本頁面由 Cloud Translation API 翻譯而成。

收集 Microsoft Azure AD 記錄

支援以下發布途徑：

Google secops Siem

本文說明如何設定 Google Security Operations 動態饋給，收集 Microsoft Azure Active Directory (AD) 記錄。

Azure Active Directory (AZURE_AD) 現已改稱為 Microsoft Entra ID。Azure AD 稽核記錄 (AZURE_AD_AUDIT) 現已改為 Microsoft Entra ID 稽核記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會標示剖析器，將原始記錄資料正規化為具結構性的 UDM 格式。

事前準備

請確認您已完成下列必要條件：

可供您登入的 Azure 訂閱
全域管理員或 Azure AD 管理員角色
Azure 中的 Azure AD (用戶群)

如何設定 Azure AD

登入 Azure 入口網站。
依序前往「首頁」>「應用程式註冊」，選取已註冊的應用程式，或註冊尚未建立的應用程式。
如要註冊應用程式，請在「應用程式註冊」部分中按一下「新註冊」。
在「名稱」欄位中，提供應用程式的顯示名稱。
在「支援的帳戶類型」部分，選取必要選項，指定哪些使用者可以使用應用程式或存取 API。
按一下「註冊」。
前往「總覽」頁面，複製應用程式 (用戶端) ID 和目錄 (用戶群) ID，這兩項資訊是設定 Google Security Operations 動態饋給時所需。
按一下「API 權限」。
按一下「新增權限」，然後在新的窗格中選取「Microsoft Graph」。
按一下「應用程式權限」。
選取「AuditLog.Read.All」、「Directory.Read.All」和「SecurityEvents.Read.All」權限。請確認權限為「應用程式權限」，而非「委派權限」。
按一下「Grant admin consent for default directory」。在同意程序中，如果使用者或管理員授予應用程式權限，則應用程式可呼叫 API。
依序前往「設定」>「管理」。
按一下「憑證和密鑰」。
按一下「New client secret」。在「Value」欄位中，會顯示用戶端密碼。
複製用戶端密鑰值。這個值只會在建立時顯示，而且是註冊 Azure 應用程式和設定 Google Security Operations 動態饋給的必要條件。

設定動態饋給

在 Google SecOps 平台中，有兩個不同的入口可用來設定動態消息：

SIEM 設定 > 動態饋給
內容中心 > 內容包

依序前往「SIEM 設定」>「動態」設定動態

如要針對這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「依產品設定動態饋給」。

如要設定單一動態饋給，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增動態消息」。
在下一頁中，按一下「設定單一動態饋給」。如果您使用的是 Google SecOps SIEM 獨立平台，請略過這個步驟。
在「動態饋給名稱」欄位中輸入動態饋給的名稱，例如「Azure AD 記錄」。
將「來源類型」設為「第三方 API」。
選取「Azure AD」做為「記錄類型」。
點選「下一步」。
設定下列必要輸入參數：
- OAuth 用戶端 ID：指定您先前取得的用戶端 ID。
- OAuth 用戶端密鑰：指定先前取得的用戶端密鑰。
- 用戶群 ID：指定先前取得的用戶群 ID。
依序點選「下一步」和「提交」。

如要進一步瞭解 Google Security Operations 動態饋給，請參閱 Google Security Operations 動態饋給說明文件。如要瞭解各個動態饋給類型的規定，請參閱「依類型分類的動態饋給設定」。如果在建立動態饋給時遇到問題，請與 Google 安全作業支援團隊聯絡。

透過內容中心設定動態饋給

指定下列欄位的值：

OAuth 用戶端 ID：指定您先前取得的用戶端 ID。
OAuth 用戶端密鑰：指定先前取得的用戶端密鑰。
用戶群 ID：指定先前取得的用戶群 ID。

進階選項

動態饋給名稱：預先填入的值，用於識別動態饋給。
來源類型：用於收集記錄並匯入 Google SecOps 的方法。
資產命名空間：與動態饋給相關聯的命名空間。
攝入標籤：套用至這個動態饋給中所有事件的標籤。

欄位對應參考資料

這個剖析器程式碼會將 JSON 格式的原始 Azure AD 記錄轉換為統一資料模型 (UDM)。首先會移除不必要的欄位，以便將資料標準化，接著再擷取相關資訊 (例如使用者詳細資料、時間戳記和事件詳細資料)，並將這些資訊對應至對應的 UDM 欄位，以便進行一致的呈現和分析。

UDM 對應表

記錄欄位	UDM 對應	邏輯
activityDateTime	read_only_udm.metadata.event_timestamp.seconds	系統會從 `activityDateTime` 欄位擷取值，並將其轉換為自 Epoch 起算的秒數。
activityDisplayName	read_only_udm.security_result.summary	這個值會直接從 `activityDisplayName` 欄位對應。
additionalDetails.0.value	read_only_udm.network.http.user_agent	這個值會直接從 `additionalDetails.0.value` 欄位對應。
additionalDetails.1.key	read_only_udm.target.resource.attribute.labels.key	這個值會直接從 `additionalDetails.1.key` 欄位對應。
additionalDetails.1.value	read_only_udm.target.resource.attribute.labels.value	這個值會直接從 `additionalDetails.1.value` 欄位對應。
am_category	read_only_udm.metadata.description	這個值會直接從 `am_category` 欄位對應。
am_tenantId	read_only_udm.metadata.product_deployment_id	這個值會直接從 `am_tenantId` 欄位對應。
appDisplayName	read_only_udm.target.application	這個值會直接從 `appDisplayName` 欄位對應。如果 `appDisplayName` 空白，系統會從 `resourceDisplayName` 取得值。
appId	read_only_udm.target.resource.attribute.labels.value	這個值會直接從 `appId` 欄位對應。
appliedConditionalAccessPolicies.displayName	read_only_udm.about.user.user_display_name	這個值會直接從 `appliedConditionalAccessPolicies.displayName` 欄位對應。
appliedConditionalAccessPolicies.enforcedGrantControls	read_only_udm.security_result.rule_labels.value	這個值會直接從 `appliedConditionalAccessPolicies.enforcedGrantControls` 欄位對應。
appliedConditionalAccessPolicies.enforcedSessionControls	read_only_udm.security_result.rule_labels.value	這個值會直接從 `appliedConditionalAccessPolicies.enforcedSessionControls` 欄位對應。
appliedConditionalAccessPolicies.id	read_only_udm.about.user.userid	這個值會直接從 `appliedConditionalAccessPolicies.id` 欄位對應。
appliedConditionalAccessPolicies.result	read_only_udm.about.labels.value	這個值會直接從 `appliedConditionalAccessPolicies.result` 欄位對應。
authenticationDetails.authenticationMethod	read_only_udm.security_result.detection_fields.value	這個值會直接從 `authenticationDetails.authenticationMethod` 欄位對應。
authenticationDetails.authenticationMethodDetail	read_only_udm.security_result.detection_fields.value	這個值會直接從 `authenticationDetails.authenticationMethodDetail` 欄位對應。
authenticationDetails.authenticationStepDateTime	read_only_udm.security_result.detection_fields.value	這個值會直接從 `authenticationDetails.authenticationStepDateTime` 欄位對應。
authenticationDetails.authenticationStepRequirement	read_only_udm.security_result.detection_fields.value	這個值會直接從 `authenticationDetails.authenticationStepRequirement` 欄位對應。
authenticationDetails.authenticationStepResultDetail	read_only_udm.security_result.detection_fields.value	這個值會直接從 `authenticationDetails.authenticationStepResultDetail` 欄位對應。
authenticationProcessingDetails.key	read_only_udm.additional.fields.key	這個值會直接從 `authenticationProcessingDetails.key` 欄位對應，前置字元為「authenticationProcessingDetails -」。
authenticationProcessingDetails.value	read_only_udm.additional.fields.value.string_value	這個值會直接從 `authenticationProcessingDetails.value` 欄位對應。
callerIpAddress	read_only_udm.principal.ip	這個值會直接從 `callerIpAddress` 欄位對應。
callerIpAddress	read_only_udm.principal.asset.ip	這個值會直接從 `callerIpAddress` 欄位對應。
category	read_only_udm.metadata.description	這個值會直接從 `category` 欄位對應。
clientAppUsed	read_only_udm.principal.application	這個值會直接從 `clientAppUsed` 欄位對應。
conditionalAccessStatus	read_only_udm.additional.fields.value.string_value	這個值會直接從 `conditionalAccessStatus` 欄位對應。
correlationId	read_only_udm.network.session_id	這個值會直接從 `correlationId` 欄位對應。
correlationId	read_only_udm.security_result.detection_fields.value	這個值會直接從 `correlationId` 欄位對應。
createdDateTime	read_only_udm.metadata.event_timestamp.seconds	系統會從 `createdDateTime` 欄位擷取值，並將其轉換為自 Epoch 起算的秒數。
deviceDetail.browser	read_only_udm.network.http.user_agent	這個值會直接從 `deviceDetail.browser` 欄位對應。
deviceDetail.deviceId	read_only_udm.principal.asset.asset_id	這個值會直接從 `deviceDetail.deviceId` 欄位對應，前置字串為「Device ID:」。
deviceDetail.deviceId	read_only_udm.principal.asset_id	這個值會直接從 `deviceDetail.deviceId` 欄位對應，前置字串為「Device ID:」。
deviceDetail.displayName	read_only_udm.principal.asset.hostname	這個值會直接從 `deviceDetail.displayName` 欄位對應。
deviceDetail.isCompliant	read_only_udm.principal.asset.attribute.labels.value	這個值會直接從 `deviceDetail.isCompliant` 欄位對應。
deviceDetail.isManaged	read_only_udm.principal.asset.attribute.labels.value	這個值會直接從 `deviceDetail.isManaged` 欄位對應。
deviceDetail.operatingSystem	read_only_udm.principal.platform_version	這個值會直接從 `deviceDetail.operatingSystem` 欄位對應。
deviceDetail.trustType	read_only_udm.principal.asset.attribute.labels.value	這個值會直接從 `deviceDetail.trustType` 欄位對應。
durationMs	read_only_udm.additional.fields.value.string_value	這個值會直接從 `durationMs` 欄位對應。
errorCode	read_only_udm.security_result.rule_id	這個值會直接從 `errorCode` 欄位對應。
identity	read_only_udm.target.user.user_display_name	如果值與 `userId` 不同，且不符合電子郵件地址格式，系統會直接從 `identity` 欄位對應這個值。
initiatedBy.user.displayName	read_only_udm.principal.user.user_display_name	這個值會直接從 `initiatedBy.user.displayName` 欄位對應。
initiatedBy.user.id	read_only_udm.principal.user.userid	這個值會直接從 `initiatedBy.user.id` 欄位對應。
initiatedBy.user.ipAddress	read_only_udm.principal.ip	這個值會直接從 `initiatedBy.user.ipAddress` 欄位對應。
initiatedBy.user.ipAddress	read_only_udm.principal.asset.ip	這個值會直接從 `initiatedBy.user.ipAddress` 欄位對應。
initiatedBy.user.userPrincipalName	read_only_udm.principal.user.email_addresses	如果值符合電子郵件地址模式，系統會直接從 `initiatedBy.user.userPrincipalName` 欄位對應該值。
ipAddress	read_only_udm.principal.ip	系統會使用 grok 模式從 `ipAddress` 欄位擷取值，以便擷取 IP 位址。
ipAddress	read_only_udm.principal.asset.ip	系統會使用 grok 模式從 `ipAddress` 欄位擷取值，以便擷取 IP 位址。
isInteractive	read_only_udm.extensions.auth.mechanism	如果 `isInteractive` 為「true」，則值會對應至「INTERACTIVE」，否則會對應至「MECHANISM_OTHER」。
isInteractive	read_only_udm.security_result.detection_fields.value	這個值會直接從 `isInteractive` 欄位對應。
level	read_only_udm.security_result.severity	系統會根據以下邏輯，從 `level` 欄位對應值：「Information」、「Informational」、「0」、「4」會對應至「INFORMATIONAL」。「警告」、「1」、「3」會對應至「中」。「Error」、「2」會對應至「ERROR」。「Critical」、「CRITICAL」、「critical」會對應至「CRITICAL」。
level	read_only_udm.security_result.severity_details	這個值會直接從 `level` 欄位對應。
location.city	read_only_udm.principal.location.city	這個值會直接從 `location.city` 欄位對應。
location.countryOrRegion	read_only_udm.principal.location.country_or_region	這個值會直接從 `location.countryOrRegion` 欄位對應。
location.geoCoordinates.latitude	read_only_udm.principal.location.region_coordinates.latitude	這個值會直接從 `location.geoCoordinates.latitude` 欄位對應，並轉換為浮點值。
location.geoCoordinates.latitude	read_only_udm.principal.location.region_latitude	這個值會直接從 `location.geoCoordinates.latitude` 欄位對應，並轉換為浮點值。
location.geoCoordinates.longitude	read_only_udm.principal.location.region_coordinates.longitude	這個值會直接從 `location.geoCoordinates.longitude` 欄位對應，並轉換為浮點值。
location.geoCoordinates.longitude	read_only_udm.principal.location.region_longitude	這個值會直接從 `location.geoCoordinates.longitude` 欄位對應，並轉換為浮點值。
location.state	read_only_udm.principal.location.state	這個值會直接從 `location.state` 欄位對應。
networkLocationDetails.networkNames	read_only_udm.additional.fields.value.string_value	這個值是透過連結 `networkLocationDetails.networkNames` 陣列中的所有值，並以半形逗號分隔產生。
networkLocationDetails.networkType	read_only_udm.additional.fields.value.string_value	這個值會直接從 `networkLocationDetails.networkType` 欄位對應。
networkLocationDetails.networkType	read_only_udm.security_result.detection_fields.value	這個值會直接從 `networkLocationDetails.networkType` 欄位對應。
operationName	read_only_udm.metadata.event_type	如果 `operationName` 是「Sign-in activity」，則該值會對應至「USER_LOGIN」；如果 `operationName` 是「Add member to group」，則該值會對應至「USER_CHANGE_PERMISSIONS」；如果 `operationName` 是「Add app role assignment to service principal」，則該值會對應至「USER_RESOURCE_UPDATE_PERMISSIONS」。否則，系統會根據其他欄位的存在情況決定值：* 如果 `has_target_user` 為「true」，則為「USER_LOGIN」。* 如果 `has_principal_user` 為「true」，則為「USER_UNCATEGORIZED」。* 如果 `has_principal` 為「true」，則為「STATUS_UPDATE」。* 否則為「GENERIC_EVENT」。
operationType	read_only_udm.security_result.action_details	這個值會直接從 `operationType` 欄位對應。
properties.activity	read_only_udm.security_result.summary	這個值會直接從 `properties.activity` 欄位對應。
properties.activityDateTime	read_only_udm.metadata.event_timestamp.seconds	系統會從 `properties.activityDateTime` 欄位擷取值，並將其轉換為自 Epoch 起算的秒數。
properties.additionalInfo	read_only_udm.network.http.user_agent	系統會剖析 JSON 字串，並擷取與「userAgent」鍵相對應的值，藉此從 `properties.additionalInfo` 欄位擷取值。
properties.additionalInfo	read_only_udm.target.url	系統會剖析 JSON 字串，並從「alertUrl」鍵相對應的值中擷取值，進而從 `properties.additionalInfo` 欄位擷取值。
properties.appId	read_only_udm.target.resource.attribute.labels.value	這個值會直接從 `properties.appId` 欄位對應。
properties.appDisplayName	read_only_udm.target.application	這個值會直接從 `properties.appDisplayName` 欄位對應。
properties.appliedConditionalAccessPolicies.displayName	read_only_udm.security_result.rule_name	這個值會直接從 `properties.appliedConditionalAccessPolicies.displayName` 欄位對應。
properties.appliedConditionalAccessPolicies.id	read_only_udm.security_result.rule_id	這個值會直接從 `properties.appliedConditionalAccessPolicies.id` 欄位對應。
properties.appliedConditionalAccessPolicies.result	read_only_udm.security_result.detection_fields.value	這個值會直接從 `properties.appliedConditionalAccessPolicies.result` 欄位對應。
properties.authenticationDetails.authenticationMethod	read_only_udm.security_result.detection_fields.value	這個值會直接從 `properties.authenticationDetails.authenticationMethod` 欄位對應。
properties.authenticationDetails.authenticationMethodDetail	read_only_udm.security_result.detection_fields.value	這個值會直接從 `properties.authenticationDetails.authenticationMethodDetail` 欄位對應。
properties.authenticationDetails.authenticationStepDateTime	read_only_udm.security_result.detection_fields.value	這個值會直接從 `properties.authenticationDetails.authenticationStepDateTime` 欄位對應。
properties.authenticationDetails.authenticationStepRequirement	read_only_udm.security_result.detection_fields.value	這個值會直接從 `properties.authenticationDetails.authenticationStepRequirement` 欄位對應。
properties.authenticationDetails.authenticationStepResultDetail	read_only_udm.security_result.detection_fields.value	這個值會直接從 `properties.authenticationDetails.authenticationStepResultDetail` 欄位對應。
properties.authenticationProcessingDetails.key	read_only_udm.additional.fields.key	這個值會直接從 `properties.authenticationProcessingDetails.key` 欄位對應，前置字串為「properties authenticationProcessingDetails -」。
properties.authenticationProcessingDetails.value	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.authenticationProcessingDetails.value` 欄位對應。
properties.authenticationRequirement	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.authenticationRequirement` 欄位對應。
properties.authenticationRequirementPolicies.detail	read_only_udm.security_result.detection_fields.value	這個值會直接從 `properties.authenticationRequirementPolicies.detail` 欄位對應。
properties.authenticationRequirementPolicies.requirementProvider	read_only_udm.security_result.detection_fields.value	這個值會直接從 `properties.authenticationRequirementPolicies.requirementProvider` 欄位對應。
properties.clientAppUsed	read_only_udm.principal.application	這個值會直接從 `properties.clientAppUsed` 欄位對應。
properties.conditionalAccessStatus	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.conditionalAccessStatus` 欄位對應。
properties.createdDateTime	read_only_udm.metadata.event_timestamp.seconds	系統會從 `properties.createdDateTime` 欄位擷取值，並將其轉換為自 Epoch 起算的秒數。
properties.crossTenantAccessType	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.crossTenantAccessType` 欄位對應。
properties.detectedDateTime	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.detectedDateTime` 欄位對應。
properties.detectionTimingType	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.detectionTimingType` 欄位對應。
properties.homeTenantId	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.homeTenantId` 欄位對應。
properties.id	read_only_udm.metadata.product_log_id	這個值會直接從 `properties.id` 欄位對應。
properties.initiatedBy.user.displayName	read_only_udm.principal.user.user_display_name	這個值會直接從 `properties.initiatedBy.user.displayName` 欄位對應。
properties.initiatedBy.user.id	read_only_udm.principal.user.windows_sid	這個值會直接從 `properties.initiatedBy.user.id` 欄位對應。
properties.initiatedBy.user.ipAddress	read_only_udm.principal.ip	這個值會直接從 `properties.initiatedBy.user.ipAddress` 欄位對應。
properties.initiatedBy.user.ipAddress	read_only_udm.principal.asset.ip	這個值會直接從 `properties.initiatedBy.user.ipAddress` 欄位對應。
properties.initiatedBy.user.userPrincipalName	read_only_udm.principal.user.userid	如果值不符合電子郵件地址格式，系統會直接從 `properties.initiatedBy.user.userPrincipalName` 欄位對應該值。
properties.initiatedBy.user.userPrincipalName	read_only_udm.principal.user.email_addresses	如果值符合電子郵件地址模式，系統會直接從 `properties.initiatedBy.user.userPrincipalName` 欄位對應該值。
properties.ipAddress	read_only_udm.principal.ip	系統會使用 grok 模式從 `properties.ipAddress` 欄位擷取值，以便擷取 IP 位址。
properties.ipAddress	read_only_udm.principal.asset.ip	系統會使用 grok 模式從 `properties.ipAddress` 欄位擷取值，以便擷取 IP 位址。
properties.isGuest	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.isGuest` 欄位對應。
properties.isDeleted	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.isDeleted` 欄位對應。
properties.isProcessing	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.isProcessing` 欄位對應。
properties.lastUpdatedDateTime	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.lastUpdatedDateTime` 欄位對應。
properties.location.city	read_only_udm.principal.location.city	這個值會直接從 `properties.location.city` 欄位對應。
properties.location.countryOrRegion	read_only_udm.principal.location.country_or_region	這個值會直接從 `properties.location.countryOrRegion` 欄位對應。
properties.location.geoCoordinates.latitude	read_only_udm.principal.location.region_coordinates.latitude	這個值會直接從 `properties.location.geoCoordinates.latitude` 欄位對應，並轉換為浮點值。
properties.location.geoCoordinates.latitude	read_only_udm.principal.location.region_latitude	這個值會直接從 `properties.location.geoCoordinates.latitude` 欄位對應，並轉換為浮點值。
properties.location.geoCoordinates.longitude	read_only_udm.principal.location.region_coordinates.longitude	這個值會直接從 `properties.location.geoCoordinates.longitude` 欄位對應，並轉換為浮點值。
properties.location.geoCoordinates.longitude	read_only_udm.principal.location.region_longitude	這個值會直接從 `properties.location.geoCoordinates.longitude` 欄位對應，並轉換為浮點值。
properties.location.state	read_only_udm.principal.location.state	這個值會直接從 `properties.location.state` 欄位對應。
properties.networkLocationDetails.networkNames	read_only_udm.additional.fields.value.string_value	這個值是透過連結 `properties.networkLocationDetails.networkNames` 陣列中的所有值，並以半形逗號分隔產生。
properties.networkLocationDetails.networkType	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.networkLocationDetails.networkType` 欄位對應。
properties.networkLocationDetails.networkType	read_only_udm.security_result.detection_fields.value	這個值會直接從 `properties.networkLocationDetails.networkType` 欄位對應。
properties.resourceServicePrincipalId	read_only_udm.target.resource.attribute.labels.value	這個值會直接從 `properties.resourceServicePrincipalId` 欄位對應。
properties.riskDetail	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.riskDetail` 欄位對應。
properties.riskEventType	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.riskEventType` 欄位對應。
properties.riskLastUpdatedDateTime	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.riskLastUpdatedDateTime` 欄位對應。
properties.riskLevel	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.riskLevel` 欄位對應。
properties.riskLevelDuringSignIn	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.riskLevelDuringSignIn` 欄位對應。
properties.riskState	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.riskState` 欄位對應。
properties.riskType	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.riskType` 欄位對應。
properties.source	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.source` 欄位對應。
properties.targetResources.0.id	read_only_udm.target.user.product_object_id	這個值會直接從 `properties.targetResources.0.id` 欄位對應。
properties.targetResources.modifiedProperties.0.newValue	read_only_udm.target.group.product_object_id	這個值會直接從 `properties.targetResources.modifiedProperties.0.newValue` 欄位對應。
properties.tokenIssuerType	read_only_udm.additional.fields.value.string_value	這個值會直接從 `properties.tokenIssuerType` 欄位對應。
properties.userAgent	read_only_udm.network.http.parsed_user_agent	系統會直接從 `properties.userAgent` 欄位對應值，並將其轉換為剖析的使用者代理程式物件。
properties.userAgent	read_only_udm.network.http.user_agent	這個值會直接從 `properties.userAgent` 欄位對應。
properties.userId	read_only_udm.target.user.product_object_id	這個值會直接從 `properties.userId` 欄位對應。
properties.userPrincipalName	read_only_udm.target.user.userid	如果值不符合電子郵件地址格式，系統會直接從 `properties.userPrincipalName` 欄位對應該值。
properties.userPrincipalName	read_only_udm.target.user.email_addresses	如果值符合電子郵件地址模式，系統會直接從 `properties.userPrincipalName` 欄位對應該值。
result	read_only_udm.security_result.action	如果 `result` 為「success」，則該值會對應至「ALLOW」。
result	read_only_udm.security_result.action_details	如果 `result` 為「success」，則值會直接從 `result` 欄位對應。
resultDescription	read_only_udm.security_result.description	這個值會直接從 `resultDescription` 欄位對應。
resultSignature	read_only_udm.additional.fields.value.string_value	這個值會直接從 `resultSignature` 欄位對應。
resultType	read_only_udm.security_result.action	如果 `resultType` 為「0」，則該值會對應至「ALLOW」。
resultType	read_only_udm.security_result.rule_id	如果 `resultType` 欄位不為空白且不等於「0」，系統會直接從該欄位對應值。
resultType	read_only_udm.security_result.summary	如果 `resultType` 為「0」，則值會對應至「成功登入」；否則會對應至「登入失敗」。
resourceDisplayName	read_only_udm.target.application	這個值會直接從 `resourceDisplayName` 欄位對應。
resourceDisplayName	read_only_udm.target.resource.name	這個值會直接從 `resourceDisplayName` 欄位對應。
resourceId	read_only_udm.target.resource.id	這個值會直接從 `resourceId` 欄位對應。
resourceId	read_only_udm.target.resource.product_object_id	這個值會直接從 `resourceId` 欄位對應。
resourceServicePrincipalId	read_only_udm.target.resource.attribute.labels.value	這個值會直接從 `resourceServicePrincipalId` 欄位對應。
riskDetail	read_only_udm.additional.fields.value.string_value	這個值會直接從 `riskDetail` 欄位對應。
riskEventTypes	read_only_udm.additional.fields.value.string_value	系統會從 `riskEventTypes` 陣列中擷取值，並對應至 `additional.fields` 陣列中的字串值。
riskEventTypes	read_only_udm.additional.fields.value.list_value.values.string_value	這個值會直接對應至 `riskEventTypes` 陣列的每個元素。
riskEventTypes_v2	read_only_udm.additional.fields.value.list_value.values.string_value	這個值會直接對應至 `riskEventTypes_v2` 陣列的每個元素。
riskLevelAggregated	read_only_udm.additional.fields.value.string_value	這個值會直接從 `riskLevelAggregated` 欄位對應。
riskLevelDuringSignIn	read_only_udm.additional.fields.value.string_value	這個值會直接從 `riskLevelDuringSignIn` 欄位對應。
riskState	read_only_udm.additional.fields.value.string_value	這個值會直接從 `riskState` 欄位對應。
status.additionalDetails	read_only_udm.security_result.description	這個值會直接從 `status.additionalDetails` 欄位對應。
status.errorCode	read_only_udm.security_result.action	如果 `status.errorCode` 為「0」，則該值會對應至「ALLOW」。
status.errorCode	read_only_udm.security_result.rule_id	如果 `status.errorCode` 欄位非空白，則會直接對應該欄位的值。
status.errorCode	read_only_udm.security_result.summary	如果 `status.errorCode` 為「0」，則值會對應至「成功登入」；否則會對應至「登入失敗」。
status.failureReason	read_only_udm.additional.fields.value.string_value	這個值會直接從 `status.failureReason` 欄位對應。
targetResources.displayName	read_only_udm.target.resource.name	這個值會直接從 `targetResources.displayName` 欄位對應。
targetResources.id	read_only_udm.target.resource.id	這個值會直接從 `targetResources.id` 欄位對應。
targetResources.id	read_only_udm.target.resource.product_object_id	這個值會直接從 `targetResources.id` 欄位對應。
targetResources.modifiedProperties.displayName	read_only_udm.target.resource.attribute.labels.key	這個值會直接從 `targetResources.modifiedProperties.displayName` 欄位對應。
targetResources.modifiedProperties.newValue	read_only_udm.target.resource.attribute.labels.value	移除雙引號後，系統會直接從 `targetResources.modifiedProperties.newValue` 欄位對應值。
targetResources.modifiedProperties.oldValue	read_only_udm.target.resource.attribute.labels.value	這個值會直接從 `targetResources.modifiedProperties.oldValue` 欄位對應。
targetResources.type	read_only_udm.target.resource.type	這個值會直接從 `targetResources.type` 欄位對應。
targetResources.userPrincipalName	read_only_udm.target.user.user_display_name	這個值會直接從 `targetResources.userPrincipalName` 欄位對應。
tenantId	read_only_udm.metadata.product_deployment_id	這個值會直接從 `tenantId` 欄位對應。
時間	read_only_udm.metadata.event_timestamp.seconds	系統會從 `time` 欄位擷取值，並將其轉換為自 Epoch 起算的秒數。
userAgent	read_only_udm.network.http.parsed_user_agent	系統會直接從 `userAgent` 欄位對應值，並將其轉換為剖析的使用者代理程式物件。
userAgent	read_only_udm.network.http.user_agent	這個值會直接從 `userAgent` 欄位對應。
userDisplayName	read_only_udm.target.user.user_display_name	如果值與 `userId` 不同，且不符合電子郵件地址格式，系統會直接從 `userDisplayName` 欄位對應這個值。
userPrincipalName	read_only_udm.principal.administrative_domain	系統會使用 grok 模式從 `userPrincipalName` 欄位擷取電子郵件地址的網域部分，並對應至 `principal.administrative_domain` 欄位。
userPrincipalName	read_only_udm.target.user.email_addresses	如果值符合電子郵件地址模式，系統會直接從 `userPrincipalName` 欄位對應該值。
userPrincipalName	read_only_udm.target.user.userid	如果值不符合電子郵件地址格式，系統會直接從 `userPrincipalName` 欄位對應該值。
userId	read_only_udm.target.user.product_object_id	這個值會直接從 `userId` 欄位對應。
read_only_udm.metadata.log_type	AZURE_AD	這個值在剖析器中採用硬式編碼。
read_only_udm.metadata.vendor_name	Microsoft	這個值在剖析器中採用硬式編碼。
read_only_udm.metadata.product_name	Azure AD	這個值在剖析器中採用硬式編碼。
read_only_udm.extensions.auth.type	單一登入 (SSO)	這個值在剖析器中採用硬式編碼。

異動

2024-07-05

將「isInteractive」對應至「security_result.detection_fields」。

2024-04-02

將「properties.createdDateTime」對應至「metadata.event_timestamp」。
將「properties.resourceServicePrincipalId」和「resourceServicePrincipalId」對應至「target.resource.attribute.labels」。
將「properties.authenticationProcessingDetails」、「authenticationProcessingDetails」和「properties.networkLocationDetails」對應至「additional.fields」。
將「properties.userAgent」對應至「network.http.user_agent」和「network.http.parsed_user_agent」。
已將「properties.authenticationRequirement」對應至「additional.fields」。

2024-06-03

將「policies.displayName」的對應項目從「about.user.user_display_name」變更為「security_result.rule_name」。
將「policies.id」的對應項目從「about.user.userid」變更為「security_result.rule_id」。
將「policies.result」的對應項目從「about.labels」變更為「security_result.detection_fields」。

2024-05-29

如果「status.errorCode」為「0」，請將「security_result.action」設為「ALLOW」。

2024-05-13

修正錯誤：

將「userPrincipalName」對應至「target.user.userid」。

2024-05-10

將「networkLocationDetails.n.networkNames」、「properties.networkLocationDetails.n.networkNames」、「networkLocationDetails.n.networkType」和「properties.networkLocationDetails.n.networkType」對應至「additional.fields」。
將「properties.userAgent」和「userAgent」對應至「network.http.user_agent」和「network.http.parsed_user_agent」。

2024-05-03

修正錯誤：

在對應「target.modifiedProperties.n.newValue」之前，新增「on_error」檢查。
將「target.modifiedProperties.n.oldValue」和「target.modifiedProperties.n.displayName」對應至「target.resource.attribute.labels」。
將「activityDisplayName」對應至「security_result.summary」。

2024-04-30

將「properties.authenticationDetails」、「properties.networkLocationDetails」、「properties.authenticationRequirementPolicies」、「networkLocationDetails」和「authenticationRequirementPolicies」對應至「security_result.detection_fields」。

2024-04-02

已將「properties.authenticationRequirement」對應至「additional.fields」。

2024-04-02

將「authenticationRequirement」對應至「additional.fields」。

2024-02-26

將「appliedConditionalAccessPolicies」對應至「security_result」。
將「isInteractive」對應至「extensions.auth.mechanism」。
已將「location.geoCoordinates.altitude」對應至「additional.fields」。

2024-02-09

將「authenticationDetails.authenticationMethod」、「authenticationDetails.authenticationMethodDetail」、「authenticationDetails.authenticationStepResultDetail」、「authenticationDetails.authenticationStepDateTime」和「authenticationDetails.authenticationStepRequirement」對應至「security_result.detection_fields」。
將「authenticationDetails.succeeded」對應至「security_result.action」。
將「status.additionalDetails」對應至「security_result.description」。

2024-01-11

已將「correlationId」對應至「security_result.detection_fields」。

2023-11-20

將「tenantId」對應至「metadata.product_deployment_id」。
將「Level」對應至「security_result.severity_details」和「security_result.severity」。
將「properties.userDisplayName」對應至「target.user.user_display_name」。
將「identity」對應至「target.user.user_display_name」。
將「properties.activityDateTime」對應至「metadata.event_timestamp」。
將「properties.activity」對應至「security_result.summary」。
已對應的「resultSignature」、「properties.riskLevel」、「properties.isGuest」、「properties.isDeleted」、「properties.isProcessing」
「properties.riskLastUpdatedDateTime」、「properties.riskType」、「properties.riskEventType」、「properties.riskState」、「properties.riskDetail」、「properties.source」、「properties.detectionTimingType」
「properties.detectedDateTime」、「properties.lastUpdatedDateTime」、「properties.tokenIssuerType」、「properties.homeTenantId」、「properties.userType」、「properties.crossTenantAccessType」、「durationMs」改為「additional.fields」。
已將「resourceId」對應至「target.resource.product_object_id」。
將「properties.location.geoCoordinates.longitude」和「location.geoCoordinates.longitude」對應至「principal.location.region_coordinates.longitude」。
將「properties.location.geoCoordinates.latitude」和「location.geoCoordinates.latitude」對應至「principal.location.region_coordinates.latitude」。

2023-07-12

已對應「deviceDetail.isCompliant」、「deviceDetail.isManaged」、「deviceDetail.trustType」至「principal.asset.attribute.labels」。
將「deviceDetail.deviceId」對應至「principal.asset.asset_id」。
將「deviceDetail.browser」對應至「network.http.user_agent」。
將「deviceDetail.operatingSystem」對應至「principal.platform_version」。
將「status.failureReason」對應至「additional.fields」。
將「status.errorCode」對應至「security_result.rule_id」。
將「deviceDetail.displayName」對應至「principal.asset.hardware」。

2023-03-14

將「browser」對應至「principal.resource.attribute.labels」。
已將「isCompliant」、「isManaged」、「trustType」對應至「principal.asset.attribute.labels」。
將「domain」表單的「userPrincipalName」對應至「principal.administrative_domain」。

2022-12-16

針對欄位「initiatedBy.user.userPrincipalName」新增了條件式檢查，並對應至「principal.user.email_addresses」。

2022-10-28

已將「additionalDetails.0.value」對應至「network.http.user_agent」。
將「additionalDetails.1.value」對應至「target.resource.attribute.labels」。
將「Id」對應至「metadata.product_log_id」。
將「initiatedBy.user.id」對應至「principal.user.userid」。
將「initiatedBy.user.displayName」對應至「principal.user.user_display_name」。
將「initiatedBy.user.ipAddress」對應至「principal.ip」。
將「initiatedBy.user.userPrincipalName」對應至「principal.user.email_addresses」。
將「operationType」對應至「security_result.action_details」。
將「target.displayName」對應至「target.resource.name」。
將「target.id」對應至「target.resource.id」。
將「target.type」對應至「target.resource.type」。
如果 field.displayName 是「AppRole.Id」，則會將「field.newValue」對應至「target.resource.product_object_id」；如果不是，則會將「field.newValue」對應至「target.resource.attribute.labels」。
新增 errorCode 檢查功能。
將「loggedByService」對應至「target.application」。
將「activityDisplayName」對應至「metadata.product_event_type」。
將「metadata.event_type」對應至「USER_RESOURCE_UPDATE_PERMISSIONS」，其中「activityDisplayName」為「Add app role assignment to service principal」。

2022-08-25

如果「properties.initiatedBy.user.userPrincipalName」與「電子郵件規則運算式」相符，則會對應至「principal.user.email_addresses」，否則會對應至「principal.user.userid」。
如果「properties.userPrincipalName」或「userPrincipalName」與「電子郵件規則運算式」相符，則會對應至「target.user.email_addresses」，否則會對應至「target.user.userid」。

2022-08-11

已移除「TAG_MALFORMED_ENCODING」的下載標記。
新增「event_type」"GENERIC_EVENT"。

2022-05-29

改善項目：修改了為「additional.fields」對應的「riskEventTypes_v2」欄位 for 迴圈。
將「level」欄位對應至「security_result.severity_details」。
將「properties.result」欄位對應至「security_result.action_details」。

2022-04-20

錯誤修正：使用事件「appDisplayName」剖析記錄檔：「NotApplicable」。
修改「riskEventTypes」欄位的 for 迴圈。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。