إحضار أحداث Microsoft Defender XDR
ينطبق على:
ملاحظة
جرب واجهات برمجة التطبيقات الجديدة باستخدام واجهة برمجة تطبيقات أمان MS Graph. تعرف على المزيد في: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.
ملاحظة
يتم اتخاذ هذا الإجراء بواسطة MSSP.
هناك طريقتان يمكنك من خلالهما إحضار التنبيهات:
- استخدام أسلوب SIEM
- استخدام واجهات برمجة التطبيقات
لجلب الحوادث إلى نظام SIEM الخاص بك، ستحتاج إلى اتخاذ الخطوات التالية:
- الخطوة 1: الإنشاء تطبيق جهة خارجية
- الخطوة 2: الحصول على الرموز المميزة للوصول والتحديث من مستأجر العميل
- الخطوة 3: السماح للتطبيق الخاص بك على Microsoft Defender XDR
ستحتاج إلى إنشاء تطبيق ومنحه أذونات لجلب التنبيهات من مستأجر Microsoft Defender XDR العميل.
سجل الدخول إلى مركز مسؤولي Microsoft Entra.
حدد Microsoft Entra ID>تسجيلات التطبيق.
انقر فوق تسجيل جديد.
حدد القيم التالية:
الاسم: <Tenant_name> موصل SIEM MSSP (استبدل Tenant_name باسم عرض المستأجر)
أنواع الحسابات المدعومة: الحساب في هذا الدليل التنظيمي فقط
إعادة توجيه URI: حدد Web and type
https://<domain_name>/SiemMsspConnector
(استبدل <domain_name> باسم المستأجر)
انقر فوق تسجيل. يتم عرض التطبيق في قائمة التطبيقات التي تملكها.
حدد التطبيق، ثم انقر فوق نظرة عامة.
انسخ القيمة من حقل معرف التطبيق (العميل) إلى مكان آمن، ستحتاج إلى ذلك في الخطوة التالية.
حدد Certificate & secrets في لوحة التطبيق الجديدة.
انقر فوق New client secret.
- الوصف: أدخل وصفا للمفتاح.
- انتهاء الصلاحية: حدد في سنة واحدة
انقر فوق إضافة، وانسخ قيمة سر العميل إلى مكان آمن، ستحتاج إلى ذلك في الخطوة التالية.
يرشدك هذا القسم إلى كيفية استخدام برنامج PowerShell النصي للحصول على الرموز المميزة من مستأجر العميل. يستخدم هذا البرنامج النصي التطبيق من الخطوة السابقة للحصول على الرموز المميزة للوصول والتحديث باستخدام تدفق رمز تخويل OAuth.
بعد توفير بيانات الاعتماد الخاصة بك، ستحتاج إلى منح الموافقة على التطبيق بحيث يتم توفير التطبيق في مستأجر العميل.
الإنشاء مجلدا جديدا وسمه:
MsspTokensAcquisition
.قم بتنزيل الوحدة LoginBrowser.psm1 واحفظها في
MsspTokensAcquisition
المجلد.ملاحظة
في السطر 30، استبدل
authorzationUrl
بauthorizationUrl
.الإنشاء ملف بالمحتوى التالي واحفظه بالاسم
MsspTokensAcquisition.ps1
في المجلد:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
افتح موجه أوامر PowerShell غير مقيد في
MsspTokensAcquisition
المجلد.قم بتشغيل الأمر التالي:
Set-ExecutionPolicy -ExecutionPolicy Bypass
أدخل الأوامر التالية:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- استبدل <client_id>بمعرف التطبيق (العميل) الذي حصلت عليه من الخطوة السابقة.
- استبدل <app_key> ب سر العميل الذي أنشأته من الخطوة السابقة.
- استبدل <customer_tenant_id>بمعرف المستأجر الخاص بالعميل.
سيطلب منك تقديم بيانات الاعتماد والموافقة. تجاهل إعادة توجيه الصفحة.
في نافذة PowerShell، ستتلقى رمز وصول ورمز تحديث مميز. احفظ رمز التحديث المميز لتكوين موصل SIEM الخاص بك.
ستحتاج إلى السماح بالتطبيق الذي أنشأته في Microsoft Defender XDR.
ستحتاج إلى إذن إدارة إعدادات نظام المدخل للسماح للتطبيق. وإلا، فستحتاج إلى طلب السماح للعميل بالتطبيق نيابة عنك.
انتقل إلى
https://security.microsoft.com?tid=<customer_tenant_id>
(استبدل <customer_tenant_id> بمعرف مستأجر العميل.انقر فوق Settings>Endpoints>APIs>SIEM.
حدد علامة التبويب MSSP .
أدخل معرف التطبيق من الخطوة الأولى ومعرف المستأجر الخاص بك.
انقر فوق تخويل التطبيق.
يمكنك الآن تنزيل ملف التكوين ذي الصلة ل SIEM والاتصال بواجهة برمجة تطبيقات Microsoft Defender XDR. لمزيد من المعلومات، راجع سحب التنبيهات إلى أدوات SIEM.
- في ملف تكوين ArcSight / ملف خصائص مصادقة Splunk، اكتب مفتاح التطبيق يدويا عن طريق تعيين القيمة السرية.
- بدلا من الحصول على رمز تحديث مميز في المدخل، استخدم البرنامج النصي من الخطوة السابقة للحصول على رمز تحديث مميز (أو الحصول عليه بوسائل أخرى).
للحصول على معلومات حول كيفية إحضار التنبيهات باستخدام واجهة برمجة تطبيقات REST، راجع سحب التنبيهات باستخدام واجهة برمجة تطبيقات REST.
استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.