Mengumpulkan log Intune MDM (Mobile Device Management) Microsoft Azure

Didukung di:

Dokumen ini menjelaskan cara menyerap log Microsoft Intune ke Google Security Operations menggunakan API atau Blob Storage. Parser memproses log, mengubahnya menjadi Model Data Terpadu (UDM). Fitur ini mengekstrak kolom, memetakannya ke atribut UDM, menangani berbagai jenis aktivitas (Buat, Hapus, Patch, Tindakan), dan memperkaya data dengan konteks tambahan seperti informasi perangkat, detail pengguna, dan hasil keamanan. Selain itu, fungsi ini juga menjalankan logika khusus untuk operasi "Reprovision CloudPCModel" dan menangani berbagai skenario identitas.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Tenant Azure yang aktif
  • Akses istimewa ke Azure
  • Akses istimewa ke Microsoft Intune

Mengonfigurasi penyerapan log menggunakan Azure Storage

Bagian ini menguraikan proses mengonfigurasi penyerapan log dari Azure Storage, sehingga Anda dapat mengumpulkan dan menganalisis log dari Microsoft Intune secara efektif.

Mengonfigurasi Akun Azure Storage

  1. Di konsol Azure, cari Akun penyimpanan.
  2. Klik Buat.
  3. Tentukan nilai untuk parameter input berikut:
    • Langganan: pilih langganan.
    • Grup Resource: pilih grup resource.
    • Region: pilih region.
    • Performa: pilih performa yang diinginkan (Direkomendasikan Standar).
    • Redundansi: pilih redundansi yang diinginkan (GRS atau LRS direkomendasikan).
    • Nama akun penyimpanan: masukkan nama untuk akun Penyimpanan baru.
  4. Klik Review + create.
  5. Tinjau ringkasan akun, lalu klik Buat.
  6. Dari halaman Storage Account Overview, pilih submenu Access keys di Security + networking.
  7. Klik Tampilkan di samping key1 atau key2.
  8. Klik Salin ke papan klip untuk menyalin kunci.
  9. Simpan kunci di lokasi yang aman untuk referensi di masa mendatang.
  10. Dari halaman Storage Account Overview, pilih submenu Endpoints di Settings.
  11. Klik Salin ke papan klip untuk menyalin URL endpoint Blob service, (misalnya, https://<storageaccountname>.blob.core.windows.net).
  12. Simpan URL endpoint di lokasi yang aman untuk referensi di masa mendatang.

Mengonfigurasi Ekspor Log untuk Log Microsoft Intune

  1. Login ke UI web Microsoft Intune.
  2. Buka Laporan > Setelan diagnostik.
  3. Klik + Tambahkan setelan diagnostik.
  4. Berikan detail konfigurasi berikut:
    • Nama setelan diagnostik: Masukkan nama deskriptif (misalnya, Intune logs to Google SecOps)
    • Pilih setelan diagnostik untuk AuditLogs, OperationalLogs, DeviceComplianceOrg, dan Devices.
    • Centang kotak Arsipkan ke akun penyimpanan sebagai tujuan.
    • Tentukan Subscription dan Storage Account.
  5. Klik Simpan.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Azure Storage Audit Logs).
  5. Pilih Microsoft Azure Blob Storage V2 sebagai Jenis sumber.
  6. Pilih Azure Storage Audit sebagai Jenis log.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • Azure uri: URL endpoint blob.

      ENDPOINT_URL/BLOB_NAME

      Ganti kode berikut:

      • ENDPOINT_URL: URL endpoint blob. (https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME: nama blob. (seperti, <logname>-logs)

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Mengonfigurasi penyerapan log menggunakan API

Bagian ini menjelaskan langkah-langkah awal untuk menyiapkan aplikasi dalam Azure Active Directory guna mengaktifkan penyerapan log berbasis API.

Mengonfigurasi Aplikasi di Azure AD

  1. Login ke Portal Azure.
  2. Opsional: Jika Anda memiliki akses ke beberapa tenant, gunakan Direktori + langganan di menu atas untuk beralih ke tenant yang benar.
  3. Telusuri dan pilih Azure Active Directory.
  4. Buka Kelola > Pendaftaran aplikasi > Pendaftaran baru.
  5. Berikan detail konfigurasi berikut:
    • Masukkan Nama Tampilan untuk aplikasi.
    • Tentukan siapa saja yang dapat mengakses aplikasi.
    • Opsional: Jangan masukkan apa pun untuk URI Pengalihan.
    • Klik Daftar.
  6. Salin dan Simpan Application (client) ID dan Directory (tenant) ID dari layar Overview.

Mengonfigurasi Rahasia Klien

  1. Di App Registrations, pilih aplikasi baru Anda.
  2. Buka Manage > Certificates & secrets > Client secrets > New client secret.
  3. Tambahkan name untuk rahasia klien Anda.
  4. Tambahkan periode masa berlaku 2 Tahun untuk rahasia atau tentukan periode kustom.
  5. Klik Tambahkan.
  6. Salin dan Simpan Nilai Rahasia.

Mengonfigurasi Izin Aplikasi

  1. Di Pendaftaran Aplikasi, pilih aplikasi baru Anda.
  2. Buka Kelola > Izin API > Tambahkan izin.
  3. Pilih Microsoft Graph.
  4. Tambahkan izin Application berikut:
    • DeviceManagementApps.Read.All
    • DeviceManagementConfiguration.Read.All
    • DeviceManagementManagedDevices.Read.All
    • DeviceManagementRBAC.Read.All
    • DeviceManagementServiceConfig.Read.All
    • AuditLog.Read.All
    • Device.Read.All
  5. Klik Add permissions.

Mengonfigurasi feed di Google SecOps untuk menyerap log Microsoft Intune

  1. Buka Setelan SIEM > Feed.
  2. Klik Add New.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, Microsoft Intune Logs).
  4. Pilih Third party API sebagai Source type.
  5. Pilih Microsoft Intune sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • Client ID OAuth: Masukkan ID Aplikasi yang disalin sebelumnya.
    • OAuth Client Secret: Masukkan Nilai Rahasia yang dibuat sebelumnya.
    • Tenant ID: Masukkan ID Direktori yang disalin sebelumnya.
    • Namespace aset: [namespace aset] (/chronicle/docs/investigation/asset-namespaces).
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
AADTenantId event.idm.read_only_udm.additional.fields.value.string_value Nilai properties.AADTenantId dari log mentah dipetakan ke kolom UDM ini. Label dengan kunci "AADTenantId" dibuat.
activityDateTime event.idm.read_only_udm.metadata.event_timestamp Kolom activityDateTime diuraikan untuk mengekstrak tahun, bulan, hari, jam, menit, detik, dan zona waktu. Kolom yang diekstrak ini digunakan untuk membuat event_timestamp.
activityType event.idm.read_only_udm.metadata.product_event_type Dipetakan langsung ke UDM.
actor.applicationDisplayName event.idm.read_only_udm.principal.application Dipetakan langsung ke UDM.
actor.userId event.idm.read_only_udm.principal.user.product_object_id Dipetakan langsung ke UDM.
actor.userPrincipalName event.idm.read_only_udm.principal.user.userid Dipetakan langsung ke UDM.
category event.idm.read_only_udm.additional.fields.value.string_value Nilai category dari log mentah dipetakan ke kolom UDM ini. Label dengan kunci "category" dibuat.
event.idm.read_only_udm.metadata.event_type Diperoleh oleh parser berdasarkan activityOperationType dan kolom lainnya. Nilai yang mungkin mencakup USER_RESOURCE_UPDATE_CONTENT, USER_RESOURCE_DELETION, USER_RESOURCE_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE, dan GENERIC_EVENT. Dikodekan secara permanen ke "AZURE_MDM_INTUNE". Dikodekan secara permanen ke "AZURE MDM INTUNE". Dikodekan secara permanen ke "Microsoft". Diturunkan. Nilai ditetapkan ke "ID Perangkat:" yang digabungkan dengan nilai properties.DeviceId. Nilai properties.SerialNumber dari log mentah dipetakan ke kolom UDM ini. Nilai properties.DeviceName dari log mentah dipetakan ke kolom UDM ini. Diperoleh oleh parser berdasarkan beberapa kolom, termasuk DeviceManagementAPIName, software1_name, software2.name, software3.name, dan software4.name. Beberapa entri software dapat dibuat. Nilai properties.DeviceName dari log mentah dipetakan ke kolom UDM ini. Diperoleh oleh parser berdasarkan kolom properties.OS. Nilai yang mungkin adalah "WINDOWS", "LINUX", dan "MAC". Nilai properties.OSVersion dari log mentah dipetakan ke kolom UDM ini. Nilai kolom displayName dalam array modifiedProperties dari array resources dipetakan ke kolom UDM ini. Nilai kolom newValue dalam array modifiedProperties dari array resources dipetakan ke kolom UDM ini. Nilai properties.UserEmail atau user_identity atau ident.UPN.0.Identity dari log mentah dipetakan ke kolom UDM ini. Nilai properties.UserName dari log mentah dipetakan ke kolom UDM ini. Kuncinya bisa berupa OS_loc atau OSDescription. Nilai properties.OS_loc atau properties.OSDescription dari log mentah dipetakan ke kolom UDM ini. Diperoleh oleh parser berdasarkan beberapa kolom, termasuk resources.0.displayName dan activityType. Diperoleh oleh parser berdasarkan kolom activityResult dan event_type. Nilai yang mungkin mencakup ACTIVE, PENDING_DECOMISSION, DECOMISSIONED, dan DEPLOYMENT_STATUS_UNSPECIFIED. Hardcode ke "MICROSOFT_AZURE". Nilai resources.0.resourceId dari log mentah dipetakan ke kolom UDM ini. Nilai resources.0.type dari log mentah dipetakan ke kolom UDM ini. Diperoleh oleh parser berdasarkan beberapa kolom, termasuk resources.0.type dan activityType. Nilai yang mungkin mencakup DEVICE, ACCESS_POLICY, dan TASK. Nilai upn_identity dari log mentah dipetakan ke kolom UDM ini. Nilai user_identity atau user_id dari log mentah dipetakan ke kolom UDM ini.
properties.BatchId event.idm.read_only_udm.metadata.product_log_id Dipetakan langsung ke UDM.
resources.0.resourceId event.idm.read_only_udm.target.resource.id Dipetakan langsung ke UDM.
resources.0.type event.idm.read_only_udm.target.resource.name Dipetakan langsung ke UDM.
tenantId event.idm.read_only_udm.additional.fields.value.string_value Nilai tenantId dari log mentah dipetakan ke kolom UDM ini. Label dengan kunci "tenantId" dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.