Microsoft Intune のログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フィードを設定して Microsoft Intune のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル AZURE_MDM_INTUNE が付加されたパーサーに適用されます。
始める前に
このページのタスクを完了するには、次のものが必要です。
ログインできる Azure サブスクリプション。
Azure の Microsoft Intune 環境(テナント)。
Intune テナントのグローバル管理者ロールまたは Intune サービス管理者ロール。
Microsoft Intune を構成する
- Microsoft Endpoint Manager 管理センターにログインします。
- [レポート] > [診断設定] を選択します。
- 診断設定の名前を入力します(例:
Route audit logs to storage account)。 - 診断設定に初めてアクセスするには、[診断を有効にする] をクリックします。
- [診断設定] ウィンドウで適切な名前を入力し、[監査ログ]、[運用ログ]、[デバイスのコンプライアンス組織] を選択します。
- ログをストレージ アカウントに保存する手順は次のとおりです。
- [ストレージ アカウントにアーカイブ] を選択します。
- 既存のサブスクリプションとストレージ アカウントを選択します。
ストレージ アカウントにログを保存するには、Azure Storage の認証情報が必要です。詳細については、Azure Storage 認証情報をご覧ください。
Google Security Operations でフィードを構成して Microsoft Intune のログを取り込む
- [SIEM 設定] > [フィード] に移動します。
- [Add New] をクリックします。
- [フィールド名] に一意の名前を入力します。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Microsoft Intune] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- OAuth クライアント ID: OAuth 2.0 クライアント ID を指定します。
- OAuth クライアント シークレット: クライアント ID に関連付けられたシークレットを指定します。
- テナント ID: Microsoft テナント ID を指定します。
- [次へ] をクリックしてから、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operationsfeeds のドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。
フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、Microsoft MDM ログを JSON 形式で処理し、UDM に変換します。フィールドを抽出し、日付の形式を処理し、特定の MDM アクティビティを UDM イベントタイプにマッピングして、ユーザー情報やデバイス情報などの追加コンテキストでデータを拡充します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
activityDateTime |
metadata.event_timestamp |
元のログの activityDateTime フィールドが解析され、年、月、日、時、分、秒、タイムゾーンが抽出されます。抽出されたコンポーネントは、UDM でタイムスタンプを作成するために使用されます。 |
activityType |
metadata.product_event_type |
直接マッピングされます。 |
actor.applicationDisplayName |
principal.application |
直接マッピングされます。 |
actor.userId |
principal.user.product_object_id |
直接マッピングされます。 |
actor.userPrincipalName |
principal.user.userid |
直接マッピングされます。 |
category |
additional.fields[category].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「category」です。 |
displayName |
target.application |
直接マッピングされます。場合によっては、パーサー内の追加のロジックによって、activityType に基づいて値が決定されます。 |
metadata.log_type |
「AZURE_MDM_INTUNE」にハードコードされています。「AZURE MDM INTUNE」にハードコードされています。「Microsoft」にハードコードされています。activityResult から取得されます。「Success」は「ACTIVE」に、「Failure」は「PENDING_DECOMISSION」にマッピングされます。event_type が「USER_RESOURCE_DELETION」の場合、これは「DECOMISSIONED」に設定されます。「MICROSOFT_AZURE」にハードコードされています。 |
|
resources.0.modifiedProperties.0.displayName |
target.asset.software.name |
このフィールドは target.asset.software.name にマッピングされる場合もあります。他の resources.0.modifiedProperties.N.displayName フィールドは、activityType に応じて target.asset 内の追加の software オブジェクトにマッピングされることもあります。 |
resources.0.modifiedProperties.N.newValue |
principal.user.attribute.roles.name |
場合によっては、これらのフィールドがロール情報の入力に使用されます。 |
resources.0.modifiedProperties.N.displayName |
principal.user.attribute.roles.description |
場合によっては、これらのフィールドがロール情報の入力に使用されます。 |
resources.0.resourceId |
target.resource.id |
直接マッピングされます。 |
resources.0.type |
target.resource.name |
直接マッピングされます。 |
resources.1.modifiedProperties.N.displayName |
target.asset.software.name |
このフィールドは target.asset.software.name にマッピングされる場合もあります。 |
properties.AADTenantId |
additional.fields[AADTenantId].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「AADTenantId」です。 |
properties.Actor.Application |
principal.application |
直接マッピングされます。 |
properties.Actor.UPN |
principal.user.userid |
直接マッピングされます。 |
properties.BatchId |
metadata.product_log_id |
直接マッピングされます。 |
properties.ComplianceState |
additional.fields[ComplianceState].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「ComplianceState」です。 |
properties.DeviceId |
principal.asset.asset_id、principal.asset_id |
接頭辞「Device ID:」でマッピングされます。 |
properties.DeviceHealthThreatLevel_loc |
additional.fields[DeviceHealthThreatLevel_loc].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「DeviceHealthThreatLevel_loc」です。 |
properties.DeviceName |
principal.hostname、principal.asset.hostname |
直接マッピングされます。 |
properties.InGracePeriodUntil |
additional.fields[InGracePeriodUntil].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「InGracePeriodUntil」です。 |
properties.IntuneAccountId |
additional.fields[IntuneAccountId].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「IntuneAccountId」です。 |
properties.LastContact |
additional.fields[LastContact].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「LastContact」です。 |
properties.ManagementAgents |
additional.fields[ManagementAgents].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「ManagementAgents」です。 |
properties.ManagementAgents_loc |
additional.fields[ManagementAgents_loc].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「ManagementAgents_loc」です。 |
properties.OS |
principal.platform |
大文字に変換した後にマッピングされます。「MACOS」または「MAC」は「MAC」にマッピングされます。「WINDOWS」は「WINDOWS」にマッピングされます。「LINUX」は「LINUX」にマッピングされます。 |
properties.OSDescription |
security_result.detection_fields[OSDescription].value |
security_result.detection_fields 配列内の文字列値として直接マッピングされ、キーは「OSDescription」です。 |
properties.OSVersion |
principal.platform_version |
直接マッピングされます。 |
properties.OS_loc |
security_result.detection_fields[OS_loc].value |
security_result.detection_fields 配列内の文字列値として直接マッピングされ、キーは「OS_loc」です。 |
properties.RetireAfterDatetime |
additional.fields[RetireAfterDatetime].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「RetireAfterDatetime」です。 |
properties.SerialNumber |
principal.asset.hardware.serial_number |
直接マッピングされます。 |
properties.SessionId |
network.session_id |
直接マッピングされます。 |
properties.UserEmail |
principal.user.email_addresses |
直接マッピングされます。 |
properties.UserName |
principal.user.user_display_name |
直接マッピングされます。 |
tenantId |
additional.fields[tenantId].value.string_value |
additional.fields 配列内の文字列値として直接マッピングされ、キーは「tenantId」です。 |
time |
metadata.event_timestamp |
未加工ログの time フィールドが解析され、タイムスタンプ コンポーネントが抽出されます。これらのコンポーネントは、UDM でタイムスタンプを作成するために使用されます。 |
変更
2024-04-10
- 「properties.Actor.Application」を「principal.application」にマッピングしました。
- 「properties.Actor.UPN」を「principal.user.userid」にマッピングしました。
- 「operationName」を「metadata.product_event_type」にマッピングしました。
- 「identity」を「target.user.email_addresses」にマッピングしました。
- 「identity」と「user_id」を「target.user.userid」にマッピングしました。
- 「properties.DeviceName」を「principal.hostname」と「principal.asset.hostname」にマッピングしました。
- 「properties.UserEmail」を「principal.user.email_addresses」にマッピングしました。
- 「properties.SerialNumber」を「_hardware.serial_number」にマッピングしました。
- 「_hardware」を「principal.asset.hardware」にマッピングしました。
- 「properties.UserName」を「principal.user.user_display_name」にマッピングしました。
- 「properties.OS」を「principal.platform」にマッピングしました。
- 「properties.OSVersion」を「principal.platform_version」にマッピングしました。
- 「properties.DeviceId」を「principal.asset.asset_id」と「principal.asset_id」にマッピングしました。
- 「properties.BatchId」を「metadata.product_log_id」にマッピングしました。
- 「tenantId」、「properties.IntuneAccountId」、「properties.AADTenantId」、「properties.LastContact」、「properties.DeviceHealthThreatLevel_loc」、「properties.ComplianceState」、「properties.InGracePeriodUntil」、「properties.RetireAfterDatetime」、「properties.ManagementAgents」、「properties.ManagementAgents_loc」を「additional.fields」にマッピングしました。
- 「properties.OS_loc」と「properties.OSDescription」を「security_result.detection_fields」にマッピングしました。
2022-08-17
- 「event_type」が「USER_RESOURCE_UPDATE_CONTENT」にマッピングされている場合の条件付きチェックを追加しました。
- フィールド「software2」、「software3」、「software4」の条件付きチェックを追加し、「target.asset.software」にマッピングしました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。