Microsoft Azure AD ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フィードを設定して Microsoft Azure Active Directory(AD)ログを収集する方法について説明します。
Azure Active Directory(AZURE_AD)は Microsoft Entra ID に名称変更されました。Azure AD 監査ログ(AZURE_AD_AUDIT)は、Microsoft Entra ID 監査ログになりました。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。
始める前に
次の前提条件を満たしていることを確認します。
- ログインできる Azure サブスクリプション
- グローバル管理者または Azure AD 管理者ロール
- Azure の Azure AD(テナント)
Azure AD の構成方法
- Azure ポータルにログインします。
- [Home] > [App registration] に移動し、登録済みのアプリケーションを選択するか、まだアプリケーションを作成していない場合はアプリケーションを登録します。
- アプリケーションを登録するには、[App registration] セクションで [New registration] をクリックします。
- [Name] フィールドに、アプリケーションの表示名を入力します。
[サポートされているアカウントの種類] セクションで、[この組織ディレクトリ内のアカウントのみ(単一テナント)] を選択します。
- リダイレクト URI: 空白のままにします(サービス プリンシパル認証には必要ありません)。
[Register] をクリックします。
[Overview] ページに移動し、Google Security Operations フィードの構成に必要なアプリケーション(クライアント)ID とディレクトリ(テナント)ID をコピーします。
[API 権限] をクリックします。
[Add a permission] をクリックし、新しいペインで [Microsoft Graph] を選択します。
[Application permissions] をクリックします。
[AuditLog.Read.All]、[Directory.Read.All]、[SecurityEvents.Read.All] 権限を選択します。権限が [委任された権限] ではなく、[アプリケーション権限] であることを確認します。
[Grant admin consent for default directory] をクリックします。同意プロセスの一環としてユーザーまたは管理者から権限が付与された場合、アプリケーションは API を呼び出す権限を付与されます。
[Settings] > [Manage] に移動します。
[Certificates and secrets] をクリックします。
[New client secret] をクリックします。[Value] フィールドにクライアント シークレットが表示されます。
クライアント シークレットの値をコピーします。値は作成時にのみ表示され、Azure アプリの登録と Google Security Operations フィードの構成に必要です。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード] > [新しいフィードを追加]
- Content Hub > Content Packs > Get Started
Microsoft Entra ID(Azure AD)フィードを設定する方法
- [Azure Platform] パックをクリックします。
- Azure AD ログタイプを見つけます。
次のフィールドに値を指定します。
- ソースタイプ: サードパーティ API(推奨)
- OAUTH クライアント ID: 前の手順で取得したクライアント ID を指定します。
- OAUTH クライアント シークレット: 前の手順で取得したクライアント シークレットを指定します。
- テナント ID: 前の手順で取得したテナント ID を指定します。
- API のフルパス: Microsoft Graph REST API エンドポイント URL。
- API 認証エンドポイント: Microsoft Active Directory 認証エンドポイント。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- Asset Namespace: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
[フィードを作成] をクリックします。
このプロダクト ファミリー内の異なるログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。
フィールド マッピング リファレンス
このパーサーコードは、JSON 形式の未加工の Azure AD ログを統合データモデル(UDM)に変換します。まず、不要なフィールドを削除してデータを正規化し、ユーザーの詳細、タイムスタンプ、イベントの詳細などの関連情報を抽出して、対応する UDM フィールドにマッピングし、一貫した表現と分析を実現します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 備考 |
|---|---|---|
about |
about |
|
accountEnabled |
user.user_authentication_statususer.attribute.labels.value(キー: accountEnabled) |
accountEnabled が true の場合、user.user_authentication_status は ACTIVE に設定され、キー accountEnabled と値 true のラベルが追加されます。それ以外の場合は、キー accountEnabled と値 false のラベルが追加されます。 |
additionalDetails |
additional.fields |
|
appOwnerTenantId |
target.resource.attribute.labels |
|
authenticationAppDeviceDetails |
additional.fields |
|
authenticationContextClassReference |
security_result.detection_fields |
|
autonomousSystemNumber |
principal.resource.attribute.labels |
|
browser |
network.http.user_agent |
|
browser |
network.http.user_agent |
|
businessPhones |
user.phone_numbers |
複数の電話番号が抽出され、別々のエントリとしてマッピングされます。 |
city |
user.personal_address.city |
|
clientCredentialType |
additional.fields |
|
companyName |
user.company_name |
|
country |
user.personal_address.country_or_region |
country が空の場合、値は usageLocation から取得されます。 |
createdDateTime |
user.attribute.creation_time |
RFC 3339 形式を使用して、未加工ログの createdDateTime フィールドからタイムスタンプに変換されます。 |
cribl_pipe |
additional.fields |
|
crossTenantAccessType |
additional.fields |
|
department |
user.department |
複数の部門が抽出され、個別のエントリとしてマッピングされます。 |
deviceDetail.displayName |
principal.hostname,principal.asset.hostname |
|
displayName |
user.user_display_name |
|
employeeId |
user.employee_id |
employeeId が空の場合、値は extension_employeeNumber から取得されます。 |
employeeType |
user.attribute.labels.value(キー: employeeType) |
未加工ログの employeeType フィールドからマッピングされ、キー employeeType のラベルとして追加されます。 |
empmanager-src.accountEnabled |
user.user_authentication_statususer.attribute.labels.value(キー: accountEnabled) |
manager が空で、empmanager-src.accountEnabled が true の場合、user.user_authentication_status は ACTIVE に設定され、キーが accountEnabled で値が true のラベルが追加されます。それ以外の場合は、キー accountEnabled と値 false のラベルが追加されます。 |
empmanager-src.onPremisesDistinguishedName |
manager_role.type |
gopher-manager が空で、管理者の識別名の OU 部分に Users が含まれている場合、manager_role.type は ADMINISTRATOR に設定されます。Service Accounts が含まれている場合、manager_role.type は SERVICE_ACCOUNT に設定されます。 |
empmanager-src.userPrincipalName |
manager_role.type |
gopher-manager が空で、empmanager-src.userPrincipalName が svc- で始まる場合、manager_role.type は SERVICE_ACCOUNT に設定されます。 |
errorCode |
security_result.detection_fields |
|
extension_employeeNumber |
user.employee_id |
employeeId が空の場合、user.employee_id にマッピングされます。 |
extension_wfc_AccountingUnitName |
event.idm.entity.entity.labels.value(キー: extension_wfc_AccountingUnitName) |
未加工ログの extension_wfc_AccountingUnitName フィールドからマッピングされ、キー extension_wfc_AccountingUnitName のラベルとして追加されます。 |
extension_wfc_AccountType |
event.idm.entity.entity.labels.value(キー: wfc_AccountType) |
未加工ログの extension_wfc_AccountType フィールドからマッピングされ、キー wfc_AccountType のラベルとして追加されます。 |
extension_wfc_execDescription |
event.idm.entity.entity.labels.value(キー: extension_wfc_execDescription) |
未加工ログの extension_wfc_execDescription フィールドからマッピングされ、キー extension_wfc_execDescription のラベルとして追加されます。 |
extension_wfc_groupDescription |
event.idm.entity.entity.labels.value(キー: extension_wfc_groupDescription) |
未加工ログの extension_wfc_groupDescription フィールドからマッピングされ、キー extension_wfc_groupDescription のラベルとして追加されます。 |
extension_wfc_orgDescription |
event.idm.entity.entity.labels.value(キー: extension_wfc_orgDescription) |
未加工ログの extension_wfc_orgDescription フィールドからマッピングされ、キー extension_wfc_orgDescription のラベルとして追加されます。 |
failureReason |
security_result.description |
|
federatedCredentialId |
additional.fields |
|
flaggedForReview |
additional.fields |
|
givenName |
user.first_name |
|
gopher-devices |
event.idm.entity.relations |
gopher-devices 配列内の各デバイスは、個別のリレーション エントリにマッピングされます。deviceId は product_object_id にマッピングされ、operatingSystem と operatingSystemVersion は結合されて platform_version モデルが直接マッピングされ、createdDateTime はタイムスタンプに変換されて created_timestamp にマッピングされます。関係は OWNS に設定され、方向は UNIDIRECTIONAL に設定されます。 |
gopher-groups |
event.idm.entity.relations |
gopher-groups 配列の各グループは、個別の関係エントリにマッピングされます。id は product_object_id にマッピングされ、displayName は group_display_name にマッピングされます。関係は MEMBER に設定され、方向は UNIDIRECTIONAL に設定されます。 |
gopher-manager.businessPhones |
empmanager.phone_numbers |
manager が空の場合、empmanager.phone_numbers にマッピングされます。 |
gopher-manager.country |
empmanager.personal_address.country_or_region |
manager が空の場合、empmanager.personal_address.country_or_region にマッピングされます。gopher-manager.country と gopher-manager.usageLocation の両方が空の場合、フィールドは空のままになります。 |
gopher-manager.department |
empmanager.department |
manager が空の場合、empmanager.department にマッピングされます。 |
gopher-manager.displayName |
empmanager.user_display_name |
manager が空の場合、empmanager.user_display_name にマッピングされます。 |
gopher-manager.employeeId |
empmanager.employee_id |
manager が空で gopher-manager.employeeId が空でない場合、empmanager.employee_id にマッピングされます。 |
gopher-manager.extension_employeeNumber |
empmanager.employee_id |
manager と gopher-manager.employeeId が空で、gopher-manager.extension_employeeNumber が空でない場合、empmanager.employee_id にマッピングされます。 |
gopher-manager.givenName |
empmanager.first_name |
manager が空の場合、empmanager.first_name にマッピングされます。 |
gopher-manager.id |
empmanager.product_object_id |
manager が空の場合、empmanager.product_object_id にマッピングされます。 |
gopher-manager.jobTitle |
empmanager.title |
manager が空の場合、empmanager.title にマッピングされます。 |
gopher-manager.mail |
empmanager.email_addresses |
manager が空の場合、empmanager.email_addresses にマッピングされます。 |
gopher-manager.onPremisesImmutableId |
user.attribute.labels.value(キー: gopher-manager onPremisesImmutableId) |
キー gopher-manager onPremisesImmutableId を持つラベルとしてマッピングされます。 |
gopher-manager.onPremisesSamAccountName |
empmanager.userid |
manager が空の場合、empmanager.userid にマッピングされます。 |
gopher-manager.onPremisesSecurityIdentifier |
empmanager.windows_sid |
manager が空の場合、empmanager.windows_sid にマッピングされます。 |
gopher-manager.proxyAddresses |
empmanager.email_addressesempmanager.group_identifiers |
manager が空の場合、gopher-manager.proxyAddresses 配列内の各アドレスは、smtp または SMTP で始まるかどうかに基づいて empmanager.email_addresses または empmanager.group_identifiers にマッピングされます。 |
gopher-manager.refreshTokensValidFromDateTime |
empmanager.attribute.labels.value(キー: refreshTokensValidFromDateTime) |
manager が空の場合、キー refreshTokensValidFromDateTime のラベルとしてマッピングされます。 |
gopher-manager.streetAddress |
empmanager.personal_address.name |
manager が空の場合、empmanager.personal_address.name にマッピングされます。 |
gopher-manager.surname |
empmanager.last_name |
manager が空の場合、empmanager.last_name にマッピングされます。 |
gopher-manager.usageLocation |
user.attribute.labels.value(キー: manager_src_usageLocation) |
キー manager_src_usageLocation を持つラベルとしてマッピングされます。 |
gopher-manager.userType |
empmanager.attribute.roles.name |
manager が空の場合、empmanager.attribute.roles.name にマッピングされます。 |
homeTenantId |
target.resource.attribute.labels |
|
homeTenantName |
target.resource.attribute.labels |
|
id |
user.product_object_id |
|
identities |
user.attribute.labels.value(キー: signInType)user.attribute.labels.value(キー: userPrincipalName) |
signInType は、キー signInType のラベルとしてマッピングされます。signInType と userPrincipalName が空でない場合、これらは結合され、キー userPrincipalName を持つラベルとしてマッピングされます。 |
identity |
principal.user.user_display_name |
|
incomingTokenType |
additional.fields |
|
initiatedBy.app.displayName |
principal.application |
|
initiatedBy.app.servicePrincipalId |
principal.resource.product_object_id |
|
initiatedBy.user.homeTenantId |
target.resource.attribute.labels |
|
initiatedBy.user.homeTenantName |
target.resource.attribute.labels |
|
initiatedBy.user.userType |
additional.fields |
|
ipAddressFromResourceProvider |
principal.resource.attribute.labels |
|
isTenantRestricted |
additional.fields |
|
jobTitle |
user.title |
|
loggedByService |
observer.application |
|
mail |
user.email_addresses |
mail が svc- で始まる場合、user_role.type は SERVICE_ACCOUNT に設定されます。 |
mail |
user_role.type |
mail が svc- で始まる場合、user_role.type は SERVICE_ACCOUNT に設定されます。 |
mailNickname |
user.attribute.labels.value(キー: mailNickname) |
未加工ログの mailNickname フィールドからマッピングされ、キー mailNickname のラベルとして追加されます。 |
manager.businessPhones |
empmanager.phone_numbers |
gopher-manager が空の場合、empmanager.phone_numbers にマッピングされます。 |
manager.city |
empmanager.personal_address.city |
gopher-manager が空の場合、empmanager.personal_address.city にマッピングされます。 |
manager.companyName |
empmanager.company_name |
gopher-manager が空の場合、empmanager.company_name にマッピングされます。 |
manager.country |
empmanager.personal_address.country_or_region |
gopher-manager が空の場合、empmanager.personal_address.country_or_region にマッピングされます。manager.country と manager.usageLocation の両方が空の場合、フィールドは空のままになります。 |
manager.department |
empmanager.department |
gopher-manager が空の場合、empmanager.department にマッピングされます。 |
manager.displayName |
empmanager.user_display_name |
gopher-manager が空の場合、empmanager.user_display_name にマッピングされます。 |
manager.employeeId |
empmanager.employee_id |
gopher-manager が空で manager.employeeId が空でない場合、empmanager.employee_id にマッピングされます。 |
manager.extension_employeeNumber |
empmanager.employee_id |
gopher-manager と manager.employeeId が空で、manager.extension_employeeNumber が空でない場合、empmanager.employee_id にマッピングされます。 |
manager.givenName |
empmanager.first_name |
gopher-manager が空の場合、empmanager.first_name にマッピングされます。 |
manager.id |
empmanager.product_object_id |
gopher-manager が空の場合、empmanager.product_object_id にマッピングされます。 |
manager.jobTitle |
empmanager.title |
gopher-manager が空の場合、empmanager.title にマッピングされます。 |
manager.mail |
empmanager.email_addresses |
gopher-manager が空の場合、empmanager.email_addresses にマッピングされます。 |
manager.onPremisesSamAccountName |
empmanager.userid |
gopher-manager が空の場合、empmanager.userid にマッピングされます。 |
manager.onPremisesSecurityIdentifier |
empmanager.windows_sid |
gopher-manager が空の場合、empmanager.windows_sid にマッピングされます。 |
manager.proxyAddresses |
empmanager.email_addressesempmanager.group_identifiers |
gopher-manager が空の場合、manager.proxyAddresses 配列内の各アドレスは empmanager.email_addresses または empmanager.group_identifiers based on whether it starts withsmtporSMTP のいずれかにマッピングされます。 |
manager.refreshTokensValidFromDateTime |
empmanager.attribute.labels.value(キー: refreshTokensValidFromDateTime) |
gopher-manager が空の場合、キー refreshTokensValidFromDateTime のラベルとしてマッピングされます。 |
manager.state |
empmanager.personal_address.state |
gopher-manager が空の場合、empmanager.personal_address.state にマッピングされます。 |
manager.streetAddress |
empmanager.personal_address.name |
gopher-manager が空の場合、empmanager.personal_address.name にマッピングされます。 |
manager.surname |
empmanager.last_name |
gopher-manager が空の場合、empmanager.last_name にマッピングされます。 |
manager.usageLocation |
user.attribute.labels.value(キー: manager_src_usageLocation)empmanager.personal_address.country_or_region |
キー manager_src_usageLocation を持つラベルとしてマッピングされます。manager.country が空の場合、値は empmanager.personal_address.country_or_region にもマッピングされます。 |
manager.userType |
empmanager.attribute.roles.name |
gopher-manager が空の場合、empmanager.attribute.roles.name にマッピングされます。 |
mfaDetail.authDetail |
principal.user.phone_numbers |
|
onPremisesDistinguishedName |
user.attribute.labels.value(キー: onPremisesDistinguishedName)user.attribute.labels.value(キー: onPremisesDistinguishedName-OU data) |
完全識別名は、キー onPremisesDistinguishedName を持つラベルとしてマッピングされます。識別名の OU 部分が抽出され、キー onPremisesDistinguishedName-OU data を持つラベルとしてマッピングされます。OU 部分に Admin が含まれている場合、user_role.type は ADMINISTRATOR に設定されます。Service Accounts が含まれている場合、user_role.type は SERVICE_ACCOUNT に設定されます。 |
onPremisesDistinguishedName |
user_role.type |
識別名の OU 部分に Admin が含まれている場合、user_role.type は ADMINISTRATOR に設定されます。Service Accounts が含まれている場合、user_role.type は SERVICE_ACCOUNT に設定されます。 |
onPremisesDomainName |
user.group_identifiersuser.attribute.labels.value(キー: onPremisesDomainName) |
user.group_identifiers に直接マッピングされ、キー onPremisesDomainName のラベルとして追加されます。 |
onPremisesImmutableId |
user.attribute.labels.value(キー: onPremisesImmutableId) |
未加工ログの onPremisesImmutableId フィールドからマッピングされ、キー onPremisesImmutableId のラベルとして追加されます。 |
onPremisesSamAccountName |
user.useriduser.attribute.labels.value(キー: onPremisesSamAccountName) |
sAMAccountName が空の場合、user.userid にマッピングされます。キー onPremisesSamAccountName のラベルとしても追加されます。 |
onPremisesSecurityIdentifier |
user.windows_sid |
|
operationName |
metadata.product_event_type |
|
OrganizationId |
principal.resource.product_object_id |
|
originalRequestId |
network.session_id |
|
originalTransferMethod |
additional.fields |
|
Parser Logic |
UDM Mapping |
ロジック |
policies.enforcedGrantControls |
security_result.detection_fields |
|
processingTimeInMilliseconds |
additional.fields |
|
properties.__UDI_RequiredFields_RegionScope |
target.location.country_or_region |
|
properties.additionalDetails |
additional.fields |
|
properties.alternateSignInName |
target.user.userid |
|
properties.appId |
principal.user.product_object_id |
|
properties.atContentH |
additional.fields |
|
properties.atContentP |
additional.fields |
|
properties.authenticationContextClassReferences |
additional.fields |
|
properties.C_DeviceId |
additional.fields |
|
properties.C_Iat |
additional.fields |
|
properties.C_Idtyp |
additional.fields |
|
properties.C_Sid |
additional.fields |
|
properties.category |
security_result.category_details |
|
properties.clientAuthMethod |
additional.fields |
|
properties.clientCredentialType |
additional.fields |
|
properties.correlationId |
security_result.detection_fields |
|
properties.deviceDetail.browser |
network.http.user_agent |
|
properties.deviceDetail.deviceId |
principal.asset.asset_id |
|
properties.deviceDetail.displayName |
principal.hostname,principal.asset.hostname |
|
properties.deviceDetail.operatingSystem |
principal.platform_version |
operatingSystem が Win、Mac、Lin のいずれかで始まる場合、principal.platform にマッピングされます。 |
properties.deviceDetail.trustType |
principal.asset.attribute.labels |
|
properties.EventData.AuthenticationPackageName |
security_result.about.resource.name |
|
properties.EventData.CallerProcessId |
principal.process.pid |
|
properties.EventData.CallerProcessName |
principal.process.file.full_path |
|
properties.EventData.CertIssuerName |
additional.fields |
|
properties.EventData.CertSerialNumber |
about.artifact.last_https_certificate.serial_number |
|
properties.EventData.CertThumbprint |
additional.fields |
|
properties.EventData.HandleId |
target.resource.attribute.labels |
|
properties.EventData.ImpersonationLevel |
additional.fields |
|
properties.EventData.IpAddress |
principal.ipprincipal.asset.ip |
|
properties.EventData.IpPort |
principal.port |
|
properties.EventData.KeyLength |
additional.fields |
|
properties.EventData.LmPackageName |
target.resource.attribute.labels |
|
properties.EventData.LogonGuid |
security_result.detection_fields |
|
properties.EventData.LogonProcessName |
target.process.file.names |
|
properties.EventData.LogonType |
extensions.auth.auth_details |
|
properties.EventData.NewSd |
security_result.detection_fields |
|
properties.EventData.ObjectName |
target.resource.name |
|
properties.EventData.ObjectServer |
target.resource.attribute.labels |
|
properties.EventData.ObjectType |
target.resource.resource_subtype |
|
properties.EventData.OldSd |
security_result.detection_fields |
|
properties.EventData.PreAuthType |
extensions.auth.mechanism |
|
properties.EventData.ProcessId |
target.process.pid |
|
properties.EventData.ProcessName" |
target.process.file.full_path |
|
properties.EventData.ServiceName |
target.application |
|
properties.EventData.ServiceSid |
target.resource.user.windows_sid |
|
properties.EventData.Source |
principal.ipprincipal.asset.ip |
|
properties.EventData.Status |
security_result.detection_fields |
|
properties.EventData.SubjectDomainName |
principal.administrative_domain |
|
properties.EventData.SubjectLogonId |
principal.resource.attribute.labels |
|
properties.EventData.SubjectUserName |
principal.user.userid |
|
properties.EventData.SubjectUserSid |
principal.user.windows_sid |
|
properties.EventData.TargetDomainName |
target.administrative_domain |
|
properties.EventData.TargetLogonId |
target.resource.attribute.labels |
|
properties.EventData.TargetSid |
target.user.windows_sid |
|
properties.EventData.TargetUserName |
target.user.userid |
|
properties.EventData.TargetUserSid |
target.user.windows_sid |
|
properties.EventData.TicketEncryptionType |
security_result.detection_fields |
|
properties.EventData.TicketOptions |
security_result.detection_fields" |
|
properties.EventData.TransmittedServices |
security_result.detection_fields |
|
properties.EventData.WorkstationName |
target.hostnametarget.asset.hostname |
|
properties.flaggedForReview |
additional.fields |
|
properties.homeTenantId |
target.resource.attribute.labels |
|
properties.incomingTokenType |
additional.fields |
|
properties.initiatedBy.app.displayName |
principal.user.user_display_name |
|
properties.initiatedBy.user.displayName |
principal.user.user_display_name |
|
properties.initiatedBy.user.id |
principal.user.product_object_id |
|
properties.initiatedBy.user.ipAddress |
principal.ip,principal.asset.ip |
|
properties.ipAddressFromResourceProvider |
principal.resource.attribute.labels |
|
properties.isInteractive |
additional.fields |
|
properties.isTenantRestricted |
additional.fields |
|
properties.isThroughGlobalSecureAccess |
additional.fields |
|
properties.location.geoCoordinates.altitude |
additional.fields |
|
properties.loggedByService |
observer.application |
|
properties.mfaDetail.authDetail |
principal.user.phone_numbers |
|
properties.operationType |
target.resource.attribute.labels |
|
properties.originalRequestId |
network.session_id |
|
properties.originalTransferMethod |
additional.fields |
|
properties.processingTimeInMilliseconds |
additional.fields |
|
properties.RecordId |
metadata.product_log_id |
|
properties.requestId |
security_result.detection_fields |
|
properties.requestMethod |
network.http.method |
|
properties.requestUri |
network.http.referral_url |
|
properties.resourceDisplayName |
target.resource.name |
|
properties.resourceId |
target.resource.attribute.labels |
|
properties.resourceOwnerTenantId |
target.resource.attribute.labels |
|
properties.resourceTenantId |
target.resource.attribute.labels |
|
properties.responseSizeBytes |
network.received_bytes |
|
properties.responseStatusCode |
network.http.response_code |
|
properties.resultReason |
additional.fieldssecurity_result.summary |
|
properties.resultType |
additional.fields |
|
properties.riskDetail |
security_result.detection_fields |
|
properties.riskEventType |
security_result.detection_fields |
|
properties.riskLastUpdatedDateTime |
security_result.detection_fields |
|
properties.riskLevel |
security_result.detection_fields |
|
properties.riskLevelAggregated |
security_result.detection_fields |
|
properties.riskLevelDuringSignIn |
security_result.detection_fields |
|
properties.riskState |
security_result.detection_fields |
|
properties.riskType |
security_result.detection_fields |
|
properties.rngcStatus |
additional.fields |
|
properties.roles |
principal.user.attribute.roles |
|
properties.scopes |
security_result.detection_fields |
|
properties.servicePrincipalCredentialKeyId |
additional.fields |
|
properties.sessionLifetimePolicies |
security_result.detection_fields |
|
properties.signInActivityId |
additional.fields |
|
properties.SignInBondData.DeviceDetails.DeviceTrustType |
principal.asset.attribute.labels |
|
properties.SignInBondData.DeviceDetails.IsCompliant |
security_result.rule_labels |
|
properties.SignInBondData.DeviceDetails.IsManaged |
principal.asset.attribute.labels |
|
properties.SignInBondData.DisplayDetails.AttemptedUsername |
principal.user.email_addresses |
|
properties.SignInBondData.DisplayDetails.ProxyRestrictionTargetTenantName |
additional.fields |
|
properties.SignInBondData.DisplayDetails.ResourceDisplayName |
target.resource.name |
|
properties.SignInBondData.LocationDetails.IPChain |
target.ip |
|
properties.SignInBondData.LocationDetails.Latitude |
additional.fields |
|
properties.SignInBondData.LocationDetails.Longitude |
additional.fields |
|
properties.SignInBondData.MfaDetails |
additional.fields |
|
properties.SignInBondData.ProtocolDetails.AuthenticationMethodsUsed |
extensions.auth.auth_details |
|
properties.SignInBondData.ProtocolDetails.DomainHintPresent |
additional.fields |
|
properties.SignInBondData.ProtocolDetails.IsInteractive |
additional.fields |
|
properties.SignInBondData.ProtocolDetails.LoginHintPresent |
additional.fields |
|
properties.SignInBondData.ProtocolDetails.NetworkLocation |
additional.fields" |
|
properties.SignInBondData.ProtocolDetails.Protocol |
security_result.detection_fields |
properties.SignInBondData.ProtocolDetails.Protocol == WSTrust の場合は security_result.detection_fields にマッピングされ、それ以外の場合は network.application_protocol にマッピングされます。 |
properties.SignInBondData.RamDetails.RamRecommendedAction |
additional.fields |
|
properties.SignInBondData.RamDetails.RamRecommender |
additional.fields |
|
properties.signInTokenProtectionStatus |
additional.fields |
|
properties.ssoExtensionVersion |
additional.fields |
|
properties.status.errorCode |
security_result.detection_fieldssecurity_result.action |
|
properties.targetResources |
target.resource.attribute.labels |
|
properties.tenantGeo |
Geolocation.country_or_region |
|
properties.tokenIssuerName |
additional.fields |
|
properties.tokenProtectionStatusDetails.signInSessionStatus |
additional.fields |
|
properties.tokenProtectionStatusDetails.signInSessionStatusCode |
additional.fields |
|
properties.userDisplayName |
principal.user.user_display_name |
|
properties.wids |
additional.fields |
|
proxyAddresses |
user.email_addressesuser.group_identifiers |
proxyAddresses 配列内の各アドレスは、smtp または SMTP で始まるかどうかに基づいて、user.email_addresses または user.group_identifiers にマッピングされます。アドレスが smtp または SMTP で始まる場合、smtp: または SMTP: プレフィックスが削除され、残りのメールアドレスが抽出されて user.email_addresses にマッピングされます。 |
record.CorrelationId |
additional.fields |
|
record.CrossTenantAccessType |
additional.fields |
|
record.DeviceDetail.deviceId |
network.session_id |
|
record.DeviceDetail.operatingSystem |
principal.platform_version |
operatingSystem が Win、Mac、Lin のいずれかで始まる場合、principal.platform にマッピングされます。 |
record.IsInteractive |
additional.fields |
|
record.level |
security_result.severity_details |
record_level が ["INFORMATION", "INFORMATIONAL", "0", "4", "WARNING", "1", "3","ERROR", "2","CRITICAL"] に含まれている場合、security_result.severity にマッピングされます。 |
record.location |
principal.location.name |
|
record.properties.appServicePrincipalId |
additional.fields |
|
record.properties.authenticationProtocol |
additional.fields |
|
record.properties.autonomousSystemNumber |
principal.resource.attribute.labels |
|
record.properties.C_DeviceId |
principal.asset.asset_id |
|
record.properties.crossTenantAccessType |
additional.fields |
|
record.properties.deviceDetail.isCompliant |
security_result.rule_labels |
|
record.properties.deviceDetail.isManaged |
principal.asset.attribute.labels |
|
record.properties.deviceDetail.trustType |
principal.asset.attribute.labels |
|
record.properties.flaggedForReview |
additional.fields |
|
record.properties.incomingTokenType |
additional.fields |
|
record.properties.isInteractive |
extensions.auth.mechanism |
|
record.properties.isTenantRestricted |
additional.fields |
|
record.properties.isThroughGlobalSecureAccess |
additional.fields |
|
record.properties.location |
target.location.name |
|
record.properties.originalTransferMethod |
additional.fields |
|
record.properties.resourceDisplayName |
principal.resource.name |
|
record.properties.riskDetail |
security_result.detection_fields |
|
record.properties.riskLevelAggregated |
security_result.detection_fields |
|
record.properties.riskLevelDuringSignIn |
security_result.detection_fields |
|
record.properties.riskState |
security_result.detection_fields |
|
record.properties.rngcStatus |
additional.fields |
|
record.properties.roles |
principal.user.attribute.roles |
|
record.properties.scopes |
security_result.detection_fields |
|
record.properties.servicePrincipalId |
target.resource.attribute.labels |
|
record.properties.servicePrincipalId |
principal.user.userid |
|
record.properties.signInTokenProtectionStatus |
additional.fields |
|
record.properties.ssoExtensionVersion |
additional.fields |
|
record.properties.status.additionalDetails |
additional.fields |
|
record.properties.tokenProtectionStatusDetails.signInSessionStatus |
additional.fields |
|
record.properties.tokenProtectionStatusDetails.signInSessionStatusCode |
additional.fields |
|
record.RiskDetail |
security_result.detection_fields |
|
record.RiskEventTypes |
security_result.detection_fields |
|
record.RiskLevelAggregated |
security_result.detection_fields |
|
record.RiskLevelDuringSignIn |
security_result.detection_fields |
|
record.RiskState |
security_result.detection_fields |
|
refreshTokensValidFromDateTime |
user.attribute.labels.value(キー: refreshTokensValidFromDateTime) |
未加工ログの refreshTokensValidFromDateTime フィールドからマッピングされ、キー refreshTokensValidFromDateTime のラベルとして追加されます。 |
resourceOwnerTenantId |
target.resource.attribute.labels |
|
resourceTenantId |
target.resource.attribute.labels |
|
resultDescription |
security_result.description |
|
resultReason |
additional.fields |
|
resultType |
additional.fields |
|
riskDetail |
security_result.detection_fields |
|
riskLevelAggregated |
security_result.detection_fields |
|
riskLevelDuringSignIn |
security_result.detection_fields |
|
riskState |
security_result.detection_fields |
|
sAMAccountName |
user.userid |
|
servicePrincipalCredentialKeyId |
additional.fields |
|
servicePrincipalCredentialThumbprint |
additional.fields |
|
servicePrincipalId |
target.resource.attribute.labels |
|
servicePrincipalName |
additional.fields |
|
sessionId |
network.session_id |
|
signInIdentifier |
target.user.userid |
|
signInIdentifierType |
additional.fields |
|
signInTokenProtectionStatus |
additional.fields |
|
state |
user.personal_address.state |
|
status.additionalDetails |
additional.fields |
|
streetAddress |
user.personal_address.name |
|
surname |
user.last_name |
|
targets.modifiedProperties |
target.resource.attribute.labels |
|
tokenIssuerName |
additional.fields |
|
tokenIssuerType |
additional.fields |
|
tokenProtectionStatusDetails.signInSessionStatus |
security_result.detection_fields |
|
uniqueTokenIdentifier |
additional.fields |
|
usageLocation |
user.personal_address.country_or_region |
country が空の場合、値は user.personal_address.country_or_region にマッピングされます。 |
userDisplayName |
principal.user.user_display_name |
|
userId |
principal.user.product_object_id |
|
userPrincipalName |
user.email_addresses |
userPrincipalName が svc- で始まる場合、user_role.type は SERVICE_ACCOUNT に設定されます。 |
userPrincipalName |
user_role.type |
userPrincipalName が svc- で始まる場合、user_role.type は SERVICE_ACCOUNT に設定されます。 |
userType |
additional.fields |
|
| なし | event.idm.entity.metadata.vendor_name |
Microsoft に設定します。 |
| なし | event.idm.entity.metadata.product_name |
Azure Active Directory に設定します。 |
| なし | event.idm.entity.metadata.entity_type |
USER に設定します。 |
| なし | event.idm.entity.metadata.collected_timestamp |
未加工ログの create_time フィールドに設定されます。 |
UDM マッピング デルタ リファレンス
2026 年 1 月 1 日、Google SecOps は Azure AD パーサーの新しいバージョンをリリースしました。このバージョンには、Azure AD ログフィールドから UDM フィールドへのマッピングの大きな変更と、イベントタイプのマッピングの変更が含まれています。
ログフィールド マッピングの差分
次の表に、2026 年 1 月 1 日より前に公開され、その後公開された Azure AD ログから UDM フィールドへのマッピングの差分を示します(それぞれ [以前のマッピング] 列と [現在のマッピング] 列に記載されています)。
| ログフィールド | 以前のマッピング | 現在のマッピング |
|---|---|---|
additionalDetails |
security_result.description |
additional.fields |
browser |
principal.resource.attribute.labels |
network.http.user_agent |
browser |
principal.resource.attribute.labels |
network.http.user_agent |
deviceDetail.displayName |
principal.asset.hardware |
principal.hostname,principal.asset.hostname |
errorCode |
security_result.rule_id |
security_result.detection_fields |
failureReason |
additional.fields |
security_result.description |
identity |
target.user.user_display_name |
principal.user.user_display_name |
loggedByService |
target.application |
observer.application |
operationName |
additional.fields |
metadata.product_event_type |
OrganizationId |
principal.resource.id |
principal.resource.product_object_id |
properties.homeTenantId |
additional.fields |
target.resource.attribute.labels |
properties.initiatedBy.user.id |
principal.user.windows_sid |
principal.user.product_object_id |
properties.resourceOwnerTenantId |
additional.fields |
target.resource.attribute.labels |
properties.riskDetail |
additional.fields |
security_result.detection_fields |
properties.riskEventType |
additional.fields |
security_result.detection_fields |
properties.riskLastUpdatedDateTime |
additional.fields |
security_result.detection_fields |
properties.riskLevel |
additional.fields |
security_result.detection_fields |
properties.riskLevelAggregated |
additional.fields |
security_result.detection_fields |
properties.riskLevelDuringSignIn |
additional.fields |
security_result.detection_fields |
properties.riskState |
additional.fields |
security_result.detection_fields |
properties.riskType |
additional.fields |
security_result.detection_fields |
properties.userDisplayName |
target.user.user_display_name |
principal.user.user_display_name |
record.CorrelationId |
metadata.product_log_id |
additional.fields |
record.properties.C_DeviceId |
additional.fields |
principal.asset.asset_id |
record.properties.resourceDisplayName |
target.resource.attribute.labels |
principal.resource.name |
record.properties.riskDetail |
additional.fields |
security_result.detection_fields |
record.properties.riskLevelAggregated |
additional.fields |
security_result.detection_fields |
record.properties.riskLevelDuringSignIn |
additional.fields |
security_result.detection_fields |
record.properties.riskState |
additional.fields |
security_result.detection_fields |
record.properties.roles |
target.user.role_name |
principal.user.attribute.roles |
record.properties.servicePrincipalId |
additional.fields |
target.resource.attribute.labels |
record.properties.servicePrincipalId |
additional.fields |
principal.user.userid |
record.RiskDetail |
target.resource.attribute.labels |
security_result.detection_fields |
record.RiskEventTypes |
target.resource.attribute.labels |
security_result.detection_fields |
record.RiskLevelAggregated |
target.resource.attribute.labels |
security_result.detection_fields |
record.RiskState |
target.resource.attribute.labels |
security_result.detection_fields |
resultType |
security_result.rule_id |
additional.fields |
riskDetail |
additional.fields |
security_result.detection_fields |
riskLevelAggregated |
additional.fields |
security_result.detection_fields |
riskLevelDuringSignIn |
additional.fields |
security_result.detection_fields |
riskState |
additional.fields |
security_result.detection_fields |
riskState |
additional.fields |
security_result.detection_fields |
status.additionalDetails |
security_result.description |
additional.fields |
userDisplayName |
target.user.user_display_name |
principal.user.user_display_name |
userId |
target.user.product_object_id |
principal.user.product_object_id |
イベントタイプ マッピングの差分
次の表に、2026 年 1 月 1 日より前と以降の Azure AD イベントタイプの処理の差分を示します(それぞれ [以前の event_type] 列と [現在のイベントタイプ] 列に記載)。
| ログのイベント ID | 以前の event_type | 現在の event_type | 備考 |
|---|---|---|---|
has_resource = true |
GENERIC_EVENT |
USER_RESOURCE_ACCESS |
イベントがリソースに関連する場合(has_resource = true で示される)、イベントタイプは USER_RESOURCE_ACCESS にマッピングされます。 |
operationName = Add member to group |
USER_CHANGE_PERMISSIONS |
GROUP_MODIFICATION |
イベントタイプは、グループへのメンバーの追加(operationName = Add member to group)を伴うオペレーションの場合、GROUP_MODIFICATION にマッピングされます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。