Načtení incidentů Microsoft Defender XDR
Platí pro:
Poznámka
Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.
Poznámka
Tuto akci provádí MSSP.
Výstrahy můžete načíst dvěma způsoby:
- Použití metody SIEM
- Použití rozhraní API
Pokud chcete do systému SIEM načíst incidenty, budete muset provést následující kroky:
- Krok 1: Create aplikace třetí strany
- Krok 2: Získání přístupových a obnovovacích tokenů z tenanta zákazníka
- Krok 3: Povolení aplikace na Microsoft Defender XDR
Budete muset vytvořit aplikaci a udělit jí oprávnění k načítání upozornění z Microsoft Defender XDR tenanta zákazníka.
Přihlaste se k Centrum pro správu Microsoft Entra.
Vyberte Microsoft Entra ID>Registrace aplikací.
Klikněte na Nová registrace.
Zadejte následující hodnoty:
Název: <Tenant_name> KONEKTOR SIEM MSSP (nahraďte Tenant_name zobrazovaným názvem tenanta)
Podporované typy účtů: Účet pouze v tomto organizačním adresáři
Identifikátor URI přesměrování: Vyberte Web a zadejte
https://<domain_name>/SiemMsspConnector
(nahraďte <domain_name> názvem tenanta).
Klikněte na Zaregistrovat. Aplikace se zobrazí v seznamu aplikací, které vlastníte.
Vyberte aplikaci a pak klikněte na Přehled.
Zkopírujte hodnotu z pole ID aplikace (klienta) na bezpečné místo, budete ji potřebovat v dalším kroku.
Na novém panelu aplikace vyberte Certifikát & tajné kódy .
Klikněte na Nový tajný klíč klienta.
- Popis: Zadejte popis klíče.
- Platnost vyprší: Vyberte Za 1 rok.
Klikněte na Přidat, zkopírujte hodnotu tajného klíče klienta na bezpečné místo, které budete potřebovat v dalším kroku.
V této části se dozvíte, jak pomocí skriptu PowerShellu získat tokeny z tenanta zákazníka. Tento skript používá aplikaci z předchozího kroku k získání přístupových a obnovovacích tokenů pomocí toku autorizačního kódu OAuth.
Po zadání přihlašovacích údajů budete muset aplikaci udělit souhlas, aby se aplikace zřídila v tenantovi zákazníka.
Create novou složku a pojmenujte ji:
MsspTokensAcquisition
.Stáhněte si modul LoginBrowser.psm1 a uložte ho do
MsspTokensAcquisition
složky.Poznámka
Na řádku 30 nahraďte za
authorzationUrl
authorizationUrl
.Create soubor s následujícím obsahem a uložte ho pod názvem
MsspTokensAcquisition.ps1
do složky:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Ve složce otevřete příkazový řádek PowerShellu se zvýšenými oprávněními
MsspTokensAcquisition
.Spusťte následující příkaz:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Zadejte následující příkazy:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Nahraďte <client_id>ID aplikace (klienta), které jste získali v předchozím kroku.
- Nahraďte <app_key>tajným kódem klienta , který jste vytvořili v předchozím kroku.
- Nahraďte <customer_tenant_id>ID tenanta zákazníka.
Budete požádáni o zadání přihlašovacích údajů a souhlasu. Přesměrovávání stránky ignorujte.
V okně PowerShellu obdržíte přístupový token a obnovovací token. Uložte obnovovací token a nakonfigurujte konektor SIEM.
Aplikaci, kterou jste vytvořili v Microsoft Defender XDR, budete muset povolit.
Abyste aplikaci povolili, musíte mít oprávnění Spravovat nastavení systému portálu . V opačném případě budete muset požádat zákazníka, aby vám aplikaci povolil.
Přejděte na
https://security.microsoft.com?tid=<customer_tenant_id>
(nahraďte <customer_tenant_id> ID tenanta zákazníka.Klikněte na RozhraníAPI>koncových bodů>nastavení>SIEM.
Vyberte kartu MSSP .
Zadejte ID aplikace z prvního kroku a ID tenanta.
Klikněte na Autorizovat aplikaci.
Teď si můžete stáhnout příslušný konfigurační soubor pro siEM a připojit se k rozhraní API Microsoft Defender XDR. Další informace najdete v tématu Upozornění na přijetí změn do nástrojů SIEM.
- V konfiguračním souboru ArcSightu / vlastnosti ověřování Splunk zapište klíč aplikace ručně nastavením hodnoty tajného kódu.
- Místo získání obnovovacího tokenu na portálu použijte skript z předchozího kroku k získání obnovovacího tokenu (nebo ho získáte jiným způsobem).
Informace o tom, jak načíst upozornění pomocí rozhraní REST API, najdete v tématu Upozornění na vyžádání pomocí rozhraní REST API.
Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.