ElasticSearch - Azure AD

1. # Ключевые поля для аналитики Azure AD logs
2.  
3. # Событие. Одно из ключевых полей. Поле описывает событие в Azure AD. Сюда записывается тип события из журналов SignIn Activity и AuditLogs. Использование: Либо таблица, либо столбцовая диограмма, либо TimeLine or Lens
4.  
5. event.action
6.  
7. # События по источникам: Activity и AuditLogs. Сколько событий и из какого источника.
8.  
9. event.dataset
10.  
11. # Причины отказа в доступе. Использование: круговая диаграмма, таблица или столбцовая диаграмма
12.  
13. azure.signinlogs.result_description
14.  
15. # Условный доступ (Conditional Access), коды событий succes notApplied failure. Использование: круговая диаграмма, фильтр
16.  
17. azure.signinlogs.properties.conditional_access_status
18.  
19. # Использование какой программы вызывает событие. Использование: как фильтр, круговая диаграмма, таблица, др
20.  
21. azure.signinlogs.properties.app_display_name
22.  
23. # Имя коннектора
24.  
25. azure.signinlogs.properties.resource_display_name
26.  
27. # Пользователь в формате LastName, FirstName
28.  
29. azure.signinlogs.identity
30.  
31. # Имя учетной записи пользователя
32.  
33. azure.signinlogs.properties.alternateSignInName
34.  
35. # Список применяемых политик Условного доступа. Это поле может требовать дополнительной обработки через Logstash, так как содержит массив информации, как значение.
36.  
37. azure.signinlogs.properties.applied_conditional_access_policies
38.  
39. # Событе аутентификации. Содержит коды ошибок и требует дополнительной обработки через Logstash, так как содержит массив информации как значение.
40.  
41. azure.signinlogs.properties.authentication_details
42.  
43. # Тип используемой аутентификации
44.  
45. azure.signinlogs.properties.authenticationRequirement
46.  
47. # Дополнительная информация о входе, статус MFA: MFA required in Azure AD / MFA completed in Azure AD / MFA successfully completed / Authentication in progress / MFA requirement satisfied by claim in the token / MFA requirement skipped due to remembered device / MFA denied; invalid authentication / MFA denied; invalid verification code / MFA denied; duplicate authentication attempt / MFA denied; user did not respond to mobile app notification / MFA claim has expired due to the policies configured on tenant / MFA denied; user declined the authentication / MFA requirement skipped due to registered device
48.  
49. azure.signinlogs.properties.status.additionalDetails
50.  
51. # Cлужебное поле, коды ошибок. Может использоваться для тонкого Troubleshooting
52.  
53. azure.signinlogs.properties.status.error_code
54.  
55. # Тип и / или протокол используемого клиентского программного обеспечения: POP3, Address Book, Mobile Client, Browser, Exchanre
56.  
57. azure.signinlogs.properties.client_app_used
58.  
59. # IP-адрес пользователя
60.  
61. azure.signinlogs.properties.ip_address
62.  
63. # Город, согласно GeoIP
64.  
65. azure.signinlogs.properties.location.city
66.  
67. # Страна или регион, согласно GeoIP
68.  
69. azure.signinlogs.properties.location.countryOrRegion
70.  
71. # Регион, область, провинция
72.  
73. azure.signinlogs.properties.location.state
74.  
75. # Код страны в ISO: CA, US, RU, etc
76.  
77. geo.country_iso_code
78.  
79. # Используемый браузер
80.  
81. azure.signinlogs.properties.device_detail.browser
82.  
83. # Используемая операционная система
84.  
85. azure.signinlogs.properties.device_detail.operating_system
86.  
87. # User-Agent
88.  
89. azure.signinlogs.properties.userAgent
90.  
91. # Тип пользователя User / Guest
92.  
93. azure.signinlogs.properties.userType
94.  
95. # Azure Audit Log - событие по источникам: UserManagement / Device / GroupManagement / ApplicationManagement / KeyManagement / DirectoryManagement / Contact
96.  
97. azure.auditlogs.properties.category
98.  
99. # Тип события (ключевое поле) обновление групп, учеток, девайсов и etc
100.  
101. azure.auditlogs.properties.activity_display_name
102.  
103. # Какая служба Microsof создала событие (SharePoint, Teams, Intune, Device Registration Service, etc...)
104.  
105. azure.auditlogs.identity
106.  
107. # IP-адрес вызвавшего событие
108.  
109. azure.auditlogs.callerIpAddress
110.  
111. # Тип операции: Обновление / удаление / создание, etc...
112.  
113. azure.auditlogs.properties.operation_type
114.  
115. # Изменяемый параметр. Таких параметров может быть несколько modified_properties.1. ... modified_properties.2. ... etc
116.  
117. azure.auditlogs.properties.target_resources.0.modified_properties.0.display_name
118.  
119. # Старое и новое значение изменяемого параметра. Таких значений может быть несколько
120.  
121. azure.auditlogs.properties.target_resources.0.modified_properties.0.old_value
122.  
123. azure.auditlogs.properties.target_resources.0.modified_properties.0.new_value
124.  
125. # Какая служба записала событие
126.  
127. azure.auditlogs.properties.logged_by_service
128.  
129. # Общие поля
130.  
131. # Провайдер, которому принадлежит автономная система IP-адреса - источника событий
132.  
133. source.as.organization.name
134.  
135. # Домен пользователя
136.  
137. user.domain