Mengumpulkan log Azure MDM Intune

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Microsoft Azure Intune ke Google Security Operations. Anda dapat mengonfigurasi penyerapan menggunakan dua metode: Third Party API (direkomendasikan) atau Microsoft Azure Blob Storage V2.

Microsoft Intune adalah solusi pengelolaan endpoint berbasis cloud yang mengelola akses pengguna ke resource organisasi dan menyederhanakan pengelolaan aplikasi dan perangkat di seluruh perangkat, termasuk perangkat seluler, komputer desktop, dan endpoint virtual.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Akses istimewa ke portal Microsoft Azure
Pengguna dengan peran Microsoft Entra Administrator Intune atau Administrator Global untuk tenant Intune
Lisensi Intune aktif untuk tenant

Metode 1: API Pihak Ketiga (direkomendasikan)

Metode ini menggunakan Microsoft Graph API untuk mengambil log audit dan operasional Intune langsung dari tenant Microsoft Anda.

Mengonfigurasi pendaftaran aplikasi Microsoft Entra

Membuat pendaftaran aplikasi

Login ke pusat admin Microsoft Entra atau portal Azure.
Buka Identity > Applications > App registrations.
Klik New registration.
Berikan detail konfigurasi berikut:
- Name: Masukkan nama deskriptif (misalnya, Google SecOps Intune Integration).
- Jenis akun yang didukung: Pilih Accounts in this organizational directory only (Single tenant).
- Redirect URI: Biarkan kosong (tidak diperlukan untuk autentikasi principal layanan).
Klik Daftar.
Setelah pendaftaran, salin dan simpan nilai berikut dari halaman Ringkasan:
- ID aplikasi (klien)
- ID Direktori (tenant)

Mengonfigurasi izin API

Di pendaftaran aplikasi, buka API permissions.
Klik Add a permission.
Pilih Microsoft Graph > Izin aplikasi.
Telusuri dan pilih izin berikut:
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementServiceConfig.Read.All
- DeviceManagementRBAC.Read.All
Klik Add permissions.
Klik Grant admin consent for [Organisasi Anda].
Pastikan kolom Status menampilkan Diberikan untuk [Organisasi Anda] untuk semua izin.

Catatan: Jika tombol Beri izin admin dinonaktifkan, pastikan Anda memiliki peran Administrator Global atau Administrator Peran Istimewa. Peran Cloud Application Administrator tidak dapat memberikan izin untuk izin aplikasi Microsoft Graph.

Izin API yang diperlukan

Izin	Jenis	Tujuan
DeviceManagementApps.Read.All	Aplikasi	Membaca data pengelolaan aplikasi dan peristiwa audit
DeviceManagementConfiguration.Read.All	Aplikasi	Membaca konfigurasi perangkat dan kebijakan kepatuhan
DeviceManagementManagedDevices.Read.All	Aplikasi	Membaca informasi perangkat terkelola
DeviceManagementServiceConfig.Read.All	Aplikasi	Membaca konfigurasi layanan Intune
DeviceManagementRBAC.Read.All	Aplikasi	Membaca setelan kontrol akses berbasis peran

Buat rahasia klien

Di pendaftaran aplikasi, buka Certificates & secrets.
Klik New client secret.
Berikan detail konfigurasi berikut:
- Deskripsi: Masukkan nama deskriptif (misalnya, Google SecOps Feed).
- Masa berlaku: Pilih periode masa berlaku.
  
  Catatan: Microsoft merekomendasikan untuk menetapkan nilai masa berlaku kurang dari 12 bulan. Maksimum yang diizinkan adalah 24 bulan.
Klik Tambahkan.
Segera salin Nilai rahasia klien.

Penting: Nilai rahasia hanya ditampilkan satu kali dan tidak dapat diambil setelah keluar dari halaman ini. Jika Anda kehilangan nilai tersebut, Anda harus membuat rahasia klien baru.

Mengonfigurasi feed di Google SecOps untuk menyerap log Microsoft Intune

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Microsoft Intune Logs).
Pilih Third Party API sebagai Source type.
Pilih Microsoft Intune sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Client ID OAuth: Masukkan ID Aplikasi (klien) dari pendaftaran aplikasi (misalnya, 1234abcd-1234-abcd-1234-abcd1234abcd).
- OAuth Client Secret: Masukkan nilai rahasia klien yang Anda salin sebelumnya.
- Tenant ID: Masukkan Directory (tenant) ID dari pendaftaran aplikasi dalam format UUID (misalnya, 0fc279f9-fe30-41be-97d3-abe1d7681418).
- API Full Path: Masukkan URL endpoint Microsoft Graph REST API. Nilai default
```
graph.microsoft.com/beta/deviceManagement/auditEvents
```
  Catatan: Jangan sertakan awalan https://. Feed akan menambahkan protokol secara otomatis.
- Endpoint Autentikasi API: Masukkan endpoint autentikasi Microsoft Active Directory. Nilai default
```
login.microsoftonline.com
```
  Catatan: Jangan sertakan awalan https:// atau jalur /oauth2/v2.0/token. Feed membuat URL autentikasi lengkap secara otomatis menggunakan ID Tenant Anda.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Setelah penyiapan, feed mulai mengambil log audit dan operasional Intune dari Microsoft Graph API.

Endpoint regional

Untuk deployment Microsoft Intune di sovereign cloud, gunakan endpoint regional yang sesuai:

Lingkungan Cloud	Jalur Lengkap API	Endpoint Autentikasi API
Global	`graph.microsoft.com/beta/deviceManagement/auditEvents`	`login.microsoftonline.com`
L4 Pemerintah AS	`graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
Pemerintah AS L5 (DOD)	`dod-graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
China (21Vianet)	`microsoftgraph.chinacloudapi.cn/beta/deviceManagement/auditEvents`	`login.chinacloudapi.cn`

Metode 2: Microsoft Azure Blob Storage V2

Metode ini mengumpulkan log Microsoft Intune dengan mengekspor data diagnostik ke Akun Penyimpanan Azure dan mengonfigurasi feed Google SecOps untuk melakukan penyerapan dari Azure Blob Storage.

Mengonfigurasi Akun Azure Storage

Buat Akun Penyimpanan

Di portal Azure, cari Storage accounts.
Klik + Create.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Langganan	Pilih langganan Azure Anda
Grup resource	Pilih yang sudah ada atau buat yang baru
Nama akun penyimpanan	Masukkan nama unik (misalnya, `intunelogs`)
Region	Pilih region (misalnya, `East US`)
Performa	Standar (direkomendasikan)
Redundansi	GRS (Geo-redundant storage) atau LRS (Locally redundant storage)

Klik Review + create.
Tinjau ringkasan, lalu klik Buat.
Tunggu hingga deployment selesai.

Mendapatkan kredensial Akun Penyimpanan

Buka Akun Penyimpanan yang Anda buat.
Di navigasi kiri, pilih Kunci akses di bagian Keamanan + jaringan.
Klik Tampilkan kunci.
Salin dan simpan yang berikut:
- Nama akun penyimpanan: Nama yang Anda berikan selama pembuatan.
- Key 1 atau Key 2: Kunci akses bersama.

Mendapatkan endpoint Blob Service

Di Akun Penyimpanan yang sama, pilih Endpoints dari navigasi kiri.
Salin dan simpan URL endpoint Blob service.
- Contoh: https://intunelogs.blob.core.windows.net/

Mengonfigurasi Setelan Diagnostik Microsoft Intune

Login ke pusat admin Microsoft Intune.
Pilih Laporan > Setelan diagnostik.
Klik Tambahkan setelan diagnostik.
Berikan detail konfigurasi berikut:
- Nama setelan diagnostik: Masukkan nama deskriptif (misalnya, export-to-secops).
- Di bagian Logs, pilih kategori berikut:
  - AuditLogs
  - OperationalLogs
  - DeviceComplianceOrg
  - Perangkat
- Di bagian Destination details, centang kotak Archive to a storage account.
- Subscription: Pilih langganan yang berisi akun penyimpanan Anda.
- Akun penyimpanan: Pilih akun penyimpanan yang Anda buat sebelumnya.
Klik Simpan.

Catatan: Log Audit dan Log Operasional Intune dikirim langsung ke layanan Azure Monitor. Data Log Organisasi Kepatuhan Perangkat dan laporan IntuneDevices dikirim sekali setiap 24 jam.
Catatan: Setelan diagnostik Azure membuat penampung di akun penyimpanan berdasarkan kategori log. Nama penampung mengikuti pola insights-logs-{categoryname}.

Mengonfigurasi feed di Google SecOps untuk menyerap log Microsoft Intune dari Blob Storage

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Microsoft Intune Blob Storage).
Pilih Microsoft Azure Blob Storage V2 sebagai Jenis sumber.
Pilih Microsoft Intune sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Azure URI: Masukkan URL endpoint Blob Service dengan jalur kontainer. Buat feed terpisah untuk setiap kategori log:
  - Untuk Log Audit:
```
https://<storage-account>.blob.core.windows.net/insights-logs-auditlogs/
```
  - Untuk Log Operasional:
```
https://<storage-account>.blob.core.windows.net/insights-logs-operationallogs/
```
  - Untuk Log Organisasi Kepatuhan Perangkat:
```
https://<storage-account>.blob.core.windows.net/insights-logs-devicecomplianceorg/
```
  - Untuk Perangkat:
```
https://<storage-account>.blob.core.windows.net/insights-logs-devices/
```
  Ganti <storage-account> dengan nama akun penyimpanan Azure Anda.
  
  Catatan: Sertakan garis miring (/) di akhir URI. Verifikasi nama container sebenarnya di akun Azure Storage Anda.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil
- Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
- Shared key: Masukkan nilai kunci akses bersama dari Akun Penyimpanan.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Ulangi langkah 1-10 untuk membuat feed tambahan untuk setiap penampung kategori log Intune.

Konfigurasi firewall Azure Storage (jika diaktifkan)

Jika Akun Azure Storage Anda menggunakan firewall, Anda harus menambahkan rentang IP Google SecOps.

Di portal Azure, buka Akun Penyimpanan Anda.
Pilih Networking di bagian Security + networking.
Di bagian Firewalls and virtual networks, pilih Enabled from selected virtual networks and IP addresses.
Di bagian Firewall, di bagian Rentang alamat, klik + Tambahkan rentang IP.
Tambahkan setiap rentang IP Google SecOps dalam notasi CIDR.
- Lihat dokumentasi Daftar IP yang Diizinkan
- Atau ambil secara terprogram menggunakan Feed Management API
Klik Simpan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
properties.Actor.UserPermissions, properties.TargetObjectIds, properties.TargetDisplayNames	additional.fields	Daftar pasangan nilai kunci yang memberikan konteks tambahan untuk peristiwa
waktu	metadata.event_timestamp	Stempel waktu saat peristiwa terjadi
	metadata.event_type	Jenis acara (misalnya, USER_LOGIN, NETWORK_CONNECTION)
operationName	metadata.product_event_type	Jenis peristiwa sebagaimana ditentukan oleh produk
properties.AuditEventId	metadata.product_log_id	ID log khusus produk
correlationId	network.session_id	ID sesi untuk koneksi jaringan
properties.Actor.Application	principal.application	ID aplikasi
properties.Actor.ApplicationName	principal.resource.name	Nama resource
properties.Actor.isDelegatedAdmin, properties.Actor.PartnerTenantId	principal.user.attribute.labels	Daftar key-value pair yang memberikan konteks tambahan bagi pengguna
category	security_result.category_details	Detail tambahan tentang kategori hasil keamanan
resultDescription	security_result.description	Deskripsi hasil keamanan
identity, properties.ActivityDate, properties.ActivityResultStatus, properties.ActivityType, properties.Actor.ActorType, properties.Category, properties.Targets.ModifiedProperties.Name, properties.Targets.ModifiedProperties.New, properties.Targets.ModifiedProperties.Old	security_result.detection_fields	Daftar pasangan nilai kunci yang memberikan konteks tambahan untuk hasil keamanan
resultType	security_result.summary	Ringkasan hasil keamanan
tenantId	target.user.userid	ID pengguna target
	metadata.product_name	Nama produk
	metadata.vendor_name	Nama vendor/perusahaan

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.