Mengumpulkan log Microsoft Intune

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Microsoft Intune dengan menyiapkan feed Google Security Operations.

Untuk informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer AZURE_MDM_INTUNE.

Sebelum memulai

Untuk menyelesaikan tugas di halaman ini, pastikan Anda memiliki hal berikut:

  • Langganan Azure yang dapat Anda gunakan untuk login.

  • Lingkungan Microsoft Intune (tenant) di Azure.

  • Peran administrator global atau administrator layanan Intune untuk tenant Intune.

Mengonfigurasi Microsoft Intune

  1. Login ke pusat administrator Microsoft Endpoint Manager.
  2. Pilih Laporan > Setelan diagnostik.
  3. Masukkan nama untuk setelan diagnostik, seperti Route audit logs to storage account.
  4. Untuk mengakses setelan diagnostik untuk pertama kalinya, klik Aktifkan diagnostik.
  5. Di jendela Diagnostic setting, masukkan nama yang sesuai, lalu pilih Audit logs, Operational logs, dan Device compliance org.
  6. Untuk menyimpan log di akun penyimpanan, lakukan tindakan berikut:
    1. Pilih Arsipkan ke akun penyimpanan.
    2. Pilih Langganan dan Akun penyimpanan yang ada.

Untuk menyimpan log di akun penyimpanan, Anda harus memiliki kredensial penyimpanan Azure. Untuk informasi selengkapnya, lihat Kredensial penyimpanan Azure.

Mengonfigurasi feed di Google Security Operations untuk menyerap log Microsoft Intune

  1. Buka Setelan SIEM > Feed.
  2. Klik Add New.
  3. Masukkan nama unik untuk Nama Kolom.
  4. Pilih API pihak ketiga sebagai Jenis Sumber.
  5. Pilih Microsoft Intune sebagai Jenis Log.
  6. Klik Berikutnya.
  7. Konfigurasikan parameter input wajib berikut:
    • Client ID OAuth: tentukan client ID OAuth 2.0.
    • Rahasia klien OAuth: tentukan rahasia yang terkait dengan client ID.
    • ID Tenant: tentukan ID tenant Microsoft.
  8. Klik Berikutnya, lalu klik Kirim.

Untuk informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini memproses log Microsoft MDM dalam format JSON, yang mengubahnya menjadi UDM. Alat ini mengekstrak kolom, menangani pemformatan tanggal, memetakan aktivitas MDM tertentu ke jenis peristiwa UDM, dan memperkaya data dengan konteks tambahan seperti informasi pengguna dan perangkat.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
activityDateTime metadata.event_timestamp Kolom activityDateTime log mentah diuraikan untuk mengekstrak tahun, bulan, hari, jam, menit, detik, dan zona waktu. Komponen yang diekstrak ini kemudian digunakan untuk membuat stempel waktu di UDM.
activityType metadata.product_event_type Dipetakan secara langsung.
actor.applicationDisplayName principal.application Dipetakan secara langsung.
actor.userId principal.user.product_object_id Dipetakan secara langsung.
actor.userPrincipalName principal.user.userid Dipetakan secara langsung.
category additional.fields[category].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "category".
displayName target.application Dipetakan secara langsung. Dalam beberapa kasus, logika lebih lanjut dalam parser menentukan nilai berdasarkan activityType.
metadata.log_type Di-hardcode ke "AZURE_MDM_INTUNE". Di-hardcode ke "AZURE MDM INTUNE". Di-hardcode ke "Microsoft". Berasal dari activityResult. "Success" dipetakan ke "ACTIVE", "Failure" dipetakan ke "PENDING_DECOMISSION". Jika event_type adalah "USER_RESOURCE_DELETION", event_type akan ditetapkan ke "DECOMISSIONED". Di-hardcode ke "MICROSOFT_AZURE".
resources.0.modifiedProperties.0.displayName target.asset.software.name Dalam beberapa kasus, kolom ini dipetakan ke target.asset.software.name. Kolom resources.0.modifiedProperties.N.displayName lainnya juga dapat dipetakan ke objek software tambahan dalam target.asset, bergantung pada activityType.
resources.0.modifiedProperties.N.newValue principal.user.attribute.roles.name Dalam beberapa kasus, kolom ini digunakan untuk mengisi informasi peran.
resources.0.modifiedProperties.N.displayName principal.user.attribute.roles.description Dalam beberapa kasus, kolom ini digunakan untuk mengisi informasi peran.
resources.0.resourceId target.resource.id Dipetakan secara langsung.
resources.0.type target.resource.name Dipetakan secara langsung.
resources.1.modifiedProperties.N.displayName target.asset.software.name Dalam beberapa kasus, kolom ini dipetakan ke target.asset.software.name.
properties.AADTenantId additional.fields[AADTenantId].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "AADTenantId".
properties.Actor.Application principal.application Dipetakan secara langsung.
properties.Actor.UPN principal.user.userid Dipetakan secara langsung.
properties.BatchId metadata.product_log_id Dipetakan secara langsung.
properties.ComplianceState additional.fields[ComplianceState].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "ComplianceState".
properties.DeviceId principal.asset.asset_id, principal.asset_id Dipetakan dengan awalan "ID Perangkat:".
properties.DeviceHealthThreatLevel_loc additional.fields[DeviceHealthThreatLevel_loc].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "DeviceHealthThreatLevel_loc".
properties.DeviceName principal.hostname, principal.asset.hostname Dipetakan secara langsung.
properties.InGracePeriodUntil additional.fields[InGracePeriodUntil].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "InGracePeriodUntil".
properties.IntuneAccountId additional.fields[IntuneAccountId].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "IntuneAccountId".
properties.LastContact additional.fields[LastContact].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "LastContact".
properties.ManagementAgents additional.fields[ManagementAgents].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "ManagementAgents".
properties.ManagementAgents_loc additional.fields[ManagementAgents_loc].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "ManagementAgents_loc".
properties.OS principal.platform Dipetakan setelah dikonversi ke huruf besar. "MACOS" atau "MAC" dipetakan ke "MAC". "WINDOWS" dipetakan ke "WINDOWS". "LINUX" dipetakan ke "LINUX".
properties.OSDescription security_result.detection_fields[OSDescription].value Dipetakan langsung sebagai nilai string dalam array security_result.detection_fields dengan kunci "OSDescription".
properties.OSVersion principal.platform_version Dipetakan secara langsung.
properties.OS_loc security_result.detection_fields[OS_loc].value Dipetakan langsung sebagai nilai string dalam array security_result.detection_fields dengan kunci "OS_loc".
properties.RetireAfterDatetime additional.fields[RetireAfterDatetime].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "RetireAfterDatetime".
properties.SerialNumber principal.asset.hardware.serial_number Dipetakan secara langsung.
properties.SessionId network.session_id Dipetakan secara langsung.
properties.UserEmail principal.user.email_addresses Dipetakan secara langsung.
properties.UserName principal.user.user_display_name Dipetakan secara langsung.
tenantId additional.fields[tenantId].value.string_value Dipetakan langsung sebagai nilai string dalam array additional.fields dengan kunci "tenantId".
time metadata.event_timestamp Kolom time log mentah diuraikan untuk mengekstrak komponen stempel waktu. Komponen ini kemudian digunakan untuk membuat stempel waktu di UDM.

Perubahan

2024-04-10

  • Memetakan "properties.Actor.Application" ke "principal.application".
  • Memetakan "properties.Actor.UPN" ke "principal.user.userid".
  • Memetakan "operationName" ke "metadata.product_event_type".
  • Memetakan "identity" ke "target.user.email_addresses".
  • Memetakan "identity" dan "user_id" ke "target.user.userid".
  • Memetakan "properties.DeviceName" ke "principal.hostname" dan "principal.asset.hostname".
  • Memetakan "properties.UserEmail" ke "principal.user.email_addresses".
  • Memetakan "properties.SerialNumber" ke "_hardware.serial_number".
  • Memetakan "_hardware" ke "principal.asset.hardware".
  • Memetakan "properties.UserName" ke "principal.user.user_display_name".
  • Memetakan "properties.OS" ke "principal.platform".
  • Memetakan "properties.OSVersion" ke "principal.platform_version".
  • Memetakan "properties.DeviceId" ke "principal.asset.asset_id" dan "principal.asset_id".
  • Memetakan "properties.BatchId" ke "metadata.product_log_id".
  • Memetakan "tenantId", "properties.IntuneAccountId", "properties.AADTenantId", "properties.LastContact", "properties.DeviceHealthThreatLevel_loc", "properties.ComplianceState", "properties.InGracePeriodUntil", "properties.RetireAfterDatetime", "properties.ManagementAgents", dan "properties.ManagementAgents_loc" ke "additional.fields".
  • Memetakan "properties.OS_loc" dan "properties.OSDescription" ke "security_result.detection_fields".

2022-08-17

  • Menambahkan pemeriksaan bersyarat saat "event_type" dipetakan ke "USER_RESOURCE_UPDATE_CONTENT".
  • Menambahkan pemeriksaan bersyarat untuk kolom "software2","software3","software4" dan memetakan ke "target.asset.software".