Microsoft Azure MDM (모바일 기기 관리) Intune 로그 수집

다음에서 지원:

이 문서에서는 API 또는 Blob Storage를 사용하여 Microsoft Intune 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 로그를 처리하여 통합 데이터 모델 (UDM)로 변환합니다. 필드를 추출하고 UDM 속성에 매핑하며 다양한 활동 유형 (생성, 삭제, 패치, 작업)을 처리하고 기기 정보, 사용자 세부정보, 보안 결과와 같은 추가 컨텍스트로 데이터를 보강합니다. 또한 'Reprovision CloudPCModel' 작업에 대한 특정 로직을 실행하고 다양한 ID 시나리오를 처리합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • 활성 Azure 테넌트
  • Azure에 대한 액세스 권한 관리
  • Microsoft Intune에 대한 액세스 권한 관리

Azure Storage를 사용하여 로그 수집 구성

이 섹션에서는 Azure Storage에서 로그 수집을 구성하는 프로세스를 설명합니다. 이를 통해 Microsoft Intune에서 로그를 효과적으로 수집하고 분석할 수 있습니다.

Azure 스토리지 계정 구성

  1. Azure 콘솔에서 스토리지 계정을 검색합니다.
  2. 만들기를 클릭합니다.
  3. 다음 입력 파라미터의 값을 지정합니다.
    • 구독: 구독을 선택합니다.
    • 리소스 그룹: 리소스 그룹을 선택합니다.
    • 리전: 리전을 선택합니다.
    • 성능: 선택한 성능을 선택합니다 (표준 권장).
    • 중복성: 선택한 중복성 (GRS 또는 LRS 권장)을 선택합니다.
    • 스토리지 계정 이름: 새 스토리지 계정의 이름을 입력합니다.
  4. 검토 + 만들기를 클릭합니다.
  5. 계정 개요를 검토하고 만들기를 클릭합니다.
  6. 스토리지 계정 개요 페이지의 보안 + 네트워킹에서 하위 메뉴 액세스 키를 선택합니다.
  7. key1 또는 key2 옆에 있는 표시를 클릭합니다.
  8. 클립보드에 복사를 클릭하여 키를 복사합니다.
  9. 나중에 참고할 수 있도록 키를 안전한 위치에 저장합니다.
  10. 스토리지 계정 개요 페이지의 설정에서 하위 메뉴 엔드포인트를 선택합니다.
  11. 클립보드에 복사를 클릭하여 Blob 서비스 엔드포인트 URL(예: https://<storageaccountname>.blob.core.windows.net)을 복사합니다.
  12. 나중에 참조할 수 있도록 엔드포인트 URL을 안전한 위치에 저장합니다.

Microsoft Intune 로그의 로그 내보내기 구성

  1. Microsoft Intune 웹 UI에 로그인합니다.
  2. 보고서 > 진단 설정으로 이동합니다.
  3. + 진단 설정 추가를 클릭합니다.
  4. 다음 구성 세부정보를 제공합니다.
    • 진단 설정 이름: 설명이 포함된 이름 (예: Intune logs to Google SecOps)을 입력합니다.
    • AuditLogs, OperationalLogs, DeviceComplianceOrg, Devices의 진단 설정을 선택합니다.
    • 스토리지 계정에 아카이브 체크박스를 대상으로 선택합니다.
    • 구독스토리지 계정을 지정합니다.
  5. 저장을 클릭합니다.

피드 설정

피드를 구성하려면 다음 단계를 따르세요.

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다 (예: Azure Storage Audit Logs).
  5. 소스 유형으로 Microsoft Azure Blob Storage V2를 선택합니다.
  6. 로그 유형으로 Azure Storage 감사 로그를 선택합니다.
  7. 다음을 클릭합니다.

  8. 다음 입력 매개변수의 값을 지정합니다.

    • Azure URI: blob 엔드포인트 URL입니다.

      ENDPOINT_URL/BLOB_NAME

      다음을 바꿉니다.

      • ENDPOINT_URL: blob 엔드포인트 URL입니다. (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: Blob의 이름입니다. (예: <logname>-logs)

    • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.

  9. 다음을 클릭합니다.

  10. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

API를 사용하여 로그 수집 구성

이 섹션에서는 API 기반 로그 수집을 사용 설정하기 위해 Azure Active Directory 내에서 애플리케이션을 설정하는 초기 단계를 자세히 설명합니다.

Azure AD에서 앱 구성

  1. Azure Portal에 로그인합니다.
  2. 선택사항: 여러 테넌트에 대한 액세스 권한이 있는 경우 상단 메뉴의 디렉터리 + 구독을 사용하여 올바른 테넌트로 전환합니다.
  3. Azure Active Directory를 검색하여 선택합니다.
  4. 관리 > 앱 등록 > 새 등록으로 이동합니다.
  5. 다음 구성 세부정보를 제공합니다.
    • 애플리케이션의 표시 이름을 입력합니다.
    • 애플리케이션에 액세스할 수 있는 사용자를 지정합니다.
    • 선택사항: 리디렉션 URI에 아무것도 입력하지 않습니다.
    • 등록을 클릭합니다.
  6. 개요 화면에서 애플리케이션 (클라이언트) ID디렉터리 (테넌트) ID를 복사하여 저장합니다.

클라이언트 보안 비밀번호 구성

  1. 앱 등록에서 새 애플리케이션을 선택합니다.
  2. 관리 > 인증서 및 보안 비밀 > 클라이언트 보안 비밀 > 새 클라이언트 보안 비밀로 이동합니다.
  3. 클라이언트 보안 비밀의 이름을 추가합니다.
  4. 보안 비밀의 만료 기간을 2년으로 추가하거나 맞춤 기간을 지정합니다.
  5. 추가를 클릭합니다.
  6. Secret Value(보안 비밀 값)를 Copy(복사)하여 Save(저장)합니다.

앱 권한 구성

  1. 앱 등록에서 새 애플리케이션을 선택합니다.
  2. 관리 > API 권한 > 권한 추가로 이동합니다.
  3. Microsoft Graph를 선택합니다.
  4. 다음 애플리케이션 권한을 추가합니다.
    • DeviceManagementApps.Read.All
    • DeviceManagementConfiguration.Read.All
    • DeviceManagementManagedDevices.Read.All
    • DeviceManagementRBAC.Read.All
    • DeviceManagementServiceConfig.Read.All
    • AuditLog.Read.All
    • Device.Read.All
  5. 권한 추가를 클릭합니다.

Microsoft Intune 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 항목 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다 (예: Microsoft Intune 로그).
  4. 소스 유형으로 서드 파티 API를 선택합니다.
  5. 로그 유형으로 Microsoft Intune을 선택합니다.
  6. 다음을 클릭합니다.
  7. 다음 입력 파라미터의 값을 지정합니다.
    • OAuth 클라이언트 ID: 이전에 복사한 애플리케이션 ID를 입력합니다.
    • OAuth 클라이언트 보안 비밀번호: 이전에 만든 보안 비밀 값을 입력합니다.
    • 테넌트 ID: 이전에 복사한 디렉터리 ID를 입력합니다.
    • 애셋 네임스페이스: [애셋 네임스페이스] (/chronicle/docs/investigation/asset-namespaces)입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
  8. 다음을 클릭합니다.
  9. 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
AADTenantId event.idm.read_only_udm.additional.fields.value.string_value 원시 로그의 properties.AADTenantId 값이 이 UDM 필드에 매핑됩니다. 키가 'AADTenantId'인 라벨이 생성됩니다.
activityDateTime event.idm.read_only_udm.metadata.event_timestamp activityDateTime 필드가 파싱되어 연도, 월, 일, 시간, 분, 초, 시간대가 추출됩니다. 추출된 필드는 event_timestamp를 구성하는 데 사용됩니다.
activityType event.idm.read_only_udm.metadata.product_event_type UDM에 직접 매핑됩니다.
actor.applicationDisplayName event.idm.read_only_udm.principal.application UDM에 직접 매핑됩니다.
actor.userId event.idm.read_only_udm.principal.user.product_object_id UDM에 직접 매핑됩니다.
actor.userPrincipalName event.idm.read_only_udm.principal.user.userid UDM에 직접 매핑됩니다.
category event.idm.read_only_udm.additional.fields.value.string_value 원시 로그의 category 값이 이 UDM 필드에 매핑됩니다. 키가 'category'인 라벨이 생성됩니다.
event.idm.read_only_udm.metadata.event_type 파서가 activityOperationType 및 기타 필드를 기반으로 파생합니다. 가능한 값은 USER_RESOURCE_UPDATE_CONTENT, USER_RESOURCE_DELETION, USER_RESOURCE_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE, GENERIC_EVENT입니다. 'AZURE_MDM_INTUNE'으로 하드코딩됩니다. 'AZURE MDM INTUNE'으로 하드코딩됩니다. 'Microsoft'로 하드코딩됩니다. 파생됨 이 값은 properties.DeviceId 값과 연결된 'Device ID:'로 설정됩니다. 원시 로그의 properties.SerialNumber 값이 이 UDM 필드에 매핑됩니다. 원시 로그의 properties.DeviceName 값이 이 UDM 필드에 매핑됩니다. DeviceManagementAPIName, software1_name, software2.name, software3.name, software4.name을 비롯한 여러 필드를 기반으로 파서에 의해 파생됩니다. 여러 소프트웨어 항목을 만들 수 있습니다. 원시 로그의 properties.DeviceName 값이 이 UDM 필드에 매핑됩니다. 파서가 properties.OS 필드를 기반으로 파생합니다. 가능한 값은 'WINDOWS', 'LINUX', 'MAC'입니다. 원시 로그의 properties.OSVersion 값이 이 UDM 필드에 매핑됩니다. resources 배열의 modifiedProperties 배열 내 displayName 필드의 값이 이 UDM 필드에 매핑됩니다. resources 배열의 modifiedProperties 배열 내 newValue 필드의 값이 이 UDM 필드에 매핑됩니다. 원시 로그의 properties.UserEmail 또는 user_identity 또는 ident.UPN.0.Identity 값이 이 UDM 필드에 매핑됩니다. 원시 로그의 properties.UserName 값이 이 UDM 필드에 매핑됩니다. 키는 OS_loc 또는 OSDescription일 수 있습니다. 원시 로그의 properties.OS_loc 또는 properties.OSDescription 값이 이 UDM 필드에 매핑됩니다. 파서가 resources.0.displayName, activityType 등 여러 필드를 기반으로 파생합니다. 파서가 activityResultevent_type 필드를 기반으로 파생합니다. 가능한 값은 ACTIVE, PENDING_DECOMISSION, DECOMISSIONED, DEPLOYMENT_STATUS_UNSPECIFIED입니다. 'MICROSOFT_AZURE'로 하드코딩됩니다. 원시 로그의 resources.0.resourceId 값이 이 UDM 필드에 매핑됩니다. 원시 로그의 resources.0.type 값이 이 UDM 필드에 매핑됩니다. 파서가 resources.0.type, activityType 등 여러 필드를 기반으로 파생합니다. 가능한 값에는 DEVICE, ACCESS_POLICY, TASK이 포함됩니다. 원시 로그의 upn_identity 값이 이 UDM 필드에 매핑됩니다. 원시 로그의 user_identity 또는 user_id 값이 이 UDM 필드에 매핑됩니다.
properties.BatchId event.idm.read_only_udm.metadata.product_log_id UDM에 직접 매핑됩니다.
resources.0.resourceId event.idm.read_only_udm.target.resource.id UDM에 직접 매핑됩니다.
resources.0.type event.idm.read_only_udm.target.resource.name UDM에 직접 매핑됩니다.
tenantId event.idm.read_only_udm.additional.fields.value.string_value 원시 로그의 tenantId 값이 이 UDM 필드에 매핑됩니다. 키가 'tenantId'인 라벨이 생성됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.