Collecter les journaux Azure MDM Intune

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux Microsoft Azure Intune pour Google Security Operations. Vous pouvez configurer l'ingestion à l'aide de deux méthodes : l'API tierce (recommandée) ou Microsoft Azure Blob Storage V2.

Microsoft Intune est une solution de gestion des points de terminaison basée dans le cloud. Elle gère l'accès des utilisateurs aux ressources de l'organisation et simplifie la gestion des applications et des appareils sur différents appareils, y compris les appareils mobiles, les ordinateurs de bureau et les points de terminaison virtuels.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Accès privilégié au portail Microsoft Azure
Un utilisateur disposant du rôle Microsoft Entra Administrateur Intune ou Administrateur général pour le locataire Intune
Une licence Intune active pour le locataire

Méthode 1 : API tierce (recommandée)

Cette méthode utilise l'API Microsoft Graph pour récupérer les journaux d'audit et opérationnels Intune directement depuis votre locataire Microsoft.

Configurer l'enregistrement d'application Microsoft Entra

Créer un enregistrement d'application

Connectez-vous au centre d'administration Microsoft Entra ou au portail Azure.
Accédez à Identité > Applications > Inscriptions d'applications.
Cliquez sur Nouvelle inscription.
Fournissez les informations de configuration suivantes :
- Nom : saisissez un nom descriptif (par exemple, Google SecOps Intune Integration).
- Supported account types (Types de comptes pris en charge) : sélectionnez Accounts in this organizational directory only (Single tenant) [(Comptes dans cet annuaire organisationnel uniquement (Locataire unique)].
- URI de redirection : laissez ce champ vide (il n'est pas obligatoire pour l'authentification du compte principal de service).
Cliquez sur S'inscrire.
Après l'enregistrement, copiez et enregistrez les valeurs suivantes à partir de la page Présentation :
- ID de l'application (client)
- ID de l'annuaire (locataire)

Configurer les autorisations de l'API

Dans l'enregistrement de l'application, accédez à Autorisations des API.
Cliquez sur Ajouter une autorisation.
Sélectionnez Microsoft Graph> Autorisations de l'application.
Recherchez et sélectionnez les autorisations suivantes :
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementServiceConfig.Read.All
- DeviceManagementRBAC.Read.All
Cliquez sur Ajouter des autorisations.
Cliquez sur Accorder le consentement administrateur pour [Votre organisation].
Vérifiez que la colonne État indique Accordée pour [Votre organisation] pour toutes les autorisations.

Remarque : Si le bouton Accorder le consentement de l'administrateur est désactivé, assurez-vous de disposer du rôle Administrateur général ou Administrateur de rôle privilégié. Le rôle Administrateur d'application cloud ne peut pas accorder l'autorisation pour les autorisations d'application Microsoft Graph.

Autorisations d'API requises

Autorisation	Type	Objectif
DeviceManagementApps.Read.All	Application	Lire les données de gestion des applications et les événements d'audit
DeviceManagementConfiguration.Read.All	Application	Lire les règles de configuration et de conformité des appareils
DeviceManagementManagedDevices.Read.All	Application	Lire les informations sur les appareils gérés
DeviceManagementServiceConfig.Read.All	Application	Lire la configuration du service Intune
DeviceManagementRBAC.Read.All	Application	Lire les paramètres de contrôle des accès basé sur les rôles

Créer code secret du client

Dans l'enregistrement de l'application, accédez à Certificats et codes secrets.
Cliquez sur Nouvelle clé secrète client.
Fournissez les informations de configuration suivantes :
- Description : saisissez un nom descriptif (par exemple, Google SecOps Feed).
- Expiration : sélectionnez une période d'expiration.
  
  Remarque : Microsoft recommande de choisir une valeur d'expiration inférieure à 12 mois. La durée maximale autorisée est de 24 mois.
Cliquez sur Ajouter.
Copiez immédiatement la valeur du code secret du client.

Important : La valeur secrète ne s'affiche qu'une seule fois et ne peut pas être récupérée une fois que vous avez quitté cette page. Si vous perdez cette valeur, vous devrez créer un autre code secret du client.

Configurer un flux dans Google SecOps pour ingérer les journaux Microsoft Intune

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Microsoft Intune Logs).
Sélectionnez API tierce comme Type de source.
Sélectionnez Microsoft Intune comme type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- ID client OAuth : saisissez l'ID (client) de l'application issu de l'enregistrement de l'application (par exemple, 1234abcd-1234-abcd-1234-abcd1234abcd).
- Code secret du client OAuth : saisissez la valeur du code secret du client que vous avez copiée précédemment.
- ID de locataire : saisissez l'ID (locataire) du répertoire de l'enregistrement de l'application au format UUID (par exemple, 0fc279f9-fe30-41be-97d3-abe1d7681418).
- Chemin d'accès complet à l'API : saisissez l'URL du point de terminaison de l'API REST Microsoft Graph. Valeur par défaut :
```
graph.microsoft.com/beta/deviceManagement/auditEvents
```
  Remarque : N'incluez pas le préfixe https://. Le flux ajoute automatiquement le protocole.
- Point de terminaison d'authentification de l'API : saisissez le point de terminaison d'authentification Microsoft Active Directory. Valeur par défaut :
```
login.microsoftonline.com
```
  Remarque : N'incluez pas le préfixe https:// ni le chemin /oauth2/v2.0/token. Le flux construit automatiquement l'URL d'authentification complète à l'aide de votre ID de locataire.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Une fois la configuration terminée, le flux commence à récupérer les journaux d'audit et opérationnels Intune à partir de l'API Microsoft Graph.

Points de terminaison régionaux

Pour les déploiements Microsoft Intune dans des clouds souverains, utilisez les points de terminaison régionaux appropriés :

Environnement cloud	Chemin complet de l'API	Point de terminaison d'authentification de l'API
Monde	`graph.microsoft.com/beta/deviceManagement/auditEvents`	`login.microsoftonline.com`
L4 pour les organismes gouvernementaux américains	`graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
Gouvernement américain L5 (DOD)	`dod-graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
Chine (21Vianet)	`microsoftgraph.chinacloudapi.cn/beta/deviceManagement/auditEvents`	`login.chinacloudapi.cn`

Méthode 2 : Microsoft Azure Blob Storage V2

Cette méthode collecte les journaux Microsoft Intune en exportant les données de diagnostic vers un compte Azure Storage et en configurant un flux Google SecOps pour les ingérer depuis Azure Blob Storage.

Configurer un compte de stockage Azure

Créer un compte de stockage

Dans le portail Azure, recherchez Comptes de stockage.
Cliquez sur + Créer.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Abonnement	Sélectionnez votre abonnement Azure.
Groupe de ressources	Sélectionner une base de données existante ou en créer une
Nom du compte de stockage	Saisissez un nom unique (par exemple, `intunelogs`).
Région	Sélectionnez la région (par exemple, `East US`).
Performances	Standard (recommandé)
Redondance	GRS (stockage géoredondant) ou LRS (stockage local redondant)

Cliquez sur Examiner et créer.
Consultez l'aperçu, puis cliquez sur Créer.
Attendez la fin du déploiement.

Obtenir les identifiants du compte de stockage

Accédez au compte de stockage que vous avez créé.
Dans le volet de navigation de gauche, sélectionnez Clés d'accès sous Sécurité et mise en réseau.
Cliquez sur Afficher les clés.
Copiez et enregistrez les éléments suivants :
- Nom du compte de stockage : nom que vous avez fourni lors de la création.
- Touche 1 ou Touche 2 : clé d'accès partagée.

Obtenir le point de terminaison du service Blob

Dans le même compte de stockage, sélectionnez Points de terminaison dans le panneau de navigation de gauche.
Copiez et enregistrez l'URL du point de terminaison Blob service.
- Exemple : https://intunelogs.blob.core.windows.net/

Configurer les paramètres de diagnostic Microsoft Intune

Connectez-vous au centre d'administration Microsoft Intune.
Sélectionnez Rapports> Paramètres de diagnostic.
Cliquez sur Ajouter un paramètre de diagnostic.
Fournissez les informations de configuration suivantes :
- Nom du paramètre de diagnostic : saisissez un nom descriptif (par exemple, export-to-secops).
- Dans la section Journaux, sélectionnez les catégories suivantes :
  - AuditLogs
  - OperationalLogs
  - DeviceComplianceOrg
  - Appareils
- Dans la section Détails de la destination, cochez la case Archiver dans un compte de stockage.
- Abonnement : sélectionnez l'abonnement contenant votre compte de stockage.
- Compte de stockage : sélectionnez le compte de stockage que vous avez créé précédemment.
Cliquez sur Enregistrer.

Remarque : Les journaux d'audit et les journaux opérationnels Intune sont envoyés immédiatement aux services Azure Monitor. Les données des journaux d'organisation de conformité des appareils et du rapport "Appareils Intune" sont envoyées une fois toutes les 24 heures.
Remarque : Les paramètres de diagnostic Azure créent des conteneurs dans le compte de stockage en fonction de la catégorie de journal. Les noms des conteneurs suivent le modèle insights-logs-{categoryname}.

Configurer un flux dans Google SecOps pour ingérer les journaux Microsoft Intune depuis Blob Storage

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Microsoft Intune Blob Storage).
Sélectionnez Microsoft Azure Blob Storage V2 comme Type de source.
Sélectionnez Microsoft Intune comme type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URI Azure : saisissez l'URL du point de terminaison du service Blob avec le chemin d'accès au conteneur. Créez des flux distincts pour chaque catégorie de journaux :
  - Pour les journaux d'audit :
```
https://<storage-account>.blob.core.windows.net/insights-logs-auditlogs/
```
  - Pour les journaux opérationnels :
```
https://<storage-account>.blob.core.windows.net/insights-logs-operationallogs/
```
  - Pour les journaux organisationnels de conformité des appareils :
```
https://<storage-account>.blob.core.windows.net/insights-logs-devicecomplianceorg/
```
  - Pour les appareils :
```
https://<storage-account>.blob.core.windows.net/insights-logs-devices/
```
  Remplacez <storage-account> par le nom de votre compte de stockage Azure.
  
  Remarque : Incluez la barre oblique (/) à la fin de l'URI. Vérifiez les noms de conteneurs réels dans votre compte Azure Storage.
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : ne supprime jamais aucun fichier après les transferts.
  - Supprimer les fichiers transférés : supprime les fichiers une fois le transfert réussi.
  - Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- Clé partagée : saisissez la valeur de la clé d'accès partagé du compte de stockage.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.
Répétez les étapes 1 à 10 pour créer des flux supplémentaires pour chaque conteneur de catégorie de journaux Intune.

Configurer le pare-feu Azure Storage (le cas échéant)

Si votre compte de stockage Azure utilise un pare-feu, vous devez ajouter les plages d'adresses IP Google SecOps.

Dans le portail Azure, accédez à votre compte de stockage.
Sélectionnez Mise en réseau sous Sécurité et mise en réseau.
Sous Pare-feu et réseaux virtuels, sélectionnez Activé à partir des réseaux virtuels et adresses IP sélectionnés.
Dans la section Pare-feu, sous Plage d'adresses, cliquez sur + Ajouter une plage d'adresses IP.
Ajoutez chaque plage d'adresses IP Google SecOps au format CIDR.
- Consultez la documentation sur la liste d'autorisation d'adresses IP.
- Vous pouvez également les récupérer par programmation à l'aide de l'API Feed Management.
Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
properties.Actor.UserPermissions, properties.TargetObjectIds, properties.TargetDisplayNames	additional.fields	Liste de paires clé-valeur fournissant un contexte supplémentaire pour l'événement
heure	metadata.event_timestamp	Code temporel de l'événement
	metadata.event_type	Type d'événement (par exemple, USER_LOGIN, NETWORK_CONNECTION)
operationName	metadata.product_event_type	Type d'événement tel que défini par le produit
properties.AuditEventId	metadata.product_log_id	Identifiant de journal spécifique au produit
correlationId	network.session_id	Identifiant de session pour la connexion réseau
properties.Actor.Application	principal.application	Identifiant de l'application
properties.Actor.ApplicationName	principal.resource.name	Nom de la ressource
properties.Actor.isDelegatedAdmin, properties.Actor.PartnerTenantId	principal.user.attribute.labels	Liste de paires clé/valeur fournissant un contexte supplémentaire à l'utilisateur
category	security_result.category_details	Informations supplémentaires sur la catégorie de résultats de sécurité
resultDescription	security_result.description	Description du résultat de sécurité
identity, properties.ActivityDate, properties.ActivityResultStatus, properties.ActivityType, properties.Actor.ActorType, properties.Category, properties.Targets.ModifiedProperties.Name, properties.Targets.ModifiedProperties.New, properties.Targets.ModifiedProperties.Old	security_result.detection_fields	Liste de paires clé/valeur fournissant un contexte supplémentaire pour le résultat de sécurité
resultType	security_result.summary	Résumé du résultat de sécurité
tenantId	target.user.userid	ID utilisateur de l'utilisateur cible
	metadata.product_name	Nom du produit
	metadata.vendor_name	Nom du fournisseur/de l'entreprise

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.