Načtení incidentů Microsoft Defender XDR

Platí pro:

Poznámka

Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.

Poznámka

Tuto akci provádí MSSP.

Výstrahy můžete načíst dvěma způsoby:

  • Použití metody SIEM
  • Použití rozhraní API

Načtení incidentů do SIEM

Pokud chcete do systému SIEM načíst incidenty, budete muset provést následující kroky:

  • Krok 1: Create aplikace třetí strany
  • Krok 2: Získání přístupových a obnovovacích tokenů z tenanta zákazníka
  • Krok 3: Povolení aplikace na Microsoft Defender XDR

Krok 1: Create aplikace v Microsoft Entra ID

Budete muset vytvořit aplikaci a udělit jí oprávnění k načítání upozornění z Microsoft Defender XDR tenanta zákazníka.

  1. Přihlaste se k Centrum pro správu Microsoft Entra.

  2. Vyberte Microsoft Entra ID>Registrace aplikací.

  3. Klikněte na Nová registrace.

  4. Zadejte následující hodnoty:

    • Název: <Tenant_name> KONEKTOR SIEM MSSP (nahraďte Tenant_name zobrazovaným názvem tenanta)

    • Podporované typy účtů: Účet pouze v tomto organizačním adresáři

    • Identifikátor URI přesměrování: Vyberte Web a zadejte https://<domain_name>/SiemMsspConnector(nahraďte <domain_name> názvem tenanta).

  5. Klikněte na Zaregistrovat. Aplikace se zobrazí v seznamu aplikací, které vlastníte.

  6. Vyberte aplikaci a pak klikněte na Přehled.

  7. Zkopírujte hodnotu z pole ID aplikace (klienta) na bezpečné místo, budete ji potřebovat v dalším kroku.

  8. Na novém panelu aplikace vyberte Certifikát & tajné kódy .

  9. Klikněte na Nový tajný klíč klienta.

    • Popis: Zadejte popis klíče.
    • Platnost vyprší: Vyberte Za 1 rok.
  10. Klikněte na Přidat, zkopírujte hodnotu tajného klíče klienta na bezpečné místo, které budete potřebovat v dalším kroku.

Krok 2: Získání přístupových a obnovovacích tokenů z tenanta zákazníka

V této části se dozvíte, jak pomocí skriptu PowerShellu získat tokeny z tenanta zákazníka. Tento skript používá aplikaci z předchozího kroku k získání přístupových a obnovovacích tokenů pomocí toku autorizačního kódu OAuth.

Po zadání přihlašovacích údajů budete muset aplikaci udělit souhlas, aby se aplikace zřídila v tenantovi zákazníka.

  1. Create novou složku a pojmenujte ji: MsspTokensAcquisition.

  2. Stáhněte si modul LoginBrowser.psm1 a uložte ho do MsspTokensAcquisition složky.

    Poznámka

    Na řádku 30 nahraďte za authorzationUrlauthorizationUrl.

  3. Create soubor s následujícím obsahem a uložte ho pod názvem MsspTokensAcquisition.ps1 do složky:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Ve složce otevřete příkazový řádek PowerShellu se zvýšenými oprávněními MsspTokensAcquisition .

  5. Spusťte následující příkaz: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Zadejte následující příkazy: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Nahraďte <client_id>ID aplikace (klienta), které jste získali v předchozím kroku.
    • Nahraďte <app_key>tajným kódem klienta , který jste vytvořili v předchozím kroku.
    • Nahraďte <customer_tenant_id>ID tenanta zákazníka.
  7. Budete požádáni o zadání přihlašovacích údajů a souhlasu. Přesměrovávání stránky ignorujte.

  8. V okně PowerShellu obdržíte přístupový token a obnovovací token. Uložte obnovovací token a nakonfigurujte konektor SIEM.

Krok 3: Povolení aplikace na Microsoft Defender XDR

Aplikaci, kterou jste vytvořili v Microsoft Defender XDR, budete muset povolit.

Abyste aplikaci povolili, musíte mít oprávnění Spravovat nastavení systému portálu . V opačném případě budete muset požádat zákazníka, aby vám aplikaci povolil.

  1. Přejděte na https://security.microsoft.com?tid=<customer_tenant_id> (nahraďte <customer_tenant_id> ID tenanta zákazníka.

  2. Klikněte na RozhraníAPI>koncových bodů>nastavení>SIEM.

  3. Vyberte kartu MSSP .

  4. Zadejte ID aplikace z prvního kroku a ID tenanta.

  5. Klikněte na Autorizovat aplikaci.

Teď si můžete stáhnout příslušný konfigurační soubor pro siEM a připojit se k rozhraní API Microsoft Defender XDR. Další informace najdete v tématu Upozornění na přijetí změn do nástrojů SIEM.

  • V konfiguračním souboru ArcSightu / vlastnosti ověřování Splunk zapište klíč aplikace ručně nastavením hodnoty tajného kódu.
  • Místo získání obnovovacího tokenu na portálu použijte skript z předchozího kroku k získání obnovovacího tokenu (nebo ho získáte jiným způsobem).

Načtení upozornění z tenanta zákazníka MSSP pomocí rozhraní API

Informace o tom, jak načíst upozornění pomocí rozhraní REST API, najdete v tématu Upozornění na vyžádání pomocí rozhraní REST API.

Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.