modifiedProperties.displayname {index}". |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | Nilai dipetakan ke "read_only_udm.additional.fields" dengan kunci yang ditetapkan ke "targetResources.modifiedProperties.newValue {index}". |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | Nilai dipetakan ke "read_only_udm.additional.fields" dengan kunci yang ditetapkan ke "targetResources.modifiedProperties.oldValue {index}". |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | Pemetaan langsung dari kolom log mentah "targetResources.type". Jika nilainya adalah "ServicePrincipal", maka "read_only_udm.about.resource.resource_type" disetel ke "SERVICE_ACCOUNT". Jika nilainya adalah "Device", maka "read_only_udm.about.resource.resource_type" ditetapkan ke "DEVICE". Jika tidak, "read_only_udm.about.resource.resource_type" ditetapkan ke "UNSPECIFIED". Jika nilainya adalah "User" atau "ServicePrincipal", nilai "targetResources.userPrincipalName" akan dipetakan ke "read_only_udm.about.user.userid", nilai "targetResources.id" akan dipetakan ke "read_only_udm.about.user.product_object_id", dan nilai "targetResources.displayName" akan dipetakan ke "read_only_udm.about.user.user_display_name". Jika nilainya adalah "Group", maka nilai "targetResources.id" dipetakan ke "read_only_udm.about.group.product_object_id" dan nilai "targetResources.displayName" dipetakan ke "read_only_udm.about.group.group_display_name". |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | Jika nilai berisi "@", nilai tersebut akan diuraikan sebagai alamat email dan dipetakan ke "read_only_udm.about.user.email_addresses". Jika tidak, ID pengguna akan dipetakan ke "read_only_udm.about.user.userid". |
| tenantId | read_only_udm.additional.fields | Pemetaan langsung dari kolom log mentah "tenantId". Kunci untuk "read_only_udm.additional.fields" ditetapkan ke "tenantId". |
| waktu | read_only_udm.metadata.event_timestamp | Pemetaan langsung dari kolom log mentah "time". |
| userId | read_only_udm.target.user.product_object_id | Pemetaan langsung dari kolom log mentah "userId". Nilai ditetapkan berdasarkan nilai kolom lain, termasuk "activityDisplayName", "principal_userid_present", "target_userid_present", "principal_ip_present", "loggedByService", dan "category". Logika untuk menetapkan nilai ini rumit dan bergantung pada kombinasi nilai tertentu di kolom ini. Nilai ditetapkan ke "SSO" jika nilai "operationName" adalah "Aktivitas login". Nilai ditetapkan ke "Microsoft". Nilai ditetapkan ke "Azure AD Directory Audit". Nilai ditetapkan ke "AZURE_AD_AUDIT". |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.