Microsoft Intune-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Microsoft Intune-Logs erfassen, indem Sie einen Google Security Operations-Feed mit Microsoft Azure Blob Storage V2 einrichten.

Microsoft Intune ist eine cloudbasierte Lösung zur Endpunktverwaltung, mit der der Nutzerzugriff auf Organisationsressourcen verwaltet und die App- und Geräteverwaltung auf verschiedenen Geräten vereinfacht wird, darunter Mobilgeräte, Computer und virtuelle Endpunkte.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Privilegierter Zugriff auf das Microsoft Azure-Portal mit Berechtigungen für Folgendes:
    • Speicherkonten erstellen
    • Diagnoseeinstellungen für Microsoft Intune konfigurieren
    • Zugriffsschlüssel verwalten
  • Nutzer mit der Microsoft Entra-Rolle Intune-Administrator oder Globaler Administrator für den Intune-Mandanten
  • Azure-Abo zum Einrichten des Speicherkontos

Azure Storage-Konto konfigurieren

Speicherkonto erstellen

  1. Suchen Sie im Azure-Portal nach Speicherkonten.
  2. Klicken Sie auf + Erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Abo Azure-Abo auswählen
    Ressourcengruppe Vorhandene auswählen oder neue erstellen
    Name des Speicherkontos Geben Sie einen eindeutigen Namen ein, z. B. intunelogsstorage.
    Region Wählen Sie die Region aus (z. B. East US).
    Leistung Standard (empfohlen)
    Redundanz GRS (georedundanter Speicher) oder LRS (lokal redundanter Speicher)

  4. Klicken Sie auf Überprüfen + Erstellen.

  5. Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.

  6. Warten Sie, bis die Bereitstellung abgeschlossen ist.

Anmeldedaten für das Speicherkonto abrufen

  1. Rufen Sie das soeben erstellte Storage-Konto auf.
  2. Wählen Sie in der linken Navigationsleiste unter Security + networking (Sicherheit + Netzwerk) die Option Access keys (Zugriffsschlüssel) aus.
  3. Klicken Sie auf Schlüssel anzeigen.
  4. Kopieren und speichern Sie die folgenden Informationen für die spätere Verwendung:
    • Storage-Kontoname: Der Name, den Sie bei der Erstellung angegeben haben
    • Schlüssel 1 oder Schlüssel 2: Der gemeinsame Zugriffsschlüssel (ein 512‑Bit-Zufallsstring in Base64-Codierung)

Blob-Dienstendpunkt abrufen

  1. Wählen Sie im selben Speicherkonto in der linken Navigationsleiste Endpunkte aus.
  2. Kopieren und speichern Sie die Endpunkt-URL des Blob-Diensts.
    • Beispiel: https://intunelogsstorage.blob.core.windows.net/

Microsoft Intune-Diagnoseeinstellungen konfigurieren

Melden Sie sich im Microsoft Intune Admin Center an. Wählen Sie Berichte > Diagnoseeinstellungen aus. Schalten Sie es beim ersten Öffnen ein. Fügen Sie andernfalls eine Einstellung hinzu.

  1. Klicken Sie auf Diagnoseeinstellung hinzufügen.
  2. Geben Sie die folgenden Konfigurationsdetails an:
    • Name der Diagnoseeinstellung: Geben Sie einen aussagekräftigen Namen ein, z. B. export-to-secops.
    • Wählen Sie im Bereich Logs die folgenden Kategorien aus:
      • ☑ AuditLogs
      • ☑ OperationalLogs
      • ☑ DeviceComplianceOrg
      • ☑ Geräte
    • Klicken Sie im Abschnitt Zieldetails das Kästchen In einem Speicherkonto archivieren an.
    • Abo: Wählen Sie das Abo aus, das Ihr Speicherkonto enthält.
    • Speicherkonto: Wählen Sie das Speicherkonto aus, das Sie zuvor erstellt haben.
  3. Klicken Sie auf Speichern.

Nach der Konfiguration werden Protokolle automatisch in das Speicherkonto exportiert.

  • In Audit-Logs werden Aktivitäten aufgezeichnet, die eine Änderung in Intune zur Folge haben.
  • Betriebsprotokolle enthalten Details zu Nutzern und Geräten, die erfolgreich (oder nicht erfolgreich) registriert wurden, sowie Details zu nicht konformen Geräten.
  • Die Organisationsprotokolle zur Gerätecompliance enthalten einen Organisationsbericht zur Gerätecompliance in Intune sowie Details zu nicht konformen Geräten.
  • IntuneDevices enthält Geräteinventar- und Statusinformationen für in Intune registrierte und verwaltete Geräte.

Die Intune-Audit-Logs und ‑Betriebsprotokolle werden sofort von Intune an Azure Monitor-Dienste gesendet. Die Daten aus den Organisationsprotokollen zur Intune-Gerätekonformität und dem Bericht „IntuneDevices“ werden einmal alle 24 Stunden von Intune an Azure Monitor-Dienste gesendet. Es kann also bis zu 24 Stunden dauern, bis die Logs in den Azure Monitor-Diensten verfügbar sind. Nachdem die Daten von Intune gesendet wurden, werden sie in der Regel innerhalb von 30 Minuten im Azure Monitor-Dienst angezeigt.

Feed in Google SecOps konfigurieren, um Microsoft Intune-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Microsoft Intune Logs.
  5. Wählen Sie Microsoft Azure Blob Storage V2 als Quelltyp aus.
  6. Wählen Sie Microsoft Intune als Log type (Protokolltyp) aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Azure-URI: Geben Sie die Blob Service-Endpunkt-URL mit dem Containerpfad ein. Da in Intune mehrere Container für verschiedene Protokollkategorien erstellt werden, müssen Sie für jeden Container separate Feeds erstellen.

      Verwenden Sie das folgende Format und ersetzen Sie intunelogsstorage durch den Namen Ihres Azure-Speicherkontos.

      • Für Audit-Logs:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-auditlogs/
      • Für Betriebslogs:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-operationallogs/
      • Für Organisationsprotokolle zur Gerätecompliance:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-devicecomplianceorg/
      • Für Geräte:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-devices/

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Löscht nach Übertragungen niemals Dateien.
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Shared Key (Gemeinsamer Schlüssel): Geben Sie den Wert des gemeinsamen Schlüssels (Zugriffsschlüssel) ein, den Sie aus dem Speicherkonto abgerufen haben.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

  11. Wiederholen Sie die Schritte 1 bis 10, um zusätzliche Feeds für jeden Intune-Protokollkategorie-Container zu erstellen.

Azure Storage-Firewall konfigurieren (falls aktiviert)

Wenn für Ihr Azure-Speicherkonto eine Firewall verwendet wird, müssen Sie die IP-Bereiche von Google SecOps hinzufügen.

  1. Rufen Sie im Azure-Portal Ihr Storage-Konto auf.
  2. Wählen Sie unter Sicherheit + Netzwerk die Option Netzwerk aus.
  3. Wählen Sie unter Firewalls und virtuelle Netzwerke die Option Aktiviert für ausgewählte virtuelle Netzwerke und IP-Adressen aus.
  4. Klicken Sie im Bereich Firewall unter Adressbereich auf + IP-Bereich hinzufügen.

  5. Fügen Sie jeden Google SecOps-IP-Bereich in CIDR-Notation hinzu.

    Wählen Sie eine der folgenden Optionen aus, um die aktuellen IP-Bereiche abzurufen:

  6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
@output event Mit @output zusammengeführt
properties.Actor.UserPermissions event.idm.read_only_udm.additional.fields Die einzelnen Berechtigungen werden in Strings umgewandelt und als „string_value“ der Liste mit dem Schlüssel „UserPermissions“ hinzugefügt.
properties.TargetDisplayNames event.idm.read_only_udm.additional.fields Jeder TargetDisplayNames-Wert wird, sofern er nicht null ist, als string_value in die Liste mit dem Schlüssel „TargetDisplayNames“ aufgenommen und zusammengeführt.
properties.TargetObjectIds event.idm.read_only_udm.additional.fields Wird in einer Schleife ausgeführt. Jede TargetObjectIds wird in einen String konvertiert, als string_value der Liste mit dem Schlüssel „TargetObjectIds“ hinzugefügt und zusammengeführt.
Metadaten event.idm.read_only_udm.metadata Umbenannt von „Metadaten“
Zeit event.idm.read_only_udm.metadata.event_timestamp Von „time“ in ISO8601 konvertiert
has_user event.idm.read_only_udm.metadata.event_type Abgeleitet: Wenn has_user == „true“, dann „USER_UNCATEGORIZED“, andernfalls „GENERIC_EVENT“
operationName event.idm.read_only_udm.metadata.product_event_type Wert aus „operationName“
properties.AuditEventId event.idm.read_only_udm.metadata.product_log_id Wert aus „properties.AuditEventId“
correlationId event.idm.read_only_udm.network.session_id Wert aus „correlationId“
Prinzipal event.idm.read_only_udm.principal Umbenannt vom Hauptkonto
properties.Actor.Application event.idm.read_only_udm.principal.application Wert aus „properties.Actor.Application“
properties.Actor.ApplicationName event.idm.read_only_udm.principal.resource.name Wert aus „properties.Actor.ApplicationName“
properties.Actor.isDelegatedAdmin event.idm.read_only_udm.principal.user.attribute.labels Konvertiert in String, erstellt Label mit Schlüssel „isDelegatedAdmin“ und Wert, zusammengeführt
properties.Actor.PartnerTenantId event.idm.read_only_udm.principal.user.attribute.labels Erstellt ein Label mit dem Schlüssel „PartnerTenantId“ und dem zusammengeführten Wert.
security_result event.idm.read_only_udm.security_result Zusammengeführt aus security_result
Kategorie event.idm.read_only_udm.security_result.category_details Wert aus Kategorie
resultDescription event.idm.read_only_udm.security_result.description Wert aus „resultDescription“
Identität event.idm.read_only_udm.security_result.detection_fields Erstellt ein Label mit dem Schlüssel „identity“ und dem Wert aus „identity“, zusammengeführt.
properties.ActivityDate event.idm.read_only_udm.security_result.detection_fields Erstellt ein Label mit dem Schlüssel „ActivityDate“ und dem Wert aus „properties.ActivityDate“, zusammengeführt
properties.ActivityResultStatus event.idm.read_only_udm.security_result.detection_fields Konvertiert in String, erstellt Label mit Schlüssel „ActivityResultStatus“ und Wert, zusammengeführt
properties.ActivityType event.idm.read_only_udm.security_result.detection_fields Wird in einen String konvertiert, erstellt ein Label mit dem Schlüssel „ActivityType“ und dem zusammengeführten Wert.
properties.Actor.ActorType event.idm.read_only_udm.security_result.detection_fields Konvertiert in String, erstellt Label mit Schlüssel „ActorType“ und Wert, zusammengeführt
properties.Category event.idm.read_only_udm.security_result.detection_fields Konvertiert in String, erstellt Label mit Schlüssel „Category“ und zusammengeführtem Wert
properties.Targets.ModifiedProperties.Name event.idm.read_only_udm.security_result.detection_fields Erstellt ein Label mit dem Schlüssel „Name“ und dem Wert aus mproper.Name, zusammengeführt.
properties.Targets.ModifiedProperties.New event.idm.read_only_udm.security_result.detection_fields Erstellt ein Label mit dem Schlüssel „New“ und dem Wert aus „mproper.New“, zusammengeführt
properties.Targets.ModifiedProperties.Old event.idm.read_only_udm.security_result.detection_fields Erstellt ein Label mit dem Schlüssel „Old“ und dem Wert aus mproper.Old, zusammengeführt
resultType event.idm.read_only_udm.security_result.summary Wert aus „resultType“
Ziel event.idm.read_only_udm.target Umbenannt aus Ziel
tenantId event.idm.read_only_udm.target.user.userid Wert aus „tenantId“
event.idm.read_only_udm.metadata.product_name Auf „Microsoft Intune Context“ festgelegt
event.idm.read_only_udm.metadata.vendor_name Auf „Microsoft“ festgelegt

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten