Recopila registros de Intune de MDM (administración de dispositivos móviles) de Microsoft Azure

Compatible con:

En este documento, se explica cómo transferir registros de Microsoft Intune a Google Security Operations con la API o Blob Storage. El analizador procesa los registros y los transforma en un modelo de datos unificado (UDM). Extrae campos, los asigna a atributos del UDM, controla varios tipos de actividad (crear, borrar, parchear, acción) y enriquece los datos con contexto adicional, como información del dispositivo, detalles del usuario y resultados de seguridad. También realiza una lógica específica para las operaciones de "Reprovision CloudPCModel" y controla diferentes situaciones de identidad.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Usuario activo de Azure
  • Acceso con privilegios a Azure
  • Acceso con privilegios a Microsoft Intune

Configura la transferencia de registros con Azure Storage

En esta sección, se describe el proceso de configuración de la transferencia de registros desde Azure Storage, lo que te permite recopilar y analizar de manera eficaz los registros de Microsoft Intune.

Configura la cuenta de Azure Storage

  1. En la consola de Azure, busca Cuentas de almacenamiento.
  2. Haz clic en Crear.
  3. Especifica valores para los siguientes parámetros de entrada:
    • Suscripción: Selecciona la suscripción.
    • Grupo de recursos: Selecciona el grupo de recursos.
    • Región: Selecciona la región.
    • Rendimiento: Selecciona el rendimiento elegido (se recomienda Estándar).
    • Redundancia: Selecciona la redundancia elegida (se recomienda GRS o LRS).
    • Nombre de la cuenta de almacenamiento: Ingresa un nombre para la nueva cuenta de almacenamiento.
  4. Haz clic en Revisar + crear.
  5. Revisa el resumen de la cuenta y haz clic en Crear.
  6. En la página Descripción general de la cuenta de almacenamiento, selecciona el submenú Claves de acceso en Seguridad y redes.
  7. Haz clic en Mostrar junto a key1 o key2.
  8. Haz clic en Copiar en el portapapeles para copiar la clave.
  9. Guarda la llave en un lugar seguro para consultarla en el futuro.
  10. En la página Información general de la cuenta de almacenamiento, selecciona el submenú Extremos en Configuración.
  11. Haz clic en Copiar al portapapeles para copiar la URL del extremo del servicio Blob (por ejemplo, https://<storageaccountname>.blob.core.windows.net).
  12. Guarda la URL del extremo en una ubicación segura para consultarla en el futuro.

Configura la exportación de registros para los registros de Microsoft Intune

  1. Accede a la IU web de Microsoft Intune.
  2. Ve a Informes > Configuración de diagnóstico.
  3. Haz clic en + Agregar parámetro de configuración de diagnóstico.
  4. Proporciona los siguientes detalles de configuración:
    • Nombre del parámetro de configuración de diagnóstico: Ingresa un nombre descriptivo (por ejemplo, Intune logs to Google SecOps).
    • Selecciona la configuración de diagnóstico para AuditLogs, OperationalLogs, DeviceComplianceOrg y Devices.
    • Selecciona la casilla de verificación Archivar en una cuenta de almacenamiento como destino.
    • Especifica la Suscripción y la Cuenta de almacenamiento.
  5. Haz clic en Guardar.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Azure Storage Audit Logs).
  5. Selecciona Microsoft Azure Blob Storage como el Tipo de fuente.
  6. Selecciona Auditoría de Azure Storage como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI de Azure: Es la URL del extremo del blob.

      ENDPOINT_URL/BLOB_NAME

      Reemplaza lo siguiente:

      • ENDPOINT_URL: Es la URL del extremo del blob. (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: Es el nombre del blob. (como <logname>-logs)

    • El URI es un: Selecciona URI_TYPE según la configuración del flujo de registros (Single file | Directory | Directory which includes subdirectories).

    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

    • Clave compartida: Es la clave de acceso a Azure Blob Storage.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • El URI es un: Selecciona URI_TYPE según la configuración del flujo de registros (Single file | Directory | Directory which includes subdirectories).

    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

  • Clave compartida: Es la clave de acceso a Azure Blob Storage.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Configura la transferencia de registros con la API

En esta sección, se detallan los pasos iniciales para configurar una aplicación en Azure Active Directory y habilitar la transferencia de registros basada en la API.

Configura una app en Azure AD

  1. Accede al portal de Azure.
  2. Opcional: Si tienes acceso a varios grupos de usuarios, usa Directorios + suscripciones en el menú superior para cambiar al grupo de usuarios correcto.
  3. Busca y selecciona Azure Active Directory.
  4. Ve a Administrar > Registros de aplicaciones > Nuevo registro.
  5. Proporciona los siguientes detalles de configuración:
    • Ingresa un Nombre visible para la aplicación.
    • Especifica quién puede acceder a la aplicación.
    • Opcional: No ingreses nada en URI de redireccionamiento.
    • Haz clic en Register.
  6. Copia y guarda el ID de la aplicación (cliente) y el ID del directorio (inquilino) de la pantalla Descripción general.

Configura el secreto del cliente

  1. En App Registrations, selecciona tu nueva aplicación.
  2. Ve a Administrar > Certificados y secretos > Secretos del cliente > Nuevo secreto del cliente.
  3. Agrega un nombre para tu secreto del cliente.
  4. Agrega un período de vencimiento de 2 años para el secreto o especifica un período personalizado.
  5. Haz clic en Agregar.
  6. Copia y guarda el valor del secreto.

Configura los permisos de la app

  1. En Registros de aplicaciones, selecciona tu nueva aplicación.
  2. Ve a Administrar > Permisos de API > Agregar un permiso.
  3. Selecciona Microsoft Graph.
  4. Agrega los siguientes permisos de Application:
    • DeviceManagementApps.Read.All
    • DeviceManagementConfiguration.Read.All
    • DeviceManagementManagedDevices.Read.All
    • DeviceManagementRBAC.Read.All
    • DeviceManagementServiceConfig.Read.All
    • AuditLog.Read.All
    • Device.Read.All
  5. Haz clic en Agregar permisos.

Configura un feed en Google SecOps para transferir registros de Microsoft Intune

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar nuevo.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de Microsoft Intune).
  4. Selecciona API de terceros como el Tipo de origen.
  5. Selecciona Microsoft Intune como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • ID de cliente de OAuth: Ingresa el ID de la aplicación que copiaste antes.
    • Secreto del cliente de OAuth: Ingresa el valor secreto que creaste anteriormente.
    • ID de arrendatario: Ingresa el ID de directorio que copiaste antes.
    • Espacio de nombres del activo: Es el [espacio de nombres del activo] (/chronicle/docs/investigation/asset-namespaces).
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AADTenantId event.idm.read_only_udm.additional.fields.value.string_value El valor de properties.AADTenantId del registro sin procesar se asigna a este campo del UDM. Se crea una etiqueta con la clave "AADTenantId".
activityDateTime event.idm.read_only_udm.metadata.event_timestamp El campo activityDateTime se analiza para extraer el año, el mes, el día, la hora, el minuto, el segundo y la zona horaria. Estos campos extraídos se usan para construir el event_timestamp.
activityType event.idm.read_only_udm.metadata.product_event_type Se asigna directamente al UDM.
actor.applicationDisplayName event.idm.read_only_udm.principal.application Se asigna directamente al UDM.
actor.userId event.idm.read_only_udm.principal.user.product_object_id Se asigna directamente al UDM.
actor.userPrincipalName event.idm.read_only_udm.principal.user.userid Se asigna directamente al UDM.
category event.idm.read_only_udm.additional.fields.value.string_value El valor de category del registro sin procesar se asigna a este campo del UDM. Se crea una etiqueta con la clave "category".
event.idm.read_only_udm.metadata.event_type El analizador lo deriva en función de activityOperationType y otros campos. Los valores posibles son USER_RESOURCE_UPDATE_CONTENT, USER_RESOURCE_DELETION, USER_RESOURCE_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE y GENERIC_EVENT. Se codifica como "AZURE_MDM_INTUNE". Se codifica como "AZURE MDM INTUNE". Se codifica de forma rígida como "Microsoft". Es derivado. El valor se establece en "ID de dispositivo:" concatenado con el valor de properties.DeviceId. El valor de properties.SerialNumber del registro sin procesar se asigna a este campo del UDM. El valor de properties.DeviceName del registro sin procesar se asigna a este campo del UDM. El analizador lo deriva en función de varios campos, incluidos DeviceManagementAPIName, software1_name, software2.name, software3.name y software4.name. Se pueden crear varias entradas de software. El valor de properties.DeviceName del registro sin procesar se asigna a este campo del UDM. El analizador lo deriva en función del campo properties.OS. Los valores posibles son "WINDOWS", "LINUX" y "MAC". El valor de properties.OSVersion del registro sin procesar se asigna a este campo del UDM. El valor del campo displayName dentro del array modifiedProperties del array resources se asigna a este campo del UDM. El valor del campo newValue dentro del array modifiedProperties del array resources se asigna a este campo del UDM. El valor de properties.UserEmail, user_identity o ident.UPN.0.Identity del registro sin procesar se asigna a este campo de UDM. El valor de properties.UserName del registro sin procesar se asigna a este campo del UDM. La clave puede ser OS_loc o OSDescription. El valor de properties.OS_loc o properties.OSDescription del registro sin procesar se asigna a este campo de UDM. El analizador lo deriva en función de varios campos, incluidos resources.0.displayName y activityType. El analizador lo deriva en función de los campos activityResult y event_type. Los valores posibles son ACTIVE, PENDING_DECOMISSION, DECOMISSIONED y DEPLOYMENT_STATUS_UNSPECIFIED. Se codifica como "MICROSOFT_AZURE". El valor de resources.0.resourceId del registro sin procesar se asigna a este campo del UDM. El valor de resources.0.type del registro sin procesar se asigna a este campo del UDM. El analizador lo deriva en función de varios campos, incluidos resources.0.type y activityType. Los valores posibles son DEVICE, ACCESS_POLICY y TASK. El valor de upn_identity del registro sin procesar se asigna a este campo del UDM. El valor de user_identity o user_id del registro sin procesar se asigna a este campo de UDM.
properties.BatchId event.idm.read_only_udm.metadata.product_log_id Se asigna directamente al UDM.
resources.0.resourceId event.idm.read_only_udm.target.resource.id Se asigna directamente al UDM.
resources.0.type event.idm.read_only_udm.target.resource.name Se asigna directamente al UDM.
tenantId event.idm.read_only_udm.additional.fields.value.string_value El valor de tenantId del registro sin procesar se asigna a este campo del UDM. Se crea una etiqueta con la clave "tenantId".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.