Collecter les journaux Microsoft Intune

Compatible avec :

Ce document explique comment collecter les journaux Microsoft Intune en configurant un flux Google Security Operations à l'aide de Microsoft Azure Blob Storage V2.

Microsoft Intune est une solution de gestion des points de terminaison basée dans le cloud. Elle gère l'accès des utilisateurs aux ressources de l'organisation et simplifie la gestion des applications et des appareils sur différents appareils, y compris les appareils mobiles, les ordinateurs de bureau et les points de terminaison virtuels.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Une instance Google SecOps
  • Accès privilégié au portail Microsoft Azure avec les autorisations suivantes :
    • Créer des comptes de stockage
    • Configurer les paramètres de diagnostic pour Microsoft Intune
    • Gérer les clés d'accès
  • Un utilisateur disposant du rôle Microsoft Entra Administrateur Intune ou Administrateur général pour le locataire Intune
  • Abonnement Azure pour configurer le compte de stockage

Configurer un compte de stockage Azure

Créer un compte de stockage

  1. Dans le portail Azure, recherchez Comptes de stockage.
  2. Cliquez sur + Créer.

  3. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionner une base de données existante ou en créer une
    Nom du compte de stockage Saisissez un nom unique (par exemple, intunelogsstorage).
    Région Sélectionnez la région (par exemple, East US).
    Performances Standard (recommandé)
    Redondance GRS (stockage géoredondant) ou LRS (stockage local redondant)

  4. Cliquez sur Examiner et créer.

  5. Passez en revue l'aperçu du compte, puis cliquez sur Créer.

  6. Attendez la fin du déploiement.

Obtenir les identifiants du compte de stockage

  1. Accédez au compte de stockage que vous venez de créer.
  2. Dans le volet de navigation de gauche, sélectionnez Clés d'accès sous Sécurité et mise en réseau.
  3. Cliquez sur Afficher les clés.
  4. Copiez et enregistrez les éléments suivants pour une utilisation ultérieure :
    • Nom du compte de stockage : nom que vous avez fourni lors de la création
    • Clé 1 ou Clé 2 : clé d'accès partagée (chaîne aléatoire de 512 bits en encodage base64)

Obtenir le point de terminaison du service Blob

  1. Dans le même compte de stockage, sélectionnez Points de terminaison dans le panneau de navigation de gauche.
  2. Copiez et enregistrez l'URL du point de terminaison Blob service.
    • Exemple : https://intunelogsstorage.blob.core.windows.net/

Configurer les paramètres de diagnostic Microsoft Intune

Connectez-vous au centre d'administration Microsoft Intune. Sélectionnez Rapports > Paramètres de diagnostic. La première fois que vous l'ouvrez, activez-le. Sinon, ajoutez un paramètre.

  1. Cliquez sur Ajouter un paramètre de diagnostic.
  2. Fournissez les informations de configuration suivantes :
    • Nom du paramètre de diagnostic : saisissez un nom descriptif (par exemple, export-to-secops).
    • Dans la section Journaux, sélectionnez les catégories suivantes :
      • ☑ AuditLogs
      • ☑ OperationalLogs
      • ☑ DeviceComplianceOrg
      • ☑ Appareils
    • Dans la section Détails de la destination, cochez la case Archiver dans un compte de stockage.
    • Abonnement : sélectionnez l'abonnement contenant votre compte de stockage.
    • Compte de stockage : sélectionnez le compte de stockage que vous avez créé précédemment.
  3. Cliquez sur Enregistrer.

Une fois la configuration effectuée, les journaux seront automatiquement exportés vers le compte de stockage.

  • Les journaux d'audit affichent un enregistrement des activités qui entraînent une modification dans Intune.
  • Les journaux opérationnels affichent des informations sur les utilisateurs et les appareils qui ont réussi (ou non) à s'enregistrer, ainsi que des informations sur les appareils non conformes.
  • Les journaux d'organisation de conformité des appareils affichent un rapport organisationnel sur la conformité des appareils dans Intune, ainsi que des informations sur les appareils non conformes.
  • IntuneDevices affiche l'inventaire des appareils et des informations sur l'état des appareils enregistrés et gérés dans Intune.

Les journaux d'audit et opérationnels Intune sont envoyés immédiatement d'Intune aux services Azure Monitor. Les données des journaux d'organisation de conformité des appareils Intune et du rapport IntuneDevices sont envoyées d'Intune vers les services Azure Monitor une fois toutes les 24 heures. Il peut donc s'écouler jusqu'à 24 heures avant que les journaux ne soient disponibles dans les services Azure Monitor. Une fois les données envoyées depuis Intune, elles s'affichent généralement dans le service Azure Monitor sous 30 minutes.

Configurer un flux dans Google SecOps pour ingérer les journaux Microsoft Intune

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Microsoft Intune Logs).
  5. Sélectionnez Microsoft Azure Blob Storage V2 comme Type de source.
  6. Sélectionnez Microsoft Intune comme type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI Azure : saisissez l'URL du point de terminaison du service Blob avec le chemin d'accès au conteneur. Étant donné qu'Intune crée plusieurs conteneurs pour différentes catégories de journaux, vous devez créer des flux distincts pour chaque conteneur.

      Utilisez le format suivant et remplacez intunelogsstorage par le nom de votre compte de stockage Azure.

      • Pour les journaux d'audit :
      https://intunelogsstorage.blob.core.windows.net/insights-logs-auditlogs/
      • Pour les journaux opérationnels :
      https://intunelogsstorage.blob.core.windows.net/insights-logs-operationallogs/
      • Pour les journaux organisationnels de conformité des appareils :
      https://intunelogsstorage.blob.core.windows.net/insights-logs-devicecomplianceorg/
      • Pour les appareils :
      https://intunelogsstorage.blob.core.windows.net/insights-logs-devices/

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts.
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • Clé partagée : saisissez la valeur de la clé partagée (clé d'accès) que vous avez récupérée à partir du compte de stockage.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

  11. Répétez les étapes 1 à 10 pour créer des flux supplémentaires pour chaque conteneur de catégorie de journaux Intune.

Configurer le pare-feu Azure Storage (le cas échéant)

Si votre compte de stockage Azure utilise un pare-feu, vous devez ajouter les plages d'adresses IP Google SecOps.

  1. Dans le portail Azure, accédez à votre compte de stockage.
  2. Sélectionnez Mise en réseau sous Sécurité et mise en réseau.
  3. Sous Pare-feu et réseaux virtuels, sélectionnez Activé à partir des réseaux virtuels et adresses IP sélectionnés.
  4. Dans la section Pare-feu, sous Plage d'adresses, cliquez sur + Ajouter une plage d'adresses IP.

  5. Ajoutez chaque plage d'adresses IP Google SecOps au format CIDR.

    Pour obtenir les plages d'adresses IP actuelles, choisissez l'une des options suivantes :

  6. Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
@output événement Fusionné avec @output
properties.Actor.UserPermissions event.idm.read_only_udm.additional.fields Boucle, chaque autorisation convertie en chaîne, ajoutée en tant que string_value à la liste avec la clé "UserPermissions", fusionnée
properties.TargetDisplayNames event.idm.read_only_udm.additional.fields Chaque TargetDisplayNames (s'il n'est pas nul) est ajouté en tant que string_value à la liste avec la clé "TargetDisplayNames", puis fusionné.
properties.TargetObjectIds event.idm.read_only_udm.additional.fields Chaque TargetObjectIds converti en chaîne, ajouté en tant que string_value à la liste avec la clé "TargetObjectIds", fusionné
métadonnées event.idm.read_only_udm.metadata Renommé à partir des métadonnées
heure event.idm.read_only_udm.metadata.event_timestamp Conversion de l'heure au format ISO8601
has_user event.idm.read_only_udm.metadata.event_type Dérivé : si has_user == "true", alors "USER_UNCATEGORIZED", sinon "GENERIC_EVENT"
operationName event.idm.read_only_udm.metadata.product_event_type Valeur extraite de operationName
properties.AuditEventId event.idm.read_only_udm.metadata.product_log_id Valeur extraite de properties.AuditEventId
correlationId event.idm.read_only_udm.network.session_id Valeur extraite de correlationId
compte principal event.idm.read_only_udm.principal Renommé par le compte principal
properties.Actor.Application event.idm.read_only_udm.principal.application Valeur extraite de properties.Actor.Application
properties.Actor.ApplicationName event.idm.read_only_udm.principal.resource.name Valeur extraite de properties.Actor.ApplicationName
properties.Actor.isDelegatedAdmin event.idm.read_only_udm.principal.user.attribute.labels Convertit en chaîne, crée un libellé avec la clé "isDelegatedAdmin" et la valeur, fusionnées
properties.Actor.PartnerTenantId event.idm.read_only_udm.principal.user.attribute.labels Crée un libellé avec la clé "PartnerTenantId" et la valeur fusionnée
security_result event.idm.read_only_udm.security_result Fusionné à partir de security_result
catégorie event.idm.read_only_udm.security_result.category_details Valeur extraite de la catégorie
resultDescription event.idm.read_only_udm.security_result.description Valeur extraite de resultDescription
identité event.idm.read_only_udm.security_result.detection_fields Crée un libellé avec la clé "identity" et la valeur issue de l'identité, fusionnées
properties.ActivityDate event.idm.read_only_udm.security_result.detection_fields Crée un libellé avec la clé "ActivityDate" et la valeur issue de properties.ActivityDate, fusionnée
properties.ActivityResultStatus event.idm.read_only_udm.security_result.detection_fields Convertit en chaîne, crée un libellé avec la clé "ActivityResultStatus" et la valeur, fusionnées
properties.ActivityType event.idm.read_only_udm.security_result.detection_fields Convertit en chaîne, crée un libellé avec la clé "ActivityType" et la valeur, fusionnées
properties.Actor.ActorType event.idm.read_only_udm.security_result.detection_fields Convertit en chaîne, crée un libellé avec la clé "ActorType" et la valeur, fusionnées
properties.Category event.idm.read_only_udm.security_result.detection_fields Convertit en chaîne, crée un libellé avec la clé "Category" et la valeur fusionnée
properties.Targets.ModifiedProperties.Name event.idm.read_only_udm.security_result.detection_fields Crée un libellé avec la clé "Name" et la valeur issue de mproper.Name, fusionnées
properties.Targets.ModifiedProperties.New event.idm.read_only_udm.security_result.detection_fields Crée un libellé avec la clé "New" et la valeur de mproper.New, fusionné
properties.Targets.ModifiedProperties.Old event.idm.read_only_udm.security_result.detection_fields Crée un libellé avec la clé "Old" et la valeur issue de mproper.Old, fusionnée
resultType event.idm.read_only_udm.security_result.summary Valeur extraite de resultType
cible event.idm.read_only_udm.target Renommé à partir de la cible
tenantId event.idm.read_only_udm.target.user.userid Valeur extraite de tenantId
event.idm.read_only_udm.metadata.product_name Définissez-le sur "Contexte Microsoft Intune".
event.idm.read_only_udm.metadata.vendor_name Défini sur "Microsoft"

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.