Načtení upozornění z tenanta zákazníka MSSP

Článek
04/27/2024

Platí pro:

Poznámka

Tuto akci provádí MSSP.

Výstrahy můžete načíst dvěma způsoby:

Použití metody SIEM
Použití rozhraní API

Načtení upozornění do SIEM

Pokud chcete načíst upozornění do systému SIEM, budete muset provést následující kroky:

Krok 1: Create aplikace třetí strany
Krok 2: Získání přístupových a obnovovacích tokenů z tenanta zákazníka
Krok 3: Povolení aplikace na Microsoft Defender XDR

Krok 1: Create aplikace v Microsoft Entra ID

Budete muset vytvořit aplikaci a udělit jí oprávnění k načítání upozornění z Microsoft Defender XDR tenanta zákazníka.

Přihlaste se k Centrum pro správu Microsoft Entra.
Vyberte Microsoft Entra ID>Registrace aplikací.
Klikněte na Nová registrace.
Zadejte následující hodnoty:
- Název: <Tenant_name> KONEKTOR SIEM MSSP (nahraďte Tenant_name zobrazovaným názvem tenanta)
- Podporované typy účtů: Účet pouze v tomto organizačním adresáři
- Identifikátor URI přesměrování: Vyberte Web a zadejte https://<domain_name>/SiemMsspConnector(nahraďte <domain_name> názvem tenanta).
Klikněte na Zaregistrovat. Aplikace se zobrazí v seznamu aplikací, které vlastníte.
Vyberte aplikaci a pak klikněte na Přehled.
Zkopírujte hodnotu z pole ID aplikace (klienta) na bezpečné místo, budete ji potřebovat v dalším kroku.
Na novém panelu aplikace vyberte Certifikát & tajné kódy .
Klikněte na Nový tajný klíč klienta.
- Popis: Zadejte popis klíče.
- Platnost vyprší: Vyberte Za 1 rok.
Klikněte na Přidat, zkopírujte hodnotu tajného klíče klienta na bezpečné místo, které budete potřebovat v dalším kroku.

Krok 2: Získání přístupových a obnovovacích tokenů z tenanta zákazníka

V této části se dozvíte, jak pomocí skriptu PowerShellu získat tokeny z tenanta zákazníka. Tento skript používá aplikaci z předchozího kroku k získání přístupových a obnovovacích tokenů pomocí toku autorizačního kódu OAuth.

Po zadání přihlašovacích údajů budete muset aplikaci udělit souhlas, aby se aplikace zřídila v tenantovi zákazníka.

Create novou složku a pojmenujte ji: MsspTokensAcquisition.
Stáhněte si modul LoginBrowser.psm1 a uložte ho do MsspTokensAcquisition složky.

Poznámka

Na řádku 30 nahraďte za authorzationUrlauthorizationUrl.

Create soubor s následujícím obsahem a uložte ho pod názvem MsspTokensAcquisition.ps1 do složky:

param (
    [Parameter(Mandatory=$true)][string]$clientId,
    [Parameter(Mandatory=$true)][string]$secret,
    [Parameter(Mandatory=$true)][string]$tenantId
)
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

# Load our Login Browser Function
Import-Module .\LoginBrowser.psm1

# Configuration parameters
$login = "https://login.microsoftonline.com"
$redirectUri = "https://SiemMsspConnector"
$resourceId = "https://graph.windows.net"

Write-Host 'Prompt the user for his credentials, to get an authorization code'
$authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                    $login, $tenantId, $clientId, $redirectUri, $resourceId)
Write-Host "authorzationUrl: $authorizationUrl"

# Fake a proper endpoint for the Redirect URI
$code = LoginBrowser $authorizationUrl $redirectUri

# Acquire token using the authorization code

$Body = @{
    grant_type = 'authorization_code'
    client_id = $clientId
    code = $code
    redirect_uri = $redirectUri
    resource = $resourceId
    client_secret = $secret
}

$tokenEndpoint = "$login/$tenantId/oauth2/token?"
$Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
$token = $Response.access_token
$refreshToken= $Response.refresh_token

Write-Host " ----------------------------------- TOKEN ---------------------------------- "
Write-Host $token

Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
Write-Host $refreshToken

Ve složce otevřete příkazový řádek PowerShellu se zvýšenými oprávněními MsspTokensAcquisition .
Spusťte následující příkaz: Set-ExecutionPolicy -ExecutionPolicy Bypass
Zadejte následující příkazy: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Nahraďte <client_id>ID aplikace (klienta), které jste získali v předchozím kroku.
- Nahraďte <app_key>tajným kódem klienta , který jste vytvořili v předchozím kroku.
- Nahraďte <customer_tenant_id>ID tenanta zákazníka.
Budete požádáni o zadání přihlašovacích údajů a souhlasu. Přesměrovávání stránky ignorujte.
V okně PowerShellu obdržíte přístupový token a obnovovací token. Uložte obnovovací token a nakonfigurujte konektor SIEM.

Krok 3: Povolení aplikace na Microsoft Defender XDR

Aplikaci, kterou jste vytvořili v Microsoft Defender XDR, budete muset povolit.

Abyste aplikaci povolili, musíte mít oprávnění Spravovat nastavení systému portálu . V opačném případě budete muset požádat zákazníka, aby vám aplikaci povolil.

Přejděte na https://security.microsoft.com?tid=<customer_tenant_id> (nahraďte <customer_tenant_id> ID tenanta zákazníka.
Klikněte na RozhraníAPI>koncových bodů>nastavení>SIEM.
Vyberte kartu MSSP .
Zadejte ID aplikace z prvního kroku a ID tenanta.
Klikněte na Autorizovat aplikaci.

Teď si můžete stáhnout příslušný konfigurační soubor pro siEM a připojit se k rozhraní API Microsoft Defender XDR. Další informace najdete v tématu Upozornění na přijetí změn do nástrojů SIEM.

V konfiguračním souboru ArcSightu / vlastnosti ověřování Splunk zapište klíč aplikace ručně nastavením hodnoty tajného kódu.
Místo získání obnovovacího tokenu na portálu použijte skript z předchozího kroku k získání obnovovacího tokenu (nebo ho získáte jiným způsobem).