Raccogliere i log di Microsoft Intune

Supportato in:

Questo documento descrive come raccogliere i log di Microsoft Intune impostando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione AZURE_MDM_INTUNE.

Prima di iniziare

Per completare le attività in questa pagina, assicurati di disporre di quanto segue:

  • Un abbonamento Azure a cui puoi accedere.

  • Un ambiente (tenant) Microsoft Intune in Azure.

  • Un ruolo di amministratore globale o amministratore del servizio Intune per il tenant Intune.

Configurare Microsoft Intune

  1. Accedi al centro di amministrazione di Microsoft Endpoint Manager.
  2. Seleziona Report > Impostazioni di diagnostica.
  3. Inserisci un nome per le impostazioni di diagnostica, ad esempio Route audit logs to storage account.
  4. Per accedere alle impostazioni di diagnostica per la prima volta, fai clic su Attiva la diagnostica.
  5. Nella finestra Impostazioni di diagnostica, inserisci un nome appropriato e seleziona Log di controllo, Log di lavoro e Organizzazione conformità dispositivo.
  6. Per archiviare i log nell'account di archiviazione:
    1. Seleziona Archivia in un account di archiviazione.
    2. Seleziona un abbonamento e un account di archiviazione esistenti.

Per archiviare i log nell'account di archiviazione, devi disporre delle credenziali di archiviazione di Azure. Per ulteriori informazioni, consulta Credenziali di archiviazione di Azure.

Configurare un feed in Google Security Operations per importare i log di Microsoft Intune

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Add New (Aggiungi nuovo).
  3. Inserisci un nome univoco per il nome del campo.
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Microsoft Intune come Tipo di log.
  6. Fai clic su Avanti.
  7. Configura i seguenti parametri di input obbligatori:
    • ID client OAuth: specifica un ID client OAuth 2.0.
    • Client secret OAuth: specifica il segreto associato all'ID client.
    • ID tenant: specifica l'ID tenant Microsoft.
  8. Fai clic su Avanti, quindi su Invia.

Per ulteriori informazioni sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser elabora i log di Microsoft MDM in formato JSON, trasformandoli in UDM. Estrae i campi, gestisce la formattazione della data, mappa attività MDM specifiche ai tipi di eventi UDM e arricchisce i dati con un contesto aggiuntivo, come informazioni su utenti e dispositivi.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
activityDateTime metadata.event_timestamp Il campo activityDateTime del log non elaborato viene analizzato per estrarre l'anno, il mese, il giorno, l'ora, il minuto, il secondo e il fuso orario. Questi componenti estratti vengono poi utilizzati per creare un timestamp nell'UDM.
activityType metadata.product_event_type Mappatura diretta.
actor.applicationDisplayName principal.application Mappatura diretta.
actor.userId principal.user.product_object_id Mappatura diretta.
actor.userPrincipalName principal.user.userid Mappatura diretta.
category additional.fields[category].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "category".
displayName target.application Mappatura diretta. In alcuni casi, un'ulteriore logica all'interno dell'analizzatore determina il valore in base a activityType.
metadata.log_type Hardcoded su "AZURE_MDM_INTUNE". Hardcoded su "AZURE MDM INTUNE". Hardcoded su "Microsoft". Derivata da activityResult. "Success" corrisponde a "ACTIVE", "Failure" corrisponde a "PENDING_DECOMISSION". Se event_type è "USER_RESOURCE_DELETION", viene impostato su "DECOMISSIONED". Hardcoded su "MICROSOFT_AZURE".
resources.0.modifiedProperties.0.displayName target.asset.software.name In alcuni casi, questo campo è mappato a target.asset.software.name. Altri campi resources.0.modifiedProperties.N.displayName possono anche essere mappati ad altri oggetti software all'interno del target.asset, a seconda del activityType.
resources.0.modifiedProperties.N.newValue principal.user.attribute.roles.name In alcuni casi, questi campi vengono utilizzati per compilare le informazioni sui ruoli.
resources.0.modifiedProperties.N.displayName principal.user.attribute.roles.description In alcuni casi, questi campi vengono utilizzati per compilare le informazioni sui ruoli.
resources.0.resourceId target.resource.id Mappatura diretta.
resources.0.type target.resource.name Mappatura diretta.
resources.1.modifiedProperties.N.displayName target.asset.software.name In alcuni casi, questo campo è mappato a target.asset.software.name.
properties.AADTenantId additional.fields[AADTenantId].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "AADTenantId".
properties.Actor.Application principal.application Mappatura diretta.
properties.Actor.UPN principal.user.userid Mappatura diretta.
properties.BatchId metadata.product_log_id Mappatura diretta.
properties.ComplianceState additional.fields[ComplianceState].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "ComplianceState".
properties.DeviceId principal.asset.asset_id, principal.asset_id Mappato con il prefisso "ID dispositivo:".
properties.DeviceHealthThreatLevel_loc additional.fields[DeviceHealthThreatLevel_loc].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "DeviceHealthThreatLevel_loc".
properties.DeviceName principal.hostname, principal.asset.hostname Mappatura diretta.
properties.InGracePeriodUntil additional.fields[InGracePeriodUntil].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "InGracePeriodUntil".
properties.IntuneAccountId additional.fields[IntuneAccountId].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "IntuneAccountId".
properties.LastContact additional.fields[LastContact].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "LastContact".
properties.ManagementAgents additional.fields[ManagementAgents].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "ManagementAgents".
properties.ManagementAgents_loc additional.fields[ManagementAgents_loc].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "ManagementAgents_loc".
properties.OS principal.platform Mappato dopo la conversione in maiuscolo. "MACOS" o "MAC" corrisponde a "MAC". "WINDOWS" viene associato a "WINDOWS". "LINUX" corrisponde a "LINUX".
properties.OSDescription security_result.detection_fields[OSDescription].value Mappato direttamente come valore di stringa all'interno dell'array security_result.detection_fields con la chiave "OSDescription".
properties.OSVersion principal.platform_version Mappatura diretta.
properties.OS_loc security_result.detection_fields[OS_loc].value Mappato direttamente come valore di stringa all'interno dell'array security_result.detection_fields con la chiave "OS_loc".
properties.RetireAfterDatetime additional.fields[RetireAfterDatetime].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "RetireAfterDatetime".
properties.SerialNumber principal.asset.hardware.serial_number Mappatura diretta.
properties.SessionId network.session_id Mappatura diretta.
properties.UserEmail principal.user.email_addresses Mappatura diretta.
properties.UserName principal.user.user_display_name Mappatura diretta.
tenantId additional.fields[tenantId].value.string_value Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "tenantId".
time metadata.event_timestamp Il campo time del log non elaborato viene analizzato per estrarre i componenti del timestamp. Questi componenti vengono poi utilizzati per creare un timestamp nell'UDM.

Modifiche

2024-04-10

  • "properties.Actor.Application" è stato mappato a "principal.application".
  • "properties.Actor.UPN" è stato mappato a "principal.user.userid".
  • "operationName" è stato mappato a "metadata.product_event_type".
  • "identity" è stato mappato a "target.user.email_addresses".
  • "identity" e "user_id" sono stati mappati a "target.user.userid".
  • "properties.DeviceName" è stato mappato a "principal.hostname" e "principal.asset.hostname".
  • "properties.UserEmail" è stato mappato a "principal.user.email_addresses".
  • "properties.SerialNumber" è stato mappato a "_hardware.serial_number".
  • "_hardware" è stato mappato a "principal.asset.hardware".
  • "properties.UserName" è stato mappato a "principal.user.user_display_name".
  • "properties.OS" è stato mappato a "principal.platform".
  • "properties.OSVersion" è stato mappato a "principal.platform_version".
  • "properties.DeviceId" è stato mappato a "principal.asset.asset_id" e "principal.asset_id".
  • "properties.BatchId" è stato mappato a "metadata.product_log_id".
  • "tenantId", "properties.IntuneAccountId", "properties.AADTenantId", "properties.LastContact", "properties.DeviceHealthThreatLevel_loc", "properties.ComplianceState", "properties.InGracePeriodUntil", "properties.RetireAfterDatetime", "properties.ManagementAgents" e "properties.ManagementAgents_loc" sono stati mappati a "additional.fields".
  • "properties.OS_loc" e "properties.OSDescription" sono stati mappati a "security_result.detection_fields".

2022-08-17

  • È stato aggiunto un controllo condizionale quando "event_type" è mappato a "USER_RESOURCE_UPDATE_CONTENT".
  • È stato aggiunto un controllo condizionale per i campi "software2","software3","software4" e li ho mappati a "target.asset.software".