收集 Microsoft Azure MDM (行動裝置管理) Intune 記錄

支援的國家/地區:

本文說明如何使用 API 或 Blob 儲存空間,將 Microsoft Intune 記錄擷取至 Google Security Operations。剖析器會處理記錄,並轉換為統一資料模型 (UDM)。這項服務會擷取欄位、將欄位對應至 UDM 屬性、處理各種活動類型 (建立、刪除、修補、動作),並使用裝置資訊、使用者詳細資料和安全性結果等額外內容來擴充資料。此外,它也會針對「Reprovision CloudPCModel」作業執行特定邏輯,並處理不同的身分識別情境。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • 有效的 Azure 租用戶
  • Azure 特殊存取權
  • Microsoft Intune 的特殊存取權

使用 Azure 儲存體設定記錄擷取功能

本節將說明如何設定從 Azure 儲存空間擷取記錄檔,以便有效收集及分析 Microsoft Intune 的記錄檔。

設定 Azure 儲存體帳戶

  1. 在 Azure 控制台中,搜尋「儲存體帳戶」。
  2. 點選「建立」
  3. 指定下列輸入參數的值:
    • 「訂閱」:選取訂閱方案。
    • 資源群組:選取資源群組。
    • Region (區域):選取區域。
    • 效能:選取所選效能 (建議使用「標準」)。
    • 備援:選取所選備援 (建議使用 GRS 或 LRS)。
    • 「儲存體帳戶名稱」:輸入新儲存體帳戶的名稱。
  4. 按一下「Review + create」
  5. 查看帳戶總覽,然後按一下「建立」
  6. 在「儲存空間帳戶總覽」頁面中,選取「安全性 + 網路」中的「存取金鑰」子選單。
  7. 按一下「key1」或「key2」旁邊的「顯示」
  8. 按一下「複製到剪貼簿」即可複製金鑰。
  9. 將金鑰儲存於安全的位置,以供日後參考。
  10. 在「儲存空間帳戶總覽」頁面中,選取「設定」中的「端點」子選單。
  11. 按一下「複製到剪貼簿」,複製「Blob 服務」端點網址 (例如 https://<storageaccountname>.blob.core.windows.net)。
  12. 將端點網址儲存在安全的位置,以供日後參考。

設定 Microsoft Intune 記錄的記錄匯出功能

  1. 登入 Microsoft Intune 網頁版 UI。
  2. 依序前往「報表」>「診斷設定」
  3. 按一下「+ 新增診斷設定」
  4. 提供下列設定詳細資料:
    • 診斷設定名稱:輸入描述性名稱 (例如 Intune logs to Google SecOps)
    • 選取 AuditLogsOperationalLogsDeviceComplianceOrgDevices 的診斷設定。
    • 選取「封存至儲存空間帳戶」核取方塊做為目的地。
    • 指定「訂閱項目」和「儲存空間帳戶」
  5. 按一下 [儲存]

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Azure Storage Audit Logs)。
  5. 選取「Microsoft Azure Blob Storage」做為「來源類型」
  6. 選取「Azure 儲存體稽核」做為「記錄類型」
  7. 點選「下一步」

  8. 指定下列輸入參數的值:

    • Azure URI:Blob 端點網址。

      ENDPOINT_URL/BLOB_NAME

      更改下列內容:

      • ENDPOINT_URL:Blob 端點網址。(https://<storageaccountname>.blob.core.windows.net)
      • BLOB_NAME:Blob 的名稱。(例如 <logname>-logs)

    • URI 為:根據記錄串流設定選取 URI_TYPE (單一檔案 | 目錄 | 包含子目錄的目錄)

    • 來源刪除選項:根據偏好設定選取刪除選項。

    • 共用金鑰:Azure Blob 儲存體的存取金鑰。

  9. 點選「下一步」

  10. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • URI 為:根據記錄串流設定選取 URI_TYPE (單一檔案 | 目錄 | 包含子目錄的目錄)

    • 來源刪除選項:根據偏好設定選取刪除選項。

  • 共用金鑰:Azure Blob 儲存體的存取金鑰。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

使用 API 設定記錄擷取功能

本節將詳細說明在 Azure Active Directory 中設定應用程式的初始步驟,以便啟用以 API 為基礎的記錄檔擷取作業。

在 Azure AD 中設定應用程式

  1. 登入 Azure 入口網站
  2. 選用:如果您可以存取多個租戶,請使用頂端選單中的「Directories + subscriptions」(目錄和訂閱項目),切換至正確的租戶。
  3. 搜尋並選取「Azure Active Directory」
  4. 依序前往「管理」>「應用程式註冊」>「新註冊」
  5. 提供下列設定詳細資料:
    • 輸入應用程式的「顯示名稱」
    • 指定可存取應用程式的對象。
    • 選用:請勿輸入「重新導向 URI」
    • 按一下「註冊」
  6. 從「總覽」畫面複製並儲存「應用程式 (用戶端) ID」和「目錄 (租戶) ID」

設定用戶端密鑰

  1. 在「App Registrations」中,選取新的應用程式。
  2. 依序前往「管理」>「憑證和密碼」>「用戶端密碼」>「新增用戶端密碼」
  3. 為用戶端密鑰新增名稱
  4. 為密鑰新增「到期」期限,選擇「2 年」或指定「自訂」期限。
  5. 按一下「新增」
  6. 複製儲存「密鑰值」

設定應用程式權限

  1. 在「應用程式註冊」中,選取新應用程式。
  2. 依序前往「管理」>「API 權限」>「新增權限」
  3. 選取「Microsoft Graph」
  4. 新增下列「應用程式」權限:
    • DeviceManagementApps.Read.All
    • DeviceManagementConfiguration.Read.All
    • DeviceManagementManagedDevices.Read.All
    • DeviceManagementRBAC.Read.All
    • DeviceManagementServiceConfig.Read.All
    • AuditLog.Read.All
    • Device.Read.All
  5. 按一下「新增權限」

在 Google SecOps 中設定動態饋給,擷取 Microsoft Intune 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下 [Add New] (新增)。
  3. 在「Feed name」(動態饋給名稱) 欄位中,輸入動態饋給的名稱 (例如「Microsoft Intune Logs」)。
  4. 選取「第三方 API」做為「來源類型」
  5. 選取「Microsoft Intune」做為「記錄類型」
  6. 點選「下一步」
  7. 指定下列輸入參數的值:
    • OAuth 用戶端 ID:輸入先前複製的應用程式 ID。
    • OAuth 用戶端密鑰:輸入先前建立的密鑰值。
    • 租戶 ID:輸入先前複製的目錄 ID。
    • 資產命名空間:[資產命名空間] (/chronicle/docs/investigation/asset-namespaces)。
    • 擷取標籤:套用至這個動態饋給事件的標籤。
  8. 點選「下一步」
  9. 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」

UDM 對應表

記錄欄位 UDM 對應 邏輯
AADTenantId event.idm.read_only_udm.additional.fields.value.string_value 原始記錄中的 properties.AADTenantId 值會對應至這個 UDM 欄位。系統會建立含有「AADTenantId」鍵的標籤。
activityDateTime event.idm.read_only_udm.metadata.event_timestamp 系統會剖析 activityDateTime 欄位,擷取年、月、日、時、分、秒和時區。這些擷取的欄位會用於建構 event_timestamp
activityType event.idm.read_only_udm.metadata.product_event_type 直接對應至 UDM。
actor.applicationDisplayName event.idm.read_only_udm.principal.application 直接對應至 UDM。
actor.userId event.idm.read_only_udm.principal.user.product_object_id 直接對應至 UDM。
actor.userPrincipalName event.idm.read_only_udm.principal.user.userid 直接對應至 UDM。
category event.idm.read_only_udm.additional.fields.value.string_value 原始記錄中的 category 值會對應至這個 UDM 欄位。建立含有「category」鍵的標籤。
event.idm.read_only_udm.metadata.event_type 剖析器會根據 activityOperationType 和其他欄位衍生這項資訊。可能的值包括 USER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_DELETIONUSER_RESOURCE_CREATIONUSER_UNCATEGORIZEDSTATUS_UPDATEGENERIC_EVENT。硬式編碼為「AZURE_MDM_INTUNE」。硬式編碼為「AZURE MDM INTUNE」。硬式編碼為「Microsoft」。衍生。值會設為「裝置 ID:」,並串連 properties.DeviceId 的值。原始記錄中的 properties.SerialNumber 值會對應至這個 UDM 欄位。原始記錄中的 properties.DeviceName 值會對應至這個 UDM 欄位。剖析器會根據多個欄位 (包括 DeviceManagementAPINamesoftware1_namesoftware2.namesoftware3.namesoftware4.name) 衍生這項資訊。你可以建立多個軟體項目。原始記錄中的 properties.DeviceName 值會對應至這個 UDM 欄位。由剖析器根據 properties.OS 欄位衍生而來。可能的值為「WINDOWS」、「LINUX」和「MAC」。原始記錄中的 properties.OSVersion 值會對應至這個 UDM 欄位。resources 陣列的 modifiedProperties 陣列中,displayName 欄位的值會對應至這個 UDM 欄位。resources 陣列的 modifiedProperties 陣列中,newValue 欄位的值會對應至這個 UDM 欄位。原始記錄中的 properties.UserEmailuser_identityident.UPN.0.Identity 值會對應至這個 UDM 欄位。原始記錄中的 properties.UserName 值會對應至這個 UDM 欄位。金鑰可以是 OS_locOSDescription。原始記錄中的 properties.OS_locproperties.OSDescription 值會對應至這個 UDM 欄位。剖析器會根據多個欄位 (包括 resources.0.displayNameactivityType) 衍生這項資訊。由剖析器根據 activityResultevent_type 欄位衍生而來。可能的值包括 ACTIVEPENDING_DECOMISSIONDECOMISSIONEDDEPLOYMENT_STATUS_UNSPECIFIED。硬式編碼為「MICROSOFT_AZURE」。原始記錄中的 resources.0.resourceId 值會對應至這個 UDM 欄位。原始記錄中的 resources.0.type 值會對應至這個 UDM 欄位。剖析器會根據多個欄位 (包括 resources.0.typeactivityType) 衍生這項資訊。可能的值包括 DEVICEACCESS_POLICYTASK。原始記錄中的 upn_identity 值會對應至這個 UDM 欄位。原始記錄中的 user_identityuser_id 值會對應至這個 UDM 欄位。
properties.BatchId event.idm.read_only_udm.metadata.product_log_id 直接對應至 UDM。
resources.0.resourceId event.idm.read_only_udm.target.resource.id 直接對應至 UDM。
resources.0.type event.idm.read_only_udm.target.resource.name 直接對應至 UDM。
tenantId event.idm.read_only_udm.additional.fields.value.string_value 原始記錄中的 tenantId 值會對應至這個 UDM 欄位。建立含有「tenantId」鍵的標籤。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。