Recopila registros de Intune de MDM de Azure
En este documento, se explica cómo recopilar registros de Microsoft Azure Intune en Google Security Operations. Puedes configurar la transferencia con dos métodos: la API de terceros (recomendada) o Microsoft Azure Blob Storage V2.
Microsoft Intune es una solución de administración de extremos basada en la nube que administra el acceso de los usuarios a los recursos de la organización y simplifica la administración de apps y dispositivos en todos los dispositivos, incluidos los dispositivos móviles, las computadoras de escritorio y los extremos virtuales.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una instancia de Google SecOps
- Acceso con privilegios al portal de Microsoft Azure
- Un usuario con el rol de administrador de Intune o administrador global de Microsoft Entra para el arrendatario de Intune
- Una licencia de Intune activa para el arrendatario
Método 1: API de terceros (recomendado)
Este método usa la API de Microsoft Graph para recuperar los registros operativos y de auditoría de Intune directamente desde tu arrendatario de Microsoft.
Configura el registro de la app de Microsoft Entra
Crea el registro de la app
- Accede al centro de administración de Microsoft Entra o al portal de Azure.
- Ve a Identidad > Aplicaciones > Registros de apps.
- Haz clic en Registro nuevo.
- Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
Google SecOps Intune Integration). - Tipos de cuentas compatibles: Selecciona Cuentas solo en este directorio de la organización (inquilino único).
- URI de redireccionamiento: Déjalo en blanco (no es necesario para la autenticación de la entidad de servicio).
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
- Haz clic en Registrar.
- Después del registro, copia y guarda los siguientes valores de la página Overview:
- ID de la aplicación (cliente)
- ID de directorio (usuario)
Configura los permisos de API
- En el registro de la app, ve a Permisos de API.
- Haz clic en Agregar un permiso.
- Selecciona Microsoft Graph > Permisos de aplicación.
- Busca y selecciona los siguientes permisos:
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementServiceConfig.Read.All
- DeviceManagementRBAC.Read.All
- Haz clic en Agregar permisos.
- Haz clic en Grant admin consent for [Tu organización].
Verifica que la columna Estado muestre Otorgado para [Tu organización] en todos los permisos.
Permisos de API necesarios
| Permiso | Tipo | Objetivo |
|---|---|---|
| DeviceManagementApps.Read.All | Aplicación | Leer datos de administración de apps y eventos de auditoría |
| DeviceManagementConfiguration.Read.All | Aplicación | Leer la configuración del dispositivo y las políticas de cumplimiento |
| DeviceManagementManagedDevices.Read.All | Aplicación | Leer la información del dispositivo administrado |
| DeviceManagementServiceConfig.Read.All | Aplicación | Leer la configuración del servicio de Intune |
| DeviceManagementRBAC.Read.All | Aplicación | Leer la configuración del control de acceso basado en roles |
Crea un secreto del cliente
- En el registro de la app, ve a Certificados y secretos.
- Haz clic en Nuevo secreto de cliente.
Proporciona los siguientes detalles de configuración:
- Descripción: Ingresa un nombre descriptivo (por ejemplo,
Google SecOps Feed). Vence: Selecciona un período de vencimiento.
- Descripción: Ingresa un nombre descriptivo (por ejemplo,
Haz clic en Agregar.
Copia el valor del secreto del cliente de inmediato.
Configura un feed en Google SecOps para transferir registros de Microsoft Intune
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo,
Microsoft Intune Logs). - Selecciona API de terceros como el Tipo de origen.
- Selecciona Microsoft Intune como el Tipo de registro.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- ID de cliente de OAuth: Ingresa el ID de aplicación (cliente) del registro de la app (por ejemplo,
1234abcd-1234-abcd-1234-abcd1234abcd). - Secreto del cliente de OAuth: Ingresa el valor del secreto del cliente que copiaste anteriormente.
- ID de usuario: Ingresa el ID de directorio (usuario) del registro de la app en formato UUID (por ejemplo,
0fc279f9-fe30-41be-97d3-abe1d7681418). Ruta de acceso completa de la API: Ingresa la URL del extremo de API de REST de Microsoft Graph. Valor predeterminado:
graph.microsoft.com/beta/deviceManagement/auditEventsAPI Authentication Endpoint: Ingresa el extremo de autenticación de Microsoft Active Directory. Valor predeterminado:
login.microsoftonline.comEspacio de nombres del recurso: Es el espacio de nombres del recurso.
Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
- ID de cliente de OAuth: Ingresa el ID de aplicación (cliente) del registro de la app (por ejemplo,
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Después de la configuración, el feed comienza a recuperar los registros operativos y de auditoría de Intune desde la API de Microsoft Graph.
Extremos regionales
Para las implementaciones de Microsoft Intune en nubes soberanas, usa los extremos regionales adecuados:
| Entorno de nube | Ruta de acceso completa de la API | Extremo de autenticación de API |
|---|---|---|
| Global | graph.microsoft.com/beta/deviceManagement/auditEvents |
login.microsoftonline.com |
| L4 del Gobierno de EE.UU. | graph.microsoft.us/beta/deviceManagement/auditEvents |
login.microsoftonline.us |
| Gobierno de EE.UU., nivel 5 (DoD) | dod-graph.microsoft.us/beta/deviceManagement/auditEvents |
login.microsoftonline.us |
| China (21Vianet) | microsoftgraph.chinacloudapi.cn/beta/deviceManagement/auditEvents |
login.chinacloudapi.cn |
Método 2: Microsoft Azure Blob Storage V2
Este método recopila registros de Microsoft Intune exportando datos de diagnóstico a una cuenta de Azure Storage y configurando un feed de Google SecOps para que ingiera datos de Azure Blob Storage.
Configura la cuenta de Azure Storage
Crea una cuenta de almacenamiento
- En el portal de Azure, busca Cuentas de almacenamiento.
- Haz clic en + Crear.
Proporciona los siguientes detalles de configuración:
Configuración Valor Suscripción Selecciona tu suscripción a Azure Grupo de recursos Selecciona una existente o crea una nueva Nombre de la cuenta de almacenamiento Ingresa un nombre único (por ejemplo, intunelogs).Región Selecciona la región (por ejemplo, East US).Rendimiento Estándar (recomendado) Redundancia GRS (almacenamiento con redundancia geográfica) o LRS (almacenamiento con redundancia local) Haz clic en Revisar + crear.
Revisa el resumen y haz clic en Crear.
Espera a que se complete la implementación.
Obtén credenciales de la cuenta de almacenamiento
- Ve a la cuenta de almacenamiento que creaste.
- En la navegación de la izquierda, selecciona Claves de acceso en Seguridad y redes.
- Haz clic en Mostrar claves.
- Copia y guarda lo siguiente:
- Nombre de la cuenta de almacenamiento: Es el nombre que proporcionaste durante la creación.
- Clave 1 o Clave 2: Es la clave de acceso compartida.
Obtén el extremo del servicio Blob
- En la misma cuenta de almacenamiento, selecciona Extremos en la navegación de la izquierda.
- Copia y guarda la URL del extremo del servicio de Blob.
- Ejemplo:
https://intunelogs.blob.core.windows.net/
- Ejemplo:
Configura los parámetros de configuración de diagnóstico de Microsoft Intune
- Accede al centro de administración de Microsoft Intune.
- Selecciona Informes > Configuración de diagnóstico.
- Haz clic en Agregar parámetro de configuración de diagnóstico.
- Proporciona los siguientes detalles de configuración:
- Nombre del parámetro de configuración de diagnóstico: Ingresa un nombre descriptivo (por ejemplo,
export-to-secops). - En la sección Registros, selecciona las siguientes categorías:
- AuditLogs
- OperationalLogs
- DeviceComplianceOrg
- Dispositivos
- En la sección Detalles del destino, selecciona la casilla de verificación Archivar en una cuenta de almacenamiento.
- Suscripción: Selecciona la suscripción que contiene tu cuenta de almacenamiento.
- Cuenta de almacenamiento: Selecciona la cuenta de almacenamiento que creaste antes.
- Nombre del parámetro de configuración de diagnóstico: Ingresa un nombre descriptivo (por ejemplo,
Haz clic en Guardar.
Configura un feed en Google SecOps para transferir registros de Microsoft Intune desde Blob Storage
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo,
Microsoft Intune Blob Storage). - Selecciona Microsoft Azure Blob Storage V2 como el Tipo de fuente.
- Selecciona Microsoft Intune como el Tipo de registro.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
URI de Azure: Ingresa la URL del extremo del servicio Blob con la ruta de acceso del contenedor. Crea feeds separados para cada categoría de registro:
Para los registros de auditoría, haz lo siguiente:
https://<storage-account>.blob.core.windows.net/insights-logs-auditlogs/Para los registros operativos:
https://<storage-account>.blob.core.windows.net/insights-logs-operationallogs/Para los registros organizacionales de cumplimiento del dispositivo:
https://<storage-account>.blob.core.windows.net/insights-logs-devicecomplianceorg/Para dispositivos:
https://<storage-account>.blob.core.windows.net/insights-logs-devices/
Reemplaza
<storage-account>por el nombre de tu cuenta de almacenamiento de Azure.Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:
- Nunca: Nunca borra ningún archivo después de las transferencias.
- Borrar archivos transferidos: Borra los archivos después de una transferencia exitosa.
- Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.
Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
Clave compartida: Ingresa el valor de la clave de acceso compartido de la cuenta de almacenamiento.
Espacio de nombres del recurso: Es el espacio de nombres del recurso.
Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Repite los pasos del 1 al 10 para crear feeds adicionales para cada contenedor de categorías de registros de Intune.
Configura el firewall de Azure Storage (si está habilitado)
Si tu cuenta de Azure Storage usa un firewall, debes agregar los rangos de IP de Google SecOps.
- En el portal de Azure, ve a tu cuenta de almacenamiento.
- Selecciona Herramientas de redes en Seguridad y redes.
- En Firewalls and virtual networks, selecciona Enabled from selected virtual networks and IP addresses.
- En la sección Firewall, en Rango de direcciones, haz clic en + Agregar rango de IP.
- Agrega cada rango de IP de Google SecOps en notación CIDR.
- Consulta la documentación sobre la inclusión en la lista de anunciantes permitidos de IP
- O bien, recupéralos de manera programática con la API de Feed Management
- Haz clic en Guardar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| properties.Actor.UserPermissions, properties.TargetObjectIds, properties.TargetDisplayNames | additional.fields | Lista de pares clave-valor que proporcionan contexto adicional para el evento |
| hora | metadata.event_timestamp | Marca de tiempo del momento en que ocurrió el evento |
| metadata.event_type | Tipo de evento (p.ej., USER_LOGIN, NETWORK_CONNECTION) | |
| operationName | metadata.product_event_type | Tipo de evento según lo define el producto |
| properties.AuditEventId | metadata.product_log_id | Identificador de registro específico del producto |
| correlationId | network.session_id | Identificador de sesión para la conexión de red |
| properties.Actor.Application | principal.application | Identificador de la aplicación |
| properties.Actor.ApplicationName | principal.resource.name | Nombre del recurso |
| properties.Actor.isDelegatedAdmin, properties.Actor.PartnerTenantId | principal.user.attribute.labels | Lista de pares clave-valor que proporcionan contexto adicional para el usuario |
| category | security_result.category_details | Detalles adicionales sobre la categoría del resultado de seguridad |
| resultDescription | security_result.description | Descripción del resultado de seguridad |
| identity, properties.ActivityDate, properties.ActivityResultStatus, properties.ActivityType, properties.Actor.ActorType, properties.Category, properties.Targets.ModifiedProperties.Name, properties.Targets.ModifiedProperties.New, properties.Targets.ModifiedProperties.Old | security_result.detection_fields | Lista de pares clave-valor que proporcionan contexto adicional para el resultado de seguridad |
| resultType | security_result.summary | Resumen del resultado de seguridad |
| tenantId | target.user.userid | ID de usuario del usuario objetivo |
| metadata.product_name | Nombre del producto | |
| metadata.vendor_name | Nombre del proveedor o la empresa |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.