收集 Microsoft Intune 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Microsoft Intune 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 AZURE_MDM_INTUNE 注入标签的解析器。
准备工作
如需完成本页中的任务,请确保您拥有以下资源:
您可以登录的 Azure 订阅。
Azure 中的 Microsoft Intune 环境(租户)。
Intune 租户的全局管理员或 Intune 服务管理员角色。
配置 Microsoft Intune
- 登录 Microsoft Endpoint Manager 管理中心。
- 依次选择报告 > 诊断设置。
- 输入诊断设置的名称,例如
Route audit logs to storage account。 - 如需首次访问诊断设置,请点击启用诊断。
- 在诊断设置窗口中,输入合适的名称,然后选择审核日志、操作日志和设备合规性组织。
- 如需将日志存储在存储账号中,请执行以下操作:
- 选择归档到存储账号。
- 选择现有的订阅和存储账号。
如需将日志存储在存储账号中,您必须拥有 Azure 存储凭据。如需了解详情,请参阅 Azure 存储凭据。
在 Google Security Operations 中配置 Feed 以注入 Microsoft Intune 日志
- 依次前往 SIEM 设置 > Feed。
- 点击 Add New(新增)。
- 在字段名称中输入一个具有唯一性的名称。
- 选择第三方 API 作为来源类型。
- 选择 Microsoft Intune 作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- OAuth 客户端 ID:指定 OAuth 2.0 客户端 ID。
- OAuth 客户端密钥:指定与客户端 ID 关联的密钥。
- 租户 ID:指定 Microsoft 租户 ID。
- 点击下一步,然后点击提交。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求,请参阅按类型配置 Feed。
如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器会处理 JSON 格式的 Microsoft MDM 日志,将其转换为 UDM。它会提取字段、处理日期格式、将特定 MDM 活动映射到 UDM 事件类型,并使用用户和设备信息等其他上下文丰富数据。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
activityDateTime |
metadata.event_timestamp |
系统会解析原始日志的 activityDateTime 字段,以提取年、月、日、小时、分钟、秒和时区。然后,这些提取的组件会用于在 UDM 中构建时间戳。 |
activityType |
metadata.product_event_type |
直接映射。 |
actor.applicationDisplayName |
principal.application |
直接映射。 |
actor.userId |
principal.user.product_object_id |
直接映射。 |
actor.userPrincipalName |
principal.user.userid |
直接映射。 |
category |
additional.fields[category].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“category”。 |
displayName |
target.application |
直接映射。在某些情况下,解析器中的进一步逻辑会根据 activityType 确定值。 |
metadata.log_type |
已硬编码为“AZURE_MDM_INTUNE”。已硬编码为“AZURE MDM INTUNE”。已硬编码为“Microsoft”。派生自 activityResult。“成功”映射到“有效”,“失败”映射到“PENDING_DECOMISSION”。如果 event_type 为“USER_RESOURCE_DELETION”,则将其设为“DECOMISSIONED”。已硬编码为“MICROSOFT_AZURE”。 |
|
resources.0.modifiedProperties.0.displayName |
target.asset.software.name |
在某些情况下,此字段会映射到 target.asset.software.name。根据 activityType,其他 resources.0.modifiedProperties.N.displayName 字段也可以映射到 target.asset 中的其他 software 对象。 |
resources.0.modifiedProperties.N.newValue |
principal.user.attribute.roles.name |
在某些情况下,这些字段用于填充角色信息。 |
resources.0.modifiedProperties.N.displayName |
principal.user.attribute.roles.description |
在某些情况下,这些字段用于填充角色信息。 |
resources.0.resourceId |
target.resource.id |
直接映射。 |
resources.0.type |
target.resource.name |
直接映射。 |
resources.1.modifiedProperties.N.displayName |
target.asset.software.name |
在某些情况下,此字段会映射到 target.asset.software.name。 |
properties.AADTenantId |
additional.fields[AADTenantId].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“AADTenantId”。 |
properties.Actor.Application |
principal.application |
直接映射。 |
properties.Actor.UPN |
principal.user.userid |
直接映射。 |
properties.BatchId |
metadata.product_log_id |
直接映射。 |
properties.ComplianceState |
additional.fields[ComplianceState].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“ComplianceState”。 |
properties.DeviceId |
principal.asset.asset_id,principal.asset_id |
使用前缀“Device ID:”进行映射。 |
properties.DeviceHealthThreatLevel_loc |
additional.fields[DeviceHealthThreatLevel_loc].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“DeviceHealthThreatLevel_loc”。 |
properties.DeviceName |
principal.hostname,principal.asset.hostname |
直接映射。 |
properties.InGracePeriodUntil |
additional.fields[InGracePeriodUntil].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“InGracePeriodUntil”。 |
properties.IntuneAccountId |
additional.fields[IntuneAccountId].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“IntuneAccountId”。 |
properties.LastContact |
additional.fields[LastContact].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“LastContact”。 |
properties.ManagementAgents |
additional.fields[ManagementAgents].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“ManagementAgents”。 |
properties.ManagementAgents_loc |
additional.fields[ManagementAgents_loc].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“ManagementAgents_loc”。 |
properties.OS |
principal.platform |
转换为大写后进行映射。“MACOS”或“MAC”会映射到“MAC”。“WINDOWS”映射到“WINDOWS”。“LINUX”映射到“LINUX”。 |
properties.OSDescription |
security_result.detection_fields[OSDescription].value |
直接映射为 security_result.detection_fields 数组中的字符串值,键为“OSDescription”。 |
properties.OSVersion |
principal.platform_version |
直接映射。 |
properties.OS_loc |
security_result.detection_fields[OS_loc].value |
直接映射为 security_result.detection_fields 数组中的字符串值,键为“OS_loc”。 |
properties.RetireAfterDatetime |
additional.fields[RetireAfterDatetime].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“RetireAfterDatetime”。 |
properties.SerialNumber |
principal.asset.hardware.serial_number |
直接映射。 |
properties.SessionId |
network.session_id |
直接映射。 |
properties.UserEmail |
principal.user.email_addresses |
直接映射。 |
properties.UserName |
principal.user.user_display_name |
直接映射。 |
tenantId |
additional.fields[tenantId].value.string_value |
直接映射为 additional.fields 数组中的字符串值,键为“tenantId”。 |
time |
metadata.event_timestamp |
系统会解析原始日志的 time 字段,以提取时间戳组件。然后,这些组件用于在 UDM 中构建时间戳。 |
变化
2024-04-10
- 将“properties.Actor.Application”映射到“principal.application”。
- 将“properties.Actor.UPN”映射到“principal.user.userid”。
- 将“operationName”映射到“metadata.product_event_type”。
- 将“identity”映射到“target.user.email_addresses”。
- 将“identity”和“user_id”映射到“target.user.userid”。
- 将“properties.DeviceName”映射到“principal.hostname”和“principal.asset.hostname”。
- 将“properties.UserEmail”映射到“principal.user.email_addresses”。
- 将“properties.SerialNumber”映射到“_hardware.serial_number”。
- 将“_hardware”映射到“principal.asset.hardware”。
- 将“properties.UserName”映射到“principal.user.user_display_name”。
- 将“properties.OS”映射到“principal.platform”。
- 将“properties.OSVersion”映射到“principal.platform_version”。
- 将“properties.DeviceId”映射到“principal.asset.asset_id”和“principal.asset_id”。
- 将“properties.BatchId”映射到“metadata.product_log_id”。
- 将“tenantId”“properties.IntuneAccountId”“properties.AADTenantId”“properties.LastContact”“properties.DeviceHealthThreatLevel_loc”“properties.ComplianceState”“properties.InGracePeriodUntil”“properties.RetireAfterDatetime”“properties.ManagementAgents”和“properties.ManagementAgents_loc”映射到“additional.fields”。
- 将“properties.OS_loc”和“properties.OSDescription”映射到“security_result.detection_fields”。
2022-08-17
- 添加了在“event_type”映射到“USER_RESOURCE_UPDATE_CONTENT”时执行的条件检查。
- 为“software2”“software3”“software4”字段添加了条件检查,并将其映射到“target.asset.software”。