收集 Microsoft Azure MDM(移动设备管理)Intune 日志

支持的语言:

本文档介绍了如何使用 API 或 Blob 存储将 Microsoft Intune 日志注入到 Google Security Operations。解析器会处理日志,将其转换为统一数据模型 (UDM)。它会提取字段,将其映射到 UDM 属性,处理各种活动类型(创建、删除、修补、操作),并使用设备信息、用户详细信息和安全结果等其他上下文来丰富数据。它还针对“重新配置 CloudPCModel”操作执行特定逻辑,并处理不同的身份场景。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 有效的 Azure 租户
  • 对 Azure 的特权访问权限
  • 对 Microsoft Intune 的特权访问权限

使用 Azure 存储配置日志注入

本部分概述了配置从 Azure 存储注入日志的流程,可让您有效地收集和分析 Microsoft Intune 中的日志。

配置 Azure 存储账号

  1. 在 Azure 控制台中,搜索“存储账号”。
  2. 点击创建
  3. 为以下输入参数指定值:
    • 订阅:选择相应订阅。
    • 资源组:选择资源组。
    • 区域:选择相应区域。
    • 效果:选择所需的效果(建议选择“标准”)。
    • 冗余:选择所选的冗余(建议使用 GRS 或 LRS)。
    • 存储账号名称:输入新存储账号的名称。
  4. 点击 Review + create(检查 + 创建)。
  5. 查看账号概览,然后点击创建
  6. 存储账号概览页面上,从安全性 + 网络中选择子菜单访问密钥
  7. 点击 key1key2 旁边的显示
  8. 点击复制到剪贴板以复制密钥。
  9. 将密钥保存在安全的位置,以供日后参考。
  10. 存储账号概览页面中,选择设置中的子菜单终结点
  11. 点击复制到剪贴板,复制 Blob 服务端点网址(例如 https://<storageaccountname>.blob.core.windows.net)。
  12. 将端点网址保存在安全的位置,以供日后参考。

为 Microsoft Intune 日志配置日志导出

  1. 登录 Microsoft Intune Web 界面。
  2. 依次前往报告 > 诊断设置
  3. 点击 + 添加诊断设置
  4. 提供以下配置详细信息:
    • 诊断设置名称:输入一个描述性名称(例如 Intune logs to Google SecOps
    • 选择 AuditLogsOperationalLogsDeviceComplianceOrgDevices 的诊断设置。
    • 选择归档到存储账号复选框作为目标位置。
    • 指定订阅存储账号
  5. 点击保存

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 Azure Storage Audit Logs)。
  5. 选择 Microsoft Azure Blob Storage 作为来源类型
  6. 选择“Azure 存储审核”作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • Azure URI:Blob 端点网址。

      ENDPOINT_URL/BLOB_NAME

      替换以下内容:

      • ENDPOINT_URL:Blob 端点网址。(https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME:blob 的名称。(例如,<logname>-logs

    • URI is a:根据日志流配置(单个文件 | 目录 | 包含子目录的目录)选择 URI_TYPE

    • 来源删除选项:根据您的偏好设置选择删除选项。

    • 共享密钥:Azure Blob Storage 的访问密钥。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • URI is a:根据日志流配置(单个文件 | 目录 | 包含子目录的目录)选择 URI_TYPE

    • 来源删除选项:根据您的偏好设置选择删除选项。

  • 共享密钥:Azure Blob Storage 的访问密钥。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资源命名空间:与 Feed 关联的命名空间。
  • 提取标签:应用于相应 Feed 中所有事件的标签。

使用 API 配置日志注入

本部分详细介绍了在 Azure Active Directory 中设置应用以启用基于 API 的日志注入的初始步骤。

在 Azure AD 中配置应用

  1. 登录 Azure 门户
  2. 可选:如果您有权访问多个租户,请使用顶部菜单中的目录 + 订阅切换到正确的租户。
  3. 搜索并选择 Azure Active Directory
  4. 依次前往管理 > 应用注册 > 新注册
  5. 提供以下配置详细信息:
    • 输入应用的显示名称
    • 指定哪些人可以访问该应用。
    • 可选:请勿为重定向 URI 输入任何内容。
    • 点击注册
  6. 概览界面复制并保存应用(客户端)ID目录(租户)ID

配置客户端密钥

  1. 应用注册中,选择您的新应用。
  2. 依次前往管理 > 证书和密钥 > 客户端密钥 > 新建客户端密钥
  3. 为您的客户端密钥添加一个名称
  4. 为密钥添加 2 年到期期限,或指定自定义期限。
  5. 点击添加
  6. 复制保存密钥值

配置应用权限

  1. 在“应用注册”中,选择您的新应用。
  2. 依次前往管理 > API 权限 > 添加权限
  3. 选择 Microsoft Graph
  4. 添加以下应用权限:
    • DeviceManagementApps.Read.All
    • DeviceManagementConfiguration.Read.All
    • DeviceManagementManagedDevices.Read.All
    • DeviceManagementRBAC.Read.All
    • DeviceManagementServiceConfig.Read.All
    • AuditLog.Read.All
    • Device.Read.All
  5. 点击添加权限

在 Google SecOps 中配置 Feed 以注入 Microsoft Intune 日志

  1. 依次前往 SIEM 设置> Feed
  2. 点击 Add New(新增)。
  3. Feed 名称字段中,输入 Feed 的名称(例如 Microsoft Intune 日志)。
  4. 选择第三方 API 作为来源类型
  5. 选择 Microsoft Intune 作为日志类型
  6. 点击下一步
  7. 为以下输入参数指定值:
    • OAuth 客户端 ID:输入之前复制的应用 ID。
    • OAuth 客户端密钥:输入之前创建的密钥值。
    • 租户 ID:输入之前复制的目录 ID。
    • 资产命名空间:[资产命名空间] (/chronicle/docs/investigation/asset-namespaces)。
    • 注入标签:应用于此 Feed 中事件的标签。
  8. 点击下一步
  9. 最终确定界面中检查 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
AADTenantId event.idm.read_only_udm.additional.fields.value.string_value 原始日志中的 properties.AADTenantId 值会映射到此 UDM 字段。创建了键为“AADTenantId”的标签。
activityDateTime event.idm.read_only_udm.metadata.event_timestamp 系统会解析 activityDateTime 字段,以提取年、月、日、小时、分钟、秒和时区。提取的这些字段用于构建 event_timestamp
activityType event.idm.read_only_udm.metadata.product_event_type 直接映射到 UDM。
actor.applicationDisplayName event.idm.read_only_udm.principal.application 直接映射到 UDM。
actor.userId event.idm.read_only_udm.principal.user.product_object_id 直接映射到 UDM。
actor.userPrincipalName event.idm.read_only_udm.principal.user.userid 直接映射到 UDM。
category event.idm.read_only_udm.additional.fields.value.string_value 原始日志中的 category 值会映射到此 UDM 字段。创建了键为“category”的标签。
event.idm.read_only_udm.metadata.event_type 由解析器根据 activityOperationType 和其他字段派生。可能的值包括 USER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_DELETIONUSER_RESOURCE_CREATIONUSER_UNCATEGORIZEDSTATUS_UPDATEGENERIC_EVENT。硬编码为“AZURE_MDM_INTUNE”。硬编码为“AZURE MDM INTUNE”。硬编码为“Microsoft”。派生。该值设置为“设备 ID:”与 properties.DeviceId 的值串联而成。原始日志中的 properties.SerialNumber 值会映射到此 UDM 字段。原始日志中的 properties.DeviceName 值会映射到此 UDM 字段。由解析器根据多个字段(包括 DeviceManagementAPINamesoftware1_namesoftware2.namesoftware3.namesoftware4.name)派生得出。您可以创建多个软件条目。原始日志中的 properties.DeviceName 值会映射到此 UDM 字段。由解析器根据 properties.OS 字段派生。可能的值为“WINDOWS”“LINUX”和“MAC”。原始日志中的 properties.OSVersion 值会映射到此 UDM 字段。resources 数组的 modifiedProperties 数组中的 displayName 字段的值会映射到此 UDM 字段。resources 数组的 modifiedProperties 数组中的 newValue 字段的值会映射到此 UDM 字段。原始日志中的 properties.UserEmailuser_identityident.UPN.0.Identity 值会映射到此 UDM 字段。原始日志中的 properties.UserName 值会映射到此 UDM 字段。密钥可以是 OS_locOSDescription。原始日志中的 properties.OS_locproperties.OSDescription 值会映射到此 UDM 字段。由解析器根据多个字段(包括 resources.0.displayNameactivityType)派生得出。由解析器根据 activityResultevent_type 字段派生。可能的值包括 ACTIVEPENDING_DECOMISSIONDECOMISSIONEDDEPLOYMENT_STATUS_UNSPECIFIED。硬编码为“MICROSOFT_AZURE”。原始日志中的 resources.0.resourceId 值会映射到此 UDM 字段。原始日志中的 resources.0.type 值会映射到此 UDM 字段。由解析器根据多个字段(包括 resources.0.typeactivityType)派生得出。可能的值包括 DEVICEACCESS_POLICYTASK。原始日志中的 upn_identity 值会映射到此 UDM 字段。原始日志中的 user_identityuser_id 值会映射到此 UDM 字段。
properties.BatchId event.idm.read_only_udm.metadata.product_log_id 直接映射到 UDM。
resources.0.resourceId event.idm.read_only_udm.target.resource.id 直接映射到 UDM。
resources.0.type event.idm.read_only_udm.target.resource.name 直接映射到 UDM。
tenantId event.idm.read_only_udm.additional.fields.value.string_value 原始日志中的 tenantId 值会映射到此 UDM 字段。创建了键为“tenantId”的标签。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。