Coletar registros do Microsoft Intune

Compatível com:

Este documento descreve como coletar registros do Microsoft Intune configurando um feed do Google Security Operations.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência AZURE_MDM_INTUNE.

Antes de começar

Para concluir as tarefas desta página, confira se você tem o seguinte:

  • Uma assinatura do Azure em que você pode fazer login.

  • Um ambiente do Microsoft Intune (locatário) no Azure.

  • Uma função de administrador global ou administrador de serviços do Intune para o locatário do Intune.

Configurar o Microsoft Intune

  1. Faça login no Centro de Administração do Microsoft Endpoint Manager.
  2. Selecione Relatórios > Configurações de diagnóstico.
  3. Insira um nome para as configurações de diagnóstico, como Route audit logs to storage account.
  4. Para acessar as configurações de diagnóstico pela primeira vez, clique em Ativar o diagnóstico.
  5. Na janela Configuração de diagnóstico, insira um nome adequado e selecione Registros de auditoria, Registros operacionais e Organização de compliance do dispositivo.
  6. Para armazenar registros na conta de armazenamento, faça o seguinte:
    1. Selecione Arquivar em uma conta de armazenamento.
    2. Selecione uma assinatura e uma conta de armazenamento.

Para armazenar registros na conta de armazenamento, você precisa ter credenciais do Armazenamento do Azure. Para mais informações, consulte Credenciais do armazenamento do Azure.

Configurar um feed no Google Security Operations para processar registros do Microsoft Intune

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Add New.
  3. Insira um nome exclusivo para o Nome do campo.
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione Microsoft Intune como o Tipo de registro.
  6. Clique em Próxima.
  7. Configure os seguintes parâmetros de entrada obrigatórios:
    • ID do cliente OAuth: especifique um ID do cliente OAuth 2.0.
    • Chave secreta do cliente OAuth: especifique a chave secreta associada ao ID do cliente.
    • ID do locatário: especifique o ID do locatário do Microsoft.
  8. Clique em Próxima e em Enviar.

Para mais informações sobre os feeds do Google Security Operations, consulte a documentação de feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo.

Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.

Referência do mapeamento de campo

Esse analisador processa os registros do Microsoft MDM no formato JSON, transformando-os em UDM. Ele extrai campos, processa a formatação de data, mapeia atividades específicas do MDM para tipos de eventos do UDM e enriquece os dados com mais contexto, como informações do usuário e do dispositivo.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
activityDateTime metadata.event_timestamp O campo activityDateTime do registro bruto é analisado para extrair o ano, o mês, o dia, a hora, o minuto, o segundo e o fuso horário. Esses componentes extraídos são usados para criar um carimbo de data/hora no UDM.
activityType metadata.product_event_type Mapeado diretamente.
actor.applicationDisplayName principal.application Mapeado diretamente.
actor.userId principal.user.product_object_id Mapeado diretamente.
actor.userPrincipalName principal.user.userid Mapeado diretamente.
category additional.fields[category].value.string_value Mapeado diretamente como um valor de string na matriz additional.fields com a chave "category".
displayName target.application Mapeado diretamente. Em alguns casos, outra lógica no analisador determina o valor com base no activityType.
metadata.log_type Fixado em "AZURE_MDM_INTUNE". Fixado em "AZURE MDM INTUNE". Fixado em "Microsoft". Derivado de activityResult. "Sucesso" é mapeado para "ACTIVE" e "Falha" é mapeado para "PENDING_DECOMISSION". Se event_type for "USER_RESOURCE_DELETION", ele será definido como "DECOMISSIONED". Fixado em "MICROSOFT_AZURE".
resources.0.modifiedProperties.0.displayName target.asset.software.name Em alguns casos, esse campo é mapeado para target.asset.software.name. Outros campos resources.0.modifiedProperties.N.displayName também podem ser mapeados para outros objetos software dentro do target.asset, dependendo do activityType.
resources.0.modifiedProperties.N.newValue principal.user.attribute.roles.name Em alguns casos, esses campos são usados para preencher informações de função.
resources.0.modifiedProperties.N.displayName principal.user.attribute.roles.description Em alguns casos, esses campos são usados para preencher informações de função.
resources.0.resourceId target.resource.id Mapeado diretamente.
resources.0.type target.resource.name Mapeado diretamente.
resources.1.modifiedProperties.N.displayName target.asset.software.name Em alguns casos, esse campo é mapeado para target.asset.software.name.
properties.AADTenantId additional.fields[AADTenantId].value.string_value Mapeado diretamente como um valor de string na matriz additional.fields com a chave "AADTenantId".
properties.Actor.Application principal.application Mapeado diretamente.
properties.Actor.UPN principal.user.userid Mapeado diretamente.
properties.BatchId metadata.product_log_id Mapeado diretamente.
properties.ComplianceState additional.fields[ComplianceState].value.string_value Mapeado diretamente como um valor de string na matriz additional.fields com a chave "ComplianceState".
properties.DeviceId principal.asset.asset_id, principal.asset_id Mapeado com o prefixo "ID do dispositivo:".
properties.DeviceHealthThreatLevel_loc additional.fields[DeviceHealthThreatLevel_loc].value.string_value Mapeado diretamente como um valor de string na matriz additional.fields com a chave "DeviceHealthThreatLevel_loc".
properties.DeviceName principal.hostname, principal.asset.hostname Mapeado diretamente.
properties.InGracePeriodUntil additional.fields[InGracePeriodUntil].value.string_value Mapeado diretamente como um valor de string na matriz additional.fields com a chave "InGracePeriodUntil".
properties.IntuneAccountId additional.fields[IntuneAccountId].value.string_value Mapeado diretamente como um valor de string na matriz additional.fields com a chave "IntuneAccountId".
properties.LastContact additional.fields[LastContact].value.string_value Mapeado diretamente como um valor de string na matriz additional.fields com a chave "LastContact".
properties.ManagementAgents additional.fields[ManagementAgents].value.string_value Mapeado diretamente como um valor de string na matriz additional.fields com a chave "ManagementAgents".
properties.ManagementAgents_loc additional.fields[ManagementAgents_loc].value.string_value Mapeado diretamente como um valor de string na matriz additional.fields com a chave "ManagementAgents_loc".
properties.OS principal.platform Mapeado após a conversão para letras maiúsculas. "MACOS" ou "MAC" são mapeados para "MAC". "WINDOWS" é mapeado para "WINDOWS". "LINUX" é mapeado para "LINUX".
properties.OSDescription security_result.detection_fields[OSDescription].value Mapeado diretamente como um valor de string na matriz security_result.detection_fields com a chave "OSDescription".
properties.OSVersion principal.platform_version Mapeado diretamente.
properties.OS_loc security_result.detection_fields[OS_loc].value Mapeado diretamente como um valor de string na matriz security_result.detection_fields com a chave "OS_loc".
properties.RetireAfterDatetime additional.fields[RetireAfterDatetime].value.string_value Mapeado diretamente como um valor de string na matriz additional.fields com a chave "RetireAfterDatetime".
properties.SerialNumber principal.asset.hardware.serial_number Mapeado diretamente.
properties.SessionId network.session_id Mapeado diretamente.
properties.UserEmail principal.user.email_addresses Mapeado diretamente.
properties.UserName principal.user.user_display_name Mapeado diretamente.
tenantId additional.fields[tenantId].value.string_value Mapeado diretamente como um valor de string no array additional.fields com a chave "tenantId".
time metadata.event_timestamp O campo time do registro bruto é analisado para extrair os componentes do carimbo de data/hora. Esses componentes são usados para criar um carimbo de data/hora no UDM.

Alterações

2024-04-10

  • "properties.Actor.Application" foi mapeado para "principal.application".
  • "properties.Actor.UPN" foi mapeado para "principal.user.userid".
  • "operationName" foi associado a "metadata.product_event_type".
  • "identity" foi mapeado para "target.user.email_addresses".
  • Mapeamos "identity" e "user_id" para "target.user.userid".
  • "properties.DeviceName" foi mapeado para "principal.hostname" e "principal.asset.hostname".
  • "properties.UserEmail" foi associado a "principal.user.email_addresses".
  • "properties.SerialNumber" foi mapeado para "_hardware.serial_number".
  • Mapeamos "_hardware" para "principal.asset.hardware".
  • "properties.UserName" foi mapeado para "principal.user.user_display_name".
  • "properties.OS" foi mapeado para "principal.platform".
  • "properties.OSVersion" foi mapeado para "principal.platform_version".
  • Mapeamos "properties.DeviceId" para "principal.asset.asset_id" e "principal.asset_id".
  • "properties.BatchId" foi mapeado para "metadata.product_log_id".
  • Mapeou "tenantId", "properties.IntuneAccountId", "properties.AADTenantId", "properties.LastContact", "properties.DeviceHealthThreatLevel_loc", "properties.ComplianceState", "properties.InGracePeriodUntil", "properties.RetireAfterDatetime", "properties.ManagementAgents" e "properties.ManagementAgents_loc" para "additional.fields".
  • Mapeamos "properties.OS_loc" e "properties.OSDescription" para "security_result.detection_fields".

2022-08-17

  • Foi adicionada uma verificação condicional quando "event_type" é associado a "USER_RESOURCE_UPDATE_CONTENT".
  • Adicionamos uma verificação condicional para os campos "software2","software3" e "software4" e a mapeamos para "target.asset.software".