إحضار التنبيهات من مستأجر عميل MSSP

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

ملاحظة

يتم اتخاذ هذا الإجراء بواسطة MSSP.

هناك طريقتان يمكنك من خلالهما إحضار التنبيهات:

• استخدام أسلوب SIEM
• استخدام واجهات برمجة التطبيقات

إحضار التنبيهات إلى SIEM الخاص بك

لجلب التنبيهات إلى نظام SIEM الخاص بك، ستحتاج إلى اتخاذ الخطوات التالية:

• الخطوة 1: الإنشاء تطبيق جهة خارجية
• الخطوة 2: الحصول على الرموز المميزة للوصول والتحديث من مستأجر العميل
• الخطوة 3: السماح للتطبيق الخاص بك على Microsoft Defender XDR

الخطوة 1: الإنشاء تطبيق في Microsoft Entra ID

ستحتاج إلى إنشاء تطبيق ومنحه أذونات لجلب التنبيهات من مستأجر Microsoft Defender XDR العميل.

1. سجل الدخول إلى مركز مسؤولي Microsoft Entra.

2. حدد Microsoft Entra ID>تسجيلات التطبيق.

3. انقر فوق تسجيل جديد.

4. حدد القيم التالية:

   • الاسم: <Tenant_name> موصل SIEM MSSP (استبدل Tenant_name باسم عرض المستأجر)

   • أنواع الحسابات المدعومة: الحساب في هذا الدليل التنظيمي فقط

   • إعادة توجيه URI: حدد Web and type https://<domain_name>/SiemMsspConnector(استبدل <domain_name> باسم المستأجر)

5. انقر فوق تسجيل. يتم عرض التطبيق في قائمة التطبيقات التي تملكها.

6. حدد التطبيق، ثم انقر فوق نظرة عامة.

7. انسخ القيمة من حقل معرف التطبيق (العميل) إلى مكان آمن، ستحتاج إلى ذلك في الخطوة التالية.

8. حدد Certificate & secrets في لوحة التطبيق الجديدة.

9. انقر فوق New client secret.

   • الوصف: أدخل وصفا للمفتاح.
   • انتهاء الصلاحية: حدد في سنة واحدة

10. انقر فوق إضافة، وانسخ قيمة سر العميل إلى مكان آمن، ستحتاج إلى ذلك في الخطوة التالية.

الخطوة 2: الحصول على الرموز المميزة للوصول والتحديث من مستأجر العميل

يرشدك هذا القسم إلى كيفية استخدام برنامج PowerShell النصي للحصول على الرموز المميزة من مستأجر العميل. يستخدم هذا البرنامج النصي التطبيق من الخطوة السابقة للحصول على الرموز المميزة للوصول والتحديث باستخدام تدفق رمز تخويل OAuth.

بعد توفير بيانات الاعتماد الخاصة بك، ستحتاج إلى منح الموافقة على التطبيق بحيث يتم توفير التطبيق في مستأجر العميل.

1. الإنشاء مجلدا جديدا وسمه: MsspTokensAcquisition.

2. قم بتنزيل الوحدة LoginBrowser.psm1 واحفظها في MsspTokensAcquisition المجلد.

   ملاحظة

   في السطر 30، استبدل authorzationUrl ب authorizationUrl.

3. الإنشاء ملف بالمحتوى التالي واحفظه بالاسم MsspTokensAcquisition.ps1 في المجلد:

   param (
       [Parameter(Mandatory=$true)][string]$clientId,
       [Parameter(Mandatory=$true)][string]$secret,
       [Parameter(Mandatory=$true)][string]$tenantId
   )
   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   
   # Load our Login Browser Function
   Import-Module .\LoginBrowser.psm1
   
   # Configuration parameters
   $login = "https://login.microsoftonline.com"
   $redirectUri = "https://SiemMsspConnector"
   $resourceId = "https://graph.windows.net"
   
   Write-Host 'Prompt the user for his credentials, to get an authorization code'
   $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                       $login, $tenantId, $clientId, $redirectUri, $resourceId)
   Write-Host "authorzationUrl: $authorizationUrl"
   
   # Fake a proper endpoint for the Redirect URI
   $code = LoginBrowser $authorizationUrl $redirectUri
   
   # Acquire token using the authorization code
   
   $Body = @{
       grant_type = 'authorization_code'
       client_id = $clientId
       code = $code
       redirect_uri = $redirectUri
       resource = $resourceId
       client_secret = $secret
   }
   
   $tokenEndpoint = "$login/$tenantId/oauth2/token?"
   $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
   $token = $Response.access_token
   $refreshToken= $Response.refresh_token
   
   Write-Host " ----------------------------------- TOKEN ---------------------------------- "
   Write-Host $token
   
   Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
   Write-Host $refreshToken
   

4. افتح موجه أوامر PowerShell غير مقيد في MsspTokensAcquisition المجلد.

5. قم بتشغيل الأمر التالي: Set-ExecutionPolicy -ExecutionPolicy Bypass

6. أدخل الأوامر التالية: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

   • استبدل <client_id>بمعرف التطبيق (العميل) الذي حصلت عليه من الخطوة السابقة.
   • استبدل <app_key> ب سر العميل الذي أنشأته من الخطوة السابقة.
   • استبدل <customer_tenant_id>بمعرف المستأجر الخاص بالعميل.

7. سيطلب منك تقديم بيانات الاعتماد والموافقة. تجاهل إعادة توجيه الصفحة.

8. في نافذة PowerShell، ستتلقى رمز وصول ورمز تحديث مميز. احفظ رمز التحديث المميز لتكوين موصل SIEM الخاص بك.

الخطوة 3: السماح للتطبيق الخاص بك على Microsoft Defender XDR

ستحتاج إلى السماح بالتطبيق الذي أنشأته في Microsoft Defender XDR.

ستحتاج إلى إذن إدارة إعدادات نظام المدخل للسماح للتطبيق. وإلا، فستحتاج إلى طلب السماح للعميل بالتطبيق نيابة عنك.

1. انتقل إلى https://security.microsoft.com?tid=<customer_tenant_id> (استبدل <customer_tenant_id> بمعرف مستأجر العميل.

2. انقر فوق Settings>Endpoints>APIs>SIEM.

3. حدد علامة التبويب MSSP .

4. أدخل معرف التطبيق من الخطوة الأولى ومعرف المستأجر الخاص بك.

5. انقر فوق تخويل التطبيق.

يمكنك الآن تنزيل ملف التكوين ذي الصلة ل SIEM والاتصال بواجهة برمجة تطبيقات Microsoft Defender XDR. لمزيد من المعلومات، راجع سحب التنبيهات إلى أدوات SIEM.

• في ملف تكوين ArcSight / ملف خصائص مصادقة Splunk، اكتب مفتاح التطبيق يدويا عن طريق تعيين القيمة السرية.
• بدلا من الحصول على رمز تحديث مميز في المدخل، استخدم البرنامج النصي من الخطوة السابقة للحصول على رمز تحديث مميز (أو الحصول عليه بوسائل أخرى).

إحضار التنبيهات من مستأجر عميل MSSP باستخدام واجهات برمجة التطبيقات

للحصول على معلومات حول كيفية إحضار التنبيهات باستخدام واجهة برمجة تطبيقات REST، راجع إحضار التنبيهات من مستأجر عميل MSSP.

راجع أيضًا

• منح MSSP حق الوصول إلى المدخل
• الوصول إلى مدخل عميل MSSP
• تكوين إعلامات التنبيهات

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.