Raccogliere i log di Microsoft Azure MDM (Mobile Device Management) Intune

Questo documento spiega come importare i log di Microsoft Intune in Google Security Operations utilizzando l'API o Blob Storage. Il parser elabora i log, trasformandoli in un modello UDM (Unified Data Model). Estrae i campi, li mappa agli attributi UDM, gestisce vari tipi di attività (creazione, eliminazione, patch, azione) e arricchisce i dati con contesto aggiuntivo, come informazioni sul dispositivo, dettagli utente e risultati di sicurezza. Esegue anche una logica specifica per le operazioni "Reprovision CloudPCModel" e gestisce diversi scenari di identità.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Istanza Google SecOps
• Tenant Azure attivo
• Accesso con privilegi ad Azure
• Accesso con privilegi a Microsoft Intune

Configura l'importazione dei log utilizzando Azure Storage

Questa sezione descrive la procedura di configurazione dell'importazione dei log da Azure Storage, consentendoti di raccogliere e analizzare in modo efficace i log di Microsoft Intune.

Configura l'account di archiviazione Azure

1. Nella console Azure, cerca Account di archiviazione.
2. Fai clic su Crea.
3. Specifica i valori per i seguenti parametri di input:
   • Abbonamento: seleziona l'abbonamento.
   • Gruppo di risorse: seleziona il gruppo di risorse.
   • Regione: seleziona la regione.
   • Rendimento: seleziona il rendimento scelto (consigliato Standard).
   • Ridondanza: seleziona la ridondanza scelta (consigliata GRS o LRS).
   • Nome account di archiviazione: inserisci un nome per il nuovo account di archiviazione.
4. Fai clic su Review + create (Rivedi e crea).
5. Controlla la panoramica dell'account e fai clic su Crea.
6. Nella pagina Panoramica dell'account di archiviazione, seleziona il sottomenu Chiavi di accesso in Sicurezza e networking.
7. Fai clic su Mostra accanto a key1 o key2.
8. Fai clic su Copia negli appunti per copiare la chiave.
9. Salva la chiave in un luogo sicuro per riferimento futuro.
10. Nella pagina Panoramica account di archiviazione, seleziona il sottomenu Endpoint in Impostazioni.
11. Fai clic su Copia negli appunti per copiare l'URL dell'endpoint Blob service (ad esempio, https://<storageaccountname>.blob.core.windows.net).
12. Salva l'URL dell'endpoint in una posizione sicura per riferimento futuro.

Configurare l'esportazione dei log per i log di Microsoft Intune

1. Accedi all'UI web di Microsoft Intune.
2. Vai a Report > Impostazioni di diagnostica.
3. Fai clic su + Aggiungi impostazione di diagnostica.
4. Fornisci i seguenti dettagli di configurazione:
   • Nome impostazione diagnostica: inserisci un nome descrittivo (ad esempio, Intune logs to Google SecOps)
   • Seleziona le impostazioni di diagnostica per AuditLogs, OperationalLogs, DeviceComplianceOrg e Devices.
   • Seleziona la casella di controllo Archivia in un account di archiviazione come destinazione.
   • Specifica l'abbonamento e l'account di archiviazione.
5. Fai clic su Salva.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

• Impostazioni SIEM > Feed
• Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nella pagina successiva, fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Azure Storage Audit Logs).
5. Seleziona Microsoft Azure Blob Storage come Tipo di origine.
6. Seleziona Azure Storage Audit come Tipo di log.
7. Fai clic su Avanti.

8. Specifica i valori per i seguenti parametri di input:

   • URI di Azure: l'URL dell'endpoint blob.

     ENDPOINT_URL/BLOB_NAME

     Sostituisci quanto segue:

     • ENDPOINT_URL: l'URL dell'endpoint blob. (https://<storageaccountname>.blob.core.windows.net)
     • BLOB_NAME: il nome del blob. (ad esempio, <logname>-logs)

   • L'URI è un: seleziona URI_TYPE in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).

   • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

   • Chiave condivisa: la chiave di accesso ad Azure Blob Storage.

9. Fai clic su Avanti.

10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

• L'URI è un: seleziona URI_TYPE in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).

  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

• Chiave condivisa: la chiave di accesso ad Azure Blob Storage.

Opzioni avanzate

• Nome feed: un valore precompilato che identifica il feed.
• Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
• Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
• Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Configura l'importazione dei log utilizzando l'API

Questa sezione descrive i passaggi iniziali per configurare un'applicazione in Azure Active Directory per attivare l'importazione dei log basata su API.

Configura un'app su Azure AD

1. Accedi al portale Azure.
2. (Facoltativo) Se hai accesso a più tenant, utilizza Directory + abbonamenti nel menu in alto per passare al tenant corretto.
3. Cerca e seleziona Azure Active Directory.
4. Vai a Gestisci > Registrazioni app > Nuova registrazione.
5. Fornisci i seguenti dettagli di configurazione:
   • Inserisci un nome visualizzato per l'applicazione.
   • Specifica chi può accedere all'applicazione.
   • (Facoltativo) Non inserire nulla per URI di reindirizzamento.
   • Fai clic su Register (Registrati).
6. Copia e salva l'ID applicazione (client) e l'ID directory (tenant) dalla schermata Panoramica.

Configura il client secret

1. In App Registrations (registrazioni di app), seleziona la nuova applicazione.
2. Vai a Gestione > Certificati e secret > Client secret > Nuovo client secret.
3. Aggiungi un nome per il client secret.
4. Aggiungi un periodo di scadenza di 2 anni per il segreto o specifica un periodo personalizzato.
5. Fai clic su Aggiungi.
6. Copia e salva il valore del secret.

Configurare le autorizzazioni app

1. In Registrazioni di app, seleziona la nuova applicazione.
2. Vai a Gestisci > Autorizzazioni API > Aggiungi un'autorizzazione.
3. Seleziona Microsoft Graph.
4. Aggiungi le seguenti autorizzazioni applicazione:
   • DeviceManagementApps.Read.All
   • DeviceManagementConfiguration.Read.All
   • DeviceManagementManagedDevices.Read.All
   • DeviceManagementRBAC.Read.All
   • DeviceManagementServiceConfig.Read.All
   • AuditLog.Read.All
   • Device.Read.All
5. Fai clic su Aggiungi autorizzazioni.

Configura un feed in Google SecOps per importare i log di Microsoft Intune

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Add New (Aggiungi nuovo).
3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Log di Microsoft Intune).
4. Seleziona API di terze parti come Tipo di origine.
5. Seleziona Microsoft Intune come tipo di log.
6. Fai clic su Avanti.
7. Specifica i valori per i seguenti parametri di input:
   • ID client OAuth: inserisci l'ID applicazione copiato in precedenza.
   • Client secret OAuth: inserisci il valore del segreto creato in precedenza.
   • ID tenant: inserisci l'ID directory copiato in precedenza.
   • Spazio dei nomi dell'asset: lo [spazio dei nomi dell'asset] (/chronicle/docs/investigation/asset-namespaces).
   • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
8. Fai clic su Avanti.
9. Controlla la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
AADTenantId	event.idm.read_only_udm.additional.fields.value.string_value	Il valore di properties.AADTenantId del log non elaborato viene mappato a questo campo UDM. Viene creata un'etichetta con la chiave "AADTenantId".
activityDateTime	event.idm.read_only_udm.metadata.event_timestamp	Il campo activityDateTime viene analizzato per estrarre anno, mese, giorno, ora, minuto, secondo e fuso orario. Questi campi estratti vengono utilizzati per creare event_timestamp.
activityType	event.idm.read_only_udm.metadata.product_event_type	Mappato direttamente a UDM.
actor.applicationDisplayName	event.idm.read_only_udm.principal.application	Mappato direttamente a UDM.
actor.userId	event.idm.read_only_udm.principal.user.product_object_id	Mappato direttamente a UDM.
actor.userPrincipalName	event.idm.read_only_udm.principal.user.userid	Mappato direttamente a UDM.
category	event.idm.read_only_udm.additional.fields.value.string_value	Il valore di category del log non elaborato viene mappato a questo campo UDM. Viene creata un'etichetta con la chiave "category".
	event.idm.read_only_udm.metadata.event_type	Derivato dal parser in base a activityOperationType e ad altri campi. I valori possibili includono USER_RESOURCE_UPDATE_CONTENT, USER_RESOURCE_DELETION, USER_RESOURCE_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE e GENERIC_EVENT. Codificato in modo permanente su "AZURE_MDM_INTUNE". Codificato in modo permanente su "AZURE MDM INTUNE". Codificato come "Microsoft". Derivato. Il valore è impostato su "Device ID:" concatenato al valore di properties.DeviceId. Il valore di properties.SerialNumber del log non elaborato viene mappato a questo campo UDM. Il valore di properties.DeviceName del log non elaborato viene mappato a questo campo UDM. Derivato dal parser in base a diversi campi, tra cui DeviceManagementAPIName, software1_name, software2.name, software3.name e software4.name. È possibile creare più voci software. Il valore di properties.DeviceName del log non elaborato viene mappato a questo campo UDM. Derivato dal parser in base al campo properties.OS. I valori possibili sono "WINDOWS", "LINUX" e "MAC". Il valore di properties.OSVersion del log non elaborato viene mappato a questo campo UDM. Il valore del campo displayName all'interno dell'array modifiedProperties dell'array resources viene mappato a questo campo UDM. Il valore del campo newValue all'interno dell'array modifiedProperties dell'array resources viene mappato a questo campo UDM. Il valore di properties.UserEmail, user_identity o ident.UPN.0.Identity del log non elaborato viene mappato a questo campo UDM. Il valore di properties.UserName del log non elaborato viene mappato a questo campo UDM. La chiave può essere OS_loc o OSDescription. Il valore di properties.OS_loc o properties.OSDescription del log non elaborato viene mappato a questo campo UDM. Derivato dal parser in base a diversi campi, tra cui resources.0.displayName e activityType. Derivato dal parser in base ai campi activityResult e event_type. I valori possibili includono ACTIVE, PENDING_DECOMISSION, DECOMISSIONED e DEPLOYMENT_STATUS_UNSPECIFIED. Codificato come "MICROSOFT_AZURE". Il valore di resources.0.resourceId del log non elaborato viene mappato a questo campo UDM. Il valore di resources.0.type del log non elaborato viene mappato a questo campo UDM. Derivato dal parser in base a diversi campi, tra cui resources.0.type e activityType. I valori possibili includono DEVICE, ACCESS_POLICY e TASK. Il valore di upn_identity del log non elaborato viene mappato a questo campo UDM. Il valore di user_identity o user_id del log non elaborato viene mappato a questo campo UDM.
properties.BatchId	event.idm.read_only_udm.metadata.product_log_id	Mappato direttamente a UDM.
resources.0.resourceId	event.idm.read_only_udm.target.resource.id	Mappato direttamente a UDM.
resources.0.type	event.idm.read_only_udm.target.resource.name	Mappato direttamente a UDM.
tenantId	event.idm.read_only_udm.additional.fields.value.string_value	Il valore di tenantId del log non elaborato viene mappato a questo campo UDM. Viene creata un'etichetta con la chiave "tenantId".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.