このページは Cloud Translation API によって翻訳されました。

Microsoft Intune のログを収集する

以下でサポートされています。

Google SecOpsSIEM

このドキュメントでは、Google Security Operations フィードを設定して Microsoft Intune のログを収集する方法について説明します。

詳細については、Google Security Operations へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル AZURE_MDM_INTUNE が付加されたパーサーに適用されます。

始める前に

このページのタスクを完了するには、次のものが必要です。

ログインできる Azure サブスクリプション。
Azure の Microsoft Intune 環境（テナント）。
Intune テナントのグローバル管理者ロールまたは Intune サービス管理者ロール。

Microsoft Intune を構成する

Microsoft Endpoint Manager 管理センターにログインします。
[レポート] > [診断設定] を選択します。
診断設定の名前を入力します（例: Route audit logs to storage account）。
診断設定に初めてアクセスするには、[診断を有効にする] をクリックします。
[診断設定] ウィンドウで適切な名前を入力し、[監査ログ]、[運用ログ]、[デバイスのコンプライアンス組織] を選択します。
ログをストレージアカウントに保存する手順は次のとおりです。
1. [ストレージアカウントにアーカイブ] を選択します。
2. 既存のサブスクリプションとストレージアカウントを選択します。

ストレージアカウントにログを保存するには、Azure Storage の認証情報が必要です。詳細については、Azure Storage 認証情報をご覧ください。

Microsoft Intune のログを取り込むように Google Security Operations でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[Add New] をクリックします。
[フィールド名] に一意の名前を入力します。
[ソースタイプ] として [サードパーティ API] を選択します。
[ログタイプ] として [Microsoft Intune] を選択します。
[次へ] をクリックします。
次の必須入力パラメータを構成します。
- OAuth クライアント ID: OAuth 2.0 クライアント ID を指定します。
- OAuth クライアントシークレット: クライアント ID に関連付けられたシークレットを指定します。
- テナント ID: Microsoft テナント ID を指定します。
[次へ] をクリックしてから、[送信] をクリックします。

Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。

フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

フィールドマッピングリファレンス

このパーサーは、Microsoft MDM ログを JSON 形式で処理し、UDM に変換します。フィールドを抽出し、日付の形式を処理し、特定の MDM アクティビティを UDM イベントタイプにマッピングし、ユーザー情報やデバイス情報などの追加コンテキストでデータを拡充します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`activityDateTime`	`metadata.event_timestamp`	元のログの `activityDateTime` フィールドが解析され、年、月、日、時、分、秒、タイムゾーンが抽出されます。抽出されたコンポーネントは、UDM でタイムスタンプを作成するために使用されます。
`activityType`	`metadata.product_event_type`	直接マッピング。
`actor.applicationDisplayName`	`principal.application`	直接マッピング。
`actor.userId`	`principal.user.product_object_id`	直接マッピング。
`actor.userPrincipalName`	`principal.user.userid`	直接マッピング。
`category`	`additional.fields[category].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「category」です。
`displayName`	`target.application`	直接マッピング。場合によっては、パーサー内の追加のロジックによって、`activityType` に基づいて値が決定されます。
	`metadata.log_type`	「AZURE_MDM_INTUNE」にハードコードされています。「AZURE MDM INTUNE」にハードコードされています。「Microsoft」にハードコードされています。`activityResult` から派生した値。「Success」は「ACTIVE」に、「Failure」は「PENDING_DECOMISSION」にマッピングされます。`event_type` が「USER_RESOURCE_DELETION」の場合、これは「DECOMISSIONED」に設定されます。「MICROSOFT_AZURE」にハードコードされています。
`resources.0.modifiedProperties.0.displayName`	`target.asset.software.name`	このフィールドは `target.asset.software.name` にマッピングされる場合もあります。他の `resources.0.modifiedProperties.N.displayName` フィールドは、`activityType` に応じて `target.asset` 内の追加の `software` オブジェクトにマッピングされることもあります。
`resources.0.modifiedProperties.N.newValue`	`principal.user.attribute.roles.name`	場合によっては、これらのフィールドがロール情報の入力に使用されます。
`resources.0.modifiedProperties.N.displayName`	`principal.user.attribute.roles.description`	場合によっては、これらのフィールドがロール情報の入力に使用されます。
`resources.0.resourceId`	`target.resource.id`	直接マッピング。
`resources.0.type`	`target.resource.name`	直接マッピング。
`resources.1.modifiedProperties.N.displayName`	`target.asset.software.name`	このフィールドは `target.asset.software.name` にマッピングされる場合があります。
`properties.AADTenantId`	`additional.fields[AADTenantId].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「AADTenantId」です。
`properties.Actor.Application`	`principal.application`	直接マッピング。
`properties.Actor.UPN`	`principal.user.userid`	直接マッピング。
`properties.BatchId`	`metadata.product_log_id`	直接マッピング。
`properties.ComplianceState`	`additional.fields[ComplianceState].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「ComplianceState」です。
`properties.DeviceId`	`principal.asset.asset_id`、`principal.asset_id`	接頭辞「Device ID:」でマッピングされます。
`properties.DeviceHealthThreatLevel_loc`	`additional.fields[DeviceHealthThreatLevel_loc].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「DeviceHealthThreatLevel_loc」です。
`properties.DeviceName`	`principal.hostname`、`principal.asset.hostname`	直接マッピング。
`properties.InGracePeriodUntil`	`additional.fields[InGracePeriodUntil].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「InGracePeriodUntil」です。
`properties.IntuneAccountId`	`additional.fields[IntuneAccountId].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「IntuneAccountId」です。
`properties.LastContact`	`additional.fields[LastContact].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「LastContact」です。
`properties.ManagementAgents`	`additional.fields[ManagementAgents].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「ManagementAgents」です。
`properties.ManagementAgents_loc`	`additional.fields[ManagementAgents_loc].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「ManagementAgents_loc」です。
`properties.OS`	`principal.platform`	大文字に変換した後にマッピングされます。「MACOS」または「MAC」は「MAC」にマッピングされます。「WINDOWS」は「WINDOWS」にマッピングされます。「LINUX」は「LINUX」にマッピングされます。
`properties.OSDescription`	`security_result.detection_fields[OSDescription].value`	`security_result.detection_fields` 配列内の文字列値として直接マッピングされ、キーは「OSDescription」です。
`properties.OSVersion`	`principal.platform_version`	直接マッピング。
`properties.OS_loc`	`security_result.detection_fields[OS_loc].value`	`security_result.detection_fields` 配列内の文字列値として直接マッピングされ、キーは「OS_loc」です。
`properties.RetireAfterDatetime`	`additional.fields[RetireAfterDatetime].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「RetireAfterDatetime」です。
`properties.SerialNumber`	`principal.asset.hardware.serial_number`	直接マッピング。
`properties.SessionId`	`network.session_id`	直接マッピング。
`properties.UserEmail`	`principal.user.email_addresses`	直接マッピング。
`properties.UserName`	`principal.user.user_display_name`	直接マッピング。
`tenantId`	`additional.fields[tenantId].value.string_value`	`additional.fields` 配列内の文字列値として直接マッピングされ、キーは「tenantId」です。
`time`	`metadata.event_timestamp`	未加工ログの `time` フィールドが解析され、タイムスタンプコンポーネントが抽出されます。これらのコンポーネントは、UDM でタイムスタンプを作成するために使用されます。

変更点

2024-04-10

「properties.Actor.Application」を「principal.application」にマッピングしました。
「properties.Actor.UPN」を「principal.user.userid」にマッピングしました。
「operationName」を「metadata.product_event_type」にマッピングしました。
「identity」を「target.user.email_addresses」にマッピングしました。
「identity」と「user_id」を「target.user.userid」にマッピングしました。
「properties.DeviceName」を「principal.hostname」と「principal.asset.hostname」にマッピングしました。
「properties.UserEmail」を「principal.user.email_addresses」にマッピングしました。
「properties.SerialNumber」を「_hardware.serial_number」にマッピングしました。
「_hardware」を「principal.asset.hardware」にマッピングしました。
「properties.UserName」を「principal.user.user_display_name」にマッピングしました。
「properties.OS」を「principal.platform」にマッピングしました。
「properties.OSVersion」を「principal.platform_version」にマッピングしました。
「properties.DeviceId」を「principal.asset.asset_id」と「principal.asset_id」にマッピングしました。
「properties.BatchId」を「metadata.product_log_id」にマッピングしました。
「tenantId」、「properties.IntuneAccountId」、「properties.AADTenantId」、「properties.LastContact」、「properties.DeviceHealthThreatLevel_loc」、「properties.ComplianceState」、「properties.InGracePeriodUntil」、「properties.RetireAfterDatetime」、「properties.ManagementAgents」、「properties.ManagementAgents_loc」を「additional.fields」にマッピングしました。
「properties.OS_loc」と「properties.OSDescription」を「security_result.detection_fields」にマッピングしました。

2022-08-17

「event_type」が「USER_RESOURCE_UPDATE_CONTENT」にマッピングされている場合の条件付きチェックを追加しました。
フィールド「software2」、「software3」、「software4」の条件付きチェックを追加し、「target.asset.software」にマッピングしました。