Microsoft Entra ID 監査ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Security Operations フィードを設定して Microsoft Entra ID（AD）ログを収集する方法について説明します。

Azure Active Directory（AZURE_AD）は Microsoft Entra ID に名称変更されました。Azure AD 監査ログ（AZURE_AD_AUDIT）は、Microsoft Entra ID 監査ログになりました。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。

始める前に

次の前提条件を満たしていることを確認します。

ログインできる Azure サブスクリプション
グローバル管理者または Azure AD 管理者ロール
Azure の Azure AD（テナント）

Azure AD の構成方法

Azure ポータルにログインします。
[Home] > [App registration] に移動し、登録済みのアプリケーションを選択するか、まだアプリケーションを作成していない場合はアプリケーションを登録します。
アプリケーションを登録するには、[App registration] セクションで [New registration] をクリックします。
[Name] フィールドに、アプリケーションの表示名を入力します。
[Supported account types] セクションで、必要なオプションを選択して、アプリケーションを使用できるユーザーまたは API にアクセスできるユーザーを指定します。
[Register] をクリックします。
[Overview] ページに移動し、Google Security Operations フィードの構成に必要なアプリケーション（クライアント）ID とディレクトリ（テナント）ID をコピーします。
[API 権限] をクリックします。
[Add a permission] をクリックし、新しいペインで [Microsoft Graph] を選択します。
[Application permissions] をクリックします。
[AuditLog.Read.All]、[Directory.Read.All]、[SecurityEvents.Read.All] 権限を選択します。権限が [委任された権限] ではなく、[アプリケーション権限] であることを確認します。
[Grant admin consent for default directory] をクリックします。同意プロセスの一環としてユーザーまたは管理者から権限が付与された場合、アプリケーションは API を呼び出す権限を付与されます。
[Settings] > [Manage] に移動します。
[Certificates and secrets] をクリックします。
[New client secret] をクリックします。[Value] フィールドにクライアントシークレットが表示されます。
クライアントシークレットの値をコピーします。この値は作成時にのみ表示され、Azure アプリの登録と Google Security Operations フィードの構成に必要です。

詳細については、Microsoft Entra ID アプリを設定する方法をご覧ください。

権限の Microsoft Entra の詳細については、権限の Microsoft Entra をご覧ください。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード] > [新しいフィードを追加]
Content Hub > Content Packs > Get Started

Microsoft Entra ID（AZURE AD）監査フィードの設定方法

[Azure Platform] パックをクリックします。
[Azure AD Directory Audit] ログタイプを見つけます。
次のフィールドに値を指定します。
- ソースタイプ: サードパーティ API（推奨）
- OAUTH クライアント ID: 前の手順で取得したクライアント ID を指定します。
- OAUTH クライアントシークレット: 前の手順で取得したクライアントシークレットを指定します。
- テナント ID: 前の手順で取得したテナント ID を指定します。
- API のフルパス: Microsoft Graph REST API エンドポイント URL。
- API 認証エンドポイント: Microsoft Active Directory 認証エンドポイント。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- Asset Namespace: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
[フィードを作成] をクリックします。

このプロダクトファミリー内のさまざまなログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。

Google Security Operations　フィードの詳細については、Google Security Operations　フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。フィードの作成時に問題が発生した場合は、Google Security Operations　サポートにお問い合わせください。

フィールドマッピングリファレンス

このパーサーは、JSON 形式の Azure AD ディレクトリ監査ログを処理します。関連するフィールドを抽出し、統合データモデル（UDM）に変換して、ユーザーの詳細、IP アドレス、セキュリティ結果などの追加コンテキストでデータを拡充します。パーサーは、イベントの特性に基づいてイベントを分類し、分析を容易にするために特定の UDM イベントタイプにマッピングします。

サポートされている Microsoft Entra ID 監査のサンプルログ

標準 JSON

{
  "activityDateTime": "2021-08-31T09:48:50.9118628Z",
  "activityDisplayName": "Update user",
  "additionalDetails": [
    {
      "key": "UserType",
      "value": "Member"
    }
  ],
  "category": "UserManagement",
  "correlationId": "f4f22805-48e7-492f-985b-9f18a93a7e07",
  "id": "Directory_f4f22805-48e7-492f-985b-9f18a93a7e07_P24U6_103572455",
  "initiatedBy": {
    "app": {
      "appId": null,
      "displayName": "Company Portal",
      "servicePrincipalId": "9a3a85ee-a70c-40ea-81d0-3a4f7730ea87",
      "servicePrincipalName": null
    },
    "user": null
  },
  "loggedByService": "Core Directory",
  "operationType": "Update",
  "result": "success",
  "resultReason": "",
  "targetResources": [
    {
      "displayName": null,
      "groupType": null,
      "id": "9cec2a07-92e2-4b67-92a8-9b37f8bfd9c8",
      "modifiedProperties": [
        {
          "displayName": "Included Updated Properties",
          "newValue": "\"\"",
          "oldValue": null
        },
        {
          "displayName": "TargetId.UserType",
          "newValue": "\"Member\"",
          "oldValue": null
        }
      ],
      "type": "User",
      "userPrincipalName": "jdoe@example.com"
    }
  ]
}

Azure Monitor / Event Hub

{
  "records": {
    "time": "2025-06-23T07:57:56.8133230Z",
    "resourceId": "/tenants/00000000-0000-0000-0000-000000000000/providers/Microsoft.aadiam",
    "operationName": "Sign-in activity",
    "operationVersion": "1.0",
    "category": "NonInteractiveUserSignInLogs",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "resultType": "0",
    "resultSignature": "SUCCESS",
    "durationMs": 0,
    "callerIpAddress": "192.168.1.5",
    "correlationId": "43d402af-3b2d-41e6-95d6-0b4ca6318874",
    "identity": "John Doe",
    "Level": 4,
    "location": "US",
    "properties": {
      "id": "b121cd90-f75d-4f46-be80-71ad426f2a00",
      "createdDateTime": "2025-06-23T07:56:56.5587167+00:00",
      "userDisplayName": "John Doe",
      "userPrincipalName": "jdoe@example.com",
      "userId": "e670bfb4-2477-4967-be2b-ce0c37f1dacd",
      "appId": "c44b4083-3bb0-49c1-b47d-974e53cbdf3c",
      "appDisplayName": "Azure Portal",
      "ipAddress": "192.168.1.5",
      "status": {
        "errorCode": 0
      },
      "location": {
        "city": "Aliso Viejo",
        "state": "California",
        "countryOrRegion": "US",
        "geoCoordinates": {
          "latitude": 33.57358169555664,
          "longitude": -117.72956085205078
        }
      }
    }
  }
}

B2C 固有の JSON

{
  "activityDateTime": "2021-08-31T08:54:05.64932Z",
  "activityDisplayName": "Exchange token",
  "additionalDetails": [
    {
      "key": "TenantId",
      "value": "example.com"
    },
    {
      "key": "PolicyId",
      "value": "B2C_1A_my_signup_signin_example"
    },
    {
      "key": "ApplicationId",
      "value": "a03bbb51-cc9e-4a1d-9006-f06c03bd562a"
    },
    {
      "key": "Client",
      "value": "Some%20Company/2.0 CFNetwork/1240.0.4 Darwin/20.5.0"
    },
    {
      "key": "GrantType",
      "value": "authorization_code"
    },
    {
      "key": "ClientIpAddress",
      "value": "192.168.1.10"
    },
    {
      "key": "DomainName",
      "value": "https://example.b2clogin.com"
    }
  ],
  "category": "Authentication",
  "correlationId": "6a0797dc-a455-4e96-9ba8-7c49071988f2",
  "id": "B2C_6a0797dc-a455-4e96-9ba8-7c49071988f2_L8GYQ_15740812",
  "initiatedBy": {
    "app": {
      "appId": "N/A",
      "displayName": null,
      "servicePrincipalId": null,
      "servicePrincipalName": "a03bbb51-cc9e-4a1d-9006-f06c03bd562a"
    },
    "user": null
  },
  "loggedByService": "B2C",
  "operationType": "",
  "result": "success",
  "resultReason": "N/A"
}

SYSLOG + JSON

<13>Jan 15 06:58:10 192.168.1.100 GOAZEPLAPXXXX[azure-ad-audit-0]: {
  "operationVersion": "1.0",
  "name": "adb2b.signin - SONAR",
  "tenantId": "853884de-cbbc-42b5-9576-56cac3b3be72",
  "logcollector_timestamp": "2026-01-15T06:58:10.458135Z",
  "properties": {
    "appDisplayName": "SG_iSmart+",
    "agent": {
      "agentSubjectType": "notAgentic",
      "agentType": "notAgentic"
    },
    "appliedConditionalAccessPolicies": [
      {
        "id": "74f961de-2f6d-4661-bb80-fc4f4b90050e",
        "displayName": "PersistentBrowser_CA",
        "enforcedGrantControls": [
          "Mfa"
        ],
        "conditionsNotSatisfied": 0,
        "enforcedSessionControls": [
          "PersistentBrowserSessionMode"
        ],
        "conditionsSatisfied": 19,
        "result": "success"
      }
    ],
    "id": "6afd2a62-63e4-4ce5-ac9c-80ececce0600",
    "tenantId": "853884de-cbbc-42b5-9576-56cac3b3be72",
    "createdDateTime": "2026-01-15T06:54:13.618694+00:00",
    "userPrincipalName": "jdoe@example.com",
    "ipAddress": "192.168.1.50",
    "status": {
      "failureReason": "The session has expired or is invalid due to sign-in frequency checks by conditional access.",
      "additionalDetails": "MFA requirement satisfied by claim in the token",
      "errorCode": 70044
    }
  }
}

プロビジョニングログ

{
  "time": "2024-01-31T21:44:44.2211394Z",
  "resourceId": "/tenants/00000000-0000-0000-0000-000000000000/providers/Microsoft.aadiam",
  "operationName": "Synchronization rule action",
  "category": "AuditLogs",
  "tenantId": "00000000-0000-0000-0000-000000000000",
  "resultSignature": "None",
  "identity": "Azure AD Cloud Sync",
  "Level": 4,
  "properties": {
    "id": "Sync_9242f76e-949e-4d91-a232-754605ff4fb0_PELZ1_47254401",
    "category": "ProvisioningManagement",
    "correlationId": "9242f76e-949e-4d91-a232-754605ff4fb0",
    "result": "success",
    "resultReason": "The Group 'Global - Citrix-2771-eComex-PROD' will be skipped...",
    "activityDisplayName": "Synchronization rule action",
    "loggedByService": "Account Provisioning",
    "initiatedBy": {
      "app": {
        "appId": null,
        "displayName": "Azure AD Cloud Sync"
      }
    },
    "targetResources": [
      {
        "id": "c6994033-55a1-4734-bdf4-56627768e208",
        "displayName": "ServiceNow Production",
        "type": "ServicePrincipal",
        "modifiedProperties": [
          {
            "displayName": "members",
            "oldValue": "\"d708d89a-c322-405e-b8a8-50f48ead93b3\"",
            "newValue": null
          }
        ]
      }
    ]
  }
}

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
activityDateTime	read_only_udm.metadata.event_timestamp	未加工ログのフィールド「activityDateTime」から直接マッピングされます。
activityDisplayName	read_only_udm.metadata.product_event_type	未加工ログのフィールド「activityDisplayName」から直接マッピングされます。
additionalDetails.ApplicationId	read_only_udm.additional.fields	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「ApplicationId」です。
additionalDetails.Client	read_only_udm.network.http.user_agent	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「Client」です。
additionalDetails.ClientIpAddress	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「ClientIpAddress」です。
additionalDetails.DomainName	read_only_udm.target.hostname、read_only_udm.target.asset.hostname	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「DomainName」です。
additionalDetails.EmailAddress	read_only_udm.target.user.email_addresses	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「EmailAddress」です。
additionalDetails.GrantType	read_only_udm.additional.fields	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「GrantType」です。
additionalDetails.LocalAccountUsername	read_only_udm.additional.fields	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「LocalAccountUsername」です。
additionalDetails.PhoneNumber	read_only_udm.target.user.phone_numbers	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「PhoneNumber」です。
additionalDetails.PolicyId	read_only_udm.security_result.rule_name	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「PolicyId」です。
additionalDetails.Scopes	read_only_udm.additional.fields	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「Scopes」です。
additionalDetails.TenantId	read_only_udm.additional.fields	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「TenantId」です。
additionalDetails.VerificationMethod	read_only_udm.additional.fields	未加工ログのフィールド「additionalDetails」から直接マッピングされます。キーは「VerificationMethod」です。
appId	read_only_udm.target.process.pid	未加工ログのフィールド「appId」から直接マッピングされます。
appliedConditionalAccessPolicies	read_only_udm.about	「displayName」フィールドは「read_only_udm.about.user.user_display_name」にマッピングされ、「id」フィールドは「read_only_udm.about.user.userid」にマッピングされます。「result」フィールドは「read_only_udm.about.labels」にマッピングされ、キーは「Result」に設定されます。
category	read_only_udm.additional.fields、read_only_udm.security_result.category_details	未加工ログのフィールド「category」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「log_category」に設定されます。
callerIpAddress	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	未加工ログのフィールド「callerIpAddress」から直接マッピングされます。
clientAppUsed	read_only_udm.principal.application	未加工ログのフィールド「clientAppUsed」から直接マッピングされます。
correlationId	read_only_udm.network.session_id	未加工ログのフィールド「correlationId」から直接マッピングされます。
id	read_only_udm.metadata.product_log_id	未加工ログのフィールド「id」から直接マッピングされます。
ID	read_only_udm.target.user.userid	未加工ログのフィールド「identity」から直接マッピングされます。
initiatedBy.app.appId	read_only_udm.principal.resource.attribute.labels	未加工ログのフィールド「initiatedBy.app.appId」から直接マッピングされます。「read_only_udm.principal.resource.attribute.labels」のキーは「App Id」に設定されます。
initiatedBy.app.displayName	read_only_udm.principal.application	未加工ログのフィールド「initiatedBy.app.displayName」から直接マッピングされます。
initiatedBy.app.servicePrincipalId	read_only_udm.principal.user.product_object_id	未加工ログのフィールド「initiatedBy.app.servicePrincipalId」から直接マッピングされます。
initiatedBy.app.servicePrincipalName	read_only_udm.principal.user.userid	未加工ログのフィールド「initiatedBy.app.servicePrincipalName」から直接マッピングされます。
initiatedBy.user.displayName	read_only_udm.principal.user.user_display_name、read_only_udm.principal.user.email_addresses	値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.user_display_name」にマッピングされます。
initiatedBy.user.id	read_only_udm.principal.user.product_object_id	未加工ログのフィールド「initiatedBy.user.id」から直接マッピングされます。
initiatedBy.user.ipAddress	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	未加工ログのフィールド「initiatedBy.user.ipAddress」から直接マッピングされます。
initiatedBy.user.userPrincipalName	read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels	値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.userid」にマッピングされます。メールアドレスのドメイン部分は「read_only_udm.principal.administrative_domain」にマッピングされます。完全な値は、「User Principal Name」に設定されたキーとともに「read_only_udm.principal.resource.attribute.labels」にもマッピングされます。
ipAddress	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	未加工ログのフィールド「ipAddress」から直接マッピングされます。
レベル	read_only_udm.security_result.severity、read_only_udm.security_result.severity_details	値は文字列に変換され、「read_only_udm.security_result.severity_details」にマッピングされます。「read_only_udm.security_result.severity」フィールドが「INFORMATIONAL」に設定されます。
location.city	read_only_udm.principal.location.city	未加工ログのフィールド「location.city」から直接マッピングされます。
location.countryOrRegion	read_only_udm.principal.location.country_or_region	未加工ログのフィールド「location.countryOrRegion」から直接マッピングされます。
location.geoCoordinates.latitude	read_only_udm.principal.location.region_latitude	未加工ログのフィールド「location.geoCoordinates.latitude」から直接マッピングされます。
location.geoCoordinates.longitude	read_only_udm.principal.location.region_longitude	未加工ログのフィールド「location.geoCoordinates.longitude」から直接マッピングされます。
location.state	read_only_udm.principal.location.state	未加工ログのフィールド「location.state」から直接マッピングされます。
loggedByService	read_only_udm.additional.fields	未加工ログのフィールド「loggedByService」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「loggedByService」に設定されます。
operationName	read_only_udm.metadata.product_event_type	未加工ログのフィールド「operationName」から直接マッピングされます。
operationType	read_only_udm.security_result.action_details	未加工ログのフィールド「operationType」から直接マッピングされます。
properties.activityDateTime	read_only_udm.metadata.event_timestamp	未加工ログのフィールド「properties.activityDateTime」から直接マッピングされます。
properties.activityDisplayName	read_only_udm.metadata.product_event_type	未加工ログのフィールド「properties.activityDisplayName」から直接マッピングされます。
properties.appDisplayName	read_only_udm.target.application	未加工ログのフィールド「properties.appDisplayName」から直接マッピングされます。
properties.category	read_only_udm.security_result.category_details	未加工ログのフィールド「properties.category」から直接マッピングされます。
properties.id	read_only_udm.metadata.product_log_id	未加工ログのフィールド「properties.id」から直接マッピングされます。
properties.initiatedBy.app.appId	read_only_udm.principal.resource.attribute.labels	未加工ログのフィールド「properties.initiatedBy.app.appId」から直接マッピングされます。「read_only_udm.principal.resource.attribute.labels」のキーは「App Id」に設定されます。
properties.initiatedBy.app.displayName	read_only_udm.principal.application	未加工ログのフィールド「properties.initiatedBy.app.displayName」から直接マッピングされます。
properties.initiatedBy.app.servicePrincipalId	read_only_udm.principal.user.product_object_id	未加工ログのフィールド「properties.initiatedBy.app.servicePrincipalId」から直接マッピングされます。
properties.initiatedBy.app.servicePrincipalName	read_only_udm.principal.user.userid	未加工ログのフィールド「properties.initiatedBy.app.servicePrincipalName」から直接マッピングされます。
properties.initiatedBy.user.displayName	read_only_udm.principal.user.user_display_name、read_only_udm.principal.user.email_addresses	値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.user_display_name」にマッピングされます。
properties.initiatedBy.user.id	read_only_udm.principal.user.product_object_id	未加工ログのフィールド「properties.initiatedBy.user.id」から直接マッピングされます。
properties.initiatedBy.user.ipAddress	read_only_udm.principal.ip、read_only_udm.principal.asset.ip	未加工ログのフィールド「properties.initiatedBy.user.ipAddress」から直接マッピングされます。
properties.initiatedBy.user.userPrincipalName	read_only_udm.principal.user.userid、read_only_udm.principal.user.email_addresses、read_only_udm.principal.administrative_domain、read_only_udm.principal.resource.attribute.labels	値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.principal.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.principal.user.userid」にマッピングされます。メールアドレスのドメイン部分は「read_only_udm.principal.administrative_domain」にマッピングされます。完全な値は、「User Principal Name」に設定されたキーとともに「read_only_udm.principal.resource.attribute.labels」にもマッピングされます。
properties.loggedByService	read_only_udm.additional.fields	未加工ログのフィールド「properties.loggedByService」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「loggedByService」に設定されます。
properties.operationType	read_only_udm.security_result.action_details	未加工ログのフィールド「properties.operationType」から直接マッピングされます。
properties.result	read_only_udm.security_result.summary	未加工ログのフィールド「properties.result」から直接マッピングされます。
properties.resultReason	read_only_udm.security_result.description	未加工ログのフィールド「properties.resultReason」から直接マッピングされます。
properties.userPrincipalName	read_only_udm.target.user.user_display_name	未加工ログのフィールド「properties.userPrincipalName」から直接マッピングされます。
結果	read_only_udm.security_result.summary、read_only_udm.security_result.action	未加工ログのフィールド「result」から直接マッピングされます。値が「success」の場合、「read_only_udm.security_result.action」は「ALLOW」に設定されます。値が「failure」の場合、「read_only_udm.security_result.action」は「BLOCK」に設定されます。
resultDescription	read_only_udm.metadata.description、read_only_udm.security_result.description	未加工ログのフィールド「resultDescription」から直接マッピングされます。
resultReason	read_only_udm.security_result.description	未加工ログのフィールド「resultReason」から直接マッピングされます。
resultType	read_only_udm.security_result.rule_id、read_only_udm.security_result.summary、read_only_udm.security_result.action	未加工ログのフィールド「resultType」から直接マッピングされます。値が「0」の場合、「read_only_udm.security_result.action」は「ALLOW」に設定され、「read_only_udm.security_result.summary」は「Successful login occurred」に設定されます。それ以外の場合、「read_only_udm.security_result.action」は「BLOCK」に設定され、「read_only_udm.security_result.summary」は「Failed login occurred」に設定され、「read_only_udm.security_result.description」は「resultDescription」の値に設定され、「read_only_udm.security_result.severity」は「ERROR」に設定されます。
resourceDisplayName	read_only_udm.target.resource.name	未加工ログのフィールド「resourceDisplayName」から直接マッピングされます。
resourceId	read_only_udm.additional.fields	未加工ログのフィールド「resourceId」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「resourceId」に設定されます。
riskDetail	read_only_udm.additional.fields	未加工ログのフィールド「riskDetail」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskDetail」に設定されます。
riskEventTypes	read_only_udm.additional.fields	未加工ログのフィールド「riskEventTypes」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskEventTypes」に設定されます。
riskEventTypes_v2	read_only_udm.additional.fields	未加工ログのフィールド「riskEventTypes_v2」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskEventTypes_v2」に設定されます。
riskLevelAggregated	read_only_udm.additional.fields	未加工ログのフィールド「riskLevelAggregated」から直接マッピングされます。「read_only_udm.additional.fields」のキーが「riskLevelAggregated」に設定されます。
riskLevelDuringSignIn	read_only_udm.additional.fields、read_only_udm.security_result.priority	未加工ログのフィールド「riskLevelDuringSignIn」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「riskLevelDuringSignIn」に設定されます。値が「medium」の場合、「read_only_udm.security_result.priority」は「MEDIUM_PRIORITY」に設定されます。
riskState	read_only_udm.additional.fields	未加工ログのフィールド「riskState」から直接マッピングされます。「read_only_udm.additional.fields」のキーが「riskState」に設定されます。
targetResources.0.displayName	read_only_udm.target.resource.name、read_only_udm.target.user.user_display_name、read_only_udm.target.group.group_display_name	「targetResources.0.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.target.user.user_display_name」にマッピングされます。「targetResources.0.type」の値が「Group」の場合、値は「read_only_udm.target.group.group_display_name」にマッピングされます。それ以外の場合、値は「read_only_udm.target.resource.name」にマッピングされます。
targetResources.0.groupType	read_only_udm.target.group.attribute.labels	未加工ログのフィールド「targetResources.0.groupType」から直接マッピングされます。「read_only_udm.target.group.attribute.labels」のキーは「groupType」に設定されます。
targetResources.0.id	read_only_udm.target.resource.product_object_id、read_only_udm.target.user.product_object_id、read_only_udm.target.group.product_object_id	「targetResources.0.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.target.user.product_object_id」にマッピングされます。「targetResources.0.type」の値が「Group」の場合、値は「read_only_udm.target.group.product_object_id」にマッピングされます。それ以外の場合、値は「read_only_udm.target.resource.product_object_id」にマッピングされます。
targetResources.0.modifiedProperties.displayName	read_only_udm.additional.fields、read_only_udm.target.asset.asset_id、read_only_udm.target.user.title、read_only_udm.target.resource.attribute.roles、read_only_udm.target.user.user_display_name、read_only_udm.target.user.first_name、read_only_udm.target.user.last_name、read_only_udm.target.user.department、read_only_udm.target.user.office_address.name、read_only_udm.target.user.employee_id、read_only_udm.target.user.phone_numbers、read_only_udm.target.user.userid、read_only_udm.target.resource.attribute.labels、read_only_udm.src.resource.attribute.labels	値は「read_only_udm.additional.fields」にマッピングされ、キーは「targetResources.modifiedProperties.displayname {index}」に設定されます。値が「TargetId.DeviceId」の場合、「targetResources.0.modifiedProperties.newValue」の値は、「Device ID:」という接頭辞付きで「read_only_udm.target.asset.asset_id」にマッピングされます。値が「DisplayName」または「jobTitle」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.title」にマッピングされます。値が「WellKnownObjectName」の場合、「targetResources.0.modifiedProperties.newValue」の値は、「read_only_udm.target.resource.attribute.roles」にマッピングされ、キーは「name」に設定されます。値が「displayName」で、「targetResources.0.displayName」が null の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.user_display_name」にマッピングされます。値が「givenName」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.first_name」にマッピングされます。値が「surname」の場合、「targetResources.0.modifiedProperties.newValue」の値が「read_only_udm.target.user.last_name」にマッピングされます。値が「department」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.department」にマッピングされます。値が「physicalDeliveryOfficeName」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.office_address.name」にマッピングされます。値が「employeeId」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.employee_id」にマッピングされます。値が「mobile」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.phone_numbers」にマッピングされます。値が「MailNickname」の場合、「targetResources.0.modifiedProperties.newValue」の値は「read_only_udm.target.user.userid」にマッピングされます。それ以外の場合、「targetResources.0.modifiedProperties.newValue」の値は、「read_only_udm.target.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。「targetResources.0.modifiedProperties.oldValue」の値は、「read_only_udm.src.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。
targetResources.0.modifiedProperties.newValue	read_only_udm.target.asset.asset_id、read_only_udm.target.user.title、read_only_udm.target.resource.attribute.roles、read_only_udm.target.user.user_display_name、read_only_udm.target.user.first_name、read_only_udm.target.user.last_name、read_only_udm.target.user.department、read_only_udm.target.user.office_address.name、read_only_udm.target.user.employee_id、read_only_udm.target.user.phone_numbers、read_only_udm.target.user.userid、read_only_udm.target.resource.attribute.labels、read_only_udm.additional.fields	「targetResources.0.modifiedProperties.displayName」の値が「TargetId.DeviceId」の場合、値は接頭辞「Device ID:」付きで「read_only_udm.target.asset.asset_id」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「DisplayName」または「jobTitle」の場合、値は「read_only_udm.target.user.title」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「WellKnownObjectName」の場合、値は「read_only_udm.target.resource.attribute.roles」にマッピングされ、キーは「name」に設定されます。「targetResources.0.modifiedProperties.displayName」の値が「displayName」で、「targetResources.0.displayName」が null の場合、値は「read_only_udm.target.user.user_display_name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「givenName」の場合、値は「read_only_udm.target.user.first_name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「surname」の場合、値は「read_only_udm.target.user.last_name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「department」の場合、値は「read_only_udm.target.user.department」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「physicalDeliveryOfficeName」の場合、値は「read_only_udm.target.user.office_address.name」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「employeeId」の場合、値は「read_only_udm.target.user.employee_id」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「mobile」の場合、値は「read_only_udm.target.user.phone_numbers」にマッピングされます。「targetResources.0.modifiedProperties.displayName」の値が「MailNickname」の場合、値は「read_only_udm.target.user.userid」にマッピングされます。それ以外の場合、値は「read_only_udm.target.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。値は、「targetResources.modifiedProperties.newValue {index}」に設定されたキーを使用して「read_only_udm.additional.fields」にもマッピングされます。
targetResources.0.modifiedProperties.oldValue	read_only_udm.src.resource.attribute.labels、read_only_udm.additional.fields	値は「read_only_udm.src.resource.attribute.labels」にマッピングされ、キーは「targetResources.0.modifiedProperties.displayName」の値に設定されます。値は、「targetResources.modifiedProperties.oldValue {index}」に設定されたキーを使用して「read_only_udm.additional.fields」にもマッピングされます。
targetResources.0.type	read_only_udm.target.resource.resource_subtype、read_only_udm.target.resource.resource_type、read_only_udm.target.user.userid、read_only_udm.target.user.product_object_id、read_only_udm.target.user.user_display_name、read_only_udm.target.group.product_object_id、read_only_udm.target.group.group_display_name	未加工ログのフィールド「targetResources.0.type」から直接マッピングされます。値が「ServicePrincipal」の場合、「read_only_udm.target.resource.resource_type」は「SERVICE_ACCOUNT」に設定されます。値が「Device」の場合、「read_only_udm.target.resource.resource_type」は「DEVICE」に設定されます。それ以外の場合、「read_only_udm.target.resource.resource_type」は「UNSPECIFIED」に設定されます。値が「User」または「ServicePrincipal」の場合、「targetResources.0.userPrincipalName」の値は「read_only_udm.target.user.userid」にマッピングされ、「targetResources.0.id」の値は「read_only_udm.target.user.product_object_id」にマッピングされ、「targetResources.0.displayName」の値は「read_only_udm.target.user.user_display_name」にマッピングされます。値が「Group」の場合、「targetResources.0.id」の値は「read_only_udm.target.group.product_object_id」にマッピングされ、「targetResources.0.displayName」の値は「read_only_udm.target.group.group_display_name」にマッピングされます。
targetResources.0.userPrincipalName	read_only_udm.target.user.userid、read_only_udm.target.user.email_addresses	値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.target.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.target.user.userid」にマッピングされます。
targetResources.displayName	read_only_udm.about.resource.name、read_only_udm.about.user.userid、read_only_udm.about.user.user_display_name、read_only_udm.about.group.group_display_name、read_only_udm.about.group.attribute.labels	「targetResources.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.about.user.user_display_name」と「read_only_udm.about.user.userid」にマッピングされます。「targetResources.type」の値が「Group」の場合、値は「read_only_udm.about.group.group_display_name」にマッピングされます。「targetResources.groupType」の値は、「read_only_udm.about.group.attribute.labels」にマッピングされ、キーは「groupType」に設定されます。それ以外の場合、値は「read_only_udm.about.resource.name」にマッピングされます。
targetResources.groupType	read_only_udm.about.group.attribute.labels、read_only_udm.target.user.group_identifiers	未加工ログのフィールド「targetResources.groupType」から直接マッピングされます。「read_only_udm.about.group.attribute.labels」のキーが「groupType」に設定されます。
targetResources.id	read_only_udm.about.resource.product_object_id、read_only_udm.about.user.product_object_id、read_only_udm.about.group.product_object_id	「targetResources.type」の値が「User」または「ServicePrincipal」の場合、値は「read_only_udm.about.user.product_object_id」にマッピングされます。「targetResources.type」の値が「Group」の場合、値は「read_only_udm.about.group.product_object_id」にマッピングされます。それ以外の場合、値は「read_only_udm.about.resource.product_object_id」にマッピングされます。
targetResources.modifiedProperties.displayName	read_only_udm.additional.fields	値は「read_only_udm.additional.fields」にマッピングされ、キーは「targetResources.modifiedProperties.displayname {index}」に設定されます。
targetResources.modifiedProperties.newValue	read_only_udm.additional.fields	値は、「targetResources.modifiedProperties.newValue {index}」に設定されたキーを使用して「read_only_udm.additional.fields」にマッピングされます。
targetResources.modifiedProperties.oldValue	read_only_udm.additional.fields	値は「read_only_udm.additional.fields」にマッピングされ、キーは「targetResources.modifiedProperties.oldValue {index}」に設定されます。
targetResources.type	read_only_udm.about.resource.resource_subtype、read_only_udm.about.resource.resource_type、read_only_udm.about.user.userid、read_only_udm.about.user.product_object_id、read_only_udm.about.user.user_display_name、read_only_udm.about.group.product_object_id、read_only_udm.about.group.group_display_name	未加工ログのフィールド「targetResources.type」から直接マッピングされます。値が「ServicePrincipal」の場合、「read_only_udm.about.resource.resource_type」は「SERVICE_ACCOUNT」に設定されます。値が「Device」の場合、「read_only_udm.about.resource.resource_type」は「DEVICE」に設定されます。それ以外の場合、「read_only_udm.about.resource.resource_type」は「UNSPECIFIED」に設定されます。値が「User」または「ServicePrincipal」の場合、「targetResources.userPrincipalName」の値は「read_only_udm.about.user.userid」にマッピングされ、「targetResources.id」の値は「read_only_udm.about.user.product_object_id」にマッピングされ、「targetResources.displayName」の値は「read_only_udm.about.user.user_display_name」にマッピングされます。値が「Group」の場合、「targetResources.id」の値は「read_only_udm.about.group.product_object_id」にマッピングされ、「targetResources.displayName」の値は「read_only_udm.about.group.group_display_name」にマッピングされます。
targetResources.userPrincipalName	read_only_udm.about.user.userid、read_only_udm.about.user.email_addresses	値に「@」が含まれている場合は、メールアドレスとして解析され、「read_only_udm.about.user.email_addresses」にマッピングされます。それ以外の場合は、「read_only_udm.about.user.userid」にマッピングされます。
tenantId	read_only_udm.additional.fields	未加工ログのフィールド「tenantId」から直接マッピングされます。「read_only_udm.additional.fields」のキーは「tenantId」に設定されます。
時間	read_only_udm.metadata.event_timestamp	未加工ログのフィールド「time」から直接マッピングされます。
userId	read_only_udm.target.user.product_object_id	未加工ログのフィールド「userId」から直接マッピングされます。値は、「activityDisplayName」、「principal_userid_present」、「target_userid_present」、「principal_ip_present」、「loggedByService」、「category」などの他のフィールドの値に基づいて設定されます。値を設定するロジックは複雑で、これらのフィールドの値の特定の組み合わせによって異なります。「operationName」の値が「Sign-in activity」の場合、値は「SSO」に設定されます。値は「Microsoft」に設定されます。値は「Azure AD Directory Audit」に設定されます。値は「AZURE_AD_AUDIT」に設定されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。