Microsoft Intune-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Microsoft Intune-Protokolle erfassen, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel AZURE_MDM_INTUNE.

Hinweise

Für die Aufgaben auf dieser Seite benötigen Sie Folgendes:

  • Ein Azure-Abo, mit dem Sie sich anmelden können.

  • Eine Microsoft Intune-Umgebung (Mandant) in Azure.

  • Die Rolle „Globaler Administrator“ oder „Intune-Dienstadministrator“ für den Intune-Tenant.

Microsoft Intune konfigurieren

  1. Melden Sie sich im Microsoft Endpoint Manager Admin Center an.
  2. Wählen Sie Berichte > Diagnoseeinstellungen aus.
  3. Geben Sie einen Namen für die Diagnoseeinstellungen ein, z. B. Route audit logs to storage account.
  4. Wenn Sie zum ersten Mal auf die Diagnoseeinstellungen zugreifen möchten, klicken Sie auf Diagnose aktivieren.
  5. Geben Sie im Fenster Diagnoseeinstellungen einen geeigneten Namen ein und wählen Sie Audit-Logs, Betriebslogs und Organisation für die Geräteanforderungen aus.
  6. So speichern Sie Protokolle im Speicherkonto:
    1. Wählen Sie In einem Speicherkonto archivieren aus.
    2. Wählen Sie ein vorhandenes Abo und ein Speicherkonto aus.

Wenn Sie Protokolle im Speicherkonto speichern möchten, benötigen Sie Azure Storage-Anmeldedaten. Weitere Informationen finden Sie unter Azure-Speicheranmeldedaten.

Feed in Google Security Operations für die Aufnahme von Microsoft Intune-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
  3. Geben Sie einen eindeutigen Namen für das Feld ein.
  4. Wählen Sie API von Drittanbietern als Quelltyp aus.
  5. Wählen Sie Microsoft Intune als Log Type (Protokolltyp) aus.
  6. Klicken Sie auf Weiter.
  7. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • OAuth-Client-ID: Geben Sie eine OAuth 2.0-Client-ID an.
    • OAuth-Clientschlüssel: Geben Sie das Secret an, das mit der Client-ID verknüpft ist.
    • Mandanten-ID: Geben Sie die Microsoft-Mandanten-ID an.
  8. Klicken Sie auf Weiter und dann auf Senden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parser verarbeitet Microsoft MDM-Logs im JSON-Format und wandelt sie in UDM um. Es werden Felder extrahiert, die Datumsformatierung wird verarbeitet, bestimmte MDM-Aktivitäten werden UDM-Ereignistypen zugeordnet und die Daten werden mit zusätzlichem Kontext wie Nutzer- und Geräteinformationen angereichert.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
activityDateTime metadata.event_timestamp Das Feld activityDateTime des Rohlogs wird analysiert, um Jahr, Monat, Tag, Stunde, Minute, Sekunde und Zeitzone zu extrahieren. Diese extrahierten Komponenten werden dann verwendet, um einen Zeitstempel in der UDM zu erstellen.
activityType metadata.product_event_type Direkt zugeordnet.
actor.applicationDisplayName principal.application Direkt zugeordnet.
actor.userId principal.user.product_object_id Direkt zugeordnet.
actor.userPrincipalName principal.user.userid Direkt zugeordnet.
category additional.fields[category].value.string_value Wird direkt als Stringwert im additional.fields-Array mit dem Schlüssel „category“ zugeordnet.
displayName target.application Direkt zugeordnet. In einigen Fällen wird der Wert anhand der activityType durch weitere Logik im Parser bestimmt.
metadata.log_type Hartcodiert auf „AZURE_MDM_INTUNE“. Hartcodiert auf „AZURE MDM INTUNE“. „Microsoft“ ist hartcodiert. Abgeleitet von activityResult. „Success“ wird zu „ACTIVE“ und „Failure“ zu „PENDING_DECOMISSION“ zugeordnet. Wenn event_type „USER_RESOURCE_DELETION“ ist, wird es auf „AUSGESETZT“ gesetzt. Hartcodiert auf „MICROSOFT_AZURE“.
resources.0.modifiedProperties.0.displayName target.asset.software.name In einigen Fällen wird dieses Feld target.asset.software.name zugeordnet. Je nach activityType können auch andere resources.0.modifiedProperties.N.displayName-Felder in der target.asset zu zusätzlichen software-Objekten zugeordnet werden.
resources.0.modifiedProperties.N.newValue principal.user.attribute.roles.name In einigen Fällen werden diese Felder verwendet, um Rolleninformationen einzugeben.
resources.0.modifiedProperties.N.displayName principal.user.attribute.roles.description In einigen Fällen werden diese Felder verwendet, um Rolleninformationen einzugeben.
resources.0.resourceId target.resource.id Direkt zugeordnet.
resources.0.type target.resource.name Direkt zugeordnet.
resources.1.modifiedProperties.N.displayName target.asset.software.name In einigen Fällen wird dieses Feld target.asset.software.name zugeordnet.
properties.AADTenantId additional.fields[AADTenantId].value.string_value Wird direkt als Stringwert im additional.fields-Array mit dem Schlüssel „AADTenantId“ zugeordnet.
properties.Actor.Application principal.application Direkt zugeordnet.
properties.Actor.UPN principal.user.userid Direkt zugeordnet.
properties.BatchId metadata.product_log_id Direkt zugeordnet.
properties.ComplianceState additional.fields[ComplianceState].value.string_value Wird direkt als Stringwert im additional.fields-Array mit dem Schlüssel „ComplianceState“ zugeordnet.
properties.DeviceId principal.asset.asset_id, principal.asset_id Zugeordnet mit dem Präfix „Device ID:“.
properties.DeviceHealthThreatLevel_loc additional.fields[DeviceHealthThreatLevel_loc].value.string_value Wird direkt als Stringwert im additional.fields-Array mit dem Schlüssel „DeviceHealthThreatLevel_loc“ zugeordnet.
properties.DeviceName principal.hostname, principal.asset.hostname Direkt zugeordnet.
properties.InGracePeriodUntil additional.fields[InGracePeriodUntil].value.string_value Wird direkt als Stringwert im Array additional.fields mit dem Schlüssel „InGracePeriodUntil“ zugeordnet.
properties.IntuneAccountId additional.fields[IntuneAccountId].value.string_value Wird direkt als Stringwert im additional.fields-Array mit dem Schlüssel „IntuneAccountId“ zugeordnet.
properties.LastContact additional.fields[LastContact].value.string_value Wird direkt als Stringwert im Array additional.fields mit dem Schlüssel „LastContact“ zugeordnet.
properties.ManagementAgents additional.fields[ManagementAgents].value.string_value Wird direkt als Stringwert im Array additional.fields mit dem Schlüssel „ManagementAgents“ zugeordnet.
properties.ManagementAgents_loc additional.fields[ManagementAgents_loc].value.string_value Wird direkt als Stringwert im Array additional.fields mit dem Schlüssel „ManagementAgents_loc“ zugeordnet.
properties.OS principal.platform Nach der Umwandlung in Großbuchstaben zugeordnet. „MACOS“ oder „MAC“ wird zu „MAC“ zugeordnet. „WINDOWS“ wird „WINDOWS“ zugeordnet. „LINUX“ wird „LINUX“ zugeordnet.
properties.OSDescription security_result.detection_fields[OSDescription].value Wird direkt als Stringwert im security_result.detection_fields-Array mit dem Schlüssel „OSDescription“ zugeordnet.
properties.OSVersion principal.platform_version Direkt zugeordnet.
properties.OS_loc security_result.detection_fields[OS_loc].value Wird direkt als Stringwert im security_result.detection_fields-Array mit dem Schlüssel „OS_loc“ zugeordnet.
properties.RetireAfterDatetime additional.fields[RetireAfterDatetime].value.string_value Wird direkt als Stringwert im additional.fields-Array mit dem Schlüssel „RetireAfterDatetime“ zugeordnet.
properties.SerialNumber principal.asset.hardware.serial_number Direkt zugeordnet.
properties.SessionId network.session_id Direkt zugeordnet.
properties.UserEmail principal.user.email_addresses Direkt zugeordnet.
properties.UserName principal.user.user_display_name Direkt zugeordnet.
tenantId additional.fields[tenantId].value.string_value Wird direkt als Stringwert im additional.fields-Array mit dem Schlüssel „tenantId“ zugeordnet.
time metadata.event_timestamp Das Feld time des Rohlogs wird analysiert, um die Zeitstempelkomponenten zu extrahieren. Diese Komponenten werden dann verwendet, um einen Zeitstempel in der UDM zu erstellen.

Änderungen

2024-04-10

  • „properties.Actor.Application“ wurde auf „principal.application“ zugeordnet.
  • „properties.Actor.UPN“ wurde in „principal.user.userid“ geändert.
  • „operationName“ wurde auf „metadata.product_event_type“ zugeordnet.
  • „identity“ wurde „target.user.email_addresses“ zugeordnet.
  • „identity“ und „user_id“ wurden „target.user.userid“ zugeordnet.
  • „properties.DeviceName“ wurde „principal.hostname“ und „principal.asset.hostname“ zugeordnet.
  • „properties.UserEmail“ wurde auf „principal.user.email_addresses“ zugeordnet.
  • „properties.SerialNumber“ wurde in „_hardware.serial_number“ umgewandelt.
  • „_hardware“ wurde „principal.asset.hardware“ zugeordnet.
  • „properties.UserName“ wurde in „principal.user.user_display_name“ umgewandelt.
  • „properties.OS“ wurde „principal.platform“ zugeordnet.
  • „properties.OSVersion“ wurde auf „principal.platform_version“ zugeordnet.
  • „properties.DeviceId“ wurde „principal.asset.asset_id“ und „principal.asset_id“ zugeordnet.
  • „properties.BatchId“ wurde mit „metadata.product_log_id“ abgeglichen.
  • „tenantId“, „properties.IntuneAccountId“, „properties.AADTenantId“, „properties.LastContact“, „properties.DeviceHealthThreatLevel_loc“, „properties.ComplianceState“, „properties.InGracePeriodUntil“, „properties.RetireAfterDatetime“, „properties.ManagementAgents“ und „properties.ManagementAgents_loc“ wurden in „additional.fields“ zugeordnet.
  • „properties.OS_loc“ und „properties.OSDescription“ wurden in „security_result.detection_fields“ zugeordnet.

2022-08-17

  • Bedingte Prüfung hinzugefügt, wenn „event_type“ auf „USER_RESOURCE_UPDATE_CONTENT“ zugeordnet ist.
  • Bedingte Prüfung für die Felder „software2“, „software3“ und „software4“ hinzugefügt und diesen Feldern „target.asset.software“ zugeordnet.