Mengumpulkan log Microsoft Intune

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Microsoft Intune dengan menyiapkan feed Google Security Operations menggunakan Microsoft Azure Blob Storage V2.

Microsoft Intune adalah solusi pengelolaan endpoint berbasis cloud yang mengelola akses pengguna ke resource organisasi dan menyederhanakan pengelolaan aplikasi dan perangkat di seluruh perangkat, termasuk perangkat seluler, komputer desktop, dan endpoint virtual.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Akses istimewa ke portal Microsoft Azure dengan izin untuk:
- Membuat Akun Penyimpanan
- Mengonfigurasi Setelan Diagnostik untuk Microsoft Intune
- Mengelola kunci akses
Pengguna dengan peran Microsoft Entra Administrator Intune atau Administrator Global untuk tenant Intune
Langganan Azure untuk menyiapkan akun penyimpanan

Mengonfigurasi Akun Azure Storage

Buat Akun Penyimpanan

Di portal Azure, cari Storage accounts.
Klik + Create.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Langganan	Pilih langganan Azure Anda
Grup resource	Pilih yang sudah ada atau buat yang baru
Nama akun penyimpanan	Masukkan nama unik (misalnya, `intunelogsstorage`)
Wilayah	Pilih region (misalnya, `East US`)
Performa	Standar (direkomendasikan)
Redundansi	GRS (Geo-redundant storage) atau LRS (Locally redundant storage)

Klik Tinjau + buat.
Tinjau ringkasan akun, lalu klik Buat.
Tunggu hingga deployment selesai.

Mendapatkan kredensial Akun Penyimpanan

Buka Akun Penyimpanan yang baru saja Anda buat.
Di navigasi kiri, pilih Kunci akses di bagian Keamanan + jaringan.
Klik Tampilkan kunci.
Salin dan simpan yang berikut untuk digunakan nanti:
- Nama akun penyimpanan: Nama yang Anda berikan selama pembuatan
- Kunci 1 atau Kunci 2: Kunci akses bersama (string acak 512-bit dalam encoding base-64)

Mendapatkan endpoint Blob Service

Di Akun Penyimpanan yang sama, pilih Endpoints dari navigasi kiri.
Salin dan simpan URL endpoint Blob service.
- Contoh: https://intunelogsstorage.blob.core.windows.net/

Mengonfigurasi Setelan Diagnostik Microsoft Intune

Login ke pusat admin Microsoft Intune. Pilih Laporan > Setelan diagnostik. Saat pertama kali Anda membukanya, aktifkan. Jika tidak, tambahkan setelan.

Klik Tambahkan setelan diagnostik.
Berikan detail konfigurasi berikut:
- Nama setelan diagnostik: Masukkan nama deskriptif (misalnya, export-to-secops).
- Di bagian Logs, pilih kategori berikut:
  - ☑ AuditLogs
  - ☑ OperationalLogs
  - ☑ DeviceComplianceOrg
  - ☑ Perangkat
- Di bagian Destination details, centang kotak Archive to a storage account.
- Subscription: Pilih langganan yang berisi akun penyimpanan Anda.
- Akun penyimpanan: Pilih akun penyimpanan yang Anda buat sebelumnya.
Klik Simpan.

Setelah konfigurasi, log akan otomatis diekspor ke akun penyimpanan.

Log Audit menampilkan catatan aktivitas yang menghasilkan perubahan di Intune.
Log Operasional menampilkan detail tentang pengguna dan perangkat yang berhasil (atau gagal) mendaftar, serta detail tentang perangkat yang tidak patuh.
Log Organisasi Kepatuhan Perangkat menampilkan laporan organisasi untuk kepatuhan perangkat di Intune, dan detail tentang perangkat yang tidak patuh.
IntuneDevices menampilkan informasi status dan inventaris perangkat untuk perangkat yang terdaftar dan dikelola Intune.

Log Audit dan Log Operasional Intune dikirim langsung dari Intune ke layanan Azure Monitor. Data laporan Intune Device Compliance Organizational Logs dan IntuneDevices dikirim dari Intune ke layanan Azure Monitor sekali setiap 24 jam. Jadi, diperlukan waktu hingga 24 jam untuk mendapatkan log di layanan Azure Monitor. Setelah data dikirim dari Intune, data tersebut biasanya akan muncul di layanan Azure Monitor dalam waktu 30 menit.

Mengonfigurasi feed di Google SecOps untuk menyerap log Microsoft Intune

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Microsoft Intune Logs).
Pilih Microsoft Azure Blob Storage V2 sebagai Jenis sumber.
Pilih Microsoft Intune sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI Azure: Masukkan URL endpoint Blob Service dengan jalur container. Karena Intune membuat beberapa penampung untuk berbagai kategori log, Anda harus membuat feed terpisah untuk setiap penampung.
  
  Gunakan format berikut dan ganti intunelogsstorage dengan nama akun penyimpanan Azure Anda.
  - Untuk Log Audit:
```
https://intunelogsstorage.blob.core.windows.net/insights-logs-auditlogs/
```
  - Untuk Log Operasional:
```
https://intunelogsstorage.blob.core.windows.net/insights-logs-operationallogs/
```
  - Untuk Log Organisasi Kepatuhan Perangkat:
```
https://intunelogsstorage.blob.core.windows.net/insights-logs-devicecomplianceorg/
```
  - Untuk Perangkat:
```
https://intunelogsstorage.blob.core.windows.net/insights-logs-devices/
```
  Catatan: Sertakan garis miring (/) di akhir URI. Verifikasi nama container sebenarnya di akun Azure Storage Anda, karena nama container dibuat secara otomatis oleh setelan diagnostik Azure.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer.
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
  Catatan: Jika Anda memilih opsi penghapusan, pastikan Anda memberikan izin yang sesuai ke akun layanan.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Shared key: Masukkan nilai kunci bersama (kunci akses) yang Anda ambil dari Akun Penyimpanan.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Ulangi langkah 1-10 untuk membuat feed tambahan untuk setiap penampung kategori log Intune.

Konfigurasi firewall Azure Storage (jika diaktifkan)

Jika Akun Azure Storage Anda menggunakan firewall, Anda harus menambahkan rentang IP Google SecOps.

Di portal Azure, buka Akun Penyimpanan Anda.
Pilih Networking di bagian Security + networking.
Di bagian Firewalls and virtual networks, pilih Enabled from selected virtual networks and IP addresses.
Di bagian Firewall, di bagian Rentang alamat, klik + Tambahkan rentang IP.
Tambahkan setiap rentang IP Google SecOps dalam notasi CIDR.

Untuk mendapatkan rentang IP saat ini, pilih salah satu opsi berikut:
- Lihat dokumentasi Daftar IP yang Diizinkan
- Ambil rentang IP saat ini secara terprogram menggunakan Feed Management API
Klik Simpan.

Catatan: Sumber feed ini menggunakan Storage Transfer Service (STS) untuk mentransfer data dari penyimpanan Azure ke Google SecOps. Sebelum menggunakan sumber feed ini, Anda harus mengonfigurasi firewall Azure Storage untuk mengizinkan akses dari rentang IP STS.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
@output	peristiwa	Digabungkan ke @output
properties.Actor.UserPermissions	event.idm.read_only_udm.additional.fields	Di-loop, setiap izin dikonversi menjadi string, ditambahkan sebagai string_value ke daftar dengan kunci "UserPermissions", digabungkan
properties.TargetDisplayNames	event.idm.read_only_udm.additional.fields	Di-loop, setiap TargetDisplayNames jika tidak null, ditambahkan sebagai string_value ke daftar dengan kunci "TargetDisplayNames", digabungkan
properties.TargetObjectIds	event.idm.read_only_udm.additional.fields	Di-loop, setiap TargetObjectIds dikonversi menjadi string, ditambahkan sebagai string_value ke daftar dengan kunci "TargetObjectIds", digabungkan
metadata	event.idm.read_only_udm.metadata	Diganti namanya dari metadata
waktu	event.idm.read_only_udm.metadata.event_timestamp	Dikonversi dari waktu ke ISO8601
has_user	event.idm.read_only_udm.metadata.event_type	Turunan: if has_user == "true" then "USER_UNCATEGORIZED" else "GENERIC_EVENT"
operationName	event.idm.read_only_udm.metadata.product_event_type	Nilai yang diambil dari operationName
properties.AuditEventId	event.idm.read_only_udm.metadata.product_log_id	Nilai diambil dari properties.AuditEventId
correlationId	event.idm.read_only_udm.network.session_id	Nilai yang diambil dari correlationId
utama	event.idm.read_only_udm.principal	Diganti namanya dari principal
properties.Actor.Application	event.idm.read_only_udm.principal.application	Nilai diambil dari properties.Actor.Application
properties.Actor.ApplicationName	event.idm.read_only_udm.principal.resource.name	Nilai yang diambil dari properties.Actor.ApplicationName
properties.Actor.isDelegatedAdmin	event.idm.read_only_udm.principal.user.attribute.labels	Mengonversi ke string, membuat label dengan kunci "isDelegatedAdmin" dan nilai, digabungkan
properties.Actor.PartnerTenantId	event.idm.read_only_udm.principal.user.attribute.labels	Membuat label dengan kunci "PartnerTenantId" dan nilai, digabungkan
security_result	event.idm.read_only_udm.security_result	Digabungkan dari security_result
kategori	event.idm.read_only_udm.security_result.category_details	Nilai diambil dari kategori
resultDescription	event.idm.read_only_udm.security_result.description	Nilai diambil dari resultDescription
identitas	event.idm.read_only_udm.security_result.detection_fields	Membuat label dengan kunci "identitas" dan nilai dari identitas, digabungkan
properties.ActivityDate	event.idm.read_only_udm.security_result.detection_fields	Membuat label dengan kunci "ActivityDate" dan nilai dari properties.ActivityDate, digabungkan
properties.ActivityResultStatus	event.idm.read_only_udm.security_result.detection_fields	Mengonversi ke string, membuat label dengan kunci "ActivityResultStatus" dan nilai, digabungkan
properties.ActivityType	event.idm.read_only_udm.security_result.detection_fields	Mengonversi ke string, membuat label dengan kunci "ActivityType" dan nilai, digabungkan
properties.Actor.ActorType	event.idm.read_only_udm.security_result.detection_fields	Mengonversi ke string, membuat label dengan kunci "ActorType" dan nilai, digabungkan
properties.Category	event.idm.read_only_udm.security_result.detection_fields	Mengonversi ke string, membuat label dengan kunci "Category" dan nilai, digabungkan
properties.Targets.ModifiedProperties.Name	event.idm.read_only_udm.security_result.detection_fields	Membuat label dengan kunci "Name" dan nilai dari mproper.Name, digabungkan
properties.Targets.ModifiedProperties.New	event.idm.read_only_udm.security_result.detection_fields	Membuat label dengan kunci "Baru" dan nilai dari mproper.New, digabungkan
properties.Targets.ModifiedProperties.Old	event.idm.read_only_udm.security_result.detection_fields	Membuat label dengan kunci "Old" dan nilai dari mproper.Old, digabungkan
resultType	event.idm.read_only_udm.security_result.summary	Nilai yang diambil dari resultType
target	event.idm.read_only_udm.target	Diganti namanya dari target
tenantId	event.idm.read_only_udm.target.user.userid	Nilai diambil dari tenantId
	event.idm.read_only_udm.metadata.product_name	Tetapkan ke "Microsoft Intune Context"
	event.idm.read_only_udm.metadata.vendor_name	Tetapkan ke "Microsoft"

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.