收集 Microsoft Graph 活動記錄
支援的國家/地區:
Google SecOps
SIEM
總覽
這個剖析器會從 Microsoft Graph 活動記錄中擷取欄位,並轉換為 Unified Data Model (UDM)。這個函式會初始化 UDM 欄位、剖析酬載、擷取時間戳記、將各種屬性對應至 UDM 欄位、處理 IP 位址和通訊埠,以及根據主體和網路資訊是否存在,將事件類型分類。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- Microsoft Entra ID 和 Azure 儲存體帳戶的特殊存取權。
設定 Azure 儲存體帳戶
- 在 Azure 控制台中搜尋儲存體帳戶。
- 點選「建立」。
- 指定下列輸入參數的值:
- 「訂閱」:選取訂閱方案。
- 資源群組:選取資源群組。
- Region (區域):選取區域。
- 效能:選取所需效能等級 (建議使用標準等級)。
- 備援:選取所需的備援層級 (建議使用 GRS 或 LRS)。
- 「儲存體帳戶名稱」:輸入新儲存體帳戶的名稱。
- 按一下「Review + create」。
- 查看帳戶總覽,然後按一下「建立」。
- 在「儲存空間帳戶總覽」頁面中,選取「安全性 + 網路」中的「存取金鑰」子選單。
- 按一下「key1」或「key2」旁邊的「顯示」
- 按一下「複製到剪貼簿」即可複製金鑰。
- 將金鑰儲存於安全的位置,以供日後參考。
- 在「儲存空間帳戶總覽」頁面中,選取「設定」中的「端點」子選單。
- 按一下「複製到剪貼簿」,複製 Blob 服務端點網址 (例如 https://
.blob.core.windows.net )。 - 將端點網址儲存在安全的位置,以供日後參考。
設定 Microsoft Graph 活動記錄匯出至儲存體帳戶
- 在 Azure 控制台中,搜尋 Entra ID。
- 依序選取「監控」>「診斷設定」。
- 按一下「+ 新增診斷設定」。
- 為設定指定專屬名稱 (例如 ms-graph-activity)。
- 選取要匯出至 Google SecOps 的 MicrosoftGraphActivityLog 類別。
- 在「目的地詳細資料」下方,選取「封存至儲存空間帳戶」。
- 選取訂閱項目和您在上一個步驟中建立的儲存空間帳戶。
- 按一下 [儲存]。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Microsoft Graph Activity Logs」。
- 選取「Microsoft Azure Blob Storage」做為「來源類型」。
- 選取「Microsoft Graph Activity Logs」做為「Log type」。
- 點選「下一步」。
指定下列輸入參數的值:
Azure URI:Blob 端點網址。
ENDPOINT_URL/BLOB_NAME更改下列內容:
ENDPOINT_URL:Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)BLOB_NAME:Blob 的名稱 (例如 insights-logs-)
URI 為:根據記錄串流設定選取 URI 類型 (單一檔案 | 目錄 | 包含子目錄的目錄)。
來源刪除選項:根據偏好設定選取刪除選項。
- 共用金鑰:Azure Blob 儲存體的存取金鑰。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- Azure URI:Blob 端點網址。
ENDPOINT_URL/BLOB_NAME取代下列項目:ENDPOINT_URL:Blob 端點網址 (https://<storageaccountname>.blob.core.windows.net)BLOB_NAME:Blob 的名稱 (例如 insights-logs-)
- URI 為:根據記錄串流設定選取 URI 類型 (單一檔案 | 目錄 | 包含子目錄的目錄)。
- 來源刪除選項:根據偏好設定選取刪除選項。
- 共用金鑰:Azure Blob 儲存體的存取金鑰。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
callerIpAddress |
principal.asset.ip |
原始記錄欄位 callerIpAddress 會複製到 UDM 欄位。 |
callerIpAddress |
principal.ip |
原始記錄欄位 callerIpAddress 會複製到 UDM 欄位。 |
category |
security_result.category_details |
原始記錄欄位 category 會複製到 UDM 欄位。 |
correlationId |
security_result.detection_fields.value |
原始記錄欄位 correlationId 會複製到 UDM 欄位,其中鍵是 correlationId。 |
Level |
security_result.detection_fields.value |
原始記錄欄位 Level 會轉換為字串,並複製到 UDM 欄位,其中鍵為 Level。 |
operationName |
metadata.product_event_type |
原始記錄欄位 operationName 會複製到 UDM 欄位。 |
operationVersion |
additional.fields.value.string_value |
原始記錄欄位 operationVersion 會複製到 UDM 欄位,其中鍵是 operationVersion。 |
properties.apiVersion |
metadata.product_version |
原始記錄欄位 properties.apiVersion 會複製到 UDM 欄位。 |
properties.appId |
target.resource.product_object_id |
原始記錄欄位 properties.appId 會複製到 UDM 欄位。 |
properties.atContent |
additional.fields.value.string_value |
原始記錄欄位 properties.atContent 會複製到 UDM 欄位,其中鍵為 atContent。 |
properties.clientAuthMethod |
extensions.auth.auth_details |
根據 properties.clientAuthMethod 的值,UDM 欄位會設為「公開用戶端」(0)、「用戶端 ID/用戶端密碼」(1) 或「用戶端憑證」(2)。 |
properties.clientRequestId |
additional.fields.value.string_value |
原始記錄欄位 properties.clientRequestId 會複製到 UDM 欄位,其中鍵為 clientRequestId。 |
properties.durationMs |
network.session_duration.seconds |
原始記錄欄位 properties.durationMs 會從毫秒轉換為秒,並複製到 UDM 欄位。 |
properties.identityProvider |
security_result.detection_fields.value |
原始記錄欄位 properties.identityProvider 會複製到 UDM 欄位,其中鍵為 identityProvider。 |
properties.ipAddress |
principal.asset.ip |
系統會從原始記錄欄位 properties.ipAddress 擷取 IP 位址,並複製到 UDM 欄位。 |
properties.ipAddress |
principal.ip |
系統會從原始記錄欄位 properties.ipAddress 擷取 IP 位址,並複製到 UDM 欄位。 |
properties.location |
principal.location.name |
原始記錄欄位 properties.location 會複製到 UDM 欄位。 |
properties.operationId |
security_result.detection_fields.value |
原始記錄欄位 properties.operationId 會複製到 UDM 欄位,其中鍵為 operationId。 |
properties.requestMethod |
network.http.method |
原始記錄欄位 properties.requestMethod 會複製到 UDM 欄位。 |
properties.requestId |
metadata.product_log_id |
原始記錄欄位 properties.requestId 會複製到 UDM 欄位。 |
properties.responseSizeBytes |
network.received_bytes |
原始記錄欄位 properties.responseSizeBytes 會轉換為不帶正負號的整數,並複製到 UDM 欄位。 |
properties.responseStatusCode |
network.http.response_code |
原始記錄欄位 properties.responseStatusCode 會轉換為整數,並複製到 UDM 欄位。 |
properties.roles |
additional.fields.value.string_value |
原始記錄欄位 properties.roles 會複製到 UDM 欄位,其中鍵為 roles。 |
properties.scopes |
additional.fields.value.string_value |
原始記錄欄位 properties.scopes 會複製到 UDM 欄位,其中鍵為 Scopes。 |
properties.servicePrincipalId |
principal.user.userid |
如果 properties.userId 為空,原始記錄欄位 properties.servicePrincipalId 會複製到 UDM 欄位。 |
properties.signInActivityId |
network.session_id |
原始記錄欄位 properties.signInActivityId 會複製到 UDM 欄位。 |
properties.tenantId |
metadata.product_deployment_id |
原始記錄欄位 properties.tenantId 會複製到 UDM 欄位。 |
properties.tokenIssuedAt |
additional.fields.value.string_value |
原始記錄欄位 properties.tokenIssuedAt 會複製到 UDM 欄位,其中鍵為 tokenIssuedAt。 |
properties.userAgent |
network.http.user_agent |
原始記錄欄位 properties.userAgent 會複製到 UDM 欄位。 |
properties.userId |
principal.user.userid |
原始記錄欄位 properties.userId 會複製到 UDM 欄位。 |
properties.wids |
security_result.detection_fields.value |
原始記錄欄位 properties.wids 會複製到 UDM 欄位,其中鍵為 wids。 |
resourceId |
target.resource.attribute.labels.value |
原始記錄欄位 resourceId 會複製到 UDM 欄位,其中鍵為 Resource ID。 |
resultSignature |
additional.fields.value.string_value |
原始記錄欄位 resultSignature 會複製到 UDM 欄位,其中鍵是 resultSignature。 |
time |
metadata.event_timestamp |
系統會剖析原始記錄欄位 time,並轉換為時間戳記,然後複製到 UDM 欄位。如果 has_principal 為 true 且 network.http 不為空白,UDM 欄位 event.idm.read_only_udm.metadata.event_type 會設為「NETWORK_HTTP」;如果 has_principal 為 true 且 network.http 為空白,則會設為「STATUS_UPDATE」;否則會設為「GENERIC_EVENT」。UDM 欄位設為「Microsoft Graph」。UDM 欄位設為「Microsoft」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。