收集 Microsoft Azure MDM(移动设备管理)Intune 日志

支持的语言:

本文档介绍了如何使用 API 或 Blob 存储将 Microsoft Intune 日志注入到 Google Security Operations。解析器会处理日志,将其转换为统一数据模型 (UDM)。它会提取字段,将其映射到 UDM 属性,处理各种活动类型(创建、删除、修补、操作),并使用设备信息、用户详细信息和安全结果等其他上下文来丰富数据。它还针对“重新配置 CloudPCModel”操作执行特定逻辑,并处理不同的身份场景。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 有效的 Azure 租户
  • 对 Azure 的特权访问权限
  • 对 Microsoft Intune 的特权访问权限

使用 Azure 存储配置日志注入

本部分概述了配置从 Azure 存储注入日志的流程,以便您有效地收集和分析 Microsoft Intune 中的日志。

配置 Azure 存储账号

  1. 在 Azure 控制台中,搜索“存储账号”。
  2. 点击创建
  3. 为以下输入参数指定值:
    • 订阅:选择相应订阅。
    • 资源组:选择资源组。
    • 区域:选择相应区域。
    • 效果:选择所需的效果(建议选择“标准”)。
    • 冗余:选择所选的冗余(建议使用 GRS 或 LRS)。
    • 存储账号名称:输入新存储账号的名称。
  4. 点击 Review + create(检查 + 创建)。
  5. 查看账号概览,然后点击创建
  6. 存储账号概览页面上,从安全性 + 网络中选择子菜单访问密钥
  7. 点击 key1key2 旁边的显示
  8. 点击复制到剪贴板以复制密钥。
  9. 将密钥保存在安全的位置,以供日后参考。
  10. 存储账号概览页面中,选择设置中的子菜单终结点
  11. 点击复制到剪贴板,复制 Blob 服务端点网址(例如 https://<storageaccountname>.blob.core.windows.net)。
  12. 将端点网址保存在安全的位置,以供日后参考。

为 Microsoft Intune 日志配置日志导出

  1. 登录 Microsoft Intune Web 界面。
  2. 依次前往报告 > 诊断设置
  3. 点击 + 添加诊断设置
  4. 提供以下配置详细信息:
    • 诊断设置名称:输入一个描述性名称(例如 Intune logs to Google SecOps
    • 选择 AuditLogsOperationalLogsDeviceComplianceOrgDevices 的诊断设置。
    • 选择归档到存储账号复选框作为目标位置。
    • 指定订阅存储账号
  5. 点击保存

设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 Azure Storage Audit Logs)。
  5. 选择 Microsoft Azure Blob Storage V2 作为来源类型
  6. 选择“Azure 存储审核”作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • Azure URI:Blob 端点网址。

      ENDPOINT_URL/BLOB_NAME

      替换以下内容:

      • ENDPOINT_URL:Blob 端点网址。(https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME:blob 的名称。(例如,<logname>-logs

    • 来源删除选项:根据您的偏好设置选择删除选项。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

使用 API 配置日志注入

本部分详细介绍了在 Azure Active Directory 中设置应用以启用基于 API 的日志注入的初始步骤。

在 Azure AD 中配置应用

  1. 登录 Azure 门户
  2. 可选:如果您有权访问多个租户,请使用顶部菜单中的目录 + 订阅切换到正确的租户。
  3. 搜索并选择 Azure Active Directory
  4. 依次前往管理 > 应用注册 > 新注册
  5. 提供以下配置详细信息:
    • 输入应用的显示名称
    • 指定哪些人可以访问该应用。
    • 可选:请勿为重定向 URI 输入任何内容。
    • 点击注册
  6. 概览界面中复制并保存应用(客户端)ID目录(租户)ID

配置客户端密钥

  1. 应用注册中,选择您的新应用。
  2. 依次前往管理 > 证书和密钥 > 客户端密钥 > 新建客户端密钥
  3. 为您的客户端密钥添加一个名称
  4. 为密钥添加 2 年到期期限,或指定自定义期限。
  5. 点击添加
  6. 复制保存密钥值

配置应用权限

  1. 在“应用注册”中,选择您的新应用。
  2. 依次前往管理 > API 权限 > 添加权限
  3. 选择 Microsoft Graph
  4. 添加以下应用权限:
    • DeviceManagementApps.Read.All
    • DeviceManagementConfiguration.Read.All
    • DeviceManagementManagedDevices.Read.All
    • DeviceManagementRBAC.Read.All
    • DeviceManagementServiceConfig.Read.All
    • AuditLog.Read.All
    • Device.Read.All
  5. 点击添加权限

在 Google SecOps 中配置 Feed 以注入 Microsoft Intune 日志

  1. 依次前往 SIEM 设置> Feed
  2. 点击 Add New(新增)。
  3. Feed 名称字段中,输入 Feed 的名称(例如 Microsoft Intune 日志)。
  4. 选择第三方 API 作为来源类型
  5. 选择 Microsoft Intune 作为日志类型
  6. 点击下一步
  7. 为以下输入参数指定值:
    • OAuth 客户端 ID:输入之前复制的应用 ID。
    • OAuth 客户端密钥:输入之前创建的密钥值。
    • 租户 ID:输入之前复制的目录 ID。
    • 资产命名空间:[资产命名空间] (/chronicle/docs/investigation/asset-namespaces)。
    • 注入标签:应用于此 Feed 中事件的标签。
  8. 点击下一步
  9. 最终确定界面中检查 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
AADTenantId event.idm.read_only_udm.additional.fields.value.string_value 原始日志中的 properties.AADTenantId 值会映射到此 UDM 字段。创建了键为“AADTenantId”的标签。
activityDateTime event.idm.read_only_udm.metadata.event_timestamp 系统会解析 activityDateTime 字段,以提取年、月、日、小时、分钟、秒和时区。提取的这些字段用于构建 event_timestamp
activityType event.idm.read_only_udm.metadata.product_event_type 直接映射到 UDM。
actor.applicationDisplayName event.idm.read_only_udm.principal.application 直接映射到 UDM。
actor.userId event.idm.read_only_udm.principal.user.product_object_id 直接映射到 UDM。
actor.userPrincipalName event.idm.read_only_udm.principal.user.userid 直接映射到 UDM。
category event.idm.read_only_udm.additional.fields.value.string_value 原始日志中的 category 值会映射到此 UDM 字段。创建了键为“category”的标签。
event.idm.read_only_udm.metadata.event_type 由解析器根据 activityOperationType 和其他字段派生。可能的值包括 USER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_DELETIONUSER_RESOURCE_CREATIONUSER_UNCATEGORIZEDSTATUS_UPDATEGENERIC_EVENT。硬编码为“AZURE_MDM_INTUNE”。硬编码为“AZURE MDM INTUNE”。硬编码为“Microsoft”。派生。该值设置为“设备 ID:”与 properties.DeviceId 的值串联而成。原始日志中的 properties.SerialNumber 值会映射到此 UDM 字段。原始日志中的 properties.DeviceName 值会映射到此 UDM 字段。由解析器根据多个字段(包括 DeviceManagementAPINamesoftware1_namesoftware2.namesoftware3.namesoftware4.name)派生得出。您可以创建多个软件条目。原始日志中的 properties.DeviceName 值会映射到此 UDM 字段。由解析器根据 properties.OS 字段派生。可能的值为“WINDOWS”“LINUX”和“MAC”。原始日志中的 properties.OSVersion 值会映射到此 UDM 字段。resources 数组的 modifiedProperties 数组中的 displayName 字段的值会映射到此 UDM 字段。resources 数组的 modifiedProperties 数组中的 newValue 字段的值会映射到此 UDM 字段。原始日志中的 properties.UserEmailuser_identityident.UPN.0.Identity 值会映射到此 UDM 字段。原始日志中的 properties.UserName 值会映射到此 UDM 字段。密钥可以是 OS_locOSDescription。原始日志中的 properties.OS_locproperties.OSDescription 值会映射到此 UDM 字段。由解析器根据多个字段(包括 resources.0.displayNameactivityType)派生得出。由解析器根据 activityResultevent_type 字段派生。可能的值包括 ACTIVEPENDING_DECOMISSIONDECOMISSIONEDDEPLOYMENT_STATUS_UNSPECIFIED。硬编码为“MICROSOFT_AZURE”。原始日志中的 resources.0.resourceId 值会映射到此 UDM 字段。原始日志中的 resources.0.type 值会映射到此 UDM 字段。由解析器根据多个字段(包括 resources.0.typeactivityType)派生得出。可能的值包括 DEVICEACCESS_POLICYTASK。原始日志中的 upn_identity 值会映射到此 UDM 字段。原始日志中的 user_identityuser_id 值会映射到此 UDM 字段。
properties.BatchId event.idm.read_only_udm.metadata.product_log_id 直接映射到 UDM。
resources.0.resourceId event.idm.read_only_udm.target.resource.id 直接映射到 UDM。
resources.0.type event.idm.read_only_udm.target.resource.name 直接映射到 UDM。
tenantId event.idm.read_only_udm.additional.fields.value.string_value 原始日志中的 tenantId 值会映射到此 UDM 字段。创建了键为“tenantId”的标签。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。