Recoger registros de Intune de gestión de dispositivos móviles (MDM) de Microsoft Azure

Disponible en:

En este documento se explica cómo ingerir registros de Microsoft Intune en Google Security Operations mediante una API o Blob Storage. El analizador procesa los registros y los transforma en un modelo de datos unificado (UDM). Extrae campos, los asigna a atributos de UDM, gestiona varios tipos de actividad (crear, eliminar, parchear y acción) y enriquece los datos con contexto adicional, como información del dispositivo, detalles del usuario y resultados de seguridad. También realiza una lógica específica para las operaciones "Reprovision CloudPCModel" y gestiona diferentes situaciones de identidad.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Cliente de Azure activo
  • Acceso privilegiado a Azure
  • Acceso privilegiado a Microsoft Intune

Configurar la ingesta de registros mediante Azure Storage

En esta sección se describe el proceso de configuración de la ingesta de registros de Azure Storage, lo que le permite recoger y analizar registros de Microsoft Intune de forma eficaz.

Configurar la cuenta de almacenamiento de Azure

  1. En la consola de Azure, busca "Cuentas de almacenamiento".
  2. Haz clic en Crear.
  3. Especifique valores para los siguientes parámetros de entrada:
    • Suscripción: selecciona la suscripción.
    • Grupo de recursos: selecciona el grupo de recursos.
    • Región: selecciona la región.
    • Rendimiento: selecciona el rendimiento que quieras (se recomienda Estándar).
    • Redundancia: selecciona la redundancia que quieras (se recomienda GRS o LRS).
    • Nombre de la cuenta de almacenamiento: escribe un nombre para la nueva cuenta de almacenamiento.
  4. Haz clic en Revisar y crear.
  5. Revisa el resumen de la cuenta y haz clic en Crear.
  6. En la página Resumen de la cuenta de almacenamiento, seleccione el submenú Claves de acceso en Seguridad y redes.
  7. Haz clic en Mostrar junto a clave1 o clave2.
  8. Haz clic en Copiar en el portapapeles para copiar la clave.
  9. Guarda la clave en un lugar seguro para consultarla en el futuro.
  10. En la página Resumen de la cuenta de almacenamiento, seleccione el submenú Endpoints (Endpoints) en Settings (Configuración).
  11. Haz clic en Copiar en el portapapeles para copiar la URL del endpoint del servicio Blob (por ejemplo, https://<storageaccountname>.blob.core.windows.net).
  12. Guarda la URL del endpoint en una ubicación segura para consultarla más adelante.

Configurar la exportación de registros de Microsoft Intune

  1. Inicia sesión en la interfaz de usuario web de Microsoft Intune.
  2. Vaya a Informes > Configuración de diagnóstico.
  3. Haga clic en + Añadir ajuste de diagnóstico.
  4. Proporcione los siguientes detalles de configuración:
    • Nombre de la configuración de diagnóstico: introduce un nombre descriptivo (por ejemplo, Intune logs to Google SecOps).
    • Selecciona los ajustes de diagnóstico de AuditLogs, OperationalLogs, DeviceComplianceOrg y Devices.
    • Seleccione la casilla Archivar en una cuenta de almacenamiento como destino.
    • Especifica la Suscripción y la Cuenta de almacenamiento.
  5. Haz clic en Guardar.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Azure Storage Audit Logs).
  5. Selecciona Microsoft Azure Blob Storage V2 como Tipo de fuente.
  6. Seleccione Auditoría de Azure Storage como Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifique los valores de los siguientes parámetros de entrada:

    • URI de Azure: la URL del endpoint del blob.

      ENDPOINT_URL/BLOB_NAME

      Haz los cambios siguientes:

      • ENDPOINT_URL: URL del endpoint de blob. (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: el nombre del blob. (por ejemplo, <logname>-logs)

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

  9. Haz clic en Siguiente.

  10. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Configurar la ingestión de registros mediante la API

En esta sección se detallan los pasos iniciales para configurar una aplicación en Azure Active Directory y habilitar la ingesta de registros basada en APIs.

Configurar una aplicación en Azure AD

  1. Inicia sesión en Azure Portal.
  2. Opcional: Si tienes acceso a varios inquilinos, usa la opción Directorios + suscripciones del menú superior para cambiar al inquilino correcto.
  3. Busca y selecciona Azure Active Directory.
  4. Ve a Administrar > Registros de aplicaciones > Nuevo registro.
  5. Proporcione los siguientes detalles de configuración:
    • Introduce un nombre visible para la aplicación.
    • Especifica quién puede acceder a la aplicación.
    • Opcional: No introduzcas nada en URI de redirección.
    • Haz clic en Registrarse.
  6. Copia y guarda el ID de aplicación (cliente) y el ID de directorio (cliente) de la pantalla Descripción general.

Configurar el secreto de cliente

  1. En Registros de aplicaciones, selecciona la nueva aplicación.
  2. Ve a Gestionar > Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente.
  3. Añade un nombre para el secreto de cliente.
  4. Añade un periodo de caducidad de 2 años para el secreto o especifica un periodo personalizado.
  5. Haz clic en Añadir.
  6. Copia y guarda el valor secreto.

Configurar permisos de la aplicación

  1. En Registros de aplicaciones, selecciona la nueva aplicación.
  2. Ve a Gestionar > Permisos de API > Añadir un permiso.
  3. Selecciona Microsoft Graph.
  4. Añade los siguientes permisos de aplicación:
    • DeviceManagementApps.Read.All
    • DeviceManagementConfiguration.Read.All
    • DeviceManagementManagedDevices.Read.All
    • DeviceManagementRBAC.Read.All
    • DeviceManagementServiceConfig.Read.All
    • AuditLog.Read.All
    • Device.Read.All
  5. Haz clic en Añadir permisos.

Configurar un feed en Google SecOps para ingerir registros de Microsoft Intune

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Add New (Añadir).
  3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de Microsoft Intune).
  4. Seleccione API de terceros como Tipo de fuente.
  5. Seleccione Microsoft Intune como Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifique valores para los siguientes parámetros de entrada:
    • ID de cliente de OAuth: introduce el ID de aplicación que has copiado anteriormente.
    • Secreto de cliente de OAuth: introduce el valor secreto que has creado anteriormente.
    • ID de cliente: introduce el ID de directorio que has copiado anteriormente.
    • Espacio de nombres de recursos: el [espacio de nombres de recursos] (/chronicle/docs/investigation/asset-namespaces).
    • Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AADTenantId event.idm.read_only_udm.additional.fields.value.string_value El valor de properties.AADTenantId del registro sin procesar se asigna a este campo de UDM. Se crea una etiqueta con la clave "AADTenantId".
activityDateTime event.idm.read_only_udm.metadata.event_timestamp El campo activityDateTime se analiza para extraer el año, el mes, el día, la hora, los minutos, los segundos y la zona horaria. Estos campos extraídos se usan para crear el event_timestamp.
activityType event.idm.read_only_udm.metadata.product_event_type Se asignan directamente a UDM.
actor.applicationDisplayName event.idm.read_only_udm.principal.application Se asignan directamente a UDM.
actor.userId event.idm.read_only_udm.principal.user.product_object_id Se asignan directamente a UDM.
actor.userPrincipalName event.idm.read_only_udm.principal.user.userid Se asignan directamente a UDM.
category event.idm.read_only_udm.additional.fields.value.string_value El valor de category del registro sin procesar se asigna a este campo de UDM. Se crea una etiqueta con la clave "category".
event.idm.read_only_udm.metadata.event_type Derivado por el analizador en función de activityOperationType y otros campos. Los valores posibles son USER_RESOURCE_UPDATE_CONTENT, USER_RESOURCE_DELETION, USER_RESOURCE_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE y GENERIC_EVENT. Codificado como "AZURE_MDM_INTUNE". Codificado como "AZURE MDM INTUNE". Codificado como "Microsoft". Derivado. El valor se establece como "ID del dispositivo:" concatenado con el valor de properties.DeviceId. El valor de properties.SerialNumber del registro sin procesar se asigna a este campo de UDM. El valor de properties.DeviceName del registro sin procesar se asigna a este campo de UDM. El analizador lo deriva a partir de varios campos, como DeviceManagementAPIName, software1_name, software2.name, software3.name y software4.name. Se pueden crear varias entradas de software. El valor de properties.DeviceName del registro sin procesar se asigna a este campo de UDM. Derivado por el analizador en función del campo properties.OS. Los valores posibles son "WINDOWS", "LINUX" y "MAC". El valor de properties.OSVersion del registro sin procesar se asigna a este campo de UDM. El valor del campo displayName de la matriz modifiedProperties de la matriz resources se asigna a este campo de UDM. El valor del campo newValue de la matriz modifiedProperties de la matriz resources se asigna a este campo de UDM. El valor de properties.UserEmail, user_identity o ident.UPN.0.Identity del registro sin procesar se asigna a este campo de UDM. El valor de properties.UserName del registro sin procesar se asigna a este campo de UDM. La clave puede ser OS_loc o OSDescription. El valor de properties.OS_loc o properties.OSDescription del registro sin procesar se asigna a este campo de UDM. Derivado por el analizador en función de varios campos, incluidos resources.0.displayName y activityType. Derivado por el analizador en función de los campos activityResult y event_type. Entre los posibles valores se incluyen ACTIVE, PENDING_DECOMISSION, DECOMISSIONED y DEPLOYMENT_STATUS_UNSPECIFIED. Codificado como "MICROSOFT_AZURE". El valor de resources.0.resourceId del registro sin procesar se asigna a este campo de UDM. El valor de resources.0.type del registro sin procesar se asigna a este campo de UDM. Derivado por el analizador en función de varios campos, incluidos resources.0.type y activityType. Entre los posibles valores se incluyen DEVICE, ACCESS_POLICY y TASK. El valor de upn_identity del registro sin procesar se asigna a este campo de UDM. El valor de user_identity o user_id del registro sin procesar se asigna a este campo de UDM.
properties.BatchId event.idm.read_only_udm.metadata.product_log_id Se asignan directamente a UDM.
resources.0.resourceId event.idm.read_only_udm.target.resource.id Se asignan directamente a UDM.
resources.0.type event.idm.read_only_udm.target.resource.name Se asignan directamente a UDM.
tenantId event.idm.read_only_udm.additional.fields.value.string_value El valor de tenantId del registro sin procesar se asigna a este campo de UDM. Se crea una etiqueta con la clave "tenantId".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.