Raccogliere i log di Azure MDM Intune

Supportato in:

Google secops SIEM

Questo documento spiega come raccogliere i log di Microsoft Azure Intune in Google Security Operations. Puoi configurare l'importazione utilizzando due metodi: l'API di terze parti (consigliata) o Microsoft Azure Blob Storage V2.

Microsoft Intune è una soluzione di gestione degli endpoint basata su cloud che gestisce l'accesso degli utenti alle risorse dell'organizzazione e semplifica la gestione di app e dispositivi su più dispositivi, inclusi dispositivi mobili, computer e endpoint virtuali.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Accesso con privilegi al portale Microsoft Azure
Un utente con il ruolo Microsoft Entra di Amministratore Intune o Amministratore globale per il tenant Intune
Una licenza Intune attiva per il tenant

Metodo 1: API di terze parti (consigliato)

Questo metodo utilizza l'API Microsoft Graph per recuperare i log operativi e di controllo di Intune direttamente dal tuo tenant Microsoft.

Configurare la registrazione dell'app Microsoft Entra

Crea registrazione app

Accedi al centro di amministrazione Microsoft Entra o al portale Azure.
Vai ad Identità > Applicazioni > Registrazioni app.
Fai clic su Nuova registrazione.
Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome descrittivo (ad esempio, Google SecOps Intune Integration).
- Tipi di account supportati: seleziona Solo account in questa directory dell'organizzazione (singolo tenant).
- URI di reindirizzamento: lascia vuoto (non obbligatorio per l'autenticazione dell'entità di servizio).
Fai clic su Register (Registrati).
Dopo la registrazione, copia e salva i seguenti valori dalla pagina Panoramica:
- ID applicazione (client)
- ID directory (tenant)

Configura le autorizzazioni API

Nella registrazione dell'app, vai ad API permissions (Autorizzazioni API).
Fai clic su Aggiungi un'autorizzazione.
Seleziona Microsoft Graph > Autorizzazioni applicazione.
Cerca e seleziona le seguenti autorizzazioni:
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementServiceConfig.Read.All
- DeviceManagementRBAC.Read.All
Fai clic su Aggiungi autorizzazioni.
Fai clic su Concedi il consenso amministratore per [La tua organizzazione].
Verifica che la colonna Stato mostri Concesso per [La tua organizzazione] per tutte le autorizzazioni.

Nota: se il pulsante Concedi consenso amministratore è disattivato, assicurati di disporre del ruolo Amministratore globale o Amministratore dei ruoli con privilegi. Il ruolo Amministratore applicazioni cloud non può concedere il consenso per le autorizzazioni dell'applicazione Microsoft Graph.

Autorizzazioni API richieste

Autorizzazione	Tipo	Finalità
DeviceManagementApps.Read.All	Applicazione	Leggere i dati di gestione delle app e gli eventi di controllo
DeviceManagementConfiguration.Read.All	Applicazione	Leggi le norme di configurazione e conformità dei dispositivi
DeviceManagementManagedDevices.Read.All	Applicazione	Lettura delle informazioni sul dispositivo gestito
DeviceManagementServiceConfig.Read.All	Applicazione	Leggi la configurazione del servizio Intune
DeviceManagementRBAC.Read.All	Applicazione	Leggere le impostazioni controllo dell'accesso basato sui ruoli

Crea client secret

Nella registrazione dell'app, vai a Certificates & secrets (Certificati e secret).
Fai clic su Nuovo segreto client.
Fornisci i seguenti dettagli di configurazione:
- Descrizione: inserisci un nome descrittivo (ad esempio, Google SecOps Feed).
- Scade: seleziona un periodo di scadenza.
  
  Nota :Microsoft consiglia di impostare per la scadenza un valore inferiore a 12 mesi. Il massimo consentito è 24 mesi.
Fai clic su Aggiungi.
Copia immediatamente il valore del client secret.

Importante: il valore del segreto viene visualizzato una sola volta e non può essere recuperato dopo aver lasciato questa pagina. Se perdi il valore, devi creare un nuovo client secret.

Configura un feed in Google SecOps per importare i log di Microsoft Intune

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Microsoft Intune Logs).
Seleziona API di terze parti come Tipo di origine.
Seleziona Microsoft Intune come tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- ID client OAuth: inserisci l'ID applicazione (client) della registrazione dell'app (ad esempio, 1234abcd-1234-abcd-1234-abcd1234abcd).
- Client secret OAuth: inserisci il valore del client secret che hai copiato in precedenza.
- ID tenant: inserisci l'ID directory (tenant) della registrazione dell'app in formato UUID (ad esempio, 0fc279f9-fe30-41be-97d3-abe1d7681418).
- Percorso completo dell'API: inserisci l'URL dell'endpoint API REST di Microsoft Graph. Valore predefinito:
```
graph.microsoft.com/beta/deviceManagement/auditEvents
```
  Nota: non includere il prefisso https://. Il feed aggiunge automaticamente il protocollo.
- Endpoint di autenticazione API: inserisci l'endpoint di autenticazione di Microsoft Active Directory. Valore predefinito:
```
login.microsoftonline.com
```
  Nota: non includere il prefisso https:// o il percorso /oauth2/v2.0/token. Il feed crea automaticamente l'URL di autenticazione completo utilizzando l'ID tenant.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Dopo la configurazione, il feed inizia a recuperare i log operativi e di controllo di Intune dall'API Microsoft Graph.

Endpoint regionali

Per i deployment di Microsoft Intune nei cloud sovrani, utilizza gli endpoint regionali appropriati:

Ambiente cloud	Percorso completo dell'API	Endpoint di autenticazione API
Global	`graph.microsoft.com/beta/deviceManagement/auditEvents`	`login.microsoftonline.com`
US Government L4	`graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
US Government L5 (DOD)	`dod-graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
Cina (21Vianet)	`microsoftgraph.chinacloudapi.cn/beta/deviceManagement/auditEvents`	`login.chinacloudapi.cn`

Metodo 2: Archiviazione BLOB di Microsoft Azure V2

Questo metodo raccoglie i log di Microsoft Intune esportando i dati di diagnostica in un account di archiviazione Azure e configurando un feed Google SecOps per l'importazione da Azure Blob Storage.

Configura l'account di archiviazione di Azure

Crea un account di archiviazione

Nel portale Azure, cerca Account di archiviazione.
Fai clic su + Crea.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Abbonamento	Seleziona il tuo abbonamento Azure
Gruppo di risorse	Seleziona esistente o crea nuovo
Nome account di archiviazione	Inserisci un nome univoco (ad esempio, `intunelogs`).
Regione	Seleziona la regione (ad esempio, `East US`)
Prestazioni	Standard (consigliato)
Ridondanza	GRS (archiviazione con ridondanza geografica) o LRS (archiviazione con ridondanza locale)

Fai clic su Review + create (Rivedi e crea).
Rivedi la panoramica e fai clic su Crea.
Attendi il completamento del deployment.

Recuperare le credenziali dell'account di archiviazione

Vai all'account di archiviazione che hai creato.
Nel riquadro di navigazione a sinistra, seleziona Chiavi di accesso in Sicurezza e networking.
Fai clic su Mostra chiavi.
Copia e salva quanto segue:
- Nome account di archiviazione: il nome che hai fornito durante la creazione.
- Tasto 1 o Tasto 2: la chiave di accesso condivisa.

Ottieni l'endpoint del servizio Blob

Nello stesso account di archiviazione, seleziona Endpoint nel menu di navigazione a sinistra.
Copia e salva l'URL dell'endpoint Blob service.
- Esempio: https://intunelogs.blob.core.windows.net/

Configurare le impostazioni di diagnostica di Microsoft Intune

Accedi al centro di amministrazione di Microsoft Intune.
Seleziona Report > Impostazioni diagnostiche.
Fai clic su Aggiungi impostazione diagnostica.
Fornisci i seguenti dettagli di configurazione:
- Nome impostazione diagnostica: inserisci un nome descrittivo (ad esempio export-to-secops).
- Nella sezione Log, seleziona le seguenti categorie:
  - AuditLogs
  - OperationalLogs
  - DeviceComplianceOrg
  - Dispositivi
- Nella sezione Dettagli destinazione, seleziona la casella di controllo Archivia in un account di archiviazione.
- Abbonamento: seleziona l'abbonamento contenente il tuo account di archiviazione.
- Storage account: seleziona l'account di archiviazione che hai creato in precedenza.
Fai clic su Salva.

Nota :i log di controllo e operativi di Intune vengono inviati immediatamente ai servizi Azure Monitor. I dati dei report Log organizzativi di conformità dei dispositivi e IntuneDevices vengono inviati una volta ogni 24 ore.
Nota: le impostazioni di diagnostica di Azure creano contenitori nell'account di archiviazione in base alla categoria di log. I nomi dei container seguono il pattern insights-logs-{categoryname}.

Configura un feed in Google SecOps per importare i log di Microsoft Intune da Blob Storage

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Microsoft Intune Blob Storage).
Seleziona Microsoft Azure Blob Storage V2 come Tipo di origine.
Seleziona Microsoft Intune come tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URI di Azure: inserisci l'URL dell'endpoint del servizio Blob con il percorso del container. Crea feed separati per ogni categoria di log:
  - Per i log di controllo:
```
https://<storage-account>.blob.core.windows.net/insights-logs-auditlogs/
```
  - Per i log operativi:
```
https://<storage-account>.blob.core.windows.net/insights-logs-operationallogs/
```
  - Per i log organizzativi di conformità dei dispositivi:
```
https://<storage-account>.blob.core.windows.net/insights-logs-devicecomplianceorg/
```
  - Per i dispositivi:
```
https://<storage-account>.blob.core.windows.net/insights-logs-devices/
```
  Sostituisci <storage-account> con il nome del tuo account di archiviazione Azure.
  
  Nota: includi la barra finale (/) alla fine dell'URI. Verifica i nomi effettivi dei container nel tuo account di archiviazione di Azure.
- Opzione di eliminazione della fonte: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti
  - Elimina file trasferiti: elimina i file dopo il trasferimento riuscito
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Chiave condivisa: inserisci il valore della chiave di accesso condivisa dall'account di archiviazione.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Ripeti i passaggi da 1 a 10 per creare feed aggiuntivi per ogni contenitore di categorie di log di Intune.

Configura il firewall di Azure Storage (se abilitato)

Se il tuo account di archiviazione Azure utilizza un firewall, devi aggiungere gli intervalli IP di Google SecOps.

Nel portale Azure, vai al tuo account di archiviazione.
Seleziona Networking in Sicurezza e networking.
In Firewall e reti virtuali, seleziona Attivato da reti virtuali e indirizzi IP selezionati.
Nella sezione Firewall, in Intervallo di indirizzi, fai clic su + Aggiungi intervallo IP.
Aggiungi ogni intervallo IP di Google SecOps in notazione CIDR.
- Consulta la documentazione relativa alla lista consentita IP
- oppure recuperali in modo programmatico utilizzando l'API Feed Management.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
properties.Actor.UserPermissions, properties.TargetObjectIds, properties.TargetDisplayNames	additional.fields	Elenco di coppie chiave-valore che forniscono un contesto aggiuntivo per l'evento
tempo	metadata.event_timestamp	Timestamp in cui si è verificato l'evento
	metadata.event_type	Tipo di evento (ad es. USER_LOGIN, NETWORK_CONNECTION)
operationName	metadata.product_event_type	Tipo di evento definito dal prodotto
properties.AuditEventId	metadata.product_log_id	Identificatore log specifico del prodotto
correlationId	network.session_id	Identificatore di sessione per la connessione di rete
properties.Actor.Application	principal.application	Identificatore dell'applicazione
properties.Actor.ApplicationName	principal.resource.name	Nome della risorsa
properties.Actor.isDelegatedAdmin, properties.Actor.PartnerTenantId	principal.user.attribute.labels	Elenco di coppie chiave-valore che forniscono un contesto aggiuntivo per l'utente
categoria	security_result.category_details	Dettagli aggiuntivi sulla categoria di risultati di sicurezza
resultDescription	security_result.description	Descrizione del risultato di sicurezza
identity, properties.ActivityDate, properties.ActivityResultStatus, properties.ActivityType, properties.Actor.ActorType, properties.Category, properties.Targets.ModifiedProperties.Name, properties.Targets.ModifiedProperties.New, properties.Targets.ModifiedProperties.Old	security_result.detection_fields	Elenco di coppie chiave-valore che forniscono un contesto aggiuntivo per il risultato di sicurezza
resultType	security_result.summary	Riepilogo del risultato di sicurezza
tenantId	target.user.userid	ID utente dell'utente di destinazione
	metadata.product_name	Nome del prodotto
	metadata.vendor_name	Nome fornitore/azienda

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.