Advertisement
D0cEvil

ElasticSearch - Azure AD

Dec 6th, 2022
104
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
Bash 5.98 KB | Cybersecurity | 0 0
  1. # Ключевые поля для аналитики Azure AD logs
  2.  
  3. # Событие. Одно из ключевых полей. Поле описывает событие в Azure AD. Сюда записывается тип события из журналов SignIn Activity и AuditLogs. Использование: Либо таблица, либо столбцовая диограмма, либо TimeLine or Lens
  4.  
  5. event.action
  6.  
  7. # События по источникам: Activity и AuditLogs. Сколько событий и из какого источника.
  8.  
  9. event.dataset
  10.  
  11. # Причины отказа в доступе. Использование: круговая диаграмма, таблица или столбцовая диаграмма
  12.  
  13. azure.signinlogs.result_description
  14.  
  15. # Условный доступ (Conditional Access), коды событий succes notApplied failure. Использование: круговая диаграмма, фильтр
  16.  
  17. azure.signinlogs.properties.conditional_access_status
  18.  
  19. # Использование какой программы вызывает событие. Использование: как фильтр, круговая диаграмма, таблица, др
  20.  
  21. azure.signinlogs.properties.app_display_name
  22.  
  23. # Имя коннектора
  24.  
  25. azure.signinlogs.properties.resource_display_name
  26.  
  27. # Пользователь в формате LastName, FirstName
  28.  
  29. azure.signinlogs.identity
  30.  
  31. # Имя учетной записи пользователя
  32.  
  33. azure.signinlogs.properties.alternateSignInName
  34.  
  35. # Список применяемых политик Условного доступа. Это поле может требовать дополнительной обработки через Logstash, так как содержит массив информации, как значение.
  36.  
  37. azure.signinlogs.properties.applied_conditional_access_policies
  38.  
  39. # Событе аутентификации. Содержит коды ошибок и требует дополнительной обработки через Logstash, так как содержит массив информации как значение.
  40.  
  41. azure.signinlogs.properties.authentication_details
  42.  
  43. # Тип используемой аутентификации
  44.  
  45. azure.signinlogs.properties.authenticationRequirement
  46.  
  47. # Дополнительная информация о входе, статус MFA: MFA required in Azure AD / MFA completed in Azure AD / MFA successfully completed / Authentication in progress / MFA requirement satisfied by claim in the token / MFA requirement skipped due to remembered device / MFA denied; invalid authentication / MFA denied; invalid verification code / MFA denied; duplicate authentication attempt / MFA denied; user did not respond to mobile app notification / MFA claim has expired due to the policies configured on tenant / MFA denied; user declined the authentication / MFA requirement skipped due to registered device
  48.  
  49. azure.signinlogs.properties.status.additionalDetails
  50.  
  51. # Cлужебное поле, коды ошибок. Может использоваться для тонкого Troubleshooting
  52.  
  53. azure.signinlogs.properties.status.error_code
  54.  
  55. # Тип и / или протокол используемого клиентского программного обеспечения: POP3, Address Book, Mobile Client, Browser, Exchanre
  56.  
  57. azure.signinlogs.properties.client_app_used
  58.  
  59. # IP-адрес пользователя
  60.  
  61. azure.signinlogs.properties.ip_address
  62.  
  63. # Город, согласно GeoIP
  64.  
  65. azure.signinlogs.properties.location.city
  66.  
  67. # Страна или регион, согласно GeoIP
  68.  
  69. azure.signinlogs.properties.location.countryOrRegion
  70.  
  71. # Регион, область, провинция
  72.  
  73. azure.signinlogs.properties.location.state
  74.  
  75. # Код страны в ISO: CA, US, RU, etc
  76.  
  77. geo.country_iso_code
  78.  
  79. # Используемый браузер
  80.  
  81. azure.signinlogs.properties.device_detail.browser
  82.  
  83. # Используемая операционная система
  84.  
  85. azure.signinlogs.properties.device_detail.operating_system
  86.  
  87. # User-Agent
  88.  
  89. azure.signinlogs.properties.userAgent
  90.  
  91. # Тип пользователя User / Guest
  92.  
  93. azure.signinlogs.properties.userType
  94.  
  95. # Azure Audit Log - событие по источникам: UserManagement / Device / GroupManagement / ApplicationManagement / KeyManagement / DirectoryManagement / Contact
  96.  
  97. azure.auditlogs.properties.category
  98.  
  99. # Тип события (ключевое поле) обновление групп, учеток, девайсов и etc
  100.  
  101. azure.auditlogs.properties.activity_display_name
  102.  
  103. # Какая служба Microsof создала событие (SharePoint, Teams, Intune, Device Registration Service, etc...)
  104.  
  105. azure.auditlogs.identity
  106.  
  107. # IP-адрес вызвавшего событие
  108.  
  109. azure.auditlogs.callerIpAddress
  110.  
  111. # Тип операции: Обновление / удаление / создание, etc...
  112.  
  113. azure.auditlogs.properties.operation_type
  114.  
  115. # Изменяемый параметр. Таких параметров может быть несколько modified_properties.1. ... modified_properties.2. ... etc
  116.  
  117. azure.auditlogs.properties.target_resources.0.modified_properties.0.display_name
  118.  
  119. # Старое и новое значение изменяемого параметра. Таких значений может быть несколько
  120.  
  121. azure.auditlogs.properties.target_resources.0.modified_properties.0.old_value
  122.  
  123. azure.auditlogs.properties.target_resources.0.modified_properties.0.new_value
  124.  
  125. # Какая служба записала событие
  126.  
  127. azure.auditlogs.properties.logged_by_service
  128.  
  129. # Общие поля
  130.  
  131. # Провайдер, которому принадлежит автономная система IP-адреса - источника событий
  132.  
  133. source.as.organization.name
  134.  
  135. # Домен пользователя
  136.  
  137. user.domain
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement