Microsoft Azure MDM-Intune-Protokolle (Mobile Device Management) erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Microsoft Intune-Logs über die API oder Blob Storage in Google Security Operations aufnehmen. Der Parser verarbeitet die Logs und wandelt sie in ein einheitliches Datenmodell (Unified Data Model, UDM) um. Sie extrahiert Felder, ordnet sie UDM-Attributen zu, verarbeitet verschiedene Aktivitätstypen (Create, Delete, Patch, Action) und reichert die Daten mit zusätzlichem Kontext wie Geräteinformationen, Nutzerdetails und Sicherheitsergebnissen an. Außerdem wird eine spezifische Logik für „Reprovision CloudPCModel“-Vorgänge ausgeführt und es werden verschiedene Identitätsszenarien verarbeitet.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Aktiver Azure-Mandant
  • Privilegierter Zugriff auf Azure
  • Privilegierter Zugriff auf Microsoft Intune

Logaufnahme mit Azure Storage konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie die Log-Aufnahme aus Azure Storage konfigurieren, damit Sie Logs aus Microsoft Intune effektiv erfassen und analysieren können.

Azure-Speicherkonto konfigurieren

  1. Suchen Sie in der Azure-Konsole nach „Storage accounts“ (Speicherkonten).
  2. Klicken Sie auf Erstellen.
  3. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Abo: Wählen Sie das Abo aus.
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
    • Region: Wählen Sie die Region aus.
    • Leistung: Wählen Sie die gewünschte Leistung aus (Standard wird empfohlen).
    • Redundanz: Wählen Sie die gewünschte Redundanz aus (GRS oder LRS empfohlen).
    • Storage-Kontoname: Geben Sie einen Namen für das neue Storage-Konto ein.
  4. Klicken Sie auf Überprüfen + Erstellen.
  5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
  6. Wählen Sie auf der Seite Storage Account Overview (Speicherkonto – Übersicht) im Untermenü Security + networking (Sicherheit + Netzwerk) die Option Access keys (Zugriffsschlüssel) aus.
  7. Klicken Sie neben key1 oder key2 auf Anzeigen.
  8. Klicken Sie auf In die Zwischenablage kopieren, um den Schlüssel zu kopieren.
  9. Bewahren Sie den Schlüssel an einem sicheren Ort auf, damit Sie später darauf zugreifen können.
  10. Wählen Sie auf der Seite Storage Account Overview (Speicherkontoübersicht) im Untermenü Settings (Einstellungen) die Option Endpoints (Endpunkte) aus.
  11. Klicken Sie auf In die Zwischenablage kopieren, um die Endpunkt-URL des Blob-Dienstes zu kopieren (z. B. https://<storageaccountname>.blob.core.windows.net).
  12. Speichern Sie die Endpunkt-URL an einem sicheren Ort, damit Sie später darauf zugreifen können.

Logexport für Microsoft Intune-Logs konfigurieren

  1. Melden Sie sich in der Microsoft Intune-Web-UI an.
  2. Klicken Sie auf Berichte > Diagnoseeinstellungen.
  3. Klicken Sie auf + Diagnoseeinstellung hinzufügen.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Name der Diagnoseeinstellung: Geben Sie einen aussagekräftigen Namen ein, z. B. Intune logs to Google SecOps.
    • Wählen Sie die Diagnoseeinstellungen für AuditLogs, OperationalLogs, DeviceComplianceOrg und Devices aus.
    • Wählen Sie das Kästchen In einem Speicherkonto archivieren als Ziel aus.
    • Geben Sie das Abo und das Speicherkonto an.
  5. Klicken Sie auf Speichern.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name einen Namen für den Feed ein, z. B. Azure Storage Audit Logs.
  5. Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
  6. Wählen Sie „Azure Storage Audit“ als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Azure-URI: die Blob-Endpunkt-URL.

      ENDPOINT_URL/BLOB_NAME

      Ersetzen Sie Folgendes:

      • ENDPOINT_URL: Die Blob-Endpunkt-URL. (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: der Name des Blobs. (z. B. <logname>-logs)

    • URI is a: Wählen Sie URI_TYPE entsprechend der Logstream-Konfiguration (Single file | Directory | Directory which includes subdirectories) aus.

    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.

    • Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • URI is a: Wählen Sie URI_TYPE entsprechend der Logstream-Konfiguration (Single file | Directory | Directory which includes subdirectories) aus.

    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.

  • Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Logaufnahme mit der API konfigurieren

In diesem Abschnitt werden die ersten Schritte zum Einrichten einer Anwendung in Azure Active Directory beschrieben, um die API-basierte Protokollaufnahme zu ermöglichen.

App in Azure AD konfigurieren

  1. Melden Sie sich im Azure-Portal an.
  2. Optional: Wenn Sie Zugriff auf mehrere Mandanten haben, können Sie im oberen Menü über Verzeichnisse + Abos zum richtigen Mandanten wechseln.
  3. Suchen Sie nach Azure Active Directory und wählen Sie es aus.
  4. Rufen Sie Verwalten > App-Registrierungen > Neue Registrierung auf.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Geben Sie einen Anzeigenamen für die Anwendung ein.
    • Geben Sie an, wer auf die Anwendung zugreifen kann.
    • Optional: Geben Sie für Weiterleitungs-URI nichts ein.
    • Klicken Sie auf Registrieren.
  6. Kopieren und speichern Sie die ID der Anwendung (Client) und die Verzeichnis-ID (Mandant) auf dem Bildschirm Übersicht.

Clientschlüssel konfigurieren

  1. Wählen Sie unter App-Registrierungen Ihre neue Anwendung aus.
  2. Gehen Sie zu Verwalten > Zertifikate und Secrets > Clientschlüssel > Neuer Clientschlüssel.
  3. Geben Sie einen Namen für das Client-Secret ein.
  4. Fügen Sie für das Secret einen Ablaufzeitraum von 2 Jahren hinzu oder geben Sie einen benutzerdefinierten Zeitraum an.
  5. Klicken Sie auf Hinzufügen.
  6. Kopieren und Speichern Sie den Secret Value (geheimen Wert).

App-Berechtigungen konfigurieren

  1. Wählen Sie unter „App-Registrierungen“ Ihre neue Anwendung aus.
  2. Klicken Sie auf Verwalten > API-Berechtigungen > Berechtigung hinzufügen.
  3. Wählen Sie Microsoft Graph aus.
  4. Fügen Sie die folgenden Anwendungsberechtigungen hinzu:
    • DeviceManagementApps.Read.All
    • DeviceManagementConfiguration.Read.All
    • DeviceManagementManagedDevices.Read.All
    • DeviceManagementRBAC.Read.All
    • DeviceManagementServiceConfig.Read.All
    • AuditLog.Read.All
    • Device.Read.All
  5. Klicken Sie auf Berechtigungen hinzufügen.

Feed in Google SecOps konfigurieren, um Microsoft Intune-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
  3. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Microsoft Intune Logs (Microsoft Intune-Protokolle).
  4. Wählen Sie Drittanbieter-API als Quelltyp aus.
  5. Wählen Sie Microsoft Intune als Log type (Protokolltyp) aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • OAuth-Client-ID: Geben Sie die zuvor kopierte Anwendungs-ID ein.
    • OAuth-Clientschlüssel: Geben Sie den zuvor erstellten Secret-Wert ein.
    • Mandanten-ID: Geben Sie die zuvor kopierte Verzeichnis-ID ein.
    • Asset-Namespace: der [Asset-Namespace] (/chronicle/docs/investigation/asset-namespaces).
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AADTenantId event.idm.read_only_udm.additional.fields.value.string_value Der Wert von properties.AADTenantId aus dem Rohlog wird diesem UDM-Feld zugeordnet. Ein Label mit dem Schlüssel „AADTenantId“ wird erstellt.
activityDateTime event.idm.read_only_udm.metadata.event_timestamp Das Feld activityDateTime wird geparst, um Jahr, Monat, Tag, Stunde, Minute, Sekunde und Zeitzone zu extrahieren. Diese extrahierten Felder werden verwendet, um die event_timestamp zu erstellen.
activityType event.idm.read_only_udm.metadata.product_event_type Direkt der UDM zugeordnet.
actor.applicationDisplayName event.idm.read_only_udm.principal.application Direkt der UDM zugeordnet.
actor.userId event.idm.read_only_udm.principal.user.product_object_id Direkt der UDM zugeordnet.
actor.userPrincipalName event.idm.read_only_udm.principal.user.userid Direkt der UDM zugeordnet.
category event.idm.read_only_udm.additional.fields.value.string_value Der Wert von category aus dem Rohlog wird diesem UDM-Feld zugeordnet. Ein Label mit dem Schlüssel „category“ wird erstellt.
event.idm.read_only_udm.metadata.event_type Wird vom Parser basierend auf activityOperationType und anderen Feldern abgeleitet. Mögliche Werte sind USER_RESOURCE_UPDATE_CONTENT, USER_RESOURCE_DELETION, USER_RESOURCE_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE und GENERIC_EVENT. Fest codiert auf „AZURE_MDM_INTUNE“. Fest codiert auf „AZURE MDM INTUNE“. Fest codiert auf „Microsoft“. Abgeleitet. Der Wert wird auf „Geräte-ID:“ festgelegt, gefolgt vom Wert von properties.DeviceId. Der Wert von properties.SerialNumber aus dem Rohlog wird diesem UDM-Feld zugeordnet. Der Wert von properties.DeviceName aus dem Rohlog wird diesem UDM-Feld zugeordnet. Wird vom Parser anhand mehrerer Felder abgeleitet, darunter DeviceManagementAPIName, software1_name, software2.name, software3.name und software4.name. Es können mehrere Softwareeinträge erstellt werden. Der Wert von properties.DeviceName aus dem Rohlog wird diesem UDM-Feld zugeordnet. Wird vom Parser basierend auf dem Feld properties.OS abgeleitet. Mögliche Werte sind „WINDOWS“, „LINUX“ und „MAC“. Der Wert von properties.OSVersion aus dem Rohlog wird diesem UDM-Feld zugeordnet. Der Wert des Felds displayName im Array modifiedProperties des Arrays resources wird diesem UDM-Feld zugeordnet. Der Wert des Felds newValue im Array modifiedProperties des Arrays resources wird diesem UDM-Feld zugeordnet. Der Wert von properties.UserEmail, user_identity oder ident.UPN.0.Identity aus dem Rohlog wird diesem UDM-Feld zugeordnet. Der Wert von properties.UserName aus dem Rohlog wird diesem UDM-Feld zugeordnet. Der Schlüssel kann OS_loc oder OSDescription sein. Der Wert von properties.OS_loc oder properties.OSDescription aus dem Rohlog wird diesem UDM-Feld zugeordnet. Wird vom Parser anhand mehrerer Felder abgeleitet, darunter resources.0.displayName und activityType. Wird vom Parser basierend auf den Feldern activityResult und event_type abgeleitet. Mögliche Werte sind ACTIVE, PENDING_DECOMISSION, DECOMISSIONED und DEPLOYMENT_STATUS_UNSPECIFIED. Fest codiert auf „MICROSOFT_AZURE“. Der Wert von resources.0.resourceId aus dem Rohlog wird diesem UDM-Feld zugeordnet. Der Wert von resources.0.type aus dem Rohlog wird diesem UDM-Feld zugeordnet. Wird vom Parser anhand mehrerer Felder abgeleitet, darunter resources.0.type und activityType. Mögliche Werte sind DEVICE, ACCESS_POLICY und TASK. Der Wert von upn_identity aus dem Rohlog wird diesem UDM-Feld zugeordnet. Der Wert von user_identity oder user_id aus dem Rohlog wird diesem UDM-Feld zugeordnet.
properties.BatchId event.idm.read_only_udm.metadata.product_log_id Direkt der UDM zugeordnet.
resources.0.resourceId event.idm.read_only_udm.target.resource.id Direkt der UDM zugeordnet.
resources.0.type event.idm.read_only_udm.target.resource.name Direkt der UDM zugeordnet.
tenantId event.idm.read_only_udm.additional.fields.value.string_value Der Wert von tenantId aus dem Rohlog wird diesem UDM-Feld zugeordnet. Ein Label mit dem Schlüssel „tenantId“ wird erstellt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten