Coletar registros do Intune do MDM (gerenciamento de dispositivos móveis) do Microsoft Azure

Este documento explica como ingerir registros do Microsoft Intune no Google Security Operations usando a API ou o armazenamento de blobs. O analisador processa os registros, transformando-os em um modelo de dados unificado (UDM). Ele extrai campos, mapeia-os para atributos da UDM, processa vários tipos de atividade (criar, excluir, patch, ação) e enriquece os dados com contexto adicional, como informações do dispositivo, detalhes do usuário e resultados de segurança. Ele também executa uma lógica específica para operações de "Reprovision CloudPCModel" e processa diferentes cenários de identidade.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Instância do Google SecOps
• Locatário ativo do Azure
• Acesso privilegiado ao Azure
• Acesso privilegiado ao Microsoft Intune

Configurar a ingestão de registros usando o Armazenamento do Azure

Esta seção descreve o processo de configuração da ingestão de registros do Azure Storage, permitindo que você colete e analise registros do Microsoft Intune de maneira eficaz.

Configurar a conta de armazenamento do Azure

1. No console do Azure, pesquise "Contas de armazenamento".
2. Clique em Criar.
3. Especifique valores para os seguintes parâmetros de entrada:
   • Assinatura: selecione a assinatura.
   • Grupo de recursos: selecione o grupo de recursos.
   • Região: selecione a região.
   • Performance: selecione a performance escolhida (recomendamos a opção "Padrão").
   • Redundância: selecione a redundância escolhida (GRS ou LRS recomendado).
   • Nome da conta de armazenamento: insira um nome para a nova conta de armazenamento.
4. Clique em Revisar + criar.
5. Revise a visão geral da conta e clique em Criar.
6. Na página Visão geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança + rede.
7. Clique em Mostrar ao lado de key1 ou key2.
8. Clique em Copiar para a área de transferência para copiar a chave.
9. Salve a chave em um local seguro para referência futura.
10. Na página Visão geral da conta de armazenamento, selecione o submenu Endpoints em Configurações.
11. Clique em Copiar para a área de transferência para copiar o URL do endpoint do serviço de blob (por exemplo, https://<storageaccountname>.blob.core.windows.net).
12. Salve o URL do endpoint em um local seguro para referência futura.

Configurar a exportação de registros do Microsoft Intune

1. Faça login na UI da Web do Microsoft Intune.
2. Acesse Relatórios > Configurações de diagnóstico.
3. Clique em + Adicionar configuração de diagnóstico.
4. Informe os seguintes detalhes de configuração:
   • Nome da configuração de diagnóstico: insira um nome descritivo, por exemplo, Intune logs to Google SecOps.
   • Selecione as configurações de diagnóstico para AuditLogs, OperationalLogs, DeviceComplianceOrg e Devices.
   • Marque a caixa de seleção Arquivar em uma conta de armazenamento como destino.
   • Especifique a Assinatura e a Conta de armazenamento.
5. Clique em Salvar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

• Configurações do SIEM > Feeds
• Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na próxima página, clique em Configurar um único feed.
4. No campo Nome do feed, insira um nome para o feed (por exemplo, Azure Storage Audit Logs).
5. Selecione Microsoft Azure Blob Storage como o Tipo de origem.
6. Selecione "Auditoria do Azure Storage" como o Tipo de registro.
7. Clique em Próxima.

8. Especifique valores para os seguintes parâmetros de entrada:

   • URI do Azure: o URL do endpoint do blob.

     ENDPOINT_URL/BLOB_NAME

     Substitua:

     • ENDPOINT_URL: o URL do endpoint de blob. (https://<storageaccountname>.blob.core.windows.net)
     • BLOB_NAME: o nome do blob. (como <logname>-logs)

   • URI é um: selecione URI_TYPE de acordo com a configuração do fluxo de registros (arquivo único | diretório | diretório que inclui subdiretórios).

   • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.

   • Chave compartilhada: a chave de acesso ao Azure Blob Storage.

9. Clique em Próxima.

10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

• URI é um: selecione URI_TYPE de acordo com a configuração do fluxo de registros (arquivo único | diretório | diretório que inclui subdiretórios).

  • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.

• Chave compartilhada: a chave de acesso ao Azure Blob Storage.

Opções avançadas

• Nome do feed: um valor pré-preenchido que identifica o feed.
• Tipo de origem: método usado para coletar registros no Google SecOps.
• Namespace do recurso: namespace associado ao feed.
• Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Configurar a ingestão de registros usando a API

Esta seção detalha as etapas iniciais para configurar um aplicativo no Azure Active Directory para ativar a ingestão de registros com base em API.

Configurar um app no Azure AD

1. Faça login no portal do Azure.
2. Opcional: se você tiver acesso a vários locatários, use a opção Diretórios + assinaturas no menu superior para mudar para o locatário correto.
3. Pesquise e selecione Azure Active Directory.
4. Acesse Gerenciar > Registros de apps > Novo registro.
5. Informe os seguintes detalhes de configuração:
   • Insira um Nome de exibição para o aplicativo.
   • Especifique quem pode acessar o aplicativo.
   • Opcional: não insira nada em URI de redirecionamento.
   • Clique em Registrar.
6. Copie e salve o ID do aplicativo (cliente) e o ID do diretório (locatário) na tela Visão geral.

Configurar chave secreta do cliente

1. Em Registros de apps, selecione seu novo aplicativo.
2. Acesse Gerenciar > Certificados e chaves secretas > Chaves secretas do cliente > Nova chave secreta do cliente.
3. Adicione um nome para o chave secreta do cliente.
4. Adicione um período de validade de dois anos para a chave secreta ou especifique um período personalizado.
5. Clique em Adicionar.
6. Copie e salve o valor secreto.

Configurar permissões do app

1. Em "Registros de apps", selecione seu novo aplicativo.
2. Acesse Gerenciar > Permissões da API > Adicionar uma permissão.
3. Selecione Microsoft Graph.
4. Adicione as seguintes permissões de aplicativo:
   • DeviceManagementApps.Read.All
   • DeviceManagementConfiguration.Read.All
   • DeviceManagementManagedDevices.Read.All
   • DeviceManagementRBAC.Read.All
   • DeviceManagementServiceConfig.Read.All
   • AuditLog.Read.All
   • Device.Read.All
5. Clique em Adicionar permissões

Configurar um feed no Google SecOps para ingerir registros do Microsoft Intune

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Add New.
3. No campo Nome do feed, insira um nome para o feed (por exemplo, Registros do Microsoft Intune).
4. Selecione API de terceiros como o Tipo de origem.
5. Selecione Microsoft Intune como o Tipo de registro.
6. Clique em Próxima.
7. Especifique valores para os seguintes parâmetros de entrada:
   • ID do cliente OAuth: insira o ID do aplicativo copiado anteriormente.
   • Chave secreta do cliente OAuth: insira o valor da chave secreta criado anteriormente.
   • ID do locatário: digite o ID do diretório copiado anteriormente.
   • Namespace do recurso: o [namespace do recurso] (/chronicle/docs/investigation/asset-namespaces).
   • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
8. Clique em Próxima.
9. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
AADTenantId	event.idm.read_only_udm.additional.fields.value.string_value	O valor de properties.AADTenantId do registro bruto é mapeado para esse campo do UDM. Um rótulo com a chave "AADTenantId" é criado.
activityDateTime	event.idm.read_only_udm.metadata.event_timestamp	O campo activityDateTime é analisado para extrair ano, mês, dia, hora, minuto, segundo e fuso horário. Esses campos extraídos são usados para construir o event_timestamp.
activityType	event.idm.read_only_udm.metadata.product_event_type	Mapeado diretamente para a UDM.
actor.applicationDisplayName	event.idm.read_only_udm.principal.application	Mapeado diretamente para a UDM.
actor.userId	event.idm.read_only_udm.principal.user.product_object_id	Mapeado diretamente para a UDM.
actor.userPrincipalName	event.idm.read_only_udm.principal.user.userid	Mapeado diretamente para a UDM.
category	event.idm.read_only_udm.additional.fields.value.string_value	O valor de category do registro bruto é mapeado para esse campo do UDM. Um rótulo com a chave "category" é criado.
	event.idm.read_only_udm.metadata.event_type	Derivado pelo analisador com base no activityOperationType e em outros campos. Os valores possíveis incluem USER_RESOURCE_UPDATE_CONTENT, USER_RESOURCE_DELETION, USER_RESOURCE_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE e GENERIC_EVENT. Codificado como "AZURE_MDM_INTUNE". Codificado como "AZURE MDM INTUNE". Codificado como "Microsoft". Derivada. O valor é definido como "ID do dispositivo:" concatenado com o valor de properties.DeviceId. O valor de properties.SerialNumber do registro bruto é mapeado para esse campo do UDM. O valor de properties.DeviceName do registro bruto é mapeado para esse campo do UDM. Derivado pelo analisador com base em vários campos, incluindo DeviceManagementAPIName, software1_name, software2.name, software3.name e software4.name. É possível criar várias entradas de software. O valor de properties.DeviceName do registro bruto é mapeado para esse campo do UDM. Derivado pelo analisador com base no campo properties.OS. Os valores possíveis são "WINDOWS", "LINUX" e "MAC". O valor de properties.OSVersion do registro bruto é mapeado para esse campo do UDM. O valor do campo displayName na matriz modifiedProperties da matriz resources é mapeado para esse campo do UDM. O valor do campo newValue na matriz modifiedProperties da matriz resources é mapeado para esse campo do UDM. O valor de properties.UserEmail, user_identity ou ident.UPN.0.Identity do registro bruto é mapeado para esse campo da UDM. O valor de properties.UserName do registro bruto é mapeado para esse campo do UDM. A chave pode ser OS_loc ou OSDescription. O valor de properties.OS_loc ou properties.OSDescription do registro bruto é mapeado para esse campo do UDM. Derivado pelo analisador com base em vários campos, incluindo resources.0.displayName e activityType. Derivado pelo analisador com base nos campos activityResult e event_type. Os valores possíveis incluem ACTIVE, PENDING_DECOMISSION, DECOMISSIONED e DEPLOYMENT_STATUS_UNSPECIFIED. Fixado no código como "MICROSOFT_AZURE". O valor de resources.0.resourceId do registro bruto é mapeado para esse campo do UDM. O valor de resources.0.type do registro bruto é mapeado para esse campo do UDM. Derivado pelo analisador com base em vários campos, incluindo resources.0.type e activityType. Os valores possíveis incluem DEVICE, ACCESS_POLICY e TASK. O valor de upn_identity do registro bruto é mapeado para esse campo do UDM. O valor de user_identity ou user_id do registro bruto é mapeado para esse campo do UDM.
properties.BatchId	event.idm.read_only_udm.metadata.product_log_id	Mapeado diretamente para a UDM.
resources.0.resourceId	event.idm.read_only_udm.target.resource.id	Mapeado diretamente para a UDM.
resources.0.type	event.idm.read_only_udm.target.resource.name	Mapeado diretamente para a UDM.
tenantId	event.idm.read_only_udm.additional.fields.value.string_value	O valor de tenantId do registro bruto é mapeado para esse campo do UDM. Um rótulo com a chave "tenantId" é criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.