Raccogliere i log di Microsoft Intune

Supportato in:

Questo documento spiega come raccogliere i log di Microsoft Intune configurando un feed Google Security Operations utilizzando Microsoft Azure Blob Storage V2.

Microsoft Intune è una soluzione di gestione degli endpoint basata su cloud che gestisce l'accesso degli utenti alle risorse dell'organizzazione e semplifica la gestione di app e dispositivi su più dispositivi, inclusi dispositivi mobili, computer e endpoint virtuali.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Accesso con privilegi al portale Microsoft Azure con autorizzazioni per:
    • Crea account di archiviazione
    • Configurare le impostazioni di diagnostica per Microsoft Intune
    • Gestire le chiavi di accesso
  • Utente con il ruolo Microsoft Entra Amministratore Intune o Amministratore globale per il tenant Intune
  • Abbonamento Azure per configurare l'account di archiviazione

Configura l'account di archiviazione di Azure

Crea un account di archiviazione

  1. Nel portale Azure, cerca Account di archiviazione.
  2. Fai clic su + Crea.

  3. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Abbonamento Seleziona il tuo abbonamento Azure
    Gruppo di risorse Seleziona un'opzione esistente o creane una nuova
    Nome account di archiviazione Inserisci un nome univoco (ad esempio, intunelogsstorage).
    Regione Seleziona la regione (ad esempio, East US)
    Prestazioni Standard (consigliato)
    Ridondanza GRS (archiviazione con ridondanza geografica) o LRS (archiviazione con ridondanza locale)

  4. Fai clic su Rivedi e crea.

  5. Controlla la panoramica dell'account e fai clic su Crea.

  6. Attendi il completamento del deployment.

Recuperare le credenziali dell'account di archiviazione

  1. Vai all'account di archiviazione che hai appena creato.
  2. Nel riquadro di navigazione a sinistra, seleziona Chiavi di accesso in Sicurezza e networking.
  3. Fai clic su Mostra chiavi.
  4. Copia e salva quanto segue per un utilizzo successivo:
    • Nome account di archiviazione: il nome che hai fornito durante la creazione
    • Chiave 1 o Chiave 2: la chiave di accesso condivisa (una stringa casuale di 512 bit con codifica Base64)

Ottieni l'endpoint del servizio Blob

  1. Nello stesso account di archiviazione, seleziona Endpoint nel menu di navigazione a sinistra.
  2. Copia e salva l'URL dell'endpoint Blob service.
    • Esempio: https://intunelogsstorage.blob.core.windows.net/

Configurare le impostazioni di diagnostica di Microsoft Intune

Accedi al centro di amministrazione di Microsoft Intune. Seleziona Report > Impostazioni diagnostiche. La prima volta che lo apri, attivalo. In caso contrario, aggiungi un'impostazione.

  1. Fai clic su Aggiungi impostazione diagnostica.
  2. Fornisci i seguenti dettagli di configurazione:
    • Nome impostazione diagnostica: inserisci un nome descrittivo (ad esempio export-to-secops).
    • Nella sezione Log, seleziona le seguenti categorie:
      • AuditLogs
      • OperationalLogs
      • DeviceComplianceOrg
      • Dispositivi
    • Nella sezione Dettagli destinazione, seleziona la casella di controllo Archivia in un account di archiviazione.
    • Abbonamento: seleziona l'abbonamento contenente il tuo account di archiviazione.
    • Storage account: seleziona l'account di archiviazione che hai creato in precedenza.
  3. Fai clic su Salva.

Dopo la configurazione, i log verranno esportati automaticamente nell'account di archiviazione.

  • I log di controllo mostrano un record delle attività che generano una modifica in Intune.
  • I log operativi mostrano i dettagli su utenti e dispositivi che sono stati registrati correttamente (o non sono riusciti a registrarsi) e i dettagli sui dispositivi non conformi.
  • I log organizzativi di conformità dei dispositivi mostrano un report organizzativo per la conformità dei dispositivi in Intune e i dettagli sui dispositivi non conformi.
  • IntuneDevices mostra l'inventario dei dispositivi e le informazioni sullo stato dei dispositivi registrati e gestiti in Intune.

I log di controllo e operativi di Intune vengono inviati immediatamente da Intune ai servizi Azure Monitor. I dati dei log organizzativi di conformità dei dispositivi Intune e del report IntuneDevices vengono inviati da Intune ai servizi Azure Monitor una volta ogni 24 ore. Pertanto, potrebbero essere necessarie fino a 24 ore per ottenere i log nei servizi Azure Monitor. Una volta inviati i dati da Intune, in genere vengono visualizzati nel servizio Azure Monitor entro 30 minuti.

Configura un feed in Google SecOps per importare i log di Microsoft Intune

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Microsoft Intune Logs).
  5. Seleziona Microsoft Azure Blob Storage V2 come Tipo di origine.
  6. Seleziona Microsoft Intune come tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI di Azure: inserisci l'URL dell'endpoint del servizio Blob con il percorso del container. Poiché Intune crea più contenitori per diverse categorie di log, dovrai creare feed separati per ogni contenitore.

      Utilizza il seguente formato e sostituisci intunelogsstorage con il nome del tuo account di archiviazione Azure.

      • Per i log di controllo:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-auditlogs/
      • Per i log operativi:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-operationallogs/
      • Per i log organizzativi della conformità dei dispositivi:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-devicecomplianceorg/
      • Per i dispositivi:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-devices/

    • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti.
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • Chiave condivisa: inserisci il valore della chiave condivisa (chiave di accesso) acquisita dall'account di archiviazione.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

  11. Ripeti i passaggi da 1 a 10 per creare feed aggiuntivi per ogni contenitore di categorie di log di Intune.

Configura il firewall di Azure Storage (se abilitato)

Se il tuo account di archiviazione Azure utilizza un firewall, devi aggiungere gli intervalli IP di Google SecOps.

  1. Nel portale Azure, vai al tuo account di archiviazione.
  2. Seleziona Networking in Sicurezza + networking.
  3. In Firewall e reti virtuali, seleziona Attivato da reti virtuali e indirizzi IP selezionati.
  4. Nella sezione Firewall, in Intervallo di indirizzi, fai clic su + Aggiungi intervallo IP.

  5. Aggiungi ogni intervallo IP di Google SecOps in notazione CIDR.

    Per ottenere gli intervalli IP attuali, scegli una delle seguenti opzioni:

  6. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Funzione logica
@output evento Unito a @output
properties.Actor.UserPermissions event.idm.read_only_udm.additional.fields In loop, ogni autorizzazione convertita in stringa, aggiunta come string_value all'elenco con la chiave "UserPermissions", unita
properties.TargetDisplayNames event.idm.read_only_udm.additional.fields In loop, ogni TargetDisplayNames se non è null, aggiunto come string_value all'elenco con la chiave "TargetDisplayNames", unito
properties.TargetObjectIds event.idm.read_only_udm.additional.fields In loop, ogni TargetObjectIds convertito in stringa, aggiunto come string_value all'elenco con la chiave "TargetObjectIds", unito
metadati event.idm.read_only_udm.metadata Rinominate dai metadati
tempo event.idm.read_only_udm.metadata.event_timestamp Convertito da ora a ISO8601
has_user event.idm.read_only_udm.metadata.event_type Derivato: se has_user == "true" allora "USER_UNCATEGORIZED" altrimenti "GENERIC_EVENT"
operationName event.idm.read_only_udm.metadata.product_event_type Valore estratto da operationName
properties.AuditEventId event.idm.read_only_udm.metadata.product_log_id Valore estratto da properties.AuditEventId
correlationId event.idm.read_only_udm.network.session_id Valore estratto da correlationId
entità event.idm.read_only_udm.principal Rinominato dall'entità
properties.Actor.Application event.idm.read_only_udm.principal.application Valore estratto da properties.Actor.Application
properties.Actor.ApplicationName event.idm.read_only_udm.principal.resource.name Valore estratto da properties.Actor.ApplicationName
properties.Actor.isDelegatedAdmin event.idm.read_only_udm.principal.user.attribute.labels Esegue la conversione in stringa, crea l'etichetta con la chiave "isDelegatedAdmin" e il valore, uniti
properties.Actor.PartnerTenantId event.idm.read_only_udm.principal.user.attribute.labels Crea un'etichetta con la chiave "PartnerTenantId" e il valore unito
security_result event.idm.read_only_udm.security_result Unito da security_result
category event.idm.read_only_udm.security_result.category_details Valore tratto dalla categoria
resultDescription event.idm.read_only_udm.security_result.description Valore estratto da resultDescription
identità event.idm.read_only_udm.security_result.detection_fields Crea l'etichetta con la chiave "identity" e il valore dell'identità, uniti
properties.ActivityDate event.idm.read_only_udm.security_result.detection_fields Crea un'etichetta con la chiave "ActivityDate" e il valore da properties.ActivityDate, unito
properties.ActivityResultStatus event.idm.read_only_udm.security_result.detection_fields Esegue la conversione in stringa, crea l'etichetta con la chiave "ActivityResultStatus" e il valore uniti
properties.ActivityType event.idm.read_only_udm.security_result.detection_fields Esegue la conversione in stringa, crea l'etichetta con la chiave "ActivityType" e il valore uniti
properties.Actor.ActorType event.idm.read_only_udm.security_result.detection_fields Converte in stringa, crea un'etichetta con la chiave "ActorType" e il valore uniti
properties.Category event.idm.read_only_udm.security_result.detection_fields Converte in stringa, crea un'etichetta con la chiave "Category" e il valore unito
properties.Targets.ModifiedProperties.Name event.idm.read_only_udm.security_result.detection_fields Crea l'etichetta con la chiave "Name" e il valore da mproper.Name, uniti
properties.Targets.ModifiedProperties.New event.idm.read_only_udm.security_result.detection_fields Crea un'etichetta con la chiave "New" e il valore di mproper.New, unito
properties.Targets.ModifiedProperties.Old event.idm.read_only_udm.security_result.detection_fields Crea l'etichetta con la chiave "Old" e il valore di mproper.Old, uniti
resultType event.idm.read_only_udm.security_result.summary Valore estratto da resultType
target event.idm.read_only_udm.target Rinominato da target
tenantId event.idm.read_only_udm.target.user.userid Valore estratto da tenantId
event.idm.read_only_udm.metadata.product_name Impostato su "Contesto Microsoft Intune"
event.idm.read_only_udm.metadata.vendor_name Impostato su "Microsoft"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.