اقرأ باللغة الإنجليزية

مشاركة عبر


إحضار أحداث Microsoft Defender XDR

ينطبق على:

ملاحظة

جرب واجهات برمجة التطبيقات الجديدة باستخدام واجهة برمجة تطبيقات أمان MS Graph. تعرف على المزيد في: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.

ملاحظة

يتم اتخاذ هذا الإجراء بواسطة MSSP.

هناك طريقتان يمكنك من خلالهما إحضار التنبيهات:

  • استخدام أسلوب SIEM
  • استخدام واجهات برمجة التطبيقات

إحضار الحوادث إلى SIEM الخاص بك

لجلب الحوادث إلى نظام SIEM الخاص بك، ستحتاج إلى اتخاذ الخطوات التالية:

  • الخطوة 1: الإنشاء تطبيق جهة خارجية
  • الخطوة 2: الحصول على الرموز المميزة للوصول والتحديث من مستأجر العميل
  • الخطوة 3: السماح للتطبيق الخاص بك على Microsoft Defender XDR

الخطوة 1: الإنشاء تطبيق في Microsoft Entra ID

ستحتاج إلى إنشاء تطبيق ومنحه أذونات لجلب التنبيهات من مستأجر Microsoft Defender XDR العميل.

  1. سجل الدخول إلى مركز مسؤولي Microsoft Entra.

  2. حدد Microsoft Entra ID>تسجيلات التطبيق.

  3. انقر فوق تسجيل جديد.

  4. حدد القيم التالية:

    • الاسم: <Tenant_name> موصل SIEM MSSP (استبدل Tenant_name باسم عرض المستأجر)

    • أنواع الحسابات المدعومة: الحساب في هذا الدليل التنظيمي فقط

    • إعادة توجيه URI: حدد Web and type https://<domain_name>/SiemMsspConnector(استبدل <domain_name> باسم المستأجر)

  5. انقر فوق تسجيل. يتم عرض التطبيق في قائمة التطبيقات التي تملكها.

  6. حدد التطبيق، ثم انقر فوق نظرة عامة.

  7. انسخ القيمة من حقل معرف التطبيق (العميل) إلى مكان آمن، ستحتاج إلى ذلك في الخطوة التالية.

  8. حدد Certificate & secrets في لوحة التطبيق الجديدة.

  9. انقر فوق New client secret.

    • الوصف: أدخل وصفا للمفتاح.
    • انتهاء الصلاحية: حدد في سنة واحدة
  10. انقر فوق إضافة، وانسخ قيمة سر العميل إلى مكان آمن، ستحتاج إلى ذلك في الخطوة التالية.

الخطوة 2: الحصول على الرموز المميزة للوصول والتحديث من مستأجر العميل

يرشدك هذا القسم إلى كيفية استخدام برنامج PowerShell النصي للحصول على الرموز المميزة من مستأجر العميل. يستخدم هذا البرنامج النصي التطبيق من الخطوة السابقة للحصول على الرموز المميزة للوصول والتحديث باستخدام تدفق رمز تخويل OAuth.

بعد توفير بيانات الاعتماد الخاصة بك، ستحتاج إلى منح الموافقة على التطبيق بحيث يتم توفير التطبيق في مستأجر العميل.

  1. الإنشاء مجلدا جديدا وسمه: MsspTokensAcquisition.

  2. قم بتنزيل الوحدة LoginBrowser.psm1 واحفظها في MsspTokensAcquisition المجلد.

    ملاحظة

    في السطر 30، استبدل authorzationUrl ب authorizationUrl.

  3. الإنشاء ملف بالمحتوى التالي واحفظه بالاسم MsspTokensAcquisition.ps1 في المجلد:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. افتح موجه أوامر PowerShell غير مقيد في MsspTokensAcquisition المجلد.

  5. قم بتشغيل الأمر التالي: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. أدخل الأوامر التالية: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • استبدل <client_id>بمعرف التطبيق (العميل) الذي حصلت عليه من الخطوة السابقة.
    • استبدل <app_key> ب سر العميل الذي أنشأته من الخطوة السابقة.
    • استبدل <customer_tenant_id>بمعرف المستأجر الخاص بالعميل.
  7. سيطلب منك تقديم بيانات الاعتماد والموافقة. تجاهل إعادة توجيه الصفحة.

  8. في نافذة PowerShell، ستتلقى رمز وصول ورمز تحديث مميز. احفظ رمز التحديث المميز لتكوين موصل SIEM الخاص بك.

الخطوة 3: السماح للتطبيق الخاص بك على Microsoft Defender XDR

ستحتاج إلى السماح بالتطبيق الذي أنشأته في Microsoft Defender XDR.

ستحتاج إلى إذن إدارة إعدادات نظام المدخل للسماح للتطبيق. وإلا، فستحتاج إلى طلب السماح للعميل بالتطبيق نيابة عنك.

  1. انتقل إلى https://security.microsoft.com?tid=<customer_tenant_id> (استبدل <customer_tenant_id> بمعرف مستأجر العميل.

  2. انقر فوق Settings>Endpoints>APIs>SIEM.

  3. حدد علامة التبويب MSSP .

  4. أدخل معرف التطبيق من الخطوة الأولى ومعرف المستأجر الخاص بك.

  5. انقر فوق تخويل التطبيق.

يمكنك الآن تنزيل ملف التكوين ذي الصلة ل SIEM والاتصال بواجهة برمجة تطبيقات Microsoft Defender XDR. لمزيد من المعلومات، راجع سحب التنبيهات إلى أدوات SIEM.

  • في ملف تكوين ArcSight / ملف خصائص مصادقة Splunk، اكتب مفتاح التطبيق يدويا عن طريق تعيين القيمة السرية.
  • بدلا من الحصول على رمز تحديث مميز في المدخل، استخدم البرنامج النصي من الخطوة السابقة للحصول على رمز تحديث مميز (أو الحصول عليه بوسائل أخرى).

إحضار التنبيهات من مستأجر عميل MSSP باستخدام واجهات برمجة التطبيقات

للحصول على معلومات حول كيفية إحضار التنبيهات باستخدام واجهة برمجة تطبيقات REST، راجع سحب التنبيهات باستخدام واجهة برمجة تطبيقات REST.

استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.