Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Microsoft Azure MDM (Mobile Device Management) Intune

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Microsoft Intune para o Google Security Operations através da API ou do armazenamento de blobs. O analisador processa os registos, transformando-os num modelo de dados unificado (UDM). Extrai campos, mapeia-os para atributos UDM, processa vários tipos de atividade (criar, eliminar, aplicar patch, ação) e enriquece os dados com contexto adicional, como informações do dispositivo, detalhes do utilizador e resultados de segurança. Também executa uma lógica específica para operações "Reprovision CloudPCModel" e processa diferentes cenários de identidade.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Inquilino do Azure ativo
Acesso privilegiado ao Azure
Acesso privilegiado ao Microsoft Intune

Configure o carregamento de registos através do Azure Storage

Esta secção descreve o processo de configuração do carregamento de registos do Azure Storage, o que lhe permite recolher e analisar eficazmente os registos do Microsoft Intune.

Configure a conta de armazenamento do Azure

Na consola do Azure, pesquise Contas de armazenamento.
Clique em Criar.
Especifique valores para os seguintes parâmetros de entrada:
- Subscrição: selecione a subscrição.
- Grupo de recursos: selecione o grupo de recursos.
- Região: selecione a região.
- Desempenho: selecione o desempenho escolhido (recomendado o padrão).
- Redundância: selecione a redundância escolhida (GRS ou LRS recomendado).
- Nome da conta de armazenamento: introduza um nome para a nova conta de armazenamento.
Clique em Rever + criar.
Reveja a vista geral da conta e clique em Criar.
Na página Vista geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança + rede.
Clique em Mostrar junto a key1 ou key2.
Clique em Copiar para a área de transferência para copiar a chave.
Guarde a chave num local seguro para referência futura.
Na página Vista geral da conta de armazenamento, selecione o submenu Pontos finais em Definições.
Clique em Copiar para a área de transferência para copiar o URL do ponto final do serviço Blob (por exemplo, https://<storageaccountname>.blob.core.windows.net).
Guarde o URL do ponto final num local seguro para referência futura.

Configure a exportação de registos para registos do Microsoft Intune

Inicie sessão na IU da Web do Microsoft Intune.
Aceda a Relatórios > Definições de diagnóstico.
Clique em + Adicionar definição de diagnóstico.
Indique os seguintes detalhes de configuração:
- Nome da definição de diagnóstico: introduza um nome descritivo (por exemplo, Intune logs to Google SecOps)
- Selecione as definições de diagnóstico para AuditLogs, OperationalLogs, DeviceComplianceOrg e Devices.
- Selecione a caixa de verificação Arquivar numa conta de armazenamento como destino.
- Especifique a Subscrição e a Conta de armazenamento.
Clique em Guardar.

Configure feeds

Para configurar um feed, siga estes passos:

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed.
No campo Nome do feed, introduza um nome para o feed (por exemplo, Azure Storage Audit Logs).
Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
Selecione Azure Storage Audit como o Tipo de registo.
Clicar em Seguinte.
Especifique valores para os seguintes parâmetros de entrada:
- URI do Azure: o URL do ponto final do blob.
  
  ENDPOINT_URL/BLOB_NAME
  
  Substitua o seguinte:
  - ENDPOINT_URL: o URL do ponto final do blob. (https://<storageaccountname>.blob.core.windows.net)
  - BLOB_NAME: o nome do blob. (como <logname>-logs)
- Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
Nota: se selecionar a opção Delete transferred files ou Delete transferred files and empty directories, certifique-se de que concedeu as autorizações adequadas à conta de serviço. * Idade máxima do ficheiro: inclui ficheiros modificados no último número de dias. A predefinição é 180 dias. * Chave partilhada: a chave de acesso ao armazenamento de blobs do Azure.
Clicar em Seguinte.
Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Configure o carregamento de registos através da API

Esta secção detalha os passos iniciais para configurar uma aplicação no Azure Active Directory para ativar o carregamento de registos baseado em API.

Configure uma app no Azure AD

Inicie sessão no portal do Azure.
Opcional: se tiver acesso a vários inquilinos, use a opção Diretórios + subscrições no menu superior para mudar para o inquilino correto.
Pesquise e selecione Azure Active Directory.
Aceda a Gerir > Registo de apps > Novo registo.
Indique os seguintes detalhes de configuração:
- Introduza um nome a apresentar para a aplicação.
- Especifique quem pode aceder à aplicação.
- Opcional: não introduza nada para o URI de redirecionamento.
- Clique em Registar.
Copie e guarde o ID (de cliente) da aplicação e o ID (do inquilino) do diretório no ecrã Vista geral.

Configure o segredo do cliente

Em Registos de apps, selecione a nova aplicação.
Aceda a Gerir > Certificados e segredos > Segredos do cliente > Novo segredo do cliente.
Adicione um nome para o segredo do cliente.
Adicione um período de validade de 2 anos para o segredo ou especifique um período personalizado.
Clique em Adicionar.
Copie e guarde o valor secreto.

Configure as autorizações da app

Em Registo de apps, selecione a nova aplicação.
Aceda a Gerir > Autorizações da API > Adicionar uma autorização.
Selecione Microsoft Graph.
Adicione as seguintes autorizações de aplicação:
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementRBAC.Read.All
- DeviceManagementServiceConfig.Read.All
- AuditLog.Read.All
- Device.Read.All
Clique em Adicionar autorizações.

Configure um feed no Google SecOps para carregar registos do Microsoft Intune

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo.
No campo Nome do feed, introduza um nome para o feed (por exemplo, Registos do Microsoft Intune).
Selecione API de terceiros como o Tipo de origem.
Selecione Microsoft Intune como o Tipo de registo.
Clicar em Seguinte.
Especifique valores para os seguintes parâmetros de entrada:
- ID de cliente OAuth: introduza o ID da aplicação copiado anteriormente.
- Segredo do cliente OAuth: introduza o valor secreto criado anteriormente.
- ID do inquilino: introduza o ID do diretório copiado anteriormente.
- Espaço de nomes do recurso: o [espaço de nomes do recurso] (/chronicle/docs/investigation/asset-namespaces).
- Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
Clicar em Seguinte.
Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
`AADTenantId`	`event.idm.read_only_udm.additional.fields.value.string_value`	O valor de `properties.AADTenantId` do registo não processado é mapeado para este campo da UDM. É criada uma etiqueta com a chave "AADTenantId".
`activityDateTime`	`event.idm.read_only_udm.metadata.event_timestamp`	O campo `activityDateTime` é analisado para extrair o ano, o mês, o dia, a hora, os minutos, os segundos e o fuso horário. Estes campos extraídos são usados para construir o `event_timestamp`.
`activityType`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeados diretamente para os dados do utilizador detalhados.
`actor.applicationDisplayName`	`event.idm.read_only_udm.principal.application`	Mapeados diretamente para os dados do utilizador detalhados.
`actor.userId`	`event.idm.read_only_udm.principal.user.product_object_id`	Mapeados diretamente para os dados do utilizador detalhados.
`actor.userPrincipalName`	`event.idm.read_only_udm.principal.user.userid`	Mapeados diretamente para os dados do utilizador detalhados.
`category`	`event.idm.read_only_udm.additional.fields.value.string_value`	O valor de `category` do registo não processado é mapeado para este campo da UDM. É criada uma etiqueta com a chave "category".
	`event.idm.read_only_udm.metadata.event_type`	Derivado pelo analisador com base no elemento `activityOperationType` e noutros campos. Os valores possíveis incluem `USER_RESOURCE_UPDATE_CONTENT`, `USER_RESOURCE_DELETION`, `USER_RESOURCE_CREATION`, `USER_UNCATEGORIZED`, `STATUS_UPDATE` e `GENERIC_EVENT`. Codificado como "AZURE_MDM_INTUNE". Codificado de forma rígida para "AZURE MDM INTUNE". Codificado de forma rígida para "Microsoft". Derivada. O valor é definido como "Device ID:" concatenado com o valor de `properties.DeviceId`. O valor de `properties.SerialNumber` do registo não processado é mapeado para este campo da UDM. O valor de `properties.DeviceName` do registo não processado é mapeado para este campo da UDM. Derivado pelo analisador com base em vários campos, incluindo `DeviceManagementAPIName`, `software1_name`, `software2.name`, `software3.name` e `software4.name`. Podem ser criadas várias entradas de software. O valor de `properties.DeviceName` do registo não processado é mapeado para este campo da UDM. Derivada pelo analisador com base no campo `properties.OS`. Os valores possíveis são "WINDOWS", "LINUX" e "MAC". O valor de `properties.OSVersion` do registo não processado é mapeado para este campo da UDM. O valor do campo `displayName` na matriz `modifiedProperties` da matriz `resources` é mapeado para este campo da UDM. O valor do campo `newValue` na matriz `modifiedProperties` da matriz `resources` é mapeado para este campo da UDM. O valor de `properties.UserEmail`, `user_identity` ou `ident.UPN.0.Identity` do registo não processado é mapeado para este campo de UDM. O valor de `properties.UserName` do registo não processado é mapeado para este campo da UDM. A chave pode ser `OS_loc` ou `OSDescription`. O valor de `properties.OS_loc` ou `properties.OSDescription` do registo não processado é mapeado para este campo de UDM. Derivado pelo analisador com base em vários campos, incluindo `resources.0.displayName` e `activityType`. Derivado pelo analisador com base nos campos `activityResult` e `event_type`. Os valores possíveis incluem `ACTIVE`, `PENDING_DECOMISSION`, `DECOMISSIONED` e `DEPLOYMENT_STATUS_UNSPECIFIED`. Codificado de forma rígida como "MICROSOFT_AZURE". O valor de `resources.0.resourceId` do registo não processado é mapeado para este campo da UDM. O valor de `resources.0.type` do registo não processado é mapeado para este campo da UDM. Derivado pelo analisador com base em vários campos, incluindo `resources.0.type` e `activityType`. Os valores possíveis incluem `DEVICE`, `ACCESS_POLICY` e `TASK`. O valor de `upn_identity` do registo não processado é mapeado para este campo da UDM. O valor de `user_identity` ou `user_id` do registo não processado é mapeado para este campo de UDM.
`properties.BatchId`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeados diretamente para os dados do utilizador detalhados.
`resources.0.resourceId`	`event.idm.read_only_udm.target.resource.id`	Mapeados diretamente para os dados do utilizador detalhados.
`resources.0.type`	`event.idm.read_only_udm.target.resource.name`	Mapeados diretamente para os dados do utilizador detalhados.
`tenantId`	`event.idm.read_only_udm.additional.fields.value.string_value`	O valor de `tenantId` do registo não processado é mapeado para este campo da UDM. É criada uma etiqueta com a chave "tenantId".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.