收集 Microsoft Entra ID 审核日志
支持的语言:
Google SecOps
SIEM
本文介绍了如何通过设置 Google Security Operations Feed 来收集 Microsoft Entra ID (AD) 日志。
Azure Active Directory (AZURE_AD) 现在称为 Microsoft Entra ID。Azure AD 审核日志 (AZURE_AD_AUDIT) 现在称为 Microsoft Entra ID 审核日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。
准备工作
确保您满足以下前提条件:
- 您可以登录的 Azure 订阅
- 全局管理员或 Azure AD 管理员角色
- Azure 中的 Azure AD(租户)
如何配置 Azure AD
- 登录 Azure 门户。
- 前往首页 > 应用注册,选择已注册的应用,或者如果您尚未创建应用,请注册应用。
- 如需注册应用,请在应用注册部分中点击新注册。
- 在名称字段中,提供应用的显示名称。
- 在支持的账号类型部分,选择所需选项以指定哪些人可以使用应用或访问 API。
- 点击注册。
- 前往概览页面,然后复制应用(客户端)ID 和目录(租户)ID,这些信息是配置 Google Security Operations Feed 所必需的。
- 点击 API 权限。
- 点击添加权限,然后在新窗格中选择 Microsoft Graph。
- 点击应用权限。
- 选择 AuditLog.Read.All、Directory.Read.All 和 SecurityEvents.Read.All 权限。确保权限是应用权限,而不是委托权限。
- 点击为默认目录授予管理员同意书。当应用在许可流程中获得用户或管理员授予的权限时,便有权调用 API。
- 依次前往设置 > 管理。
- 点击证书和密钥。
- 点击 New client secret(新建客户端密钥)。 在值字段中,系统会显示客户端密钥。
- 复制客户端密钥值。该值仅在创建时显示,并且是 Azure 应用注册和配置 Google Security Operations Feed 所必需的。
如需了解详情,请参阅如何设置 Microsoft Entra ID 应用。
如需详细了解 Microsoft Entra 权限,请参阅 Microsoft Entra 权限。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed > 添加新 Feed
- 内容中心 > 内容包 > 开始
如何设置 Microsoft Entra ID (AZURE AD) 审核 Feed
- 点击 Azure 平台包。
- 找到 Azure AD Directory Audit 日志类型。
为以下字段指定值:
- 来源类型:第三方 API(推荐)
- OAuth 客户端 ID:指定您之前获得的客户端 ID。
- OAuth 客户端密钥:指定您之前获得的客户端密钥。
- 租户 ID:指定您之前获得的租户 ID。
- API 完整路径:Microsoft Graph REST API 端点网址。
- API 身份验证端点:Microsoft Active Directory 身份验证端点。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 资产命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
点击创建 Feed。
如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求,请参阅按类型划分的 Feed 配置。 如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考
此解析器用于处理 JSON 格式的 Azure AD Directory Audit 日志。它会提取相关字段,将其转换为统一数据模型 (UDM),并使用用户详细信息、IP 地址和安全结果等其他背景信息来丰富数据。解析器还会根据事件的特征对事件进行分类,将其映射到特定的 UDM 事件类型,以便更轻松地进行分析。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| activityDateTime | read_only_udm.metadata.event_timestamp | 直接从原始日志字段“activityDateTime”进行映射。 |
| activityDisplayName | read_only_udm.metadata.product_event_type | 直接从原始日志字段“activityDisplayName”进行映射。 |
| additionalDetails.ApplicationId | read_only_udm.additional.fields | 直接映射自原始日志字段“additionalDetails”,其中键为“ApplicationId”。 |
| additionalDetails.Client | read_only_udm.network.http.user_agent | 直接从原始日志字段“additionalDetails”进行映射,其中键为“Client”。 |
| additionalDetails.ClientIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 直接从原始日志字段“additionalDetails”进行映射,其中键为“ClientIpAddress”。 |
| additionalDetails.DomainName | read_only_udm.target.hostname, read_only_udm.target.asset.hostname | 直接从原始日志字段“additionalDetails”进行映射,其中键为“DomainName”。 |
| additionalDetails.EmailAddress | read_only_udm.target.user.email_addresses | 直接从原始日志字段“additionalDetails”进行映射,其中键为“EmailAddress”。 |
| additionalDetails.GrantType | read_only_udm.additional.fields | 直接从原始日志字段“additionalDetails”进行映射,其中键为“GrantType”。 |
| additionalDetails.LocalAccountUsername | read_only_udm.additional.fields | 直接从原始日志字段“additionalDetails”进行映射,其中键为“LocalAccountUsername”。 |
| additionalDetails.PhoneNumber | read_only_udm.target.user.phone_numbers | 直接从原始日志字段“additionalDetails”进行映射,其中键为“PhoneNumber”。 |
| additionalDetails.PolicyId | read_only_udm.security_result.rule_name | 直接映射自原始日志字段“additionalDetails”,其中键为“PolicyId”。 |
| additionalDetails.Scopes | read_only_udm.additional.fields | 直接从原始日志字段“additionalDetails”进行映射,其中键为“Scopes”。 |
| additionalDetails.TenantId | read_only_udm.additional.fields | 从原始日志字段“additionalDetails”直接映射,其中键为“TenantId”。 |
| additionalDetails.VerificationMethod | read_only_udm.additional.fields | 直接从原始日志字段“additionalDetails”进行映射,其中键为“VerificationMethod”。 |
| appId | read_only_udm.target.process.pid | 直接从原始日志字段“appId”进行映射。 |
| appliedConditionalAccessPolicies | read_only_udm.about | “displayName”字段映射到“read_only_udm.about.user.user_display_name”,而“id”字段映射到“read_only_udm.about.user.userid”。“result”字段映射到“read_only_udm.about.labels”,并将键设置为“Result”。 |
| 类别 | read_only_udm.additional.fields、read_only_udm.security_result.category_details | 直接从原始日志字段“category”进行映射。“read_only_udm.additional.fields”的键设置为“log_category”。 |
| callerIpAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 直接从原始日志字段“callerIpAddress”进行映射。 |
| clientAppUsed | read_only_udm.principal.application | 直接映射自原始日志字段“clientAppUsed”。 |
| correlationId | read_only_udm.network.session_id | 直接从原始日志字段“correlationId”进行映射。 |
| id | read_only_udm.metadata.product_log_id | 直接从原始日志字段“id”进行映射。 |
| identity | read_only_udm.target.user.userid | 直接从原始日志字段“identity”进行映射。 |
| initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | 直接从原始日志字段“initiatedBy.app.appId”进行映射。“read_only_udm.principal.resource.attribute.labels”的键设置为“应用 ID”。 |
| initiatedBy.app.displayName | read_only_udm.principal.application | 直接映射自原始日志字段“initiatedBy.app.displayName”。 |
| initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | 直接从原始日志字段“initiatedBy.app.servicePrincipalId”进行映射。 |
| initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | 直接从原始日志字段“initiatedBy.app.servicePrincipalName”进行映射。 |
| initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.principal.user.email_addresses”。否则,会映射到“read_only_udm.principal.user.user_display_name”。 |
| initiatedBy.user.id | read_only_udm.principal.user.product_object_id | 直接从原始日志字段“initiatedBy.user.id”进行映射。 |
| initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 直接从原始日志字段“initiatedBy.user.ipAddress”进行映射。 |
| initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.principal.user.email_addresses”。否则,它会映射到“read_only_udm.principal.user.userid”。电子邮件地址的网域部分会映射到“read_only_udm.principal.administrative_domain”。完整值还会映射到“read_only_udm.principal.resource.attribute.labels”,并将键设置为“User Principal Name”。 |
| ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 直接从原始日志字段“ipAddress”进行映射。 |
| 级别 | read_only_udm.security_result.severity, read_only_udm.security_result.severity_details | 该值会转换为字符串,并映射到“read_only_udm.security_result.severity_details”。“read_only_udm.security_result.severity”字段设置为“INFORMATIONAL”。 |
| location.city | read_only_udm.principal.location.city | 直接从原始日志字段“location.city”进行映射。 |
| location.countryOrRegion | read_only_udm.principal.location.country_or_region | 直接从原始日志字段“location.countryOrRegion”进行映射。 |
| location.geoCoordinates.latitude | read_only_udm.principal.location.region_latitude | 直接从原始日志字段“location.geoCoordinates.latitude”进行映射。 |
| location.geoCoordinates.longitude | read_only_udm.principal.location.region_longitude | 直接从原始日志字段“location.geoCoordinates.longitude”进行映射。 |
| location.state | read_only_udm.principal.location.state | 直接从原始日志字段“location.state”进行映射。 |
| loggedByService | read_only_udm.additional.fields | 直接从原始日志字段“loggedByService”进行映射。“read_only_udm.additional.fields”的键设置为“loggedByService”。 |
| operationName | read_only_udm.metadata.product_event_type | 直接从原始日志字段“operationName”进行映射。 |
| operationType | read_only_udm.security_result.action_details | 直接从原始日志字段“operationType”进行映射。 |
| properties.activityDateTime | read_only_udm.metadata.event_timestamp | 直接从原始日志字段“properties.activityDateTime”进行映射。 |
| properties.activityDisplayName | read_only_udm.metadata.product_event_type | 直接从原始日志字段“properties.activityDisplayName”进行映射。 |
| properties.appDisplayName | read_only_udm.target.application | 直接映射自原始日志字段“properties.appDisplayName”。 |
| properties.category | read_only_udm.security_result.category_details | 直接从原始日志字段“properties.category”进行映射。 |
| properties.id | read_only_udm.metadata.product_log_id | 直接从原始日志字段“properties.id”进行映射。 |
| properties.initiatedBy.app.appId | read_only_udm.principal.resource.attribute.labels | 直接从原始日志字段“properties.initiatedBy.app.appId”映射。“read_only_udm.principal.resource.attribute.labels”的键设置为“应用 ID”。 |
| properties.initiatedBy.app.displayName | read_only_udm.principal.application | 直接映射自原始日志字段“properties.initiatedBy.app.displayName”。 |
| properties.initiatedBy.app.servicePrincipalId | read_only_udm.principal.user.product_object_id | 直接从原始日志字段“properties.initiatedBy.app.servicePrincipalId”进行映射。 |
| properties.initiatedBy.app.servicePrincipalName | read_only_udm.principal.user.userid | 直接映射自原始日志字段“properties.initiatedBy.app.servicePrincipalName”。 |
| properties.initiatedBy.user.displayName | read_only_udm.principal.user.user_display_name, read_only_udm.principal.user.email_addresses | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.principal.user.email_addresses”。否则,会映射到“read_only_udm.principal.user.user_display_name”。 |
| properties.initiatedBy.user.id | read_only_udm.principal.user.product_object_id | 直接映射自原始日志字段“properties.initiatedBy.user.id”。 |
| properties.initiatedBy.user.ipAddress | read_only_udm.principal.ip, read_only_udm.principal.asset.ip | 从原始日志字段“properties.initiatedBy.user.ipAddress”直接映射。 |
| properties.initiatedBy.user.userPrincipalName | read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.principal.user.email_addresses”。否则,它会映射到“read_only_udm.principal.user.userid”。电子邮件地址的网域部分会映射到“read_only_udm.principal.administrative_domain”。完整值还会映射到“read_only_udm.principal.resource.attribute.labels”,并将键设置为“User Principal Name”。 |
| properties.loggedByService | read_only_udm.additional.fields | 直接从原始日志字段“properties.loggedByService”进行映射。“read_only_udm.additional.fields”的键设置为“loggedByService”。 |
| properties.operationType | read_only_udm.security_result.action_details | 直接从原始日志字段“properties.operationType”进行映射。 |
| properties.result | read_only_udm.security_result.summary | 直接从原始日志字段“properties.result”进行映射。 |
| properties.resultReason | read_only_udm.security_result.description | 直接从原始日志字段“properties.resultReason”进行映射。 |
| properties.userPrincipalName | read_only_udm.target.user.user_display_name | 直接从原始日志字段“properties.userPrincipalName”进行映射。 |
| 结果 | read_only_udm.security_result.summary, read_only_udm.security_result.action | 直接从原始日志字段“result”进行映射。如果值为“success”,则“read_only_udm.security_result.action”设置为“ALLOW”。如果值为“failure”,则“read_only_udm.security_result.action”设置为“BLOCK”。 |
| resultDescription | read_only_udm.metadata.description, read_only_udm.security_result.description | 直接从原始日志字段“resultDescription”进行映射。 |
| resultReason | read_only_udm.security_result.description | 直接从原始日志字段“resultReason”进行映射。 |
| resultType | read_only_udm.security_result.rule_id、read_only_udm.security_result.summary、read_only_udm.security_result.action | 直接从原始日志字段“resultType”进行映射。如果值为“0”,则“read_only_udm.security_result.action”设置为“ALLOW”,并且“read_only_udm.security_result.summary”设置为“Successful login occurred”。否则,“read_only_udm.security_result.action”设置为“BLOCK”,“read_only_udm.security_result.summary”设置为“Failed login occurred”,“read_only_udm.security_result.description”设置为“resultDescription”的值,“read_only_udm.security_result.severity”设置为“ERROR”。 |
| resourceDisplayName | read_only_udm.target.resource.name | 直接从原始日志字段“resourceDisplayName”进行映射。 |
| resourceId | read_only_udm.additional.fields | 直接从原始日志字段“resourceId”进行映射。“read_only_udm.additional.fields”的键设置为“resourceId”。 |
| riskDetail | read_only_udm.additional.fields | 直接从原始日志字段“riskDetail”进行映射。“read_only_udm.additional.fields”的键设置为“riskDetail”。 |
| riskEventTypes | read_only_udm.additional.fields | 直接从原始日志字段“riskEventTypes”进行映射。“read_only_udm.additional.fields”的键设置为“riskEventTypes”。 |
| riskEventTypes_v2 | read_only_udm.additional.fields | 直接从原始日志字段“riskEventTypes_v2”进行映射。“read_only_udm.additional.fields”的键设置为“riskEventTypes_v2”。 |
| riskLevelAggregated | read_only_udm.additional.fields | 直接从原始日志字段“riskLevelAggregated”进行映射。“read_only_udm.additional.fields”的键设置为“riskLevelAggregated”。 |
| riskLevelDuringSignIn | read_only_udm.additional.fields、read_only_udm.security_result.priority | 直接从原始日志字段“riskLevelDuringSignIn”进行映射。“read_only_udm.additional.fields”的键设置为“riskLevelDuringSignIn”。如果值为“medium”,则将“read_only_udm.security_result.priority”设置为“MEDIUM_PRIORITY”。 |
| riskState | read_only_udm.additional.fields | 直接从原始日志字段“riskState”进行映射。“read_only_udm.additional.fields”的键设置为“riskState”。 |
| targetResources.0.displayName | read_only_udm.target.resource.name, read_only_udm.target.user.user_display_name, read_only_udm.target.group.group_display_name | 如果“targetResources.0.type”的值为“User”或“ServicePrincipal”,则该值会映射到“read_only_udm.target.user.user_display_name”。如果“targetResources.0.type”的值为“Group”,则该值会映射到“read_only_udm.target.group.group_display_name”。否则,该值会映射到“read_only_udm.target.resource.name”。 |
| targetResources.0.groupType | read_only_udm.target.group.attribute.labels | 直接从原始日志字段“targetResources.0.groupType”进行映射。“read_only_udm.target.group.attribute.labels”的键设置为“groupType”。 |
| targetResources.0.id | read_only_udm.target.resource.product_object_id、read_only_udm.target.user.product_object_id、read_only_udm.target.group.product_object_id | 如果“targetResources.0.type”的值为“User”或“ServicePrincipal”,则该值会映射到“read_only_udm.target.user.product_object_id”。如果“targetResources.0.type”的值为“Group”,则该值会映射到“read_only_udm.target.group.product_object_id”。否则,该值会映射到“read_only_udm.target.resource.product_object_id”。 |
| targetResources.0.modifiedProperties.displayName | read_only_udm.additional.fields, read_only_udm.target.asset.asset_id, read_only_udm.target.user.title, read_only_udm.target.resource.attribute.roles, read_only_udm.target.user.user_display_name, read_only_udm.target.user.first_name, read_only_udm.target.user.last_name, read_only_udm.target.user.department, read_only_udm.target.user.office_address.name, read_only_udm.target.user.employee_id, read_only_udm.target.user.phone_numbers, read_only_udm.target.user.userid, read_only_udm.target.resource.attribute.labels, read_only_udm.src.resource.attribute.labels | 该值会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.displayname {index}”。如果值为“TargetId.DeviceId”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.asset.asset_id”,并带有“设备 ID:”前缀。如果值为“DisplayName”或“jobTitle”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.title”。如果值为“WellKnownObjectName”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.resource.attribute.roles”,并将键设置为“name”。如果值为“displayName”且“targetResources.0.displayName”为 null,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.user_display_name”。如果值为“givenName”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.first_name”。如果值为“surname”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.last_name”。如果值为“department”,则将“targetResources.0.modifiedProperties.newValue”的值映射到“read_only_udm.target.user.department”。如果值为“physicalDeliveryOfficeName”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.office_address.name”。如果值为“employeeId”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.employee_id”。如果值为“mobile”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.phone_numbers”。如果值为“MailNickname”,则“targetResources.0.modifiedProperties.newValue”的值会映射到“read_only_udm.target.user.userid”。否则,系统会将“targetResources.0.modifiedProperties.newValue”的值映射到“read_only_udm.target.resource.attribute.labels”,并将键设置为“targetResources.0.modifiedProperties.displayName”的值。“targetResources.0.modifiedProperties.oldValue”的值映射到“read_only_udm.src.resource.attribute.labels”,并将键设置为“targetResources.0.modifiedProperties.displayName”的值。 |
| targetResources.0.modifiedProperties.newValue | read_only_udm.target.asset.asset_id、read_only_udm.target.user.title、read_only_udm.target.resource.attribute.roles、read_only_udm.target.user.user_display_name、read_only_udm.target.user.first_name、read_only_udm.target.user.last_name、read_only_udm.target.user.department、read_only_udm.target.user.office_address.name、read_only_udm.target.user.employee_id、read_only_udm.target.user.phone_numbers、read_only_udm.target.user.userid、read_only_udm.target.resource.attribute.labels、read_only_udm.additional.fields | 如果“targetResources.0.modifiedProperties.displayName”的值为“TargetId.DeviceId”,则该值会映射到“read_only_udm.target.asset.asset_id”,并带有“Device ID:”前缀。如果“targetResources.0.modifiedProperties.displayName”的值为“DisplayName”或“jobTitle”,则该值会映射到“read_only_udm.target.user.title”。如果“targetResources.0.modifiedProperties.displayName”的值为“WellKnownObjectName”,则该值会映射到“read_only_udm.target.resource.attribute.roles”,并将键设置为“name”。如果“targetResources.0.modifiedProperties.displayName”的值为“displayName”,且“targetResources.0.displayName”为 null,则该值会映射到“read_only_udm.target.user.user_display_name”。如果“targetResources.0.modifiedProperties.displayName”的值为“givenName”,则该值会映射到“read_only_udm.target.user.first_name”。如果“targetResources.0.modifiedProperties.displayName”的值为“surname”,则该值会映射到“read_only_udm.target.user.last_name”。如果“targetResources.0.modifiedProperties.displayName”的值为“department”,则该值会映射到“read_only_udm.target.user.department”。如果“targetResources.0.modifiedProperties.displayName”的值为“physicalDeliveryOfficeName”,则该值会映射到“read_only_udm.target.user.office_address.name”。如果“targetResources.0.modifiedProperties.displayName”的值为“employeeId”,则该值会映射到“read_only_udm.target.user.employee_id”。如果“targetResources.0.modifiedProperties.displayName”的值为“mobile”,则该值会映射到“read_only_udm.target.user.phone_numbers”。如果“targetResources.0.modifiedProperties.displayName”的值为“MailNickname”,则该值会映射到“read_only_udm.target.user.userid”。否则,该值会映射到“read_only_udm.target.resource.attribute.labels”,并将键设置为“targetResources.0.modifiedProperties.displayName”的值。该值还会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.newValue {index}”。 |
| targetResources.0.modifiedProperties.oldValue | read_only_udm.src.resource.attribute.labels, read_only_udm.additional.fields | 该值会映射到“read_only_udm.src.resource.attribute.labels”,并将键设置为“targetResources.0.modifiedProperties.displayName”的值。该值还会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.oldValue {index}”。 |
| targetResources.0.type | read_only_udm.target.resource.resource_subtype, read_only_udm.target.resource.resource_type, read_only_udm.target.user.userid, read_only_udm.target.user.product_object_id, read_only_udm.target.user.user_display_name, read_only_udm.target.group.product_object_id, read_only_udm.target.group.group_display_name | 直接从原始日志字段“targetResources.0.type”进行映射。如果值为“ServicePrincipal”,则“read_only_udm.target.resource.resource_type”设置为“SERVICE_ACCOUNT”。如果值为“Device”,则将“read_only_udm.target.resource.resource_type”设置为“DEVICE”。否则,“read_only_udm.target.resource.resource_type”将设置为“UNSPECIFIED”。如果值为“User”或“ServicePrincipal”,则“targetResources.0.userPrincipalName”的值会映射到“read_only_udm.target.user.userid”,“targetResources.0.id”的值会映射到“read_only_udm.target.user.product_object_id”,“targetResources.0.displayName”的值会映射到“read_only_udm.target.user.user_display_name”。如果值为“Group”,则“targetResources.0.id”的值会映射到“read_only_udm.target.group.product_object_id”,而“targetResources.0.displayName”的值会映射到“read_only_udm.target.group.group_display_name”。 |
| targetResources.0.userPrincipalName | read_only_udm.target.user.userid, read_only_udm.target.user.email_addresses | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.target.user.email_addresses”。否则,它会映射到“read_only_udm.target.user.userid”。 |
| targetResources.displayName | read_only_udm.about.resource.name, read_only_udm.about.user.userid, read_only_udm.about.user.user_display_name, read_only_udm.about.group.group_display_name, read_only_udm.about.group.attribute.labels | 如果“targetResources.type”的值为“User”或“ServicePrincipal”,则该值会映射到“read_only_udm.about.user.user_display_name”和“read_only_udm.about.user.userid”。如果“targetResources.type”的值为“Group”,则该值会映射到“read_only_udm.about.group.group_display_name”。“targetResources.groupType”的值映射到“read_only_udm.about.group.attribute.labels”,并将键设置为“groupType”。否则,该值会映射到“read_only_udm.about.resource.name”。 |
| targetResources.groupType | read_only_udm.about.group.attribute.labels, read_only_udm.target.user.group_identifiers | 直接从原始日志字段“targetResources.groupType”进行映射。“read_only_udm.about.group.attribute.labels”的键设置为“groupType”。 |
| targetResources.id | read_only_udm.about.resource.product_object_id, read_only_udm.about.user.product_object_id, read_only_udm.about.group.product_object_id | 如果“targetResources.type”的值为“User”或“ServicePrincipal”,则该值会映射到“read_only_udm.about.user.product_object_id”。如果“targetResources.type”的值为“Group”,则该值会映射到“read_only_udm.about.group.product_object_id”。否则,该值会映射到“read_only_udm.about.resource.product_object_id”。 |
| targetResources.modifiedProperties.displayName | read_only_udm.additional.fields | 该值会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.displayname {index}”。 |
| targetResources.modifiedProperties.newValue | read_only_udm.additional.fields | 该值会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.newValue {index}”。 |
| targetResources.modifiedProperties.oldValue | read_only_udm.additional.fields | 该值会映射到“read_only_udm.additional.fields”,并将键设置为“targetResources.modifiedProperties.oldValue {index}”。 |
| targetResources.type | read_only_udm.about.resource.resource_subtype, read_only_udm.about.resource.resource_type, read_only_udm.about.user.userid, read_only_udm.about.user.product_object_id, read_only_udm.about.user.user_display_name, read_only_udm.about.group.product_object_id, read_only_udm.about.group.group_display_name | 直接从原始日志字段“targetResources.type”进行映射。如果值为“ServicePrincipal”,则“read_only_udm.about.resource.resource_type”设置为“SERVICE_ACCOUNT”。如果值为“Device”,则“read_only_udm.about.resource.resource_type”设置为“DEVICE”。否则,“read_only_udm.about.resource.resource_type”会设置为“UNSPECIFIED”。如果值为“User”或“ServicePrincipal”,则“targetResources.userPrincipalName”的值会映射到“read_only_udm.about.user.userid”,“targetResources.id”的值会映射到“read_only_udm.about.user.product_object_id”,“targetResources.displayName”的值会映射到“read_only_udm.about.user.user_display_name”。如果值为“Group”,则“targetResources.id”的值会映射到“read_only_udm.about.group.product_object_id”,“targetResources.displayName”的值会映射到“read_only_udm.about.group.group_display_name”。 |
| targetResources.userPrincipalName | read_only_udm.about.user.userid, read_only_udm.about.user.email_addresses | 如果值包含“@”,则系统会将其解析为电子邮件地址,并将其映射到“read_only_udm.about.user.email_addresses”。否则,它会映射到“read_only_udm.about.user.userid”。 |
| tenantId | read_only_udm.additional.fields | 直接从原始日志字段“tenantId”进行映射。“read_only_udm.additional.fields”的键设置为“tenantId”。 |
| 时间 | read_only_udm.metadata.event_timestamp | 直接从原始日志字段“time”进行映射。 |
| userId | read_only_udm.target.user.product_object_id | 直接从原始日志字段“userId”进行映射。该值是根据其他字段的值设置的,包括“activityDisplayName”“principal_userid_present”“target_userid_present”“principal_ip_present”“loggedByService”和“category”。设置该值的逻辑非常复杂,具体取决于这些字段中的值组合。如果“operationName”的值为“Sign-in activity”,则该值设置为“SSO”。该值设置为“Microsoft”。该值设置为“Azure AD Directory Audit”。该值设置为“AZURE_AD_AUDIT”。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。