Coletar registros do Intune do Azure MDM

Compatível com:

Google SecOps SIEM

Este documento explica como coletar registros do Microsoft Azure Intune para o Google Security Operations. É possível configurar a ingestão usando dois métodos: a API de terceiros (recomendada) ou o Microsoft Azure Blob Storage V2.

O Microsoft Intune é uma solução de gerenciamento de endpoints baseada na nuvem que gerencia o acesso dos usuários a recursos organizacionais e simplifica o gerenciamento de apps e dispositivos em vários dispositivos, incluindo dispositivos móveis, computadores e endpoints virtuais.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

Uma instância do Google SecOps
Acesso privilegiado ao portal do Microsoft Azure
Um usuário com a função Administrador do Intune ou Administrador global do Microsoft Entra para o locatário do Intune
Uma licença ativa do Intune para o locatário

Método 1: API de terceiros (recomendado)

Esse método usa a API Microsoft Graph para recuperar registros operacionais e de auditoria do Intune diretamente do seu locatário da Microsoft.

Configurar o registro de apps do Microsoft Entra

Criar registro de app

Faça login no centro de administração do Microsoft Entra ou no portal do Azure.
Acesse Identidade > Aplicativos > Registros de aplicativos.
Clique em New registration.
Informe os seguintes detalhes de configuração:
- Nome: insira um nome descritivo, por exemplo, Google SecOps Intune Integration.
- Tipos de conta compatíveis: selecione Somente contas neste diretório organizacional (tenant único).
- URI de redirecionamento: deixe em branco (não é necessário para a autenticação do principal de serviço).
Clique em Registrar.
Após o registro, copie e salve os seguintes valores da página Visão geral:
- ID do aplicativo (cliente)
- ID do diretório (locatário)

Configurar permissões da API

No registro do app, acesse Permissões da API.
Clique em Adicionar uma permissão.
Selecione Microsoft Graph > Permissões do aplicativo.
Procure e selecione as seguintes permissões:
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementServiceConfig.Read.All
- DeviceManagementRBAC.Read.All
Clique em Adicionar permissões
Clique em Conceder consentimento de administrador para [Sua organização].
Verifique se a coluna Status mostra Concedido para [Sua organização] em todas as permissões.

Observação: se o botão Conceder consentimento do administrador estiver desativado, verifique se você tem a função de Administrador global ou Administrador de função privilegiada. A função de administrador de aplicativos do Cloud não pode conceder consentimento para permissões de aplicativos do Microsoft Graph.

Permissões de API necessárias

Permissão	Tipo	Finalidade
DeviceManagementApps.Read.All	Aplicativo	Ler dados de gerenciamento de apps e eventos de auditoria
DeviceManagementConfiguration.Read.All	Aplicativo	Ler políticas de compliance e configuração do dispositivo
DeviceManagementManagedDevices.Read.All	Aplicativo	Ler informações do dispositivo gerenciado
DeviceManagementServiceConfig.Read.All	Aplicativo	Ler a configuração do serviço do Intune
DeviceManagementRBAC.Read.All	Aplicativo	Ler as configurações de controle de acesso baseado em papéis

Criar chave secreta do cliente

No registro do app, acesse Certificados e chaves secretas.
Clique em New client secret.
Informe os seguintes detalhes de configuração:
- Descrição: insira um nome descritivo, por exemplo, Google SecOps Feed.
- Expira: selecione um período de validade.
  
  Observação: a Microsoft recomenda definir um valor de expiração de menos de 12 meses. O máximo permitido é de 24 meses.
Clique em Adicionar.
Copie o Valor da chave secreta do cliente imediatamente.

Importante: o valor secreto é exibido apenas uma vez e não pode ser recuperado depois que você sair desta página. Se você perder o valor, será necessário criar uma nova chave secreta do cliente.

Configurar um feed no Google SecOps para ingerir registros do Microsoft Intune

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Microsoft Intune Logs).
Selecione API de terceiros como o Tipo de origem.
Selecione Microsoft Intune como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- ID do cliente OAuth: insira o ID do aplicativo (cliente) do registro do app (por exemplo, 1234abcd-1234-abcd-1234-abcd1234abcd).
- Chave secreta do cliente OAuth: insira o valor da chave secreta do cliente que você copiou antes.
- ID do locatário: insira o ID do diretório (locatário) do registro do app no formato UUID (por exemplo, 0fc279f9-fe30-41be-97d3-abe1d7681418).
- Caminho completo da API: insira o URL do endpoint de API REST do Microsoft Graph. Valor padrão:
```
graph.microsoft.com/beta/deviceManagement/auditEvents
```
  Observação: não inclua o prefixo https://. O feed adiciona o protocolo automaticamente.
- Endpoint de autenticação da API: insira o endpoint de autenticação do Microsoft Active Directory. Valor padrão:
```
login.microsoftonline.com
```
  Observação: não inclua o prefixo https:// nem o caminho /oauth2/v2.0/token. O feed cria o URL de autenticação completo automaticamente usando seu ID do locatário.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Após a configuração, o feed começa a recuperar registros operacionais e de auditoria do Intune na API Microsoft Graph.

Endpoints regionais

Para implantações do Microsoft Intune em nuvens soberanas, use os endpoints regionais adequados:

Ambiente em nuvem	Caminho completo da API	Endpoint de autenticação da API
Global	`graph.microsoft.com/beta/deviceManagement/auditEvents`	`login.microsoftonline.com`
L4 do governo dos EUA	`graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
L5 do governo dos EUA (DOD)	`dod-graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
China (21Vianet)	`microsoftgraph.chinacloudapi.cn/beta/deviceManagement/auditEvents`	`login.chinacloudapi.cn`

Método 2: Armazenamento de Blobs do Microsoft Azure V2

Esse método coleta registros do Microsoft Intune exportando dados de diagnóstico para uma conta do Azure Storage e configurando um feed do Google SecOps para ingerir dados do Azure Blob Storage.

Configurar a conta de armazenamento do Azure

Criar conta de armazenamento

No portal do Azure, pesquise Contas de armazenamento.
Clique em Criar.

Informe os seguintes detalhes de configuração:

Configuração	Valor
Assinatura	Selecione sua assinatura do Azure
Grupo de recursos	Selecionar ou criar
Nome da conta de armazenamento	Insira um nome exclusivo (por exemplo, `intunelogs`).
Região	Selecione a região (por exemplo, `East US`).
Desempenho	Padrão (recomendado)
Redundância	GRS (armazenamento com redundância geográfica) ou LRS (armazenamento com redundância local)

Clique em Revisar + criar.
Revise a visão geral e clique em Criar.
Aguarde até que a implantação seja concluída.

Receber credenciais da conta de armazenamento

Acesse a conta de armazenamento que você criou.
Na navegação à esquerda, selecione Chaves de acesso em Segurança e rede.
Clique em Mostrar chaves.
Copie e salve o seguinte:
- Nome da conta de armazenamento: o nome que você forneceu durante a criação.
- Chave 1 ou Chave 2: a chave de acesso compartilhado.

Receber endpoint do serviço de blob

Na mesma conta de armazenamento, selecione Endpoints na navegação à esquerda.
Copie e salve o URL do endpoint do serviço de blob.
- Exemplo: https://intunelogs.blob.core.windows.net/

Configurar as configurações de diagnóstico do Microsoft Intune

Faça login no centro de administração do Microsoft Intune.
Selecione Relatórios > Configurações de diagnóstico.
Clique em Adicionar configuração de diagnóstico.
Informe os seguintes detalhes de configuração:
- Nome da configuração de diagnóstico: insira um nome descritivo (por exemplo, export-to-secops).
- Na seção Registros, selecione as seguintes categorias:
  - AuditLogs
  - OperationalLogs
  - DeviceComplianceOrg
  - Dispositivos
- Na seção Detalhes do destino, marque a caixa de seleção Arquivar em uma conta de armazenamento.
- Assinatura: selecione a assinatura que contém sua conta de armazenamento.
- Conta de armazenamento: selecione a conta de armazenamento criada anteriormente.
Clique em Salvar.

Observação: os registros de auditoria e operacionais do Intune são enviados imediatamente aos serviços do Azure Monitor. Os dados dos registros organizacionais de conformidade de dispositivos e do relatório "IntuneDevices" são enviados uma vez a cada 24 horas.
Observação: as configurações de diagnóstico do Azure criam contêineres na conta de armazenamento com base na categoria de registro. Os nomes dos contêineres seguem o padrão insights-logs-{categoryname}.

Configurar um feed no Google SecOps para ingerir registros do Microsoft Intune do armazenamento de blobs

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Microsoft Intune Blob Storage).
Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
Selecione Microsoft Intune como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do Azure: insira o URL do endpoint do serviço de blobs com o caminho do contêiner. Crie feeds separados para cada categoria de registro:
  - Para registros de auditoria:
```
https://<storage-account>.blob.core.windows.net/insights-logs-auditlogs/
```
  - Para registros operacionais:
```
https://<storage-account>.blob.core.windows.net/insights-logs-operationallogs/
```
  - Para registros organizacionais de compliance do dispositivo:
```
https://<storage-account>.blob.core.windows.net/insights-logs-devicecomplianceorg/
```
  - Para dispositivos:
```
https://<storage-account>.blob.core.windows.net/insights-logs-devices/
```
  Substitua <storage-account> pelo nome da sua conta de armazenamento do Azure.
  
  Observação: inclua a barra (/) no final do URI. Verifique os nomes reais dos contêineres na sua conta do Azure Storage.
- Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:
  - Nunca: nunca exclui arquivos após as transferências.
  - Excluir arquivos transferidos: exclui os arquivos após a transferência ser concluída.
  - Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.
- Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
- Chave compartilhada: insira o valor da chave de acesso compartilhado da conta de armazenamento.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Repita as etapas de 1 a 10 para criar outros feeds para cada contêiner de categoria de registro do Intune.

Configurar o firewall do Azure Storage (se ativado)

Se a sua conta de armazenamento do Azure usar um firewall, adicione os intervalos de IP do Google SecOps.

No portal do Azure, acesse sua conta de armazenamento.
Selecione Rede em Segurança e rede.
Em Firewalls e redes virtuais, selecione Ativado nas redes virtuais e endereços IP selecionados.
Na seção Firewall, em Intervalo de endereços, clique em + Adicionar intervalo de IP.
Adicione cada intervalo de IP do Google SecOps na notação CIDR.
- Consulte a documentação sobre a lista de permissões de IP
- Ou recupere-os de maneira programática usando a API Feed Management.
Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
properties.Actor.UserPermissions, properties.TargetObjectIds, properties.TargetDisplayNames	additional.fields	Lista de pares de chave-valor que fornecem contexto adicional para o evento
tempo	metadata.event_timestamp	Carimbo de data/hora em que o evento ocorreu
	metadata.event_type	Tipo de evento (por exemplo, USER_LOGIN, NETWORK_CONNECTION)
operationName	metadata.product_event_type	Tipo de evento conforme definido pelo produto
properties.AuditEventId	metadata.product_log_id	Identificador de registro específico do produto
correlationId	network.session_id	Identificador de sessão para a conexão de rede.
properties.Actor.Application	principal.application	Identificador do aplicativo
properties.Actor.ApplicationName	principal.resource.name	Nome do recurso
properties.Actor.isDelegatedAdmin, properties.Actor.PartnerTenantId	principal.user.attribute.labels	Lista de pares de chave-valor que fornecem contexto adicional para o usuário
categoria	security_result.category_details	Mais detalhes sobre a categoria de resultados de segurança
resultDescription	security_result.description	Descrição do resultado de segurança
identity, properties.ActivityDate, properties.ActivityResultStatus, properties.ActivityType, properties.Actor.ActorType, properties.Category, properties.Targets.ModifiedProperties.Name, properties.Targets.ModifiedProperties.New, properties.Targets.ModifiedProperties.Old	security_result.detection_fields	Lista de pares de chave-valor que fornecem contexto adicional para o resultado de segurança.
resultType	security_result.summary	Resumo do resultado de segurança
tenantId	target.user.userid	ID do usuário de destino
	metadata.product_name	Nome do produto
	metadata.vendor_name	Nome do fornecedor/empresa

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.