Microsoft Intune 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 피드를 설정하여 Microsoft Intune 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참고하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 AZURE_MDM_INTUNE 수집 라벨이 있는 파서에 적용됩니다.
시작하기 전에
이 페이지의 태스크를 완료하려면 다음이 있어야 합니다.
로그인할 수 있는 Azure 구독입니다.
Azure의 Microsoft Intune 환경 (테넌트)
Intune 테넌트의 전역 관리자 또는 Intune 서비스 관리자 역할
Microsoft Intune 구성
- Microsoft Endpoint Manager 관리자 센터에 로그인합니다.
- 보고서 > 진단 설정을 선택합니다.
- 진단 설정의 이름을 입력합니다(예:
Route audit logs to storage account). - 진단 설정에 처음 액세스하려면 진단 사용 설정을 클릭합니다.
- 진단 설정 창에 적절한 이름을 입력하고 감사 로그, 운영 로그, 기기 규정 준수 조직을 선택합니다.
- 저장소 계정에 로그를 저장하려면 다음 단계를 따르세요.
- 스토리지 계정에 아카이브를 선택합니다.
- 기존 구독 및 스토리지 계정을 선택합니다.
스토리지 계정에 로그를 저장하려면 Azure 스토리지 사용자 인증 정보가 있어야 합니다. 자세한 내용은 Azure 스토리지 사용자 인증 정보를 참고하세요.
Microsoft Intune 로그를 수집하도록 Google Security Operations에서 피드 구성
- SIEM 설정 > 피드로 이동합니다.
- 새 항목 추가를 클릭합니다.
- 필드 이름의 고유한 이름을 입력합니다.
- 소스 유형으로 서드 파티 API를 선택합니다.
- 로그 유형으로 Microsoft Intune을 선택합니다.
- 다음을 클릭합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- OAuth 클라이언트 ID: OAuth 2.0 클라이언트 ID를 지정합니다.
- OAuth 클라이언트 보안 비밀번호: 클라이언트 ID와 연결된 보안 비밀번호를 지정합니다.
- 테넌트 ID: Microsoft 테넌트 ID를 지정합니다.
- 다음을 클릭한 후 제출을 클릭합니다.
Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참고하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참고하세요.
피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 JSON 형식의 Microsoft MDM 로그를 처리하여 UDM으로 변환합니다. 필드를 추출하고, 날짜 형식을 처리하고, 특정 MDM 활동을 UDM 이벤트 유형에 매핑하고, 사용자 및 기기 정보와 같은 추가 컨텍스트로 데이터를 보강합니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
activityDateTime |
metadata.event_timestamp |
원시 로그의 activityDateTime 필드는 파싱되어 연도, 월, 일, 시간, 분, 초, 시간대를 추출합니다. 그런 다음 추출된 구성요소는 UDM에서 타임스탬프를 생성하는 데 사용됩니다. |
activityType |
metadata.product_event_type |
직접 매핑됩니다. |
actor.applicationDisplayName |
principal.application |
직접 매핑됩니다. |
actor.userId |
principal.user.product_object_id |
직접 매핑됩니다. |
actor.userPrincipalName |
principal.user.userid |
직접 매핑됩니다. |
category |
additional.fields[category].value.string_value |
additional.fields 배열 내에서 '카테고리' 키를 사용하여 문자열 값으로 직접 매핑됩니다. |
displayName |
target.application |
직접 매핑됩니다. 경우에 따라 파서 내의 추가 로직이 activityType를 기반으로 값을 결정합니다. |
metadata.log_type |
'AZURE_MDM_INTUNE'으로 하드코딩됩니다. 'AZURE MDM INTUNE'으로 하드코딩됩니다. 'Microsoft'로 하드코딩됩니다. activityResult에서 파생됩니다. '성공'은 'ACTIVE'에 매핑되고 '실패'는 'PENDING_DECOMISSION'에 매핑됩니다. event_type이 'USER_RESOURCE_DELETION'인 경우 'DECOMISSIONED'로 설정됩니다. 'MICROSOFT_AZURE'로 하드코딩됩니다. |
|
resources.0.modifiedProperties.0.displayName |
target.asset.software.name |
경우에 따라 이 필드는 target.asset.software.name에 매핑됩니다. activityType에 따라 다른 resources.0.modifiedProperties.N.displayName 필드가 target.asset 내의 추가 software 객체에 매핑될 수도 있습니다. |
resources.0.modifiedProperties.N.newValue |
principal.user.attribute.roles.name |
경우에 따라 이러한 필드는 역할 정보를 채우는 데 사용됩니다. |
resources.0.modifiedProperties.N.displayName |
principal.user.attribute.roles.description |
경우에 따라 이러한 필드는 역할 정보를 채우는 데 사용됩니다. |
resources.0.resourceId |
target.resource.id |
직접 매핑됩니다. |
resources.0.type |
target.resource.name |
직접 매핑됩니다. |
resources.1.modifiedProperties.N.displayName |
target.asset.software.name |
경우에 따라 이 필드는 target.asset.software.name에 매핑됩니다. |
properties.AADTenantId |
additional.fields[AADTenantId].value.string_value |
additional.fields 배열 내에서 'AADTenantId' 키를 사용하여 문자열 값으로 직접 매핑됩니다. |
properties.Actor.Application |
principal.application |
직접 매핑됩니다. |
properties.Actor.UPN |
principal.user.userid |
직접 매핑됩니다. |
properties.BatchId |
metadata.product_log_id |
직접 매핑됩니다. |
properties.ComplianceState |
additional.fields[ComplianceState].value.string_value |
additional.fields 배열 내에서 'ComplianceState' 키를 사용하여 문자열 값으로 직접 매핑됩니다. |
properties.DeviceId |
principal.asset.asset_id, principal.asset_id |
'기기 ID:' 접두사로 매핑됩니다. |
properties.DeviceHealthThreatLevel_loc |
additional.fields[DeviceHealthThreatLevel_loc].value.string_value |
additional.fields 배열 내에서 'DeviceHealthThreatLevel_loc' 키로 문자열 값으로 직접 매핑됩니다. |
properties.DeviceName |
principal.hostname, principal.asset.hostname |
직접 매핑됩니다. |
properties.InGracePeriodUntil |
additional.fields[InGracePeriodUntil].value.string_value |
additional.fields 배열 내에서 'InGracePeriodUntil' 키로 문자열 값으로 직접 매핑됩니다. |
properties.IntuneAccountId |
additional.fields[IntuneAccountId].value.string_value |
additional.fields 배열 내에서 'IntuneAccountId' 키를 사용하여 문자열 값으로 직접 매핑됩니다. |
properties.LastContact |
additional.fields[LastContact].value.string_value |
additional.fields 배열 내에서 'LastContact' 키로 문자열 값으로 직접 매핑됩니다. |
properties.ManagementAgents |
additional.fields[ManagementAgents].value.string_value |
additional.fields 배열 내에서 'ManagementAgents' 키로 문자열 값으로 직접 매핑됩니다. |
properties.ManagementAgents_loc |
additional.fields[ManagementAgents_loc].value.string_value |
additional.fields 배열 내에서 'ManagementAgents_loc' 키를 사용하여 문자열 값으로 직접 매핑됩니다. |
properties.OS |
principal.platform |
대문자로 변환한 후 매핑됩니다. 'MACOS' 또는 'MAC'이 'MAC'에 매핑됩니다. 'WINDOWS'가 'WINDOWS'에 매핑됩니다. 'LINUX'가 'LINUX'에 매핑됩니다. |
properties.OSDescription |
security_result.detection_fields[OSDescription].value |
security_result.detection_fields 배열 내에서 'OSDescription' 키로 문자열 값으로 직접 매핑됩니다. |
properties.OSVersion |
principal.platform_version |
직접 매핑됩니다. |
properties.OS_loc |
security_result.detection_fields[OS_loc].value |
security_result.detection_fields 배열 내에서 'OS_loc' 키를 사용하여 문자열 값으로 직접 매핑됩니다. |
properties.RetireAfterDatetime |
additional.fields[RetireAfterDatetime].value.string_value |
additional.fields 배열 내에서 'RetireAfterDatetime' 키로 문자열 값으로 직접 매핑됩니다. |
properties.SerialNumber |
principal.asset.hardware.serial_number |
직접 매핑됩니다. |
properties.SessionId |
network.session_id |
직접 매핑됩니다. |
properties.UserEmail |
principal.user.email_addresses |
직접 매핑됩니다. |
properties.UserName |
principal.user.user_display_name |
직접 매핑됩니다. |
tenantId |
additional.fields[tenantId].value.string_value |
additional.fields 배열 내에서 'tenantId' 키로 문자열 값으로 직접 매핑됩니다. |
time |
metadata.event_timestamp |
원시 로그의 time 필드가 파싱되어 타임스탬프 구성요소가 추출됩니다. 그런 다음 이러한 구성요소는 UDM에서 타임스탬프를 생성하는 데 사용됩니다. |
변경사항
2024-04-10
- 'properties.Actor.Application'이 'principal.application'에 매핑되었습니다.
- 'properties.Actor.UPN'이 'principal.user.userid'에 매핑되었습니다.
- 'operationName'이 'metadata.product_event_type'에 매핑되었습니다.
- 'identity'가 'target.user.email_addresses'에 매핑되었습니다.
- 'identity' 및 'user_id'가 'target.user.userid'에 매핑되었습니다.
- 'properties.DeviceName'이 'principal.hostname' 및 'principal.asset.hostname'에 매핑되었습니다.
- 'properties.UserEmail'이 'principal.user.email_addresses'에 매핑되었습니다.
- 'properties.SerialNumber'가 '_hardware.serial_number'에 매핑되었습니다.
- '_hardware'가 'principal.asset.hardware'에 매핑되었습니다.
- 'properties.UserName'이 'principal.user.user_display_name'에 매핑되었습니다.
- 'properties.OS'가 'principal.platform'에 매핑되었습니다.
- 'properties.OSVersion'이 'principal.platform_version'에 매핑되었습니다.
- 'properties.DeviceId'가 'principal.asset.asset_id' 및 'principal.asset_id'에 매핑되었습니다.
- 'properties.BatchId'가 'metadata.product_log_id'에 매핑되었습니다.
- 'tenantId', 'properties.IntuneAccountId', 'properties.AADTenantId', 'properties.LastContact', 'properties.DeviceHealthThreatLevel_loc', 'properties.ComplianceState', 'properties.InGracePeriodUntil', 'properties.RetireAfterDatetime', 'properties.ManagementAgents', 'properties.ManagementAgents_loc'이 'additional.fields'에 매핑되었습니다.
- 'properties.OS_loc' 및 'properties.OSDescription'이 'security_result.detection_fields'에 매핑되었습니다.
2022-08-17
- 'event_type'이 'USER_RESOURCE_UPDATE_CONTENT'에 매핑되는 경우의 조건부 검사를 추가했습니다.
- 'software2','software3','software4' 필드에 대한 조건부 검사를 추가하고 'target.asset.software'에 매핑했습니다.