Recopila registros de Microsoft Intune

Se admite en los siguientes países:

En este documento, se describe cómo puedes recopilar registros de Microsoft Intune configurando un feed de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia AZURE_MDM_INTUNE.

Antes de comenzar

Para completar las tareas de esta página, asegúrate de tener lo siguiente:

  • Una suscripción a Azure a la que puedas acceder.

  • Un entorno de Microsoft Intune (usuario) en Azure

  • Un rol de administrador global o administrador de servicios de Intune para el inquilino de Intune

Configura Microsoft Intune

  1. Accede al centro de administración de Microsoft Endpoint Manager.
  2. Selecciona Informes > Configuración de diagnóstico.
  3. Ingresa un nombre para la configuración de diagnóstico, como Route audit logs to storage account.
  4. Para acceder a la configuración de diagnóstico por primera vez, haz clic en Activar diagnóstico.
  5. En la ventana Configuración de diagnóstico, ingresa un nombre apropiado y selecciona Registros de auditoría, Registros operativos y Organización de cumplimiento de dispositivos.
  6. Para almacenar registros en la cuenta de almacenamiento, haz lo siguiente:
    1. Selecciona Archivar en una cuenta de almacenamiento.
    2. Selecciona una Suscripción y una Cuenta de almacenamiento existentes.

Para almacenar registros en la cuenta de almacenamiento, debes tener credenciales de almacenamiento de Azure. Para obtener más información, consulta Credenciales de almacenamiento de Azure.

Configura un feed en Google Security Operations para transferir registros de Microsoft Intune

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. Ingresa un nombre único para el Nombre del campo.
  4. Selecciona API de terceros como el Tipo de fuente.
  5. Selecciona Microsoft Intune como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Configura los siguientes parámetros de entrada obligatorios:
    • ID de cliente de OAuth: Especifica un ID de cliente de OAuth 2.0.
    • Secreto de cliente de OAuth: Especifica el secreto asociado con el ID de cliente.
    • ID de usuario: Especifica el ID de usuario de Microsoft.
  8. Haz clic en Siguiente y, luego, en Enviar.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de Google Security Operations.

Referencia de la asignación de campos

Este analizador procesa los registros de MDM de Microsoft en formato JSON y los transforma en UDM. Extrae campos, controla el formato de fecha, asigna actividades específicas de MDM a tipos de eventos de UDM y enriquece los datos con contexto adicional, como información del usuario y del dispositivo.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
activityDateTime metadata.event_timestamp El campo activityDateTime del registro sin procesar se analiza para extraer el año, el mes, el día, la hora, el minuto, el segundo y la zona horaria. Luego, estos componentes extraídos se usan para construir una marca de tiempo en la UDM.
activityType metadata.product_event_type Se asignan directamente.
actor.applicationDisplayName principal.application Se asignan directamente.
actor.userId principal.user.product_object_id Se asignan directamente.
actor.userPrincipalName principal.user.userid Se asignan directamente.
category additional.fields[category].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "category".
displayName target.application Se asignan directamente. En algunos casos, una lógica adicional dentro del analizador determina el valor en función de activityType.
metadata.log_type Se codifica de forma fija en "AZURE_MDM_INTUNE". Está codificado de forma fija en "AZURE MDM INTUNE". Está codificado de forma fija en "Microsoft". Derivado de activityResult. "Success" se asigna a "ACTIVE" y "Failure" se asigna a "PENDING_DECOMISSION". Si event_type es "USER_RESOURCE_DELETION", se establece en "DECOMISSIONED". Se codifica en "MICROSOFT_AZURE".
resources.0.modifiedProperties.0.displayName target.asset.software.name En algunos casos, este campo se asigna a target.asset.software.name. Otros campos resources.0.modifiedProperties.N.displayName también se pueden asignar a objetos software adicionales dentro de target.asset según el activityType.
resources.0.modifiedProperties.N.newValue principal.user.attribute.roles.name En algunos casos, estos campos se usan para propagar información de roles.
resources.0.modifiedProperties.N.displayName principal.user.attribute.roles.description En algunos casos, estos campos se usan para propagar información de roles.
resources.0.resourceId target.resource.id Se asignan directamente.
resources.0.type target.resource.name Se asignan directamente.
resources.1.modifiedProperties.N.displayName target.asset.software.name En algunos casos, este campo se asigna a target.asset.software.name.
properties.AADTenantId additional.fields[AADTenantId].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "AADTenantId".
properties.Actor.Application principal.application Se asignan directamente.
properties.Actor.UPN principal.user.userid Se asignan directamente.
properties.BatchId metadata.product_log_id Se asignan directamente.
properties.ComplianceState additional.fields[ComplianceState].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "ComplianceState".
properties.DeviceId principal.asset.asset_id, principal.asset_id Se asignan con el prefijo "Device ID:".
properties.DeviceHealthThreatLevel_loc additional.fields[DeviceHealthThreatLevel_loc].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "DeviceHealthThreatLevel_loc".
properties.DeviceName principal.hostname, principal.asset.hostname Se asignan directamente.
properties.InGracePeriodUntil additional.fields[InGracePeriodUntil].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "InGracePeriodUntil".
properties.IntuneAccountId additional.fields[IntuneAccountId].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "IntuneAccountId".
properties.LastContact additional.fields[LastContact].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "LastContact".
properties.ManagementAgents additional.fields[ManagementAgents].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "ManagementAgents".
properties.ManagementAgents_loc additional.fields[ManagementAgents_loc].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "ManagementAgents_loc".
properties.OS principal.platform Se asigna después de convertir a mayúsculas. "MACOS" o "MAC" se asignan a "MAC". "WINDOWS" se asigna a "WINDOWS". "LINUX" se asigna a "LINUX".
properties.OSDescription security_result.detection_fields[OSDescription].value Se asigna directamente como un valor de cadena dentro del array security_result.detection_fields con la clave "OSDescription".
properties.OSVersion principal.platform_version Se asignan directamente.
properties.OS_loc security_result.detection_fields[OS_loc].value Se asigna directamente como un valor de cadena dentro del array security_result.detection_fields con la clave "OS_loc".
properties.RetireAfterDatetime additional.fields[RetireAfterDatetime].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "RetireAfterDatetime".
properties.SerialNumber principal.asset.hardware.serial_number Se asignan directamente.
properties.SessionId network.session_id Se asignan directamente.
properties.UserEmail principal.user.email_addresses Se asignan directamente.
properties.UserName principal.user.user_display_name Se asignan directamente.
tenantId additional.fields[tenantId].value.string_value Se asigna directamente como un valor de cadena dentro del array additional.fields con la clave "tenantId".
time metadata.event_timestamp El campo time del registro sin procesar se analiza para extraer los componentes de la marca de tiempo. Luego, estos componentes se usan para crear una marca de tiempo en la UDM.

Cambios

2024-04-10

  • Se asignó "properties.Actor.Application" a "principal.application".
  • Se asignó "properties.Actor.UPN" a "principal.user.userid".
  • Se asignó "operationName" a "metadata.product_event_type".
  • Se asignó "identity" a "target.user.email_addresses".
  • Se asignaron "identity" y "user_id" a "target.user.userid".
  • Se asignó "properties.DeviceName" a "principal.hostname" y "principal.asset.hostname".
  • Se asignó "properties.UserEmail" a "principal.user.email_addresses".
  • Se asignó "properties.SerialNumber" a "_hardware.serial_number".
  • Se asignó "_hardware" a "principal.asset.hardware".
  • Se asignó "properties.UserName" a "principal.user.user_display_name".
  • Se asignó "properties.OS" a "principal.platform".
  • Se asignó "properties.OSVersion" a "principal.platform_version".
  • Se asignó "properties.DeviceId" a "principal.asset.asset_id" y "principal.asset_id".
  • Se asignó "properties.BatchId" a "metadata.product_log_id".
  • Se asignaron "tenantId", "properties.IntuneAccountId", "properties.AADTenantId", "properties.LastContact", "properties.DeviceHealthThreatLevel_loc", "properties.ComplianceState", "properties.InGracePeriodUntil", "properties.RetireAfterDatetime", "properties.ManagementAgents" y "properties.ManagementAgents_loc" a "additional.fields".
  • Se asignaron "properties.OS_loc" y "properties.OSDescription" a "security_result.detection_fields".

2022-08-17

  • Se agregó una verificación condicional cuando "event_type" se asigna a "USER_RESOURCE_UPDATE_CONTENT".
  • Se agregó una verificación condicional para los campos "software2","software3" y "software4", y se asignó a "target.asset.software".