收集 Azure MDM Intune 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何將 Microsoft Azure Intune 記錄收集至 Google Security Operations。您可以透過兩種方法設定擷取作業：第三方 API (建議) 或 Microsoft Azure Blob 儲存體 V2。

Microsoft Intune 是一項雲端式端點管理解決方案，可管理使用者對機構資源的存取權，並簡化行動裝置、桌上型電腦和虛擬端點等裝置的應用程式和裝置管理作業。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Microsoft Azure 入口網站的特殊權限
使用者具備 Intune 租戶的 Intune 管理員或全域管理員 Microsoft Entra 角色
租戶的有效 Intune 授權

方法 1：第三方 API (建議)

這個方法會使用 Microsoft Graph API，直接從 Microsoft 租戶擷取 Intune 稽核和作業記錄。

設定 Microsoft Entra 應用程式註冊

建立應用程式註冊

登入 Microsoft Entra 系統管理中心或 Azure 入口網站。
依序前往「身分識別」>「應用程式」>「應用程式註冊」。
按一下 [新增註冊]。
請提供下列設定詳細資料：
- 名稱：輸入描述性名稱 (例如 Google SecOps Intune Integration)。
- 支援的帳戶類型：選取「僅限這個機構目錄中的帳戶 (單一租戶)」。
- 重新導向 URI：留空 (服務主體驗證不需要)。
按一下「註冊」。
註冊完成後，請從「總覽」頁面複製並儲存下列值：
- 應用程式 (用戶端) ID
- 目錄 (租戶) ID

設定 API 權限

在應用程式註冊中，前往「API permissions」。
按一下「新增權限」。
依序選取「Microsoft Graph」>「應用程式權限」。
搜尋並選取下列權限：
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementServiceConfig.Read.All
- DeviceManagementRBAC.Read.All
按一下「Add permissions」。
按一下「Grant admin consent for [Your Organization]」(為「[您的機構]」授予系統管理員同意)。
確認「狀態」欄顯示所有權限的「已授予 [貴機構]」。

注意： 如果「授予管理員同意」按鈕已停用，請確認您具備「全域管理員」或「具備權限的角色管理員」角色。Cloud 應用程式管理員角色無法授予 Microsoft Graph 應用程式權限的同意聲明。

必要的 API 權限

權限	類型	目的
DeviceManagementApps.Read.All	應用程式	讀取應用程式管理資料和稽核事件
DeviceManagementConfiguration.Read.All	應用程式	讀取裝置設定和法規遵循政策
DeviceManagementManagedDevices.Read.All	應用程式	讀取受管理裝置資訊
DeviceManagementServiceConfig.Read.All	應用程式	讀取 Intune 服務設定
DeviceManagementRBAC.Read.All	應用程式	讀取角色型存取權控管設定

建立用戶端密鑰

在應用程式註冊中，前往「Certificates & secrets」。
按一下 [新增用戶端密碼]。
請提供下列設定詳細資料：
- 說明：輸入描述性名稱 (例如 Google SecOps Feed)。
- 到期：選取到期時間。
  
  注意： Microsoft 建議將到期值設定為 12 個月以下。最長為 24 個月。
按一下「新增」。
立即複製用戶端密鑰的「值」。

重要事項： 密碼值只會顯示一次，離開這個頁面後就無法擷取。如果遺失該值，就必須建立新的用戶端密鑰。

在 Google SecOps 中設定動態饋給，擷取 Microsoft Intune 記錄

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Microsoft Intune Logs)。
選取「第三方 API」做為「來源類型」。
選取「Microsoft Intune」做為「記錄類型」。
點選「下一步」。
指定下列輸入參數的值：
- OAuth 用戶端 ID：輸入應用程式註冊時取得的「應用程式 (用戶端) ID」 (例如 1234abcd-1234-abcd-1234-abcd1234abcd)。
- OAuth 用戶端密鑰：輸入您先前複製的用戶端密鑰值。
- 用戶群 ID：以 UUID 格式輸入應用程式註冊中的目錄 (用戶群) ID (例如 0fc279f9-fe30-41be-97d3-abe1d7681418)。
- API 完整路徑：輸入 Microsoft Graph REST API 端點網址。預設值：
```
graph.microsoft.com/beta/deviceManagement/auditEvents
```
  注意： 請勿加入 https:// 前置字串。動態饋給會自動新增通訊協定。
- API 驗證端點：輸入 Microsoft Active Directory 驗證端點。預設值：
```
login.microsoftonline.com
```
  注意： 請勿加入 https:// 前置字串或 /oauth2/v2.0/token 路徑。動態饋給會使用您的租戶 ID 自動建構完整的驗證網址。
- 資產命名空間：資產命名空間。
- 擷取標籤：要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定，然後按一下「Submit」(提交)。

設定完成後，動態饋給就會開始從 Microsoft Graph API 擷取 Intune 稽核和作業記錄。

地區端點

如要在主權雲端中部署 Microsoft Intune，請使用適當的區域端點：

雲端環境	API 完整路徑	API 驗證端點
全球	`graph.microsoft.com/beta/deviceManagement/auditEvents`	`login.microsoftonline.com`
美國政府 L4	`graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
美國政府 L5 (國防部)	`dod-graph.microsoft.us/beta/deviceManagement/auditEvents`	`login.microsoftonline.us`
中國 (21Vianet)	`microsoftgraph.chinacloudapi.cn/beta/deviceManagement/auditEvents`	`login.chinacloudapi.cn`

方法 2：Microsoft Azure Blob 儲存體 V2

這個方法會將診斷資料匯出至 Azure 儲存體帳戶，並設定 Google SecOps 資訊提供，從 Azure Blob 儲存體擷取資料，藉此收集 Microsoft Intune 記錄。

設定 Azure 儲存體帳戶

建立儲存空間帳戶

在 Azure 入口網站中，搜尋「儲存體帳戶」。
點選「+ 建立」。

請提供下列設定詳細資料：

設定	值
訂閱項目	選取 Azure 訂閱項目
資源群組	選取現有項目或建立新項目
儲存體帳戶名稱	輸入不重複的名稱 (例如 `intunelogs`)
區域	選取區域 (例如 `East US`)
效能	標準 (建議)
備援功能	GRS (異地備援儲存空間) 或 LRS (本機備援儲存空間)

按一下「Review + create」。
查看總覽，然後按一下「建立」。
等待部署作業完成。

取得儲存空間帳戶憑證

前往您建立的「儲存空間帳戶」。
在左側導覽中，選取「Security + networking」(安全性 + 網路) 下方的「Access keys」(存取金鑰)。
按一下「顯示金鑰」。
複製並儲存下列項目：
- 儲存體帳戶名稱：您在建立時提供的名稱。
- 金鑰 1 或金鑰 2：共用存取金鑰。

取得 Blob 服務端點

在同一個儲存空間帳戶中，選取左側導覽列的「Endpoints」(端點)。
複製並儲存 Blob 服務端點網址。
- 範例：https://intunelogs.blob.core.windows.net/

設定 Microsoft Intune 診斷設定

登入 Microsoft Intune 系統管理中心。
選取「報表」>「診斷設定」。
按一下「新增診斷設定」。
請提供下列設定詳細資料：
- 診斷設定名稱：輸入描述性名稱 (例如 export-to-secops)。
- 在「記錄」部分中，選取下列類別：
  - AuditLogs
  - OperationalLogs
  - DeviceComplianceOrg
  - 裝置
- 在「目的地詳細資料」部分，選取「封存至儲存空間帳戶」核取方塊。
- 訂閱項目：選取包含儲存空間帳戶的訂閱項目。
- 「Storage account」(儲存空間帳戶)：選取您先前建立的儲存空間帳戶。
按一下 [儲存]。

注意： Intune 稽核記錄和作業記錄會立即傳送至 Azure 監視器服務。裝置合規性機構記錄和 IntuneDevices 報表資料每 24 小時傳送一次。
注意： Azure 診斷設定會根據記錄類別，在儲存體帳戶中建立容器。容器名稱採用 insights-logs-{categoryname} 模式。

在 Google SecOps 中設定資訊提供，從 Blob 儲存空間擷取 Microsoft Intune 記錄

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Microsoft Intune Blob Storage)。
選取「Microsoft Azure Blob Storage V2」做為「來源類型」。
選取「Microsoft Intune」做為「記錄類型」。
點選「下一步」。
指定下列輸入參數的值：
- Azure URI：輸入 Blob 服務端點網址和容器路徑。為每個記錄類別分別建立動態饋給：
  - 稽核記錄：
```
https://<storage-account>.blob.core.windows.net/insights-logs-auditlogs/
```
  - 作業記錄：
```
https://<storage-account>.blob.core.windows.net/insights-logs-operationallogs/
```
  - 裝置法規遵循機構記錄：
```
https://<storage-account>.blob.core.windows.net/insights-logs-devicecomplianceorg/
```
  - 裝置：
```
https://<storage-account>.blob.core.windows.net/insights-logs-devices/
```
  將 <storage-account> 替換為 Azure 儲存空間帳戶名稱。
  
  注意： 請在 URI 結尾加上尾端斜線 (/)。請確認 Azure 儲存體帳戶中的實際容器名稱。
- 來源刪除選項：根據偏好設定選取刪除選項：
  - 永不：轉移後一律不刪除任何檔案
  - 刪除轉移的檔案：成功轉移檔案後刪除檔案
  - 刪除已轉移的檔案和空白目錄：成功轉移後刪除檔案和空白目錄
- 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
- 共用金鑰：輸入儲存空間帳戶的共用存取金鑰值。
- 資產命名空間：資產命名空間。
- 擷取標籤：要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定，然後按一下「Submit」(提交)。
針對每個 Intune 記錄類別容器，重複步驟 1 到 10，建立其他動態饋給。

設定 Azure 儲存空間防火牆 (如已啟用)

如果 Azure 儲存體帳戶使用防火牆，您必須新增 Google SecOps IP 範圍。

在 Azure 入口網站中，前往「儲存體帳戶」。
選取「Security + networking」(安全性 + 網路) 下方的「Networking」(網路)。
在「防火牆和虛擬網路」下方，選取「從所選虛擬網路和 IP 位址啟用」。
在「防火牆」部分的「位址範圍」下方，按一下「+ 新增 IP 範圍」。
以 CIDR 標記法新增每個 Google SecOps IP 範圍。
- 請參閱 IP 許可清單說明文件
- 或使用 Feed Management API 以程式輔助方式擷取
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
properties.Actor.UserPermissions、properties.TargetObjectIds、properties.TargetDisplayNames	additional.fields	提供事件額外背景資訊的鍵/值組合清單
時間	metadata.event_timestamp	事件發生時間的時間戳記
	metadata.event_type	事件類型 (例如USER_LOGIN、NETWORK_CONNECTION)
operationName	metadata.product_event_type	產品定義的事件類型
properties.AuditEventId	metadata.product_log_id	產品專屬記錄 ID
correlationId	network.session_id	網路連線的工作階段 ID
properties.Actor.Application	principal.application	應用程式 ID
properties.Actor.ApplicationName	principal.resource.name	資源名稱
properties.Actor.isDelegatedAdmin、properties.Actor.PartnerTenantId	principal.user.attribute.labels	提供使用者額外情境資訊的鍵/值組合清單
category	security_result.category_details	安全性結果類別的其他詳細資料
resultDescription	security_result.description	安全性結果說明
身分、properties.ActivityDate、properties.ActivityResultStatus、properties.ActivityType、properties.Actor.ActorType、properties.Category、properties.Targets.ModifiedProperties.Name、properties.Targets.ModifiedProperties.New、properties.Targets.ModifiedProperties.Old	security_result.detection_fields	鍵/值組合清單，提供安全性結果的額外背景資訊
resultType	security_result.summary	安全性結果摘要
tenantId	target.user.userid	目標使用者的使用者 ID
	metadata.product_name	產品名稱
	metadata.vendor_name	供應商/公司名稱

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。