Azure MDM Intune-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Microsoft Azure Intune-Logs für Google Security Operations erfassen. Sie können die Aufnahme mit zwei Methoden konfigurieren: mit der Drittanbieter-API (empfohlen) oder mit Microsoft Azure Blob Storage V2.

Microsoft Intune ist eine cloudbasierte Lösung zur Endpunktverwaltung, mit der der Nutzerzugriff auf Organisationsressourcen verwaltet und die App- und Geräteverwaltung auf verschiedenen Geräten vereinfacht wird, darunter Mobilgeräte, Computer und virtuelle Endpunkte.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Privilegierter Zugriff auf das Microsoft Azure-Portal
Ein Nutzer mit der Microsoft Entra-Rolle Intune-Administrator oder Globaler Administrator für den Intune-Mandanten
Eine aktive Intune-Lizenz für den Mandanten

Methode 1: Drittanbieter-API (empfohlen)

Bei dieser Methode wird die Microsoft Graph API verwendet, um Intune-Audit- und ‑Betriebsprotokolle direkt aus Ihrem Microsoft-Mandanten abzurufen.

Microsoft Entra-App-Registrierung konfigurieren

App-Registrierung erstellen

Melden Sie sich im Microsoft Entra Admin Center oder im Azure-Portal an.
Rufen Sie Identität > Anwendungen > Anwendungsregistrierungen auf.
Klicken Sie auf Neue Registrierung.
Geben Sie die folgenden Konfigurationsdetails an:
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Intune Integration.
- Unterstützte Kontotypen: Wählen Sie Nur Konten in diesem Organisationsverzeichnis (Einzelmandant) aus.
- Weiterleitungs-URI: Lassen Sie das Feld leer (nicht für die Authentifizierung des Dienstprinzipals erforderlich).
Klicken Sie auf Registrieren.
Kopieren und speichern Sie nach der Registrierung die folgenden Werte von der Seite Übersicht:
- Anwendungs-ID (Client-ID)
- Verzeichnis-ID (Mandant)

API-Berechtigungen konfigurieren

Rufen Sie in der App-Registrierung API-Berechtigungen auf.
Klicken Sie auf Berechtigung hinzufügen.
Wählen Sie Microsoft Graph > Anwendungsberechtigungen aus.
Suchen Sie nach den folgenden Berechtigungen und wählen Sie sie aus:
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementServiceConfig.Read.All
- DeviceManagementRBAC.Read.All
Klicken Sie auf Berechtigungen hinzufügen.
Klicken Sie auf Administratoreinwilligung für [Ihre Organisation]erteilen.
Prüfen Sie, ob in der Spalte Status für alle Berechtigungen Gewährt für [Ihre Organisation] angezeigt wird.

Hinweis :Wenn die Schaltfläche Administratorzustimmung erteilen deaktiviert ist, müssen Sie die Rolle Globaler Administrator oder Administrator privilegierter Rollen haben. Mit der Rolle „Cloud Application Administrator“ kann keine Einwilligung für Microsoft Graph-Anwendungsberechtigungen erteilt werden.

Erforderliche API-Berechtigungen

Berechtigung	Typ	Zweck
DeviceManagementApps.Read.All	Anwendung	App-Verwaltungsdaten und Audit-Ereignisse lesen
DeviceManagementConfiguration.Read.All	Anwendung	Gerätekonfiguration und Compliance-Richtlinien lesen
DeviceManagementManagedDevices.Read.All	Anwendung	Informationen zu verwalteten Geräten lesen
DeviceManagementServiceConfig.Read.All	Anwendung	Intune-Dienstkonfiguration lesen
DeviceManagementRBAC.Read.All	Anwendung	Einstellungen für die rollenbasierte Zugriffssteuerung lesen

Clientschlüssel erstellen

Rufen Sie in der App-Registrierung Zertifikate und Secrets auf.
Klicken Sie auf Neuer geheimer Clientschlüssel.
Geben Sie die folgenden Konfigurationsdetails an:
- Beschreibung: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Feed.
- Läuft ab: Wählen Sie einen Ablaufzeitraum aus.
  
  Hinweis :Microsoft empfiehlt eine Ablauffrist von weniger als 12 Monaten. Die maximal zulässige Laufzeit beträgt 24 Monate.
Klicken Sie auf Hinzufügen.
Kopieren Sie sofort den Wert des Clientschlüssels.

Wichtig :Der geheime Wert wird nur einmal angezeigt und kann nach dem Verlassen dieser Seite nicht mehr abgerufen werden. Wenn Sie den Wert verlieren, müssen Sie einen neuen Clientschlüssel erstellen.

Feed in Google SecOps konfigurieren, um Microsoft Intune-Logs aufzunehmen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Microsoft Intune Logs.
Wählen Sie Drittanbieter-API als Quelltyp aus.
Wählen Sie Microsoft Intune als Log type (Protokolltyp) aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- OAuth-Client-ID: Geben Sie die Anwendungs- oder Client-ID aus der App-Registrierung ein (z. B. 1234abcd-1234-abcd-1234-abcd1234abcd).
- OAuth-Clientschlüssel: Geben Sie den Clientschlüsselwert ein, den Sie zuvor kopiert haben.
- Mandanten-ID: Geben Sie die Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung im UUID-Format ein (z. B. 0fc279f9-fe30-41be-97d3-abe1d7681418).
- Vollständiger API-Pfad: Geben Sie die Endpunkt-URL der Microsoft Graph REST API ein. Standardwert:
```
graph.microsoft.com/beta/deviceManagement/auditEvents
```
  Hinweis :Geben Sie nicht das Präfix https:// an. Das Protokoll wird automatisch im Feed hinzugefügt.
- API-Authentifizierungsendpunkt: Geben Sie den Microsoft Active Directory-Authentifizierungsendpunkt ein. Standardwert:
```
login.microsoftonline.com
```
  Hinweis :Geben Sie nicht das Präfix https:// oder den Pfad /oauth2/v2.0/token an. Der Feed erstellt die vollständige Authentifizierungs-URL automatisch anhand Ihrer Mandanten-ID.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Nach der Einrichtung werden die Intune-Audit- und Betriebsprotokolle über die Microsoft Graph API abgerufen.

Regionale Endpunkte

Verwenden Sie für Microsoft Intune-Bereitstellungen in Sovereign Clouds die entsprechenden regionalen Endpunkte:

Cloud-Umgebungen	Vollständiger API-Pfad	API-Authentifizierungsendpunkt
Global	`graph.microsoft.com/beta/deviceManagement/auditEvents`	`login.microsoftonline.com`
US Government L4	`graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
US Government L5 (DOD)	`dod-graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
China (21Vianet)	`microsoftgraph.chinacloudapi.cn/beta/deviceManagement/auditEvents`	`login.chinacloudapi.cn`

Methode 2: Microsoft Azure Blob Storage V2

Bei dieser Methode werden Microsoft Intune-Protokolle erfasst, indem Diagnosedaten in ein Azure Storage-Konto exportiert und ein Google SecOps-Feed für die Aufnahme aus Azure Blob Storage konfiguriert wird.

Azure Storage-Konto konfigurieren

Speicherkonto erstellen

Suchen Sie im Azure-Portal nach Speicherkonten.
Klicken Sie auf + Erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Abo	Azure-Abo auswählen
Ressourcengruppe	Vorhandene auswählen oder neue erstellen
Name des Speicherkontos	Geben Sie einen eindeutigen Namen ein, z. B. `intunelogs`.
Region	Wählen Sie die Region aus (z. B. `East US`).
Leistung	Standard (empfohlen)
Redundanz	GRS (georedundanter Speicher) oder LRS (lokal redundanter Speicher)

Klicken Sie auf Überprüfen + Erstellen.
Prüfen Sie die Übersicht und klicken Sie auf Erstellen.
Warten Sie, bis die Bereitstellung abgeschlossen ist.

Anmeldedaten für das Speicherkonto abrufen

Rufen Sie das von Ihnen erstellte Speicherkonto auf.
Wählen Sie im linken Navigationsbereich unter Sicherheit + Netzwerk die Option Zugriffsschlüssel aus.
Klicken Sie auf Schlüssel anzeigen.
Kopieren und speichern Sie Folgendes:
- Storage-Kontoname: Der Name, den Sie beim Erstellen angegeben haben.
- Schlüssel 1 oder Schlüssel 2: Der freigegebene Zugriffsschlüssel.

Blob-Dienstendpunkt abrufen

Wählen Sie im selben Speicherkonto in der linken Navigationsleiste Endpunkte aus.
Kopieren und speichern Sie die Endpunkt-URL des Blob-Diensts.
- Beispiel: https://intunelogs.blob.core.windows.net/

Microsoft Intune-Diagnoseeinstellungen konfigurieren

Melden Sie sich im Microsoft Intune Admin Center an.
Wählen Sie Berichte > Diagnoseeinstellungen aus.
Klicken Sie auf Diagnoseeinstellung hinzufügen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name der Diagnoseeinstellung: Geben Sie einen aussagekräftigen Namen ein, z. B. export-to-secops.
- Wählen Sie im Bereich Logs die folgenden Kategorien aus:
  - AuditLogs
  - OperationalLogs
  - DeviceComplianceOrg
  - Geräte
- Wählen Sie im Abschnitt Zieldetails das Kästchen In einem Speicherkonto archivieren aus.
- Abo: Wählen Sie das Abo aus, das Ihr Speicherkonto enthält.
- Speicherkonto: Wählen Sie das Speicherkonto aus, das Sie zuvor erstellt haben.
Klicken Sie auf Speichern.

Hinweis :Intune-Audit-Logs und Betriebslogs werden sofort an Azure Monitor-Dienste gesendet. Organisationsprotokolle zur Gerätekonformität und IntuneDevices-Berichtsdaten werden einmal alle 24 Stunden gesendet.
Hinweis :Mit Azure-Diagnoseeinstellungen werden Container im Speicherkonto basierend auf der Protokollkategorie erstellt. Die Containernamen folgen dem Muster insights-logs-{categoryname}.

Feed in Google SecOps konfigurieren, um Microsoft Intune-Logs aus Blob Storage aufzunehmen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Microsoft Intune Blob Storage.
Wählen Sie Microsoft Azure Blob Storage V2 als Quelltyp aus.
Wählen Sie Microsoft Intune als Log type (Protokolltyp) aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Azure-URI: Geben Sie die Blob Service-Endpunkt-URL mit dem Containerpfad ein. Erstellen Sie separate Feeds für jede Protokollkategorie:
  - Für Audit-Logs:
```
https://<storage-account>.blob.core.windows.net/insights-logs-auditlogs/
```
  - Für Betriebslogs:
```
https://<storage-account>.blob.core.windows.net/insights-logs-operationallogs/
```
  - Für Organisationsprotokolle zur Gerätecompliance:
```
https://<storage-account>.blob.core.windows.net/insights-logs-devicecomplianceorg/
```
  - Für Geräte:
```
https://<storage-account>.blob.core.windows.net/insights-logs-devices/
```
  Ersetzen Sie <storage-account> durch den Namen Ihres Azure-Speicherkontos.
  
  Hinweis :Fügen Sie am Ende des URI einen Schrägstrich (/) ein. Überprüfen Sie die tatsächlichen Containernamen in Ihrem Azure Storage-Konto.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:
  - Nie: Es werden nach Übertragungen nie Dateien gelöscht.
  - Übertragene Dateien löschen: Dateien werden nach erfolgreicher Übertragung gelöscht.
  - Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- Gemeinsamer Schlüssel: Geben Sie den Wert des gemeinsamen Zugriffsschlüssels aus dem Speicherkonto ein.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Wiederholen Sie die Schritte 1 bis 10, um zusätzliche Feeds für jeden Intune-Protokollkategoriecontainer zu erstellen.

Azure Storage-Firewall konfigurieren (falls aktiviert)

Wenn für Ihr Azure-Speicherkonto eine Firewall verwendet wird, müssen Sie die IP-Bereiche von Google SecOps hinzufügen.

Rufen Sie im Azure-Portal Ihr Storage-Konto auf.
Wählen Sie unter Sicherheit + Netzwerk die Option Netzwerk aus.
Wählen Sie unter Firewalls und virtuelle Netzwerke die Option Aktiviert für ausgewählte virtuelle Netzwerke und IP-Adressen aus.
Klicken Sie im Bereich Firewall unter Adressbereich auf + IP-Bereich hinzufügen.
Fügen Sie jeden Google SecOps-IP-Bereich in CIDR-Notation hinzu.
- Dokumentation zur IP-Zulassungsliste
- Oder Sie rufen sie programmatisch über die Feed Management API ab.
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
properties.Actor.UserPermissions, properties.TargetObjectIds, properties.TargetDisplayNames	additional.fields	Liste der Schlüssel/Wert-Paare, die zusätzlichen Kontext für das Ereignis liefern
Zeit	metadata.event_timestamp	Zeitstempel des Ereignisses
	metadata.event_type	Ereignistyp (z.B. USER_LOGIN, NETWORK_CONNECTION)
operationName	metadata.product_event_type	Ereignistyp, wie im Produkt definiert
properties.AuditEventId	metadata.product_log_id	Produktspezifische Log-Kennzeichnung
correlationId	network.session_id	Sitzungs-ID für die Netzwerkverbindung
properties.Actor.Application	principal.application	App-ID
properties.Actor.ApplicationName	principal.resource.name	Name der Ressource
properties.Actor.isDelegatedAdmin, properties.Actor.PartnerTenantId	principal.user.attribute.labels	Liste der Schlüssel/Wert-Paare mit zusätzlichem Kontext für den Nutzer
Kategorie	security_result.category_details	Zusätzliche Details zur Sicherheitsergebniskategorie
resultDescription	security_result.description	Beschreibung des Sicherheitsergebnisses
identity, properties.ActivityDate, properties.ActivityResultStatus, properties.ActivityType, properties.Actor.ActorType, properties.Category, properties.Targets.ModifiedProperties.Name, properties.Targets.ModifiedProperties.New, properties.Targets.ModifiedProperties.Old	security_result.detection_fields	Liste der Schlüssel/Wert-Paare mit zusätzlichem Kontext für das Sicherheitsergebnis
resultType	security_result.summary	Zusammenfassung des Sicherheitsergebnisses
tenantId	target.user.userid	Nutzer-ID des Zielnutzers
	metadata.product_name	Produktname
	metadata.vendor_name	Name des Anbieters/Unternehmens

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten