Microsoft Azure AD-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Azure Active Directory-Logs (AD) erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Azure Active Directory (AZURE_AD) heißt jetzt Microsoft Entra ID. Azure AD-Audit-Logs (AZURE_AD_AUDIT) sind jetzt Microsoft Entra ID-Audit-Logs.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert.
Hinweise
Folgende Voraussetzungen müssen erfüllt sein:
- Ein Azure-Abo, bei dem Sie sich anmelden können
- Eine globale Administratorrolle oder eine Azure AD-Administratorrolle
- Ein Azure AD-Mandant in Azure
Azure AD konfigurieren
- Melden Sie sich im Azure an.
- Gehen Sie zu Startseite > App-Registrierung, wählen Sie eine registrierte App aus oder registrieren Sie eine App, falls Sie noch keine erstellt haben.
- Klicken Sie zum Registrieren einer Anwendung im Abschnitt App-Registrierung auf Neue Registrierung.
- Geben Sie im Feld Name den Anzeigenamen für Ihre Anwendung ein.
Wählen Sie im Bereich Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Single Tenant) aus.
- Weiterleitungs-URI: Lassen Sie das Feld leer (nicht für die Authentifizierung des Dienstprinzipals erforderlich).
Klicken Sie auf Registrieren.
Rufen Sie die Seite Übersicht auf und kopieren Sie die Anwendungs‑ (Client‑)‑ID und die Verzeichnis‑ (Mandanten‑)‑ID, die zum Konfigurieren des Google Security Operations-Feeds erforderlich sind.
Klicken Sie auf API-Berechtigungen.
Klicken Sie auf Berechtigung hinzufügen und wählen Sie dann im neuen Bereich Microsoft Graph aus.
Klicken Sie auf Anwendungsberechtigungen.
Wählen Sie die Berechtigungen AuditLog.Read.All, Directory.Read.All und SecurityEvents.Read.All aus. Die Berechtigungen müssen Anwendungsberechtigungen und nicht delegierte Berechtigungen sein.
Klicken Sie auf Administratoreinwilligung für Standardverzeichnis erteilen. Anwendungen dürfen APIs aufrufen, wenn ihnen im Rahmen des Einwilligungsverfahrens Berechtigungen von Nutzern oder Administratoren erteilt werden.
Rufen Sie die Einstellungen > Verwalten auf.
Klicken Sie auf Zertifikate und Secrets.
Klicken Sie auf Neuer geheimer Clientschlüssel. Der Clientschlüssel wird im Feld Wert angezeigt.
Kopieren Sie den Clientschlüsselwert. Der Wert wird nur bei der Erstellung angezeigt und ist für die Azure-App-Registrierung und die Konfiguration des Google Security Operations-Feeds erforderlich.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds > Neuen Feed hinzufügen
- Content Hub > Content-Pakete > Erste Schritte
Microsoft Entra ID-Feed (Azure AD) einrichten
- Klicken Sie auf das Paket Azure-Plattform.
- Suchen Sie nach dem Protokolltyp Azure AD.
Geben Sie Werte für die folgenden Felder an:
- Source Type (Quelltyp): Third party API (API von Drittanbietern) (empfohlen)
- OAUTH-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
- OAUTH-Clientschlüssel: Geben Sie den Clientschlüssel an, den Sie zuvor abgerufen haben.
- Mandanten-ID: Geben Sie die Mandanten-ID an, die Sie zuvor abgerufen haben.
- Vollständiger API-Pfad: Microsoft Graph REST API-Endpunkt-URL.
- API-Authentifizierungsendpunkt: Microsoft Active Directory-Authentifizierungsendpunkt.
Advanced Options (Erweiterte Optionen)
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Klicken Sie auf Feed erstellen.
Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.
Referenz zur Feldzuordnung
Mit diesem Parsercode werden Rohprotokolle von Azure AD im JSON-Format in ein einheitliches Datenmodell (Unified Data Model, UDM) umgewandelt. Dazu werden zuerst die Daten normalisiert, indem unnötige Felder entfernt werden. Anschließend werden relevante Informationen wie Nutzerdetails, Zeitstempel und Ereignisspezifikationen extrahiert und den entsprechenden UDM-Feldern zugeordnet, um eine einheitliche Darstellung und Analyse zu ermöglichen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Anmerkungen |
|---|---|---|
about |
about |
|
accountEnabled |
user.user_authentication_statususer.attribute.labels.value (Schlüssel: accountEnabled) |
Wenn accountEnabled gleich true ist, wird user.user_authentication_status auf ACTIVE festgelegt und ein Label mit dem Schlüssel accountEnabled und dem Wert true wird hinzugefügt. Andernfalls wird ein Label mit dem Schlüssel accountEnabled und dem Wert false hinzugefügt. |
additionalDetails |
additional.fields |
|
appOwnerTenantId |
target.resource.attribute.labels |
|
authenticationAppDeviceDetails |
additional.fields |
|
authenticationContextClassReference |
security_result.detection_fields |
|
autonomousSystemNumber |
principal.resource.attribute.labels |
|
browser |
network.http.user_agent |
|
browser |
network.http.user_agent |
|
businessPhones |
user.phone_numbers |
Mehrere Telefonnummern werden extrahiert und als separate Einträge zugeordnet. |
city |
user.personal_address.city |
|
clientCredentialType |
additional.fields |
|
companyName |
user.company_name |
|
country |
user.personal_address.country_or_region |
Wenn country leer ist, wird der Wert aus usageLocation übernommen. |
createdDateTime |
user.attribute.creation_time |
In einen Zeitstempel aus dem Feld createdDateTime im Rohlog konvertiert, wobei das RFC 3339-Format verwendet wird. |
cribl_pipe |
additional.fields |
|
crossTenantAccessType |
additional.fields |
|
department |
user.department |
Mehrere Abteilungen werden extrahiert und als separate Einträge zugeordnet. |
deviceDetail.displayName |
principal.hostname,principal.asset.hostname |
|
displayName |
user.user_display_name |
|
employeeId |
user.employee_id |
Wenn employeeId leer ist, wird der Wert aus extension_employeeNumber übernommen. |
employeeType |
user.attribute.labels.value (Schlüssel: employeeType) |
Wird aus dem Feld employeeType im Rohlog zugeordnet und als Label mit dem Schlüssel employeeType hinzugefügt. |
empmanager-src.accountEnabled |
user.user_authentication_statususer.attribute.labels.value (Schlüssel: accountEnabled) |
Wenn manager leer und empmanager-src.accountEnabled true ist, wird user.user_authentication_status auf ACTIVE festgelegt und ein Label mit dem Schlüssel accountEnabled und dem Wert true wird hinzugefügt. Andernfalls wird ein Label mit dem Schlüssel accountEnabled und dem Wert false hinzugefügt. |
empmanager-src.onPremisesDistinguishedName |
manager_role.type |
Wenn gopher-manager leer ist und der OU-Teil des Distinguished Name des Administrators Users enthält, wird manager_role.type auf ADMINISTRATOR festgelegt. Wenn sie Service Accounts enthält, wird manager_role.type auf SERVICE_ACCOUNT gesetzt. |
empmanager-src.userPrincipalName |
manager_role.type |
Wenn gopher-manager leer ist und empmanager-src.userPrincipalName mit svc- beginnt, wird manager_role.type auf SERVICE_ACCOUNT gesetzt. |
errorCode |
security_result.detection_fields |
|
extension_employeeNumber |
user.employee_id |
Wird user.employee_id zugeordnet, wenn „employeeId“ leer ist. |
extension_wfc_AccountingUnitName |
event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_AccountingUnitName) |
Wird aus dem Feld extension_wfc_AccountingUnitName im Rohlog zugeordnet und als Label mit dem Schlüssel extension_wfc_AccountingUnitName hinzugefügt. |
extension_wfc_AccountType |
event.idm.entity.entity.labels.value (Schlüssel: wfc_AccountType) |
Wird aus dem Feld extension_wfc_AccountType im Rohlog zugeordnet und als Label mit dem Schlüssel wfc_AccountType hinzugefügt. |
extension_wfc_execDescription |
event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_execDescription) |
Wird aus dem Feld extension_wfc_execDescription im Rohlog zugeordnet und als Label mit dem Schlüssel extension_wfc_execDescription hinzugefügt. |
extension_wfc_groupDescription |
event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_groupDescription) |
Wird aus dem Feld extension_wfc_groupDescription im Rohlog zugeordnet und als Label mit dem Schlüssel extension_wfc_groupDescription hinzugefügt. |
extension_wfc_orgDescription |
event.idm.entity.entity.labels.value (Schlüssel: extension_wfc_orgDescription) |
Wird aus dem Feld extension_wfc_orgDescription im Rohlog zugeordnet und als Label mit dem Schlüssel extension_wfc_orgDescription hinzugefügt. |
failureReason |
security_result.description |
|
federatedCredentialId |
additional.fields |
|
flaggedForReview |
additional.fields |
|
givenName |
user.first_name |
|
gopher-devices |
event.idm.entity.relations |
Jedes Gerät im Array „gopher-devices“ wird einem separaten Relationseintrag zugeordnet. deviceId wird product_object_id zugeordnet, operatingSystem und operatingSystemVersion werden kombiniert, um das platform_version-Modell zu bilden, und createdDateTime wird in einen Zeitstempel umgewandelt und created_timestamp zugeordnet. Die Beziehung ist auf OWNS und die Richtung auf UNIDIRECTIONAL festgelegt. |
gopher-groups |
event.idm.entity.relations |
Jede Gruppe im Array „gopher-groups“ wird einem separaten Relationseintrag zugeordnet. id wird product_object_id und displayName wird group_display_name zugeordnet. Die Beziehung ist auf MEMBER und die Richtung auf UNIDIRECTIONAL festgelegt. |
gopher-manager.businessPhones |
empmanager.phone_numbers |
Wird empmanager.phone_numbers zugeordnet, wenn manager leer ist. |
gopher-manager.country |
empmanager.personal_address.country_or_region |
Wird empmanager.personal_address.country_or_region zugeordnet, wenn manager leer ist. Wenn sowohl gopher-manager.country als auch gopher-manager.usageLocation leer sind, bleibt das Feld leer. |
gopher-manager.department |
empmanager.department |
Wird empmanager.department zugeordnet, wenn manager leer ist. |
gopher-manager.displayName |
empmanager.user_display_name |
Wird empmanager.user_display_name zugeordnet, wenn manager leer ist. |
gopher-manager.employeeId |
empmanager.employee_id |
Wird empmanager.employee_id zugeordnet, wenn manager leer und gopher-manager.employeeId nicht leer ist. |
gopher-manager.extension_employeeNumber |
empmanager.employee_id |
Wird empmanager.employee_id zugeordnet, wenn manager und gopher-manager.employeeId leer sind und gopher-manager.extension_employeeNumber nicht leer ist. |
gopher-manager.givenName |
empmanager.first_name |
Wird empmanager.first_name zugeordnet, wenn manager leer ist. |
gopher-manager.id |
empmanager.product_object_id |
Wird empmanager.product_object_id zugeordnet, wenn manager leer ist. |
gopher-manager.jobTitle |
empmanager.title |
Wird empmanager.title zugeordnet, wenn manager leer ist. |
gopher-manager.mail |
empmanager.email_addresses |
Wird empmanager.email_addresses zugeordnet, wenn manager leer ist. |
gopher-manager.onPremisesImmutableId |
user.attribute.labels.value (Schlüssel: gopher-manager onPremisesImmutableId) |
Als Label mit dem Schlüssel gopher-manager onPremisesImmutableId zugeordnet. |
gopher-manager.onPremisesSamAccountName |
empmanager.userid |
Wird empmanager.userid zugeordnet, wenn manager leer ist. |
gopher-manager.onPremisesSecurityIdentifier |
empmanager.windows_sid |
Wird empmanager.windows_sid zugeordnet, wenn manager leer ist. |
gopher-manager.proxyAddresses |
empmanager.email_addressesempmanager.group_identifiers |
Wenn manager leer ist, wird jede Adresse im gopher-manager.proxyAddresses-Array entweder empmanager.email_addresses oder empmanager.group_identifiers zugeordnet, je nachdem, ob sie mit smtp oder SMTP beginnt. |
gopher-manager.refreshTokensValidFromDateTime |
empmanager.attribute.labels.value (Schlüssel: refreshTokensValidFromDateTime) |
Wird als Label mit dem Schlüssel refreshTokensValidFromDateTime zugeordnet, wenn manager leer ist. |
gopher-manager.streetAddress |
empmanager.personal_address.name |
Wird empmanager.personal_address.name zugeordnet, wenn manager leer ist. |
gopher-manager.surname |
empmanager.last_name |
Wird empmanager.last_name zugeordnet, wenn manager leer ist. |
gopher-manager.usageLocation |
user.attribute.labels.value (Schlüssel: manager_src_usageLocation) |
Als Label mit dem Schlüssel manager_src_usageLocation zugeordnet. |
gopher-manager.userType |
empmanager.attribute.roles.name |
Wird empmanager.attribute.roles.name zugeordnet, wenn manager leer ist. |
homeTenantId |
target.resource.attribute.labels |
|
homeTenantName |
target.resource.attribute.labels |
|
id |
user.product_object_id |
|
identities |
user.attribute.labels.value (key: signInType)user.attribute.labels.value (key: userPrincipalName) |
signInType wird als Label mit dem Schlüssel signInType zugeordnet. Wenn signInType und userPrincipalName nicht leer sind, werden sie kombiniert und als Label mit dem Schlüssel userPrincipalName zugeordnet. |
identity |
principal.user.user_display_name |
|
incomingTokenType |
additional.fields |
|
initiatedBy.app.displayName |
principal.application |
|
initiatedBy.app.servicePrincipalId |
principal.resource.product_object_id |
|
initiatedBy.user.homeTenantId |
target.resource.attribute.labels |
|
initiatedBy.user.homeTenantName |
target.resource.attribute.labels |
|
initiatedBy.user.userType |
additional.fields |
|
ipAddressFromResourceProvider |
principal.resource.attribute.labels |
|
isTenantRestricted |
additional.fields |
|
jobTitle |
user.title |
|
loggedByService |
observer.application |
|
mail |
user.email_addresses |
Wenn mail mit svc- beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
mail |
user_role.type |
Wenn mail mit svc- beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
mailNickname |
user.attribute.labels.value (Schlüssel: mailNickname) |
Wird aus dem Feld mailNickname im Rohlog zugeordnet und als Label mit dem Schlüssel mailNickname hinzugefügt. |
manager.businessPhones |
empmanager.phone_numbers |
Wird empmanager.phone_numbers zugeordnet, wenn gopher-manager leer ist. |
manager.city |
empmanager.personal_address.city |
Wird empmanager.personal_address.city zugeordnet, wenn gopher-manager leer ist. |
manager.companyName |
empmanager.company_name |
Wird empmanager.company_name zugeordnet, wenn gopher-manager leer ist. |
manager.country |
empmanager.personal_address.country_or_region |
Wird empmanager.personal_address.country_or_region zugeordnet, wenn gopher-manager leer ist. Wenn sowohl manager.country als auch manager.usageLocation leer sind, bleibt das Feld leer. |
manager.department |
empmanager.department |
Wird empmanager.department zugeordnet, wenn gopher-manager leer ist. |
manager.displayName |
empmanager.user_display_name |
Wird empmanager.user_display_name zugeordnet, wenn gopher-manager leer ist. |
manager.employeeId |
empmanager.employee_id |
Wird empmanager.employee_id zugeordnet, wenn gopher-manager leer und manager.employeeId nicht leer ist. |
manager.extension_employeeNumber |
empmanager.employee_id |
Wird empmanager.employee_id zugeordnet, wenn gopher-manager und manager.employeeId leer sind und manager.extension_employeeNumber nicht leer ist. |
manager.givenName |
empmanager.first_name |
Wird empmanager.first_name zugeordnet, wenn gopher-manager leer ist. |
manager.id |
empmanager.product_object_id |
Wird empmanager.product_object_id zugeordnet, wenn gopher-manager leer ist. |
manager.jobTitle |
empmanager.title |
Wird empmanager.title zugeordnet, wenn gopher-manager leer ist. |
manager.mail |
empmanager.email_addresses |
Wird empmanager.email_addresses zugeordnet, wenn gopher-manager leer ist. |
manager.onPremisesSamAccountName |
empmanager.userid |
Wird empmanager.userid zugeordnet, wenn gopher-manager leer ist. |
manager.onPremisesSecurityIdentifier |
empmanager.windows_sid |
Wird empmanager.windows_sid zugeordnet, wenn gopher-manager leer ist. |
manager.proxyAddresses |
empmanager.email_addressesempmanager.group_identifiers |
Wenn gopher-manager leer ist, wird jede Adresse im Array manager.proxyAddresses entweder empmanager.email_addresses oder empmanager.group_identifiers based on whether it starts withsmtporSMTP zugeordnet. |
manager.refreshTokensValidFromDateTime |
empmanager.attribute.labels.value (Schlüssel: refreshTokensValidFromDateTime) |
Wird als Label mit dem Schlüssel refreshTokensValidFromDateTime zugeordnet, wenn gopher-manager leer ist. |
manager.state |
empmanager.personal_address.state |
Wird empmanager.personal_address.state zugeordnet, wenn gopher-manager leer ist. |
manager.streetAddress |
empmanager.personal_address.name |
Wird empmanager.personal_address.name zugeordnet, wenn gopher-manager leer ist. |
manager.surname |
empmanager.last_name |
Wird empmanager.last_name zugeordnet, wenn gopher-manager leer ist. |
manager.usageLocation |
user.attribute.labels.value (Schlüssel: manager_src_usageLocation)empmanager.personal_address.country_or_region |
Als Label mit dem Schlüssel manager_src_usageLocation zugeordnet. Wenn manager.country leer ist, wird der Wert auch empmanager.personal_address.country_or_region zugeordnet. |
manager.userType |
empmanager.attribute.roles.name |
Wird empmanager.attribute.roles.name zugeordnet, wenn gopher-manager leer ist. |
mfaDetail.authDetail |
principal.user.phone_numbers |
|
onPremisesDistinguishedName |
user.attribute.labels.value (key: onPremisesDistinguishedName)user.attribute.labels.value (key: onPremisesDistinguishedName-OU data) |
Der vollständige Distinguished Name wird als Label mit dem Schlüssel onPremisesDistinguishedName zugeordnet. Der OU-Teil des Distinguished Name wird extrahiert und als Label mit dem Schlüssel onPremisesDistinguishedName-OU data zugeordnet. Wenn der OU-Teil Admin enthält, wird user_role.type auf ADMINISTRATOR gesetzt. Wenn sie Service Accounts enthält, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
onPremisesDistinguishedName |
user_role.type |
Wenn der OU-Teil des Distinguished Name Admin enthält, wird user_role.type auf ADMINISTRATOR gesetzt. Wenn sie Service Accounts enthält, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
onPremisesDomainName |
user.group_identifiersuser.attribute.labels.value (Schlüssel: onPremisesDomainName) |
Direkt user.group_identifiers zugeordnet und als Label mit dem Schlüssel onPremisesDomainName hinzugefügt. |
onPremisesImmutableId |
user.attribute.labels.value (Schlüssel: onPremisesImmutableId) |
Wird aus dem Feld onPremisesImmutableId im Rohlog zugeordnet und als Label mit dem Schlüssel onPremisesImmutableId hinzugefügt. |
onPremisesSamAccountName |
user.useriduser.attribute.labels.value (Schlüssel: onPremisesSamAccountName) |
Wird user.userid zugeordnet, wenn sAMAccountName leer ist. Wird auch als Label mit dem Schlüssel onPremisesSamAccountName hinzugefügt. |
onPremisesSecurityIdentifier |
user.windows_sid |
|
operationName |
metadata.product_event_type |
|
OrganizationId |
principal.resource.product_object_id |
|
originalRequestId |
network.session_id |
|
originalTransferMethod |
additional.fields |
|
Parser Logic |
UDM Mapping |
Logik |
policies.enforcedGrantControls |
security_result.detection_fields |
|
processingTimeInMilliseconds |
additional.fields |
|
properties.__UDI_RequiredFields_RegionScope |
target.location.country_or_region |
|
properties.additionalDetails |
additional.fields |
|
properties.alternateSignInName |
target.user.userid |
|
properties.appId |
principal.user.product_object_id |
|
properties.atContentH |
additional.fields |
|
properties.atContentP |
additional.fields |
|
properties.authenticationContextClassReferences |
additional.fields |
|
properties.C_DeviceId |
additional.fields |
|
properties.C_Iat |
additional.fields |
|
properties.C_Idtyp |
additional.fields |
|
properties.C_Sid |
additional.fields |
|
properties.category |
security_result.category_details |
|
properties.clientAuthMethod |
additional.fields |
|
properties.clientCredentialType |
additional.fields |
|
properties.correlationId |
security_result.detection_fields |
|
properties.deviceDetail.browser |
network.http.user_agent |
|
properties.deviceDetail.deviceId |
principal.asset.asset_id |
|
properties.deviceDetail.displayName |
principal.hostname,principal.asset.hostname |
|
properties.deviceDetail.operatingSystem |
principal.platform_version |
Wenn operatingSystem mit Win, Mac oder Lin beginnt, wird es principal.platform zugeordnet. |
properties.deviceDetail.trustType |
principal.asset.attribute.labels |
|
properties.EventData.AuthenticationPackageName |
security_result.about.resource.name |
|
properties.EventData.CallerProcessId |
principal.process.pid |
|
properties.EventData.CallerProcessName |
principal.process.file.full_path |
|
properties.EventData.CertIssuerName |
additional.fields |
|
properties.EventData.CertSerialNumber |
about.artifact.last_https_certificate.serial_number |
|
properties.EventData.CertThumbprint |
additional.fields |
|
properties.EventData.HandleId |
target.resource.attribute.labels |
|
properties.EventData.ImpersonationLevel |
additional.fields |
|
properties.EventData.IpAddress |
principal.ipprincipal.asset.ip |
|
properties.EventData.IpPort |
principal.port |
|
properties.EventData.KeyLength |
additional.fields |
|
properties.EventData.LmPackageName |
target.resource.attribute.labels |
|
properties.EventData.LogonGuid |
security_result.detection_fields |
|
properties.EventData.LogonProcessName |
target.process.file.names |
|
properties.EventData.LogonType |
extensions.auth.auth_details |
|
properties.EventData.NewSd |
security_result.detection_fields |
|
properties.EventData.ObjectName |
target.resource.name |
|
properties.EventData.ObjectServer |
target.resource.attribute.labels |
|
properties.EventData.ObjectType |
target.resource.resource_subtype |
|
properties.EventData.OldSd |
security_result.detection_fields |
|
properties.EventData.PreAuthType |
extensions.auth.mechanism |
|
properties.EventData.ProcessId |
target.process.pid |
|
properties.EventData.ProcessName" |
target.process.file.full_path |
|
properties.EventData.ServiceName |
target.application |
|
properties.EventData.ServiceSid |
target.resource.user.windows_sid |
|
properties.EventData.Source |
principal.ipprincipal.asset.ip |
|
properties.EventData.Status |
security_result.detection_fields |
|
properties.EventData.SubjectDomainName |
principal.administrative_domain |
|
properties.EventData.SubjectLogonId |
principal.resource.attribute.labels |
|
properties.EventData.SubjectUserName |
principal.user.userid |
|
properties.EventData.SubjectUserSid |
principal.user.windows_sid |
|
properties.EventData.TargetDomainName |
target.administrative_domain |
|
properties.EventData.TargetLogonId |
target.resource.attribute.labels |
|
properties.EventData.TargetSid |
target.user.windows_sid |
|
properties.EventData.TargetUserName |
target.user.userid |
|
properties.EventData.TargetUserSid |
target.user.windows_sid |
|
properties.EventData.TicketEncryptionType |
security_result.detection_fields |
|
properties.EventData.TicketOptions |
security_result.detection_fields" |
|
properties.EventData.TransmittedServices |
security_result.detection_fields |
|
properties.EventData.WorkstationName |
target.hostnametarget.asset.hostname |
|
properties.flaggedForReview |
additional.fields |
|
properties.homeTenantId |
target.resource.attribute.labels |
|
properties.incomingTokenType |
additional.fields |
|
properties.initiatedBy.app.displayName |
principal.user.user_display_name |
|
properties.initiatedBy.user.displayName |
principal.user.user_display_name |
|
properties.initiatedBy.user.id |
principal.user.product_object_id |
|
properties.initiatedBy.user.ipAddress |
principal.ip,principal.asset.ip |
|
properties.ipAddressFromResourceProvider |
principal.resource.attribute.labels |
|
properties.isInteractive |
additional.fields |
|
properties.isTenantRestricted |
additional.fields |
|
properties.isThroughGlobalSecureAccess |
additional.fields |
|
properties.location.geoCoordinates.altitude |
additional.fields |
|
properties.loggedByService |
observer.application |
|
properties.mfaDetail.authDetail |
principal.user.phone_numbers |
|
properties.operationType |
target.resource.attribute.labels |
|
properties.originalRequestId |
network.session_id |
|
properties.originalTransferMethod |
additional.fields |
|
properties.processingTimeInMilliseconds |
additional.fields |
|
properties.RecordId |
metadata.product_log_id |
|
properties.requestId |
security_result.detection_fields |
|
properties.requestMethod |
network.http.method |
|
properties.requestUri |
network.http.referral_url |
|
properties.resourceDisplayName |
target.resource.name |
|
properties.resourceId |
target.resource.attribute.labels |
|
properties.resourceOwnerTenantId |
target.resource.attribute.labels |
|
properties.resourceTenantId |
target.resource.attribute.labels |
|
properties.responseSizeBytes |
network.received_bytes |
|
properties.responseStatusCode |
network.http.response_code |
|
properties.resultReason |
additional.fieldssecurity_result.summary |
|
properties.resultType |
additional.fields |
|
properties.riskDetail |
security_result.detection_fields |
|
properties.riskEventType |
security_result.detection_fields |
|
properties.riskLastUpdatedDateTime |
security_result.detection_fields |
|
properties.riskLevel |
security_result.detection_fields |
|
properties.riskLevelAggregated |
security_result.detection_fields |
|
properties.riskLevelDuringSignIn |
security_result.detection_fields |
|
properties.riskState |
security_result.detection_fields |
|
properties.riskType |
security_result.detection_fields |
|
properties.rngcStatus |
additional.fields |
|
properties.roles |
principal.user.attribute.roles |
|
properties.scopes |
security_result.detection_fields |
|
properties.servicePrincipalCredentialKeyId |
additional.fields |
|
properties.sessionLifetimePolicies |
security_result.detection_fields |
|
properties.signInActivityId |
additional.fields |
|
properties.SignInBondData.DeviceDetails.DeviceTrustType |
principal.asset.attribute.labels |
|
properties.SignInBondData.DeviceDetails.IsCompliant |
security_result.rule_labels |
|
properties.SignInBondData.DeviceDetails.IsManaged |
principal.asset.attribute.labels |
|
properties.SignInBondData.DisplayDetails.AttemptedUsername |
principal.user.email_addresses |
|
properties.SignInBondData.DisplayDetails.ProxyRestrictionTargetTenantName |
additional.fields |
|
properties.SignInBondData.DisplayDetails.ResourceDisplayName |
target.resource.name |
|
properties.SignInBondData.LocationDetails.IPChain |
target.ip |
|
properties.SignInBondData.LocationDetails.Latitude |
additional.fields |
|
properties.SignInBondData.LocationDetails.Longitude |
additional.fields |
|
properties.SignInBondData.MfaDetails |
additional.fields |
|
properties.SignInBondData.ProtocolDetails.AuthenticationMethodsUsed |
extensions.auth.auth_details |
|
properties.SignInBondData.ProtocolDetails.DomainHintPresent |
additional.fields |
|
properties.SignInBondData.ProtocolDetails.IsInteractive |
additional.fields |
|
properties.SignInBondData.ProtocolDetails.LoginHintPresent |
additional.fields |
|
properties.SignInBondData.ProtocolDetails.NetworkLocation |
additional.fields" |
|
properties.SignInBondData.ProtocolDetails.Protocol |
security_result.detection_fields |
Wenn properties.SignInBondData.ProtocolDetails.Protocol == WSTrust, wird es security_result.detection_fields zugeordnet, andernfalls network.application_protocol. |
properties.SignInBondData.RamDetails.RamRecommendedAction |
additional.fields |
|
properties.SignInBondData.RamDetails.RamRecommender |
additional.fields |
|
properties.signInTokenProtectionStatus |
additional.fields |
|
properties.ssoExtensionVersion |
additional.fields |
|
properties.status.errorCode |
security_result.detection_fieldssecurity_result.action |
|
properties.targetResources |
target.resource.attribute.labels |
|
properties.tenantGeo |
Geolocation.country_or_region |
|
properties.tokenIssuerName |
additional.fields |
|
properties.tokenProtectionStatusDetails.signInSessionStatus |
additional.fields |
|
properties.tokenProtectionStatusDetails.signInSessionStatusCode |
additional.fields |
|
properties.userDisplayName |
principal.user.user_display_name |
|
properties.wids |
additional.fields |
|
proxyAddresses |
user.email_addressesuser.group_identifiers |
Jede Adresse im proxyAddresses-Array wird entweder user.email_addresses oder user.group_identifiers zugeordnet, je nachdem, ob sie mit smtp oder SMTP beginnt. Wenn die Adresse mit smtp oder SMTP beginnt, wird das Präfix smtp: oder SMTP: entfernt und die verbleibende E‑Mail-Adresse wird extrahiert und user.email_addresses zugeordnet. |
record.CorrelationId |
additional.fields |
|
record.CrossTenantAccessType |
additional.fields |
|
record.DeviceDetail.deviceId |
network.session_id |
|
record.DeviceDetail.operatingSystem |
principal.platform_version |
Wenn operatingSystem mit Win, Mac oder Lin beginnt, wird es principal.platform zugeordnet. |
record.IsInteractive |
additional.fields |
|
record.level |
security_result.severity_details |
Wenn record_level in ["INFORMATION", "INFORMATIONAL", "0", "4", "WARNING", "1", "3","ERROR", "2","CRITICAL"] enthalten ist, wird es security_result.severity zugeordnet. |
record.location |
principal.location.name |
|
record.properties.appServicePrincipalId |
additional.fields |
|
record.properties.authenticationProtocol |
additional.fields |
|
record.properties.autonomousSystemNumber |
principal.resource.attribute.labels |
|
record.properties.C_DeviceId |
principal.asset.asset_id |
|
record.properties.crossTenantAccessType |
additional.fields |
|
record.properties.deviceDetail.isCompliant |
security_result.rule_labels |
|
record.properties.deviceDetail.isManaged |
principal.asset.attribute.labels |
|
record.properties.deviceDetail.trustType |
principal.asset.attribute.labels |
|
record.properties.flaggedForReview |
additional.fields |
|
record.properties.incomingTokenType |
additional.fields |
|
record.properties.isInteractive |
extensions.auth.mechanism |
|
record.properties.isTenantRestricted |
additional.fields |
|
record.properties.isThroughGlobalSecureAccess |
additional.fields |
|
record.properties.location |
target.location.name |
|
record.properties.originalTransferMethod |
additional.fields |
|
record.properties.resourceDisplayName |
principal.resource.name |
|
record.properties.riskDetail |
security_result.detection_fields |
|
record.properties.riskLevelAggregated |
security_result.detection_fields |
|
record.properties.riskLevelDuringSignIn |
security_result.detection_fields |
|
record.properties.riskState |
security_result.detection_fields |
|
record.properties.rngcStatus |
additional.fields |
|
record.properties.roles |
principal.user.attribute.roles |
|
record.properties.scopes |
security_result.detection_fields |
|
record.properties.servicePrincipalId |
target.resource.attribute.labels |
|
record.properties.servicePrincipalId |
principal.user.userid |
|
record.properties.signInTokenProtectionStatus |
additional.fields |
|
record.properties.ssoExtensionVersion |
additional.fields |
|
record.properties.status.additionalDetails |
additional.fields |
|
record.properties.tokenProtectionStatusDetails.signInSessionStatus |
additional.fields |
|
record.properties.tokenProtectionStatusDetails.signInSessionStatusCode |
additional.fields |
|
record.RiskDetail |
security_result.detection_fields |
|
record.RiskEventTypes |
security_result.detection_fields |
|
record.RiskLevelAggregated |
security_result.detection_fields |
|
record.RiskLevelDuringSignIn |
security_result.detection_fields |
|
record.RiskState |
security_result.detection_fields |
|
refreshTokensValidFromDateTime |
user.attribute.labels.value (Schlüssel: refreshTokensValidFromDateTime) |
Wird aus dem Feld refreshTokensValidFromDateTime im Rohlog zugeordnet und als Label mit dem Schlüssel refreshTokensValidFromDateTime hinzugefügt. |
resourceOwnerTenantId |
target.resource.attribute.labels |
|
resourceTenantId |
target.resource.attribute.labels |
|
resultDescription |
security_result.description |
|
resultReason |
additional.fields |
|
resultType |
additional.fields |
|
riskDetail |
security_result.detection_fields |
|
riskLevelAggregated |
security_result.detection_fields |
|
riskLevelDuringSignIn |
security_result.detection_fields |
|
riskState |
security_result.detection_fields |
|
sAMAccountName |
user.userid |
|
servicePrincipalCredentialKeyId |
additional.fields |
|
servicePrincipalCredentialThumbprint |
additional.fields |
|
servicePrincipalId |
target.resource.attribute.labels |
|
servicePrincipalName |
additional.fields |
|
sessionId |
network.session_id |
|
signInIdentifier |
target.user.userid |
|
signInIdentifierType |
additional.fields |
|
signInTokenProtectionStatus |
additional.fields |
|
state |
user.personal_address.state |
|
status.additionalDetails |
additional.fields |
|
streetAddress |
user.personal_address.name |
|
surname |
user.last_name |
|
targets.modifiedProperties |
target.resource.attribute.labels |
|
tokenIssuerName |
additional.fields |
|
tokenIssuerType |
additional.fields |
|
tokenProtectionStatusDetails.signInSessionStatus |
security_result.detection_fields |
|
uniqueTokenIdentifier |
additional.fields |
|
usageLocation |
user.personal_address.country_or_region |
Wenn country leer ist, wird der Wert user.personal_address.country_or_region zugeordnet. |
userDisplayName |
principal.user.user_display_name |
|
userId |
principal.user.product_object_id |
|
userPrincipalName |
user.email_addresses |
Wenn userPrincipalName mit svc- beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
userPrincipalName |
user_role.type |
Wenn userPrincipalName mit svc- beginnt, wird user_role.type auf SERVICE_ACCOUNT gesetzt. |
userType |
additional.fields |
|
| – | event.idm.entity.metadata.vendor_name |
Legen Sie Microsoft fest. |
| – | event.idm.entity.metadata.product_name |
Legen Sie Azure Active Directory fest. |
| – | event.idm.entity.metadata.entity_type |
Legen Sie USER fest. |
| – | event.idm.entity.metadata.collected_timestamp |
Auf das Feld create_time aus dem Rohlog gesetzt. |
UDM-Abgleichsdelta-Referenz
Am 1. Januar 2026 hat Google SecOps eine neue Version des Azure AD-Parsers veröffentlicht, die erhebliche Änderungen bei der Zuordnung von Azure AD-Logfeldern zu UDM-Feldern und Änderungen bei der Zuordnung von Ereignistypen enthält.
Delta der Zuordnung von Logfeldern
In der folgenden Tabelle ist das Zuordnungsdelta für Azure AD-Log-zu-UDM-Felder aufgeführt, die vor dem 1. Januar 2026 und danach verfügbar waren (in den Spalten Alte Zuordnung bzw. Aktuelle Zuordnung):
| Logfeld | Alte Zuordnung | Aktuelle Zuordnung |
|---|---|---|
additionalDetails |
security_result.description |
additional.fields |
browser |
principal.resource.attribute.labels |
network.http.user_agent |
browser |
principal.resource.attribute.labels |
network.http.user_agent |
deviceDetail.displayName |
principal.asset.hardware |
principal.hostname,principal.asset.hostname |
errorCode |
security_result.rule_id |
security_result.detection_fields |
failureReason |
additional.fields |
security_result.description |
identity |
target.user.user_display_name |
principal.user.user_display_name |
loggedByService |
target.application |
observer.application |
operationName |
additional.fields |
metadata.product_event_type |
OrganizationId |
principal.resource.id |
principal.resource.product_object_id |
properties.homeTenantId |
additional.fields |
target.resource.attribute.labels |
properties.initiatedBy.user.id |
principal.user.windows_sid |
principal.user.product_object_id |
properties.resourceOwnerTenantId |
additional.fields |
target.resource.attribute.labels |
properties.riskDetail |
additional.fields |
security_result.detection_fields |
properties.riskEventType |
additional.fields |
security_result.detection_fields |
properties.riskLastUpdatedDateTime |
additional.fields |
security_result.detection_fields |
properties.riskLevel |
additional.fields |
security_result.detection_fields |
properties.riskLevelAggregated |
additional.fields |
security_result.detection_fields |
properties.riskLevelDuringSignIn |
additional.fields |
security_result.detection_fields |
properties.riskState |
additional.fields |
security_result.detection_fields |
properties.riskType |
additional.fields |
security_result.detection_fields |
properties.userDisplayName |
target.user.user_display_name |
principal.user.user_display_name |
record.CorrelationId |
metadata.product_log_id |
additional.fields |
record.properties.C_DeviceId |
additional.fields |
principal.asset.asset_id |
record.properties.resourceDisplayName |
target.resource.attribute.labels |
principal.resource.name |
record.properties.riskDetail |
additional.fields |
security_result.detection_fields |
record.properties.riskLevelAggregated |
additional.fields |
security_result.detection_fields |
record.properties.riskLevelDuringSignIn |
additional.fields |
security_result.detection_fields |
record.properties.riskState |
additional.fields |
security_result.detection_fields |
record.properties.roles |
target.user.role_name |
principal.user.attribute.roles |
record.properties.servicePrincipalId |
additional.fields |
target.resource.attribute.labels |
record.properties.servicePrincipalId |
additional.fields |
principal.user.userid |
record.RiskDetail |
target.resource.attribute.labels |
security_result.detection_fields |
record.RiskEventTypes |
target.resource.attribute.labels |
security_result.detection_fields |
record.RiskLevelAggregated |
target.resource.attribute.labels |
security_result.detection_fields |
record.RiskState |
target.resource.attribute.labels |
security_result.detection_fields |
resultType |
security_result.rule_id |
additional.fields |
riskDetail |
additional.fields |
security_result.detection_fields |
riskLevelAggregated |
additional.fields |
security_result.detection_fields |
riskLevelDuringSignIn |
additional.fields |
security_result.detection_fields |
riskState |
additional.fields |
security_result.detection_fields |
riskState |
additional.fields |
security_result.detection_fields |
status.additionalDetails |
security_result.description |
additional.fields |
userDisplayName |
target.user.user_display_name |
principal.user.user_display_name |
userId |
target.user.product_object_id |
principal.user.product_object_id |
Delta der Ereignistypzuordnung
In der folgenden Tabelle ist das Delta für die Verarbeitung von Azure AD-Ereignistypen vor dem 1. Januar 2026 und danach aufgeführt (in den Spalten Old event_type und Current event_type).
| Ereignis-ID aus dem Protokoll | Alter event_type | Aktueller event_type | Bemerkung |
|---|---|---|---|
has_resource = true |
GENERIC_EVENT |
USER_RESOURCE_ACCESS |
Der Ereignistyp wird USER_RESOURCE_ACCESS zugeordnet, wenn sich das Ereignis auf eine Ressource bezieht (angegeben durch has_resource = true). |
operationName = Add member to group |
USER_CHANGE_PERMISSIONS |
GROUP_MODIFICATION |
Der Ereignistyp wird GROUP_MODIFICATION für Vorgänge zugeordnet, bei denen ein Mitglied einer Gruppe hinzugefügt wird (wobei operationName = Add member to group). |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten