收集 Microsoft Intune 記錄

支援的國家/地區:

本文說明如何使用 Microsoft Azure Blob Storage V2 設定 Google Security Operations 資訊提供,藉此收集 Microsoft Intune 記錄。

Microsoft Intune 是一項雲端式端點管理解決方案,可管理使用者對機構資源的存取權,並簡化行動裝置、桌上型電腦和虛擬端點等裝置的應用程式和裝置管理作業。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • 具備下列權限的 Microsoft Azure 入口網站特殊存取權:
    • 建立儲存空間帳戶
    • 設定 Microsoft Intune 的診斷設定
    • 管理存取金鑰
  • 使用者具備 Intune 租戶的 Intune 管理員全域管理員 Microsoft Entra 角色
  • 用來設定儲存體帳戶的 Azure 訂用帳戶

設定 Azure 儲存體帳戶

建立儲存空間帳戶

  1. Azure 入口網站中,搜尋「儲存體帳戶」
  2. 點選「+ 建立」

  3. 請提供下列設定詳細資料:

    設定
    訂閱項目 選取 Azure 訂閱項目
    資源群組 選取現有項目或建立新項目
    儲存體帳戶名稱 輸入不重複的名稱 (例如 intunelogsstorage)
    區域 選取區域 (例如 East US)
    效能 標準 (建議採用)
    備援功能 GRS (異地備援儲存空間) 或 LRS (本機備援儲存空間)

  4. 按一下「Review + create」

  5. 查看帳戶總覽,然後按一下「建立」

  6. 等待部署作業完成。

取得儲存空間帳戶憑證

  1. 前往您剛建立的「儲存空間帳戶」
  2. 在左側導覽中,選取「Security + networking」(安全性 + 網路) 下方的「Access keys」(存取金鑰)
  3. 按一下「顯示金鑰」
  4. 複製並儲存下列項目,以供日後使用:
    • 儲存體帳戶名稱:您在建立時提供的名稱
    • 「金鑰 1」或「金鑰 2」:共用存取金鑰 (採用 Base64 編碼的 512 位元隨機字串)

取得 Blob 服務端點

  1. 在同一個儲存空間帳戶中,選取左側導覽列的「Endpoints」(端點)
  2. 複製並儲存 Blob 服務端點網址。
    • 範例:https://intunelogsstorage.blob.core.windows.net/

設定 Microsoft Intune 診斷設定

登入 Microsoft Intune 系統管理中心。選取「報表」>「診斷設定」。首次開啟時,請開啟這項功能。否則請新增設定。

  1. 按一下「新增診斷設定」
  2. 請提供下列設定詳細資料:
    • 診斷設定名稱:輸入描述性名稱 (例如 export-to-secops)。
    • 在「記錄」部分中,選取下列類別:
      • AuditLogs
      • OperationalLogs
      • DeviceComplianceOrg
      • 裝置
    • 在「目的地詳細資料」部分,選取「封存至儲存空間帳戶」核取方塊。
    • 訂閱項目:選取包含儲存空間帳戶的訂閱項目。
    • 「Storage account」(儲存空間帳戶):選取您先前建立的儲存空間帳戶。
  3. 按一下 [儲存]

設定完成後,記錄檔會自動匯出至儲存空間帳戶。

  • 稽核記錄會顯示在 Intune 中產生變更的活動記錄。
  • 作業記錄會顯示成功 (或失敗) 註冊的使用者和裝置詳細資料,以及不符規定的裝置詳細資料。
  • 裝置合規性機構記錄會顯示 Intune 裝置合規性的機構報告,以及不合規裝置的詳細資料。
  • IntuneDevices 會顯示已註冊及受管理裝置的裝置清單和狀態資訊。

Intune 稽核記錄和作業記錄會立即從 Intune 傳送至 Azure 監視器服務。Intune 裝置合規性機構記錄和 IntuneDevices 報表資料每 24 小時會從 Intune 傳送至 Azure 監視器服務一次。因此,您最多可能需要等待 24 小時,才能在 Azure 監視器服務中取得記錄。Intune 傳送資料後,通常會在 30 分鐘內顯示在 Azure 監視器服務中。

在 Google SecOps 中設定動態饋給,擷取 Microsoft Intune 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Microsoft Intune Logs)。
  5. 選取「Microsoft Azure Blob Storage V2」做為「來源類型」
  6. 選取「Microsoft Intune」做為「記錄類型」
  7. 點選 [下一步]。

  8. 指定下列輸入參數的值:

    • Azure URI:輸入 Blob 服務端點網址和容器路徑。由於 Intune 會為不同記錄類別建立多個容器,因此您需要為每個容器建立個別的動態饋給。

      使用下列格式,並將 intunelogsstorage 替換為您的 Azure 儲存體帳戶名稱。

      • 稽核記錄:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-auditlogs/
      • 作業記錄:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-operationallogs/
      • 裝置法規遵循機構記錄:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-devicecomplianceorg/
      • 裝置相關規定:
      https://intunelogsstorage.blob.core.windows.net/insights-logs-devices/

    • 來源刪除選項:根據偏好設定選取刪除選項:

      • 永不:轉移後一律不刪除任何檔案。
      • 刪除已轉移的檔案:成功轉移檔案後刪除檔案。
      • 刪除已轉移的檔案和空白目錄:成功轉移後刪除檔案和空白目錄。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。

    • 共用金鑰:輸入從儲存空間帳戶擷取的共用金鑰值 (存取金鑰)。

    • 資產命名空間資產命名空間

    • 擷取標籤:要套用至這個動態饋給事件的標籤。

  9. 點選 [下一步]。

  10. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)

  11. 針對每個 Intune 記錄類別容器,重複步驟 1 到 10,建立其他動態消息。

設定 Azure 儲存空間防火牆 (如已啟用)

如果 Azure 儲存體帳戶使用防火牆,您必須新增 Google SecOps IP 範圍。

  1. Azure 入口網站中,前往「儲存體帳戶」
  2. 選取「Security + networking」(安全性 + 網路) 下方的「Networking」(網路)
  3. 在「防火牆和虛擬網路」下方,選取「從所選虛擬網路和 IP 位址啟用」
  4. 在「防火牆」部分,按一下「位址範圍」下方的「+ 新增 IP 範圍」

  5. 以 CIDR 標記法新增每個 Google SecOps IP 範圍。

    如要取得目前的 IP 範圍,請選擇下列其中一個選項:

  6. 按一下 [儲存]

UDM 對應表

記錄欄位 UDM 對應 邏輯
@output 活動 已合併至 @output
properties.Actor.UserPermissions event.idm.read_only_udm.additional.fields 迴圈:將每個權限轉換為字串,以「UserPermissions」鍵新增至清單做為 string_value,然後合併
properties.TargetDisplayNames event.idm.read_only_udm.additional.fields 如果 TargetDisplayNames 不是空值,則會迴圈處理每個 TargetDisplayNames,並以「TargetDisplayNames」鍵新增至清單,然後合併
properties.TargetObjectIds event.idm.read_only_udm.additional.fields 迴圈,每個 TargetObjectIds 都會轉換為字串,並以「TargetObjectIds」鍵新增至清單做為 string_value,然後合併
中繼資料 event.idm.read_only_udm.metadata 從中繼資料重新命名
時間 event.idm.read_only_udm.metadata.event_timestamp 從時間轉換為 ISO8601
has_user event.idm.read_only_udm.metadata.event_type 衍生:如果 has_user ==「true」,則為「USER_UNCATEGORIZED」,否則為「GENERIC_EVENT」
operationName event.idm.read_only_udm.metadata.product_event_type 從 operationName 取得的值
properties.AuditEventId event.idm.read_only_udm.metadata.product_log_id 從屬性取得的值。AuditEventId
correlationId event.idm.read_only_udm.network.session_id 從 correlationId 取得的值
主體 event.idm.read_only_udm.principal 從主體重新命名
properties.Actor.Application event.idm.read_only_udm.principal.application 取自 properties.Actor.Application 的值
properties.Actor.ApplicationName event.idm.read_only_udm.principal.resource.name 取自 properties.Actor.ApplicationName 的值
properties.Actor.isDelegatedAdmin event.idm.read_only_udm.principal.user.attribute.labels 轉換為字串,建立鍵為「isDelegatedAdmin」的標籤,並合併值
properties.Actor.PartnerTenantId event.idm.read_only_udm.principal.user.attribute.labels 建立含有「PartnerTenantId」鍵和合併值的標籤
security_result event.idm.read_only_udm.security_result 從 security_result 合併
category event.idm.read_only_udm.security_result.category_details 從類別取得的值
resultDescription event.idm.read_only_udm.security_result.description 從 resultDescription 取得的值
身分 event.idm.read_only_udm.security_result.detection_fields 建立含有「身分」鍵的標籤,以及從身分合併而來的值
properties.ActivityDate event.idm.read_only_udm.security_result.detection_fields 建立含有「ActivityDate」鍵和屬性值的標籤。ActivityDate,已合併
properties.ActivityResultStatus event.idm.read_only_udm.security_result.detection_fields 轉換為字串,建立含有鍵「ActivityResultStatus」和值的標籤,並合併
properties.ActivityType event.idm.read_only_udm.security_result.detection_fields 轉換為字串,建立含有鍵「ActivityType」和值的標籤,合併
properties.Actor.ActorType event.idm.read_only_udm.security_result.detection_fields 轉換為字串,建立含有鍵「ActorType」和值的標籤,合併
properties.Category event.idm.read_only_udm.security_result.detection_fields 轉換為字串,建立含有鍵「Category」和值的標籤,合併
properties.Targets.ModifiedProperties.Name event.idm.read_only_udm.security_result.detection_fields 建立索引鍵為「Name」的標籤,並合併 mproper.Name 中的值
properties.Targets.ModifiedProperties.New event.idm.read_only_udm.security_result.detection_fields 建立鍵為「New」的標籤,並合併 mproper.New 中的值
properties.Targets.ModifiedProperties.Old event.idm.read_only_udm.security_result.detection_fields 使用鍵「Old」和來自 mproper.Old 的值建立標籤,合併
resultType event.idm.read_only_udm.security_result.summary 從 resultType 取得的值
目標 event.idm.read_only_udm.target 已從目標重新命名
tenantId event.idm.read_only_udm.target.user.userid 從 tenantId 取得的值
event.idm.read_only_udm.metadata.product_name 設為「Microsoft Intune Context」
event.idm.read_only_udm.metadata.vendor_name 設為「Microsoft」

需要其他協助嗎?向社群成員和 Google SecOps 專業人員尋求答案。