Raccogliere i log di Microsoft Azure MDM (Mobile Device Management) Intune

Supportato in:

Questo documento spiega come importare i log di Microsoft Intune in Google Security Operations utilizzando l'API o Blob Storage. Il parser elabora i log, trasformandoli in un modello UDM (Unified Data Model). Estrae i campi, li mappa agli attributi UDM, gestisce vari tipi di attività (creazione, eliminazione, patch, azione) e arricchisce i dati con contesto aggiuntivo, come informazioni sul dispositivo, dettagli utente e risultati di sicurezza. Esegue anche una logica specifica per le operazioni "Reprovision CloudPCModel" e gestisce diversi scenari di identità.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Tenant Azure attivo
  • Accesso con privilegi ad Azure
  • Accesso con privilegi a Microsoft Intune

Configura l'importazione dei log utilizzando Azure Storage

Questa sezione descrive il processo di configurazione dell'importazione dei log da Azure Storage, consentendoti di raccogliere e analizzare in modo efficace i log di Microsoft Intune.

Configura l'account di archiviazione Azure

  1. Nella console Azure, cerca Account di archiviazione.
  2. Fai clic su Crea.
  3. Specifica i valori per i seguenti parametri di input:
    • Abbonamento: seleziona l'abbonamento.
    • Gruppo di risorse: seleziona il gruppo di risorse.
    • Regione: seleziona la regione.
    • Prestazioni: seleziona le prestazioni scelte (consigliate quelle standard).
    • Ridondanza: seleziona la ridondanza scelta (consigliata GRS o LRS).
    • Nome account di archiviazione: inserisci un nome per il nuovo account di archiviazione.
  4. Fai clic su Review + create (Rivedi e crea).
  5. Controlla la panoramica dell'account e fai clic su Crea.
  6. Nella pagina Panoramica dell'account di archiviazione, seleziona il sottomenu Chiavi di accesso in Sicurezza e networking.
  7. Fai clic su Mostra accanto a key1 o key2.
  8. Fai clic su Copia negli appunti per copiare la chiave.
  9. Salva la chiave in un luogo sicuro per riferimento futuro.
  10. Nella pagina Panoramica account di archiviazione, seleziona il sottomenu Endpoint in Impostazioni.
  11. Fai clic su Copia negli appunti per copiare l'URL dell'endpoint Blob service (ad esempio, https://<storageaccountname>.blob.core.windows.net).
  12. Salva l'URL dell'endpoint in una posizione sicura per riferimento futuro.

Configurare l'esportazione dei log per i log di Microsoft Intune

  1. Accedi all'UI web di Microsoft Intune.
  2. Vai a Report > Impostazioni di diagnostica.
  3. Fai clic su + Aggiungi impostazione di diagnostica.
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome impostazione diagnostica: inserisci un nome descrittivo (ad esempio, Intune logs to Google SecOps)
    • Seleziona le impostazioni di diagnostica per AuditLogs, OperationalLogs, DeviceComplianceOrg e Devices.
    • Seleziona la casella di controllo Archivia in un account di archiviazione come destinazione.
    • Specifica l'Abbonamento e l'Account di archiviazione.
  5. Fai clic su Salva.

Configurare i feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Azure Storage Audit Logs).
  5. Seleziona Microsoft Azure Blob Storage V2 come Tipo di origine.
  6. Seleziona Azure Storage Audit come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI di Azure: l'URL dell'endpoint blob.

      ENDPOINT_URL/BLOB_NAME

      Sostituisci quanto segue:

      • ENDPOINT_URL: l'URL dell'endpoint blob. (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: il nome del blob. (ad esempio, <logname>-logs)

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configura l'importazione dei log utilizzando l'API

Questa sezione descrive i passaggi iniziali per configurare un'applicazione in Azure Active Directory per attivare l'importazione dei log basata su API.

Configura un'app su Azure AD

  1. Accedi al portale Azure.
  2. (Facoltativo) Se hai accesso a più tenant, utilizza Directory + abbonamenti nel menu in alto per passare al tenant corretto.
  3. Cerca e seleziona Azure Active Directory.
  4. Vai a Gestisci > Registrazioni app > Nuova registrazione.
  5. Fornisci i seguenti dettagli di configurazione:
    • Inserisci un nome visualizzato per l'applicazione.
    • Specifica chi può accedere all'applicazione.
    • (Facoltativo) Non inserire nulla per URI di reindirizzamento.
    • Fai clic su Register (Registrati).
  6. Copia e salva l'ID applicazione (client) e l'ID directory (tenant) dalla schermata Panoramica.

Configura client secret

  1. In Registrazioni app, seleziona la nuova applicazione.
  2. Vai a Gestione > Certificati e secret > Client secret > Nuovo client secret.
  3. Aggiungi un nome per il client secret.
  4. Aggiungi un periodo di scadenza di 2 anni per il segreto o specifica un periodo personalizzato.
  5. Fai clic su Aggiungi.
  6. Copia e salva il valore del secret.

Configurare le autorizzazioni app

  1. In Registrazioni app, seleziona la nuova applicazione.
  2. Vai a Gestisci > Autorizzazioni API > Aggiungi un'autorizzazione.
  3. Seleziona Microsoft Graph.
  4. Aggiungi le seguenti autorizzazioni applicazione:
    • DeviceManagementApps.Read.All
    • DeviceManagementConfiguration.Read.All
    • DeviceManagementManagedDevices.Read.All
    • DeviceManagementRBAC.Read.All
    • DeviceManagementServiceConfig.Read.All
    • AuditLog.Read.All
    • Device.Read.All
  5. Fai clic su Aggiungi autorizzazioni.

Configura un feed in Google SecOps per importare i log di Microsoft Intune

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Add New (Aggiungi nuovo).
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di Microsoft Intune).
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Microsoft Intune come tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • ID client OAuth: inserisci l'ID applicazione copiato in precedenza.
    • Client secret OAuth: inserisci il valore del segreto creato in precedenza.
    • ID tenant: inserisci l'ID directory copiato in precedenza.
    • Spazio dei nomi dell'asset: lo [spazio dei nomi dell'asset] (/chronicle/docs/investigation/asset-namespaces).
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Rivedi la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
AADTenantId event.idm.read_only_udm.additional.fields.value.string_value Il valore di properties.AADTenantId del log non elaborato viene mappato a questo campo UDM. Viene creata un'etichetta con la chiave "AADTenantId".
activityDateTime event.idm.read_only_udm.metadata.event_timestamp Il campo activityDateTime viene analizzato per estrarre anno, mese, giorno, ora, minuto, secondo e fuso orario. Questi campi estratti vengono utilizzati per creare event_timestamp.
activityType event.idm.read_only_udm.metadata.product_event_type Mappato direttamente a UDM.
actor.applicationDisplayName event.idm.read_only_udm.principal.application Mappato direttamente a UDM.
actor.userId event.idm.read_only_udm.principal.user.product_object_id Mappato direttamente a UDM.
actor.userPrincipalName event.idm.read_only_udm.principal.user.userid Mappato direttamente a UDM.
category event.idm.read_only_udm.additional.fields.value.string_value Il valore di category del log non elaborato viene mappato a questo campo UDM. Viene creata un'etichetta con la chiave "category".
event.idm.read_only_udm.metadata.event_type Derivato dal parser in base a activityOperationType e ad altri campi. I valori possibili includono USER_RESOURCE_UPDATE_CONTENT, USER_RESOURCE_DELETION, USER_RESOURCE_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE e GENERIC_EVENT. Codificato in modo permanente su "AZURE_MDM_INTUNE". Codificato in modo permanente su "AZURE MDM INTUNE". Codificato come "Microsoft". Derivato. Il valore è impostato su "Device ID:" concatenato al valore di properties.DeviceId. Il valore di properties.SerialNumber del log non elaborato viene mappato a questo campo UDM. Il valore di properties.DeviceName del log non elaborato viene mappato a questo campo UDM. Derivato dal parser in base a diversi campi, tra cui DeviceManagementAPIName, software1_name, software2.name, software3.name e software4.name. È possibile creare più voci software. Il valore di properties.DeviceName del log non elaborato viene mappato a questo campo UDM. Derivato dal parser in base al campo properties.OS. I valori possibili sono "WINDOWS", "LINUX" e "MAC". Il valore di properties.OSVersion del log non elaborato viene mappato a questo campo UDM. Il valore del campo displayName all'interno dell'array modifiedProperties dell'array resources viene mappato a questo campo UDM. Il valore del campo newValue all'interno dell'array modifiedProperties dell'array resources viene mappato a questo campo UDM. Il valore di properties.UserEmail, user_identity o ident.UPN.0.Identity del log non elaborato viene mappato a questo campo UDM. Il valore di properties.UserName del log non elaborato viene mappato a questo campo UDM. La chiave può essere OS_loc o OSDescription. Il valore di properties.OS_loc o properties.OSDescription del log non elaborato viene mappato a questo campo UDM. Derivato dal parser in base a diversi campi, tra cui resources.0.displayName e activityType. Derivato dal parser in base ai campi activityResult e event_type. I valori possibili includono ACTIVE, PENDING_DECOMISSION, DECOMISSIONED e DEPLOYMENT_STATUS_UNSPECIFIED. Codificato come "MICROSOFT_AZURE". Il valore di resources.0.resourceId del log non elaborato viene mappato a questo campo UDM. Il valore di resources.0.type del log non elaborato viene mappato a questo campo UDM. Derivato dal parser in base a diversi campi, tra cui resources.0.type e activityType. I valori possibili includono DEVICE, ACCESS_POLICY e TASK. Il valore di upn_identity del log non elaborato viene mappato a questo campo UDM. Il valore di user_identity o user_id del log non elaborato viene mappato a questo campo UDM.
properties.BatchId event.idm.read_only_udm.metadata.product_log_id Mappato direttamente a UDM.
resources.0.resourceId event.idm.read_only_udm.target.resource.id Mappato direttamente a UDM.
resources.0.type event.idm.read_only_udm.target.resource.name Mappato direttamente a UDM.
tenantId event.idm.read_only_udm.additional.fields.value.string_value Il valore di tenantId del log non elaborato viene mappato a questo campo UDM. Viene creata un'etichetta con la chiave "tenantId".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.