Raccogliere i log di Microsoft Intune
Questo documento descrive come raccogliere i log di Microsoft Intune impostando un feed di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione AZURE_MDM_INTUNE
.
Prima di iniziare
Per completare le attività in questa pagina, assicurati di disporre di quanto segue:
Un abbonamento Azure a cui puoi accedere.
Un ambiente (tenant) Microsoft Intune in Azure.
Un ruolo di amministratore globale o amministratore del servizio Intune per il tenant Intune.
Configurare Microsoft Intune
- Accedi al centro di amministrazione di Microsoft Endpoint Manager.
- Seleziona Report > Impostazioni di diagnostica.
- Inserisci un nome per le impostazioni di diagnostica, ad esempio
Route audit logs to storage account
. - Per accedere alle impostazioni di diagnostica per la prima volta, fai clic su Attiva la diagnostica.
- Nella finestra Impostazioni di diagnostica, inserisci un nome appropriato e seleziona Log di controllo, Log di lavoro e Organizzazione conformità dispositivo.
- Per archiviare i log nell'account di archiviazione:
- Seleziona Archivia in un account di archiviazione.
- Seleziona un abbonamento e un account di archiviazione esistenti.
Per archiviare i log nell'account di archiviazione, devi disporre delle credenziali di archiviazione di Azure. Per ulteriori informazioni, consulta Credenziali di archiviazione di Azure.
Configurare un feed in Google Security Operations per importare i log di Microsoft Intune
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Add New (Aggiungi nuovo).
- Inserisci un nome univoco per il nome del campo.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Microsoft Intune come Tipo di log.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- ID client OAuth: specifica un ID client OAuth 2.0.
- Client secret OAuth: specifica il segreto associato all'ID client.
- ID tenant: specifica l'ID tenant Microsoft.
- Fai clic su Avanti, quindi su Invia.
Per ulteriori informazioni sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.
Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser elabora i log di Microsoft MDM in formato JSON, trasformandoli in UDM. Estrae i campi, gestisce la formattazione della data, mappa attività MDM specifiche ai tipi di eventi UDM e arricchisce i dati con un contesto aggiuntivo, come informazioni su utenti e dispositivi.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
activityDateTime |
metadata.event_timestamp |
Il campo activityDateTime del log non elaborato viene analizzato per estrarre l'anno, il mese, il giorno, l'ora, il minuto, il secondo e il fuso orario. Questi componenti estratti vengono poi utilizzati per creare un timestamp nell'UDM. |
activityType |
metadata.product_event_type |
Mappatura diretta. |
actor.applicationDisplayName |
principal.application |
Mappatura diretta. |
actor.userId |
principal.user.product_object_id |
Mappatura diretta. |
actor.userPrincipalName |
principal.user.userid |
Mappatura diretta. |
category |
additional.fields[category].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "category". |
displayName |
target.application |
Mappatura diretta. In alcuni casi, un'ulteriore logica all'interno dell'analizzatore determina il valore in base a activityType . |
metadata.log_type |
Hardcoded su "AZURE_MDM_INTUNE". Hardcoded su "AZURE MDM INTUNE". Hardcoded su "Microsoft". Derivata da activityResult . "Success" corrisponde a "ACTIVE", "Failure" corrisponde a "PENDING_DECOMISSION". Se event_type è "USER_RESOURCE_DELETION", viene impostato su "DECOMISSIONED". Hardcoded su "MICROSOFT_AZURE". |
|
resources.0.modifiedProperties.0.displayName |
target.asset.software.name |
In alcuni casi, questo campo è mappato a target.asset.software.name . Altri campi resources.0.modifiedProperties.N.displayName possono anche essere mappati ad altri oggetti software all'interno del target.asset , a seconda del activityType . |
resources.0.modifiedProperties.N.newValue |
principal.user.attribute.roles.name |
In alcuni casi, questi campi vengono utilizzati per compilare le informazioni sui ruoli. |
resources.0.modifiedProperties.N.displayName |
principal.user.attribute.roles.description |
In alcuni casi, questi campi vengono utilizzati per compilare le informazioni sui ruoli. |
resources.0.resourceId |
target.resource.id |
Mappatura diretta. |
resources.0.type |
target.resource.name |
Mappatura diretta. |
resources.1.modifiedProperties.N.displayName |
target.asset.software.name |
In alcuni casi, questo campo è mappato a target.asset.software.name . |
properties.AADTenantId |
additional.fields[AADTenantId].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "AADTenantId". |
properties.Actor.Application |
principal.application |
Mappatura diretta. |
properties.Actor.UPN |
principal.user.userid |
Mappatura diretta. |
properties.BatchId |
metadata.product_log_id |
Mappatura diretta. |
properties.ComplianceState |
additional.fields[ComplianceState].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "ComplianceState". |
properties.DeviceId |
principal.asset.asset_id , principal.asset_id |
Mappato con il prefisso "ID dispositivo:". |
properties.DeviceHealthThreatLevel_loc |
additional.fields[DeviceHealthThreatLevel_loc].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "DeviceHealthThreatLevel_loc". |
properties.DeviceName |
principal.hostname , principal.asset.hostname |
Mappatura diretta. |
properties.InGracePeriodUntil |
additional.fields[InGracePeriodUntil].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "InGracePeriodUntil". |
properties.IntuneAccountId |
additional.fields[IntuneAccountId].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "IntuneAccountId". |
properties.LastContact |
additional.fields[LastContact].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "LastContact". |
properties.ManagementAgents |
additional.fields[ManagementAgents].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "ManagementAgents". |
properties.ManagementAgents_loc |
additional.fields[ManagementAgents_loc].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "ManagementAgents_loc". |
properties.OS |
principal.platform |
Mappato dopo la conversione in maiuscolo. "MACOS" o "MAC" corrisponde a "MAC". "WINDOWS" viene associato a "WINDOWS". "LINUX" corrisponde a "LINUX". |
properties.OSDescription |
security_result.detection_fields[OSDescription].value |
Mappato direttamente come valore di stringa all'interno dell'array security_result.detection_fields con la chiave "OSDescription". |
properties.OSVersion |
principal.platform_version |
Mappatura diretta. |
properties.OS_loc |
security_result.detection_fields[OS_loc].value |
Mappato direttamente come valore di stringa all'interno dell'array security_result.detection_fields con la chiave "OS_loc". |
properties.RetireAfterDatetime |
additional.fields[RetireAfterDatetime].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "RetireAfterDatetime". |
properties.SerialNumber |
principal.asset.hardware.serial_number |
Mappatura diretta. |
properties.SessionId |
network.session_id |
Mappatura diretta. |
properties.UserEmail |
principal.user.email_addresses |
Mappatura diretta. |
properties.UserName |
principal.user.user_display_name |
Mappatura diretta. |
tenantId |
additional.fields[tenantId].value.string_value |
Mappato direttamente come valore di stringa all'interno dell'array additional.fields con la chiave "tenantId". |
time |
metadata.event_timestamp |
Il campo time del log non elaborato viene analizzato per estrarre i componenti del timestamp. Questi componenti vengono poi utilizzati per creare un timestamp nell'UDM. |
Modifiche
2024-04-10
- "properties.Actor.Application" è stato mappato a "principal.application".
- "properties.Actor.UPN" è stato mappato a "principal.user.userid".
- "operationName" è stato mappato a "metadata.product_event_type".
- "identity" è stato mappato a "target.user.email_addresses".
- "identity" e "user_id" sono stati mappati a "target.user.userid".
- "properties.DeviceName" è stato mappato a "principal.hostname" e "principal.asset.hostname".
- "properties.UserEmail" è stato mappato a "principal.user.email_addresses".
- "properties.SerialNumber" è stato mappato a "_hardware.serial_number".
- "_hardware" è stato mappato a "principal.asset.hardware".
- "properties.UserName" è stato mappato a "principal.user.user_display_name".
- "properties.OS" è stato mappato a "principal.platform".
- "properties.OSVersion" è stato mappato a "principal.platform_version".
- "properties.DeviceId" è stato mappato a "principal.asset.asset_id" e "principal.asset_id".
- "properties.BatchId" è stato mappato a "metadata.product_log_id".
- "tenantId", "properties.IntuneAccountId", "properties.AADTenantId", "properties.LastContact", "properties.DeviceHealthThreatLevel_loc", "properties.ComplianceState", "properties.InGracePeriodUntil", "properties.RetireAfterDatetime", "properties.ManagementAgents" e "properties.ManagementAgents_loc" sono stati mappati a "additional.fields".
- "properties.OS_loc" e "properties.OSDescription" sono stati mappati a "security_result.detection_fields".
2022-08-17
- È stato aggiunto un controllo condizionale quando "event_type" è mappato a "USER_RESOURCE_UPDATE_CONTENT".
- È stato aggiunto un controllo condizionale per i campi "software2","software3","software4" e li ho mappati a "target.asset.software".