Collecter les journaux Microsoft Intune

Compatible avec:

Ce document explique comment collecter les journaux Microsoft Intune en configurant un flux Google Security Operations.

Pour en savoir plus, consultez la section Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion AZURE_MDM_INTUNE.

Avant de commencer

Pour effectuer les tâches de cette page, assurez-vous de disposer des éléments suivants:

  • Un abonnement Azure auquel vous pouvez vous connecter.

  • Un environnement Microsoft Intune (locataire) dans Azure.

  • Rôle d'administrateur global ou d'administrateur du service Intune pour le locataire Intune.

Configurer Microsoft Intune

  1. Connectez-vous au centre d'administration Microsoft Endpoint Manager.
  2. Sélectionnez Rapports > Paramètres de diagnostic.
  3. Saisissez un nom pour les paramètres de diagnostic, par exemple Route audit logs to storage account.
  4. Pour accéder aux paramètres de diagnostic pour la première fois, cliquez sur Activer les diagnostics.
  5. Dans la fenêtre Diagnostic setting (Paramètres de diagnostic), saisissez un nom approprié, puis sélectionnez Audit logs (Journaux d'audit), Operational logs (Journaux d'exploitation) et Device compliance org (Organisme de conformité des appareils).
  6. Pour stocker des journaux dans le compte de stockage, procédez comme suit :
    1. Sélectionnez Archiver dans un compte de stockage.
    2. Sélectionnez un abonnement et un compte de stockage existants.

Pour stocker des journaux dans le compte de stockage, vous devez disposer d'identifiants de stockage Azure. Pour en savoir plus, consultez Identifiants de stockage Azure.

Configurer un flux dans Google Security Operations pour ingérer les journaux Microsoft Intune

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Add New (Ajouter nouveau).
  3. Saisissez un nom unique dans le champ Nom du champ.
  4. Sélectionnez API tierce comme Type de source.
  5. Sélectionnez Microsoft Intune comme Type de journal.
  6. Cliquez sur Suivant.
  7. Configurez les paramètres d'entrée obligatoires suivants :
    • ID client OAuth: spécifiez un ID client OAuth 2.0.
    • Code secret du client OAuth: spécifiez le secret associé à l'ID client.
    • ID de locataire: spécifiez l'ID de locataire Microsoft.
  8. Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences associées à chaque type de flux, consultez la section Configuration des flux par type.

Si vous rencontrez des problèmes lorsque vous créez des flux, contactez l'assistance Google Security Operations.

Référence de mappage de champ

Cet analyseur traite les journaux Microsoft MDM au format JSON, en les transformant en UDM. Il extrait des champs, gère la mise en forme des dates, met en correspondance des activités MDM spécifiques avec des types d'événements UDM et enrichit les données avec un contexte supplémentaire, comme des informations sur l'utilisateur et l'appareil.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
activityDateTime metadata.event_timestamp Le champ activityDateTime du journal brut est analysé pour extraire l'année, le mois, le jour, l'heure, la minute, la seconde et le fuseau horaire. Ces composants extraits sont ensuite utilisés pour créer un code temporel dans l'UDM.
activityType metadata.product_event_type Mappage direct.
actor.applicationDisplayName principal.application Mappage direct.
actor.userId principal.user.product_object_id Mappage direct.
actor.userPrincipalName principal.user.userid Mappage direct.
category additional.fields[category].value.string_value Mappée directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "category".
displayName target.application Mappage direct. Dans certains cas, une autre logique dans l'analyseur détermine la valeur en fonction de activityType.
metadata.log_type Coded en dur sur "AZURE_MDM_INTUNE". Coded en dur sur "AZURE MDM INTUNE". Code dur "Microsoft". Dérivé de activityResult. "Success" est mappé sur "ACTIVE", et "Failure" sur "PENDING_DECOMISSION". Si event_type est "USER_RESOURCE_DELETION", il est défini sur "DECOMISSIONED". Codé en dur sur "MICROSOFT_AZURE".
resources.0.modifiedProperties.0.displayName target.asset.software.name Dans certains cas, ce champ est mappé sur target.asset.software.name. D'autres champs resources.0.modifiedProperties.N.displayName peuvent également être mappés à des objets software supplémentaires dans le target.asset, en fonction du activityType.
resources.0.modifiedProperties.N.newValue principal.user.attribute.roles.name Dans certains cas, ces champs sont utilisés pour renseigner des informations sur les rôles.
resources.0.modifiedProperties.N.displayName principal.user.attribute.roles.description Dans certains cas, ces champs sont utilisés pour renseigner des informations sur les rôles.
resources.0.resourceId target.resource.id Mappage direct.
resources.0.type target.resource.name Mappage direct.
resources.1.modifiedProperties.N.displayName target.asset.software.name Dans certains cas, ce champ est mappé sur target.asset.software.name.
properties.AADTenantId additional.fields[AADTenantId].value.string_value Mappé directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "AADTenantId".
properties.Actor.Application principal.application Mappage direct.
properties.Actor.UPN principal.user.userid Mappage direct.
properties.BatchId metadata.product_log_id Mappage direct.
properties.ComplianceState additional.fields[ComplianceState].value.string_value Mappé directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "ComplianceState".
properties.DeviceId principal.asset.asset_id, principal.asset_id Mappé avec le préfixe "ID de l'appareil:".
properties.DeviceHealthThreatLevel_loc additional.fields[DeviceHealthThreatLevel_loc].value.string_value Mappé directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "DeviceHealthThreatLevel_loc".
properties.DeviceName principal.hostname, principal.asset.hostname Mappage direct.
properties.InGracePeriodUntil additional.fields[InGracePeriodUntil].value.string_value Mappé directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "InGracePeriodUntil".
properties.IntuneAccountId additional.fields[IntuneAccountId].value.string_value Mappé directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "IntuneAccountId".
properties.LastContact additional.fields[LastContact].value.string_value Mappé directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "LastContact".
properties.ManagementAgents additional.fields[ManagementAgents].value.string_value Mappé directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "ManagementAgents".
properties.ManagementAgents_loc additional.fields[ManagementAgents_loc].value.string_value Mappé directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "ManagementAgents_loc".
properties.OS principal.platform Mappé après conversion en majuscules. "MACOS" ou "MAC" est mappé sur "MAC". "WINDOWS" est mappé sur "WINDOWS". "LINUX" est mappé sur "LINUX".
properties.OSDescription security_result.detection_fields[OSDescription].value Mappé directement en tant que valeur de chaîne dans le tableau security_result.detection_fields avec la clé "OSDescription".
properties.OSVersion principal.platform_version Mappage direct.
properties.OS_loc security_result.detection_fields[OS_loc].value Mappé directement en tant que valeur de chaîne dans le tableau security_result.detection_fields avec la clé "OS_loc".
properties.RetireAfterDatetime additional.fields[RetireAfterDatetime].value.string_value Mappé directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "RetireAfterDatetime".
properties.SerialNumber principal.asset.hardware.serial_number Mappage direct.
properties.SessionId network.session_id Mappage direct.
properties.UserEmail principal.user.email_addresses Mappage direct.
properties.UserName principal.user.user_display_name Mappage direct.
tenantId additional.fields[tenantId].value.string_value Mappé directement en tant que valeur de chaîne dans le tableau additional.fields avec la clé "tenantId".
time metadata.event_timestamp Le champ time du journal brut est analysé pour extraire les composants de code temporel. Ces composants sont ensuite utilisés pour créer un code temporel dans l'UDM.

Modifications

2024-04-10

  • Mappage de "properties.Actor.Application" sur "principal.application".
  • Mappage de "properties.Actor.UPN" sur "principal.user.userid".
  • Mappage de "operationName" sur "metadata.product_event_type".
  • Mappage de "identity" sur "target.user.email_addresses".
  • "identity" et "user_id" ont été mappés sur "target.user.userid".
  • "properties.DeviceName" a été mappé sur "principal.hostname" et "principal.asset.hostname".
  • "properties.UserEmail" a été mappé sur "principal.user.email_addresses".
  • Mappage de "properties.SerialNumber" sur "_hardware.serial_number".
  • Mappage de "_hardware" sur "principal.asset.hardware".
  • "properties.UserName" a été mappé sur "principal.user.user_display_name".
  • Mappage de "properties.OS" sur "principal.platform".
  • "properties.OSVersion" a été mappé sur "principal.platform_version".
  • Mappage de "properties.DeviceId" sur "principal.asset.asset_id" et "principal.asset_id".
  • "properties.BatchId" a été mappé sur "metadata.product_log_id".
  • Mappage de "tenantId", "properties.IntuneAccountId", "properties.AADTenantId", "properties.LastContact", "properties.DeviceHealthThreatLevel_loc", "properties.ComplianceState", "properties.InGracePeriodUntil", "properties.RetireAfterDatetime", "properties.ManagementAgents" et "properties.ManagementAgents_loc" sur "additional.fields".
  • Mappage de "properties.OS_loc" et "properties.OSDescription" sur "security_result.detection_fields".

2022-08-17

  • Ajout d'une vérification conditionnelle lorsque "event_type" est mappé sur "USER_RESOURCE_UPDATE_CONTENT".
  • Ajout d'une vérification conditionnelle pour les champs "software2","software3" et "software4", et mappage sur "target.asset.software".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.