Coletar registros do Microsoft Intune

Compatível com:

Este documento explica como coletar registros do Microsoft Intune configurando um feed do Google Security Operations usando o Microsoft Azure Blob Storage V2.

O Microsoft Intune é uma solução de gerenciamento de endpoints baseada na nuvem que gerencia o acesso dos usuários a recursos organizacionais e simplifica o gerenciamento de apps e dispositivos em vários dispositivos, incluindo dispositivos móveis, computadores e endpoints virtuais.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Acesso privilegiado ao portal do Microsoft Azure com permissões para:
    • Criar contas de armazenamento
    • Configurar as configurações de diagnóstico do Microsoft Intune
    • Gerenciar chaves de acesso
  • Usuário com a função Administrador do Intune ou Administrador global do Microsoft Entra para o locatário do Intune
  • Assinatura do Azure para configurar a conta de armazenamento

Configurar a conta de armazenamento do Azure

Criar conta de armazenamento

  1. No portal do Azure, pesquise Contas de armazenamento.
  2. Clique em Criar.

  3. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Assinatura Selecione sua assinatura do Azure
    Grupo de recursos Selecionar ou criar
    Nome da conta de armazenamento Insira um nome exclusivo (por exemplo, intunelogsstorage).
    Região Selecione a região (por exemplo, East US).
    Desempenho Padrão (recomendado)
    Redundância GRS (armazenamento com redundância geográfica) ou LRS (armazenamento com redundância local)

  4. Clique em Revisar + criar.

  5. Revise a visão geral da conta e clique em Criar.

  6. Aguarde até que a implantação seja concluída.

Receber credenciais da conta de armazenamento

  1. Acesse a Conta de armazenamento que você acabou de criar.
  2. Na navegação à esquerda, selecione Chaves de acesso em Segurança e rede.
  3. Clique em Mostrar chaves.
  4. Copie e salve o seguinte para uso posterior:
    • Nome da conta de armazenamento: o nome que você forneceu durante a criação
    • Chave 1 ou Chave 2: a chave de acesso compartilhado (uma string aleatória de 512 bits na codificação base-64).

Receber endpoint do serviço de blob

  1. Na mesma conta de armazenamento, selecione Endpoints na navegação à esquerda.
  2. Copie e salve o URL do endpoint do serviço de blob.
    • Exemplo: https://intunelogsstorage.blob.core.windows.net/

Configurar as configurações de diagnóstico do Microsoft Intune

Faça login no centro de administração do Microsoft Intune. Selecione Relatórios > Configurações de diagnóstico. Na primeira vez que você abrir, ative o dispositivo. Caso contrário, adicione uma configuração.

  1. Clique em Adicionar configuração de diagnóstico.
  2. Informe os seguintes detalhes de configuração:
    • Nome da configuração de diagnóstico: insira um nome descritivo (por exemplo, export-to-secops).
    • Na seção Registros, selecione as seguintes categorias:
      • AuditLogs
      • OperationalLogs
      • DeviceComplianceOrg
      • Dispositivos
    • Na seção Detalhes do destino, marque a caixa de seleção Arquivar em uma conta de armazenamento.
    • Assinatura: selecione a assinatura que contém sua conta de armazenamento.
    • Conta de armazenamento: selecione a conta de armazenamento criada anteriormente.
  3. Clique em Salvar.

Depois da configuração, os registros serão exportados automaticamente para a conta de armazenamento.

  • Os registros de auditoria mostram um registro de atividades que geram uma mudança no Intune.
  • Os registros operacionais mostram detalhes sobre usuários e dispositivos que foram registrados (ou não) e sobre dispositivos não compatíveis.
  • Os registros organizacionais de compliance do dispositivo mostram um relatório organizacional sobre o compliance do dispositivo no Intune e detalhes sobre dispositivos sem compliance.
  • O IntuneDevices mostra o inventário e as informações de status dos dispositivos registrados e gerenciados pelo Intune.

Os registros de auditoria e operacionais do Intune são enviados imediatamente do Intune para os serviços do Azure Monitor. Os registros organizacionais de conformidade de dispositivos do Intune e os dados do relatório IntuneDevices são enviados do Intune para os serviços do Azure Monitor uma vez a cada 24 horas. Por isso, pode levar até 24 horas para receber os registros nos serviços do Azure Monitor. Depois que os dados são enviados do Intune, eles geralmente aparecem no serviço do Azure Monitor em até 30 minutos.

Configurar um feed no Google SecOps para ingerir registros do Microsoft Intune

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Microsoft Intune Logs).
  5. Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
  6. Selecione Microsoft Intune como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do Azure: insira o URL do endpoint do serviço de blobs com o caminho do contêiner. Como o Intune cria vários contêineres para diferentes categorias de registros, é necessário criar feeds separados para cada um deles.

      Use o formato a seguir e substitua intunelogsstorage pelo nome da sua conta de armazenamento do Azure.

      • Para registros de auditoria:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-auditlogs/
      • Para registros operacionais:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-operationallogs/
      • Para registros organizacionais de compliance do dispositivo:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-devicecomplianceorg/
      • Para dispositivos:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-devices/

    • Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:

      • Nunca: nunca exclui arquivos após as transferências.
      • Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.
      • Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • Chave compartilhada: insira o valor da chave compartilhada (chave de acesso) capturado da conta de armazenamento.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

  11. Repita as etapas de 1 a 10 para criar outros feeds para cada contêiner de categoria de registro do Intune.

Configurar o firewall do Azure Storage (se ativado)

Se a sua conta do Azure Storage usar um firewall, adicione os intervalos de IP do Google SecOps.

  1. No portal do Azure, acesse sua conta de armazenamento.
  2. Selecione Rede em Segurança e rede.
  3. Em Firewalls e redes virtuais, selecione Ativado nas redes virtuais e endereços IP selecionados.
  4. Na seção Firewall, em Intervalo de endereços, clique em + Adicionar intervalo de IP.

  5. Adicione cada intervalo de IP do Google SecOps na notação CIDR.

    Para receber os intervalos de IP atuais, escolha uma das seguintes opções:

  6. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
@output evento Mesclado com @output
properties.Actor.UserPermissions event.idm.read_only_udm.additional.fields Em loop, cada permissão convertida em string, adicionada como string_value à lista com a chave "UserPermissions", mesclada
properties.TargetDisplayNames event.idm.read_only_udm.additional.fields Em loop, cada TargetDisplayNames, se não for nulo, será adicionado como string_value à lista com a chave "TargetDisplayNames", mesclado.
properties.TargetObjectIds event.idm.read_only_udm.additional.fields Em loop, cada TargetObjectIds convertido em string, adicionado como string_value à lista com a chave "TargetObjectIds", mesclado
metadados event.idm.read_only_udm.metadata Renomeado de metadados
tempo event.idm.read_only_udm.metadata.event_timestamp Convertido de hora para ISO8601
has_user event.idm.read_only_udm.metadata.event_type Derivada: se has_user == "true", então "USER_UNCATEGORIZED", caso contrário, "GENERIC_EVENT"
operationName event.idm.read_only_udm.metadata.product_event_type Valor extraído de "operationName"
properties.AuditEventId event.idm.read_only_udm.metadata.product_log_id Valor extraído de "properties.AuditEventId"
correlationId event.idm.read_only_udm.network.session_id Valor extraído de correlationId
participante event.idm.read_only_udm.principal Renomeado do principal
properties.Actor.Application event.idm.read_only_udm.principal.application Valor extraído de "properties.Actor.Application"
properties.Actor.ApplicationName event.idm.read_only_udm.principal.resource.name Valor extraído de "properties.Actor.ApplicationName"
properties.Actor.isDelegatedAdmin event.idm.read_only_udm.principal.user.attribute.labels Converte para string, cria um rótulo com a chave "isDelegatedAdmin" e o valor, mesclados
properties.Actor.PartnerTenantId event.idm.read_only_udm.principal.user.attribute.labels Cria um rótulo com a chave "PartnerTenantId" e o valor mesclado.
security_result event.idm.read_only_udm.security_result Mesclado de security_result
categoria event.idm.read_only_udm.security_result.category_details Valor retirado da categoria
resultDescription event.idm.read_only_udm.security_result.description Valor extraído de resultDescription
identidade event.idm.read_only_udm.security_result.detection_fields Cria um marcador com a chave "identity" e o valor da identidade, mesclados.
properties.ActivityDate event.idm.read_only_udm.security_result.detection_fields Cria um rótulo com a chave "ActivityDate" e o valor de properties.ActivityDate, merged
properties.ActivityResultStatus event.idm.read_only_udm.security_result.detection_fields Converte para string, cria um rótulo com a chave "ActivityResultStatus" e o valor, mesclados.
properties.ActivityType event.idm.read_only_udm.security_result.detection_fields Converte para string, cria um rótulo com a chave "ActivityType" e o valor, mesclados
properties.Actor.ActorType event.idm.read_only_udm.security_result.detection_fields Converte para string, cria um rótulo com a chave "ActorType" e o valor, mesclados
properties.Category event.idm.read_only_udm.security_result.detection_fields Converte em string, cria um rótulo com a chave "Category" e o valor, mesclados
properties.Targets.ModifiedProperties.Name event.idm.read_only_udm.security_result.detection_fields Cria um rótulo com a chave "Name" e o valor de mproper.Name, mesclado.
properties.Targets.ModifiedProperties.New event.idm.read_only_udm.security_result.detection_fields Cria um rótulo com a chave "New" e o valor de mproper.New, mesclado.
properties.Targets.ModifiedProperties.Old event.idm.read_only_udm.security_result.detection_fields Cria um marcador com a chave "Old" e o valor de mproper.Old, mesclado.
resultType event.idm.read_only_udm.security_result.summary Valor extraído de "resultType"
target event.idm.read_only_udm.target Renomeado do destino
tenantId event.idm.read_only_udm.target.user.userid Valor extraído de tenantId
event.idm.read_only_udm.metadata.product_name Definido como "Contexto do Microsoft Intune"
event.idm.read_only_udm.metadata.vendor_name Defina como "Microsoft".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.