Azure MDM Intune ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Microsoft Azure Intune ログを Google Security Operations に収集する方法について説明します。取り込みを構成するには、サードパーティ API（推奨）または Microsoft Azure Blob Storage V2 の 2 つの方法があります。

Microsoft Intune は、組織のリソースへのユーザーアクセスを管理し、モバイルデバイス、デスクトップパソコン、仮想エンドポイントなどのデバイス全体でアプリとデバイスの管理を簡素化するクラウドベースのエンドポイント管理ソリューションです。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Microsoft Azure ポータルへの特権アクセス
Intune テナントの Intune 管理者またはグローバル管理者の Microsoft Entra ロールが割り当てられているユーザー
テナントの有効な Intune ライセンス

方法 1: サードパーティ API（推奨）

このメソッドは、Microsoft Graph API を使用して、Microsoft テナントから Intune の監査ログと運用ログを直接取得します。

Microsoft Entra アプリの登録を構成する

アプリ登録を作成する

Microsoft Entra 管理センターまたは Azure ポータルにログインします。
[ID] > [Applications] > [App registrations] に移動します。
[New registration] をクリックします。
次の構成の詳細を入力します。
- 名前: わかりやすい名前を入力します（例: Google SecOps Intune Integration）。
- サポートされているアカウントの種類: [この組織ディレクトリ内のアカウントのみ（単一テナント）] を選択します。
- リダイレクト URI: 空白のままにします（サービスプリンシパル認証には必要ありません）。
[Register] をクリックします。
登録後、[概要] ページから次の値をコピーして保存します。
- アプリケーション（クライアント）ID
- ディレクトリ（テナント）ID

API 権限を構成する

アプリの登録で、[API permissions] に移動します。
[Add a Permission] をクリックします。
[Microsoft Graph > アプリケーションの権限] を選択します。
次の権限を検索して選択します。
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementServiceConfig.Read.All
- DeviceManagementRBAC.Read.All
[権限を追加] をクリックします。
[[組織名] に管理者の同意を与えます] をクリックします。
[ステータス] 列に、すべての権限に対して [[組織名] に付与済み] と表示されていることを確認します。

注: [管理者の同意を付与] ボタンが無効になっている場合は、グローバル管理者または特権ロール管理者のロールがあることを確認してください。Cloud アプリケーション管理者ロールでは、Microsoft Graph アプリケーション権限の同意を付与できません。

必要な API 権限

権限	タイプ	目的
DeviceManagementApps.Read.All	アプリケーション	アプリ管理データと監査イベントを読み取る
DeviceManagementConfiguration.Read.All	アプリケーション	デバイスの構成ポリシーとコンプライアンスポリシーを読み取る
DeviceManagementManagedDevices.Read.All	アプリケーション	管理対象デバイスの情報を読み取る
DeviceManagementServiceConfig.Read.All	アプリケーション	Intune サービス構成の読み取り
DeviceManagementRBAC.Read.All	アプリケーション	ロールベースアクセス制御の設定を読み取る

クライアントシークレットを作成する

アプリの登録で、[証明書とシークレット] に移動します。
[新しいクライアントシークレット] をクリックします。
次の構成情報を提供してください。
- 説明: わかりやすい名前を入力します（例: Google SecOps Feed）。
- Expires: 有効期限を選択します。
  
  注: Microsoft が推奨する有効期限の値は 12 か月未満です。最長 24 か月間です。
[追加] をクリックします。
クライアントシークレットの [値] をすぐにコピーします。

重要: シークレット値は一度しか表示されず、このページを離れると取得できません。値を紛失した場合は、新しいクライアントシークレットを作成する必要があります。

Microsoft Intune のログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
次のページで [単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Microsoft Intune Logs）。
[ソースタイプ] として [サードパーティ API] を選択します。
[ログタイプ] として [Microsoft Intune] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- OAuth クライアント ID: アプリ登録のアプリケーション（クライアント）ID（例: 1234abcd-1234-abcd-1234-abcd1234abcd）を入力します。
- OAuth クライアントシークレット: 先ほどコピーしたクライアントシークレット値を入力します。
- テナント ID: アプリ登録のディレクトリ（テナント）ID を UUID 形式（0fc279f9-fe30-41be-97d3-abe1d7681418 など）で入力します。
- API のフルパス: Microsoft Graph REST API エンドポイント URL を入力します。デフォルト値:
```
graph.microsoft.com/beta/deviceManagement/auditEvents
```
  注: 接頭辞 https:// は含めないでください。フィードではプロトコルが自動的に追加されます。
- API Authentication Endpoint: Microsoft Active Directory 認証エンドポイントを入力します。デフォルト値:
```
login.microsoftonline.com
```
  注: https:// 接頭辞または /oauth2/v2.0/token パスは含めないでください。フィードは、テナント ID を使用して完全な認証 URL を自動的に構築します。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

設定後、フィードは Microsoft Graph API から Intune の監査ログと運用ログの取得を開始します。

リージョンエンドポイント

ソブリンクラウドでの Microsoft Intune のデプロイでは、適切なリージョンエンドポイントを使用します。

クラウド環境	API の完全パス	API 認証エンドポイント
グローバル	`graph.microsoft.com/beta/deviceManagement/auditEvents`	`login.microsoftonline.com`
米国政府 L4	`graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
米国政府 L5（国防総省）	`dod-graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
中国（21Vianet）	`microsoftgraph.chinacloudapi.cn/beta/deviceManagement/auditEvents`	`login.chinacloudapi.cn`

方法 2: Microsoft Azure Blob Storage V2

この方法では、診断データを Azure Storage アカウントにエクスポートし、Azure Blob Storage から取り込むように Google SecOps フィードを構成することで、Microsoft Intune ログを収集します。

Azure Storage アカウントを構成する

ストレージアカウントを作成する

Azure ポータルで、[ストレージアカウント] を検索します。
[+ 作成] をクリックします。

次の構成情報を提供してください。

設定	値
サブスクリプション	Azure サブスクリプションを選択する
リソースグループ	既存のものを選択するか、新しいものを作成する
ストレージアカウント名	一意の名前を入力します（例: `intunelogs`）。
リージョン	リージョンを選択します（例: `East US`）。
パフォーマンス	標準（推奨）
冗長性	GRS（地理冗長ストレージ）または LRS（ローカル冗長ストレージ）

[Review + create] をクリックします。
概要を確認し、[作成] をクリックします。
デプロイが完了するまで待ちます。

ストレージアカウントの認証情報を取得する

作成したストレージアカウントに移動します。
左側のナビゲーションで、[セキュリティとネットワーキング] の [アクセスキー] を選択します。
[キーを表示] をクリックします。
次の値をコピーして保存します。
- ストレージアカウント名: 作成時に指定した名前。
- キー 1 またはキー 2: 共有アクセスキー。

Blob Service エンドポイントを取得する

同じストレージアカウントで、左側のナビゲーションから [エンドポイント] を選択します。
Blob サービスのエンドポイント URL をコピーして保存します。
- 例: https://intunelogs.blob.core.windows.net/

Microsoft Intune の診断設定を構成する

Microsoft Intune 管理センターにログインします。
[レポート> 診断設定] を選択します。
[診断設定を追加] をクリックします。
次の構成の詳細を入力します。
- 診断設定名: わかりやすい名前を入力します（例: export-to-secops）。
- [ログ] セクションで、次のカテゴリを選択します。
  - AuditLogs
  - OperationalLogs
  - DeviceComplianceOrg
  - デバイス
- [宛先の詳細] セクションで、[ストレージアカウントにアーカイブする] チェックボックスをオンにします。
- サブスクリプション: ストレージアカウントを含むサブスクリプションを選択します。
- ストレージアカウント: 先ほど作成したストレージアカウントを選択します。
[保存] をクリックします。

注: Intune の監査ログと運用ログは、Azure Monitor サービスに直ちに送信されます。デバイスコンプライアンスの組織ログと IntuneDevices レポートのデータは、24 時間ごとに 1 回送信されます。
注: Azure 診断設定では、ログカテゴリに基づいてストレージアカウントにコンテナが作成されます。コンテナ名は insights-logs-{categoryname} というパターンに従います。

Blob Storage から Microsoft Intune のログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
次のページで [単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Microsoft Intune Blob Storage）。
[ソースタイプ] で [Microsoft Azure Blob Storage V2] を選択します。
[ログタイプ] として [Microsoft Intune] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- Azure URI: コンテナパスを含む Blob Service エンドポイント URL を入力します。ログカテゴリごとに個別のフィードを作成します。
  - 監査ログの場合:
```
https://<storage-account>.blob.core.windows.net/insights-logs-auditlogs/
```
  - オペレーションログの場合:
```
https://<storage-account>.blob.core.windows.net/insights-logs-operationallogs/
```
  - デバイスコンプライアンスの組織ログの場合:
```
https://<storage-account>.blob.core.windows.net/insights-logs-devicecomplianceorg/
```
  - デバイスの場合:
```
https://<storage-account>.blob.core.windows.net/insights-logs-devices/
```
  <storage-account> は、Azure ストレージアカウントの名前に置き換えます。
  
  注: URI の末尾にスラッシュ（/）を含めます。Azure Storage アカウントで実際のコンテナ名を確認します。
- Source deletion option: 必要に応じて削除オプションを選択します。
  - なし: 転送後にファイルを削除しません。
  - 転送されたファイルを削除する: 転送が完了した後にファイルを削除します。
  - 転送されたファイルと空のディレクトリを削除する: 転送が完了した後にファイルと空のディレクトリを削除します。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
- 共有キー: ストレージアカウントの共有アクセスキーの値を入力します。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
手順 1 ～ 10 を繰り返して、各 Intune ログカテゴリコンテナに追加のフィードを作成します。

Azure Storage ファイアウォールを構成する（有効になっている場合）

Azure Storage アカウントでファイアウォールを使用している場合は、Google SecOps の IP 範囲を追加する必要があります。

Azure ポータルで、ストレージアカウントに移動します。
[セキュリティとネットワーキング] で [ネットワーキング] を選択します。
[ファイアウォールと仮想ネットワーク] で、[選択した仮想ネットワークと IP アドレスから有効] を選択します。
[ファイアウォール] セクションの [アドレス範囲] で、[+ IP 範囲を追加] をクリックします。
各 Google SecOps IP 範囲を CIDR 表記で追加します。
- IP 許可リスト登録に関するドキュメントを参照してください。
- または、Feed Management API を使用してプログラムで取得します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
properties.Actor.UserPermissions、properties.TargetObjectIds、properties.TargetDisplayNames	additional.fields	イベントの追加コンテキストを提供する Key-Value ペアのリスト
時間	metadata.event_timestamp	イベントが発生したときのタイムスタンプ
	metadata.event_type	イベントのタイプ（USER_LOGIN、NETWORK_CONNECTION）
operationName	metadata.product_event_type	プロダクトで定義されたイベントタイプ
properties.AuditEventId	metadata.product_log_id	プロダクト固有のログ識別子
correlationId	network.session_id	ネットワーク接続のセッション識別子
properties.Actor.Application	principal.application	アプリケーションの ID
properties.Actor.ApplicationName	principal.resource.name	リソースの名前
properties.Actor.isDelegatedAdmin、properties.Actor.PartnerTenantId	principal.user.attribute.labels	ユーザーに追加のコンテキストを提供する Key-Value ペアのリスト
category	security_result.category_details	セキュリティ結果のカテゴリに関する補足情報
resultDescription	security_result.description	セキュリティ結果の説明
identity、properties.ActivityDate、properties.ActivityResultStatus、properties.ActivityType、properties.Actor.ActorType、properties.Category、properties.Targets.ModifiedProperties.Name、properties.Targets.ModifiedProperties.New、properties.Targets.ModifiedProperties.Old	security_result.detection_fields	セキュリティ結果の追加コンテキストを提供する Key-Value ペアのリスト
resultType	security_result.summary	セキュリティ結果の概要
tenantId	target.user.userid	対象ユーザーのユーザー ID
	metadata.product_name	商品名
	metadata.vendor_name	ベンダー/会社名

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。