Recopila registros de Microsoft Intune

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros de Microsoft Intune configurando un feed de Google Security Operations con Microsoft Azure Blob Storage V2.

Microsoft Intune es una solución de administración de extremos basada en la nube que administra el acceso de los usuarios a los recursos de la organización y simplifica la administración de apps y dispositivos en todos los dispositivos, incluidos los dispositivos móviles, las computadoras de escritorio y los extremos virtuales.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Acceso con privilegios al portal de Microsoft Azure con permisos para realizar las siguientes acciones:
- Crea cuentas de almacenamiento
- Configura los parámetros de diagnóstico para Microsoft Intune
- Administra las claves de acceso
Usuario con el rol de administrador de Intune o administrador global de Microsoft Entra para el inquilino de Intune
Suscripción de Azure para configurar la cuenta de almacenamiento

Configura la cuenta de Azure Storage

Crea una cuenta de almacenamiento

En el portal de Azure, busca Cuentas de almacenamiento.
Haz clic en + Crear.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Suscripción	Selecciona tu suscripción a Azure
Grupo de recursos	Selecciona una condición existente o crea una nueva
Nombre de la cuenta de almacenamiento	Ingresa un nombre único (por ejemplo, `intunelogsstorage`).
Región	Selecciona la región (por ejemplo, `East US`).
Rendimiento	Estándar (opción recomendada)
Redundancia	GRS (almacenamiento con redundancia geográfica) o LRS (almacenamiento con redundancia local)

Haz clic en Revisar y crear.
Revisa el resumen de la cuenta y haz clic en Crear.
Espera a que se complete la implementación.

Obtén credenciales de la cuenta de almacenamiento

Ve a la cuenta de almacenamiento que acabas de crear.
En la navegación de la izquierda, selecciona Claves de acceso en Seguridad y redes.
Haz clic en Mostrar claves.
Copia y guarda lo siguiente para usarlo más tarde:
- Nombre de la cuenta de almacenamiento: El nombre que proporcionaste durante la creación
- Clave 1 o Clave 2: Es la clave de acceso compartido (una cadena aleatoria de 512 bits en codificación base64).

Obtén el extremo del servicio Blob

En la misma cuenta de almacenamiento, selecciona Extremos en la navegación de la izquierda.
Copia y guarda la URL del extremo del servicio de Blob.
- Ejemplo: https://intunelogsstorage.blob.core.windows.net/

Configura los parámetros de configuración de diagnóstico de Microsoft Intune

Accede al centro de administración de Microsoft Intune. Selecciona Informes > Configuración de diagnóstico. Enciéndela la primera vez que la abras. De lo contrario, agrega un parámetro de configuración.

Haz clic en Agregar parámetro de configuración de diagnóstico.
Proporciona los siguientes detalles de configuración:
- Nombre del parámetro de configuración de diagnóstico: Ingresa un nombre descriptivo (por ejemplo, export-to-secops).
- En la sección Registros, selecciona las siguientes categorías:
  - ☑ AuditLogs
  - ☑ OperationalLogs
  - ☑ DeviceComplianceOrg
  - ☑ Dispositivos
- En la sección Detalles del destino, selecciona la casilla de verificación Archivar en una cuenta de almacenamiento.
- Suscripción: Selecciona la suscripción que contiene tu cuenta de almacenamiento.
- Cuenta de almacenamiento: Selecciona la cuenta de almacenamiento que creaste antes.
Haz clic en Guardar.

Después de la configuración, los registros se exportarán automáticamente a la cuenta de almacenamiento.

Los registros de auditoría muestran un registro de las actividades que generan un cambio en Intune.
Los registros operativos muestran detalles sobre los usuarios y los dispositivos que se inscribieron correctamente (o no), y detalles sobre los dispositivos que no cumplen con los requisitos.
Los registros organizativos de cumplimiento del dispositivo muestran un informe organizativo sobre el cumplimiento del dispositivo en Intune y detalles sobre los dispositivos que no cumplen con los requisitos.
IntuneDevices muestra información sobre el inventario y el estado de los dispositivos inscritos y administrados en Intune.

Los registros de auditoría y los registros operativos de Intune se envían de inmediato desde Intune a los servicios de Azure Monitor. Los datos de los registros organizacionales de cumplimiento de dispositivos de Intune y del informe IntuneDevices se envían de Intune a los servicios de Azure Monitor una vez cada 24 horas. Por lo tanto, los registros pueden tardar hasta 24 horas en aparecer en los servicios de Azure Monitor. Una vez que Intune envía los datos, suelen aparecer en el servicio de Azure Monitor en un plazo de 30 minutos.

Configura un feed en Google SecOps para transferir registros de Microsoft Intune

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Microsoft Intune Logs).
Selecciona Microsoft Azure Blob Storage V2 como el Tipo de fuente.
Selecciona Microsoft Intune como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI de Azure: Ingresa la URL del extremo del servicio Blob con la ruta de acceso del contenedor. Dado que Intune crea varios contenedores para diferentes categorías de registros, deberás crear feeds separados para cada contenedor.
  
  Usa el siguiente formato y reemplaza intunelogsstorage por el nombre de tu cuenta de Azure Storage.
  - Para los registros de auditoría, haz lo siguiente:
```
https://intunelogsstorage.blob.core.windows.net/insights-logs-auditlogs/
```
  - Para los registros operativos, haz lo siguiente:
```
https://intunelogsstorage.blob.core.windows.net/insights-logs-operationallogs/
```
  - Para los registros organizacionales de cumplimiento del dispositivo:
```
https://intunelogsstorage.blob.core.windows.net/insights-logs-devicecomplianceorg/
```
  - Para dispositivos:
```
https://intunelogsstorage.blob.core.windows.net/insights-logs-devices/
```
  Nota: Incluye la barra diagonal final (/) al final del URI. Verifica los nombres reales de los contenedores en tu cuenta de Azure Storage, ya que la configuración de diagnóstico de Azure los crea automáticamente.
- Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:
  - Nunca: Nunca borra ningún archivo después de las transferencias.
  - Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.
  - Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.
  Nota: Si seleccionas una opción de eliminación, asegúrate de haber otorgado los permisos adecuados a la cuenta de servicio.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
- Clave compartida: Ingresa el valor de la clave compartida (clave de acceso) que capturaste de la cuenta de almacenamiento.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Repite los pasos del 1 al 10 para crear feeds adicionales para cada contenedor de categorías de registros de Intune.

Configura el firewall de Azure Storage (si está habilitado)

Si tu cuenta de Azure Storage usa un firewall, debes agregar los rangos de IP de Google SecOps.

En el portal de Azure, ve a tu cuenta de almacenamiento.
Selecciona Herramientas de redes en Seguridad y redes.
En Firewalls and virtual networks, selecciona Enabled from selected virtual networks and IP addresses.
En la sección Firewall, en Rango de direcciones, haz clic en + Agregar rango de IP.
Agrega cada rango de IP de Google SecOps en notación CIDR.

Para obtener los rangos de IP actuales, elige una de las siguientes opciones:
- Consulta la documentación sobre la inclusión en la lista de anunciantes permitidos de IP
- Recupera los rangos de IP actuales de forma programática con la API de Feed Management
Haz clic en Guardar.

Nota: Esta fuente de feeds usa el Servicio de transferencia de almacenamiento (STS) para transferir datos del almacenamiento de Azure a Google SecOps. Antes de usar esta fuente de feeds, debes configurar el firewall de Azure Storage para permitir el acceso desde los rangos de IP de STS.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
@output	evento	Se combinó con @output
properties.Actor.UserPermissions	event.idm.read_only_udm.additional.fields	Se repitió el bucle, cada permiso se convirtió en una cadena, se agregó como string_value a la lista con la clave "UserPermissions" y se combinó.
properties.TargetDisplayNames	event.idm.read_only_udm.additional.fields	Se repite cada TargetDisplayNames si no es nulo, se agrega como string_value a la lista con la clave "TargetDisplayNames", se combina
properties.TargetObjectIds	event.idm.read_only_udm.additional.fields	Se repite, cada TargetObjectIds se convierte en una cadena, se agrega como string_value a la lista con la clave "TargetObjectIds" y se combina.
metadatos	event.idm.read_only_udm.metadata	Se cambió el nombre de los metadatos
hora	event.idm.read_only_udm.metadata.event_timestamp	Se convirtió de hora a ISO8601
has_user	event.idm.read_only_udm.metadata.event_type	Derivado: Si has_user == "true", entonces "USER_UNCATEGORIZED"; de lo contrario, "GENERIC_EVENT"
operationName	event.idm.read_only_udm.metadata.product_event_type	Valor tomado de operationName
properties.AuditEventId	event.idm.read_only_udm.metadata.product_log_id	Valor tomado de properties.AuditEventId
correlationId	event.idm.read_only_udm.network.session_id	Valor tomado de correlationId
entidad	event.idm.read_only_udm.principal	Se cambió el nombre del principal
properties.Actor.Application	event.idm.read_only_udm.principal.application	Valor tomado de properties.Actor.Application
properties.Actor.ApplicationName	event.idm.read_only_udm.principal.resource.name	Valor tomado de properties.Actor.ApplicationName
properties.Actor.isDelegatedAdmin	event.idm.read_only_udm.principal.user.attribute.labels	Se convierte en una cadena, se crea una etiqueta con la clave "isDelegatedAdmin" y el valor, se combina
properties.Actor.PartnerTenantId	event.idm.read_only_udm.principal.user.attribute.labels	Crea una etiqueta con la clave "PartnerTenantId" y el valor, combinados
security_result	event.idm.read_only_udm.security_result	Se combinó de security_result
categoría	event.idm.read_only_udm.security_result.category_details	Valor tomado de la categoría
resultDescription	event.idm.read_only_udm.security_result.description	Valor tomado de resultDescription
identidad	event.idm.read_only_udm.security_result.detection_fields	Crea una etiqueta con la clave "identity" y el valor de identidad, combinados.
properties.ActivityDate	event.idm.read_only_udm.security_result.detection_fields	Crea una etiqueta con la clave "ActivityDate" y el valor de properties.ActivityDate, merged
properties.ActivityResultStatus	event.idm.read_only_udm.security_result.detection_fields	Se convierte en una cadena, se crea una etiqueta con la clave "ActivityResultStatus" y el valor, y se combina.
properties.ActivityType	event.idm.read_only_udm.security_result.detection_fields	Se convierte en una cadena, se crea una etiqueta con la clave "ActivityType" y el valor, se combina
properties.Actor.ActorType	event.idm.read_only_udm.security_result.detection_fields	Se convierte en una cadena, se crea una etiqueta con la clave "ActorType" y el valor, y se combina.
properties.Category	event.idm.read_only_udm.security_result.detection_fields	Se convierte en una cadena, se crea una etiqueta con la clave "Category" y el valor, y se combina.
properties.Targets.ModifiedProperties.Name	event.idm.read_only_udm.security_result.detection_fields	Crea una etiqueta con la clave "Name" y el valor de mproper.Name, combinados
properties.Targets.ModifiedProperties.New	event.idm.read_only_udm.security_result.detection_fields	Crea una etiqueta con la clave "New" y el valor de mproper.New, combinados
properties.Targets.ModifiedProperties.Old	event.idm.read_only_udm.security_result.detection_fields	Crea una etiqueta con la clave "Old" y el valor de mproper.Old, combinados
resultType	event.idm.read_only_udm.security_result.summary	Valor tomado de resultType
objetivo	event.idm.read_only_udm.target	Se cambió el nombre del destino
tenantId	event.idm.read_only_udm.target.user.userid	Valor tomado de tenantId
	event.idm.read_only_udm.metadata.product_name	Se establece en "Contexto de Microsoft Intune".
	event.idm.read_only_udm.metadata.vendor_name	Se establece en "Microsoft".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.