Hent Microsoft Defender XDR-hændelser
Gælder for:
Bemærk
Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.
Bemærk
Denne handling udføres af MSSP.
Du kan hente beskeder på to måder:
- Brug af SIEM-metoden
- Brug af API'er
Hvis du vil hente hændelser til dit SIEM-system, skal du udføre følgende trin:
- Trin 1: Create et tredjepartsprogram
- Trin 2: Få adgangs- og opdateringstokens fra din kundes lejer
- Trin 3: Tillad dit program på Microsoft Defender XDR
Du skal oprette et program og tildele det tilladelser til at hente beskeder fra din kundes Microsoft Defender XDR lejer.
Vælg Microsoft Entra ID>Appregistreringer.
Klik på Ny registrering.
Angiv følgende værdier:
Navn: <Tenant_name> SIEM MSSP Connector (erstat Tenant_name med lejerens viste navn)
Understøttede kontotyper: Kun konto i denne organisationsmappe
Omdirigerings-URI: Vælg Web, og skriv
https://<domain_name>/SiemMsspConnector
(erstat <domain_name> med lejernavnet)
Klik på Registrer. Programmet vises på listen over programmer, du ejer.
Vælg programmet, og klik derefter på Oversigt.
Kopiér værdien fra feltet Program-id (klient) til et sikkert sted. Det skal du bruge i næste trin.
Vælg Certifikat & hemmeligheder i det nye programpanel.
Klik på Ny klienthemmelighed.
- Beskrivelse: Angiv en beskrivelse af nøglen.
- Udløber: Vælg om 1 år
Klik på Tilføj, kopiér værdien af klienthemmeligheden til et sikkert sted. Det skal du bruge i næste trin.
I dette afsnit kan du se, hvordan du bruger et PowerShell-script til at hente tokens fra din kundes lejer. Dette script bruger programmet fra det forrige trin til at hente adgangs- og opdateringstokens ved hjælp af OAuth-godkendelseskodeflowet.
Når du har angivet dine legitimationsoplysninger, skal du give samtykke til programmet, så programmet klargøres i kundens lejer.
Create en ny mappe, og navngiv den:
MsspTokensAcquisition
.Download modulet LoginBrowser.psm1, og gem det i mappen
MsspTokensAcquisition
.Bemærk
Erstat
authorzationUrl
med på linje 30.authorizationUrl
Create en fil med følgende indhold, og gem den med navnet
MsspTokensAcquisition.ps1
i mappen:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Åbn en PowerShell-kommandoprompt med administratorrettigheder i mappen
MsspTokensAcquisition
.Kør følgende kommando:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Angiv følgende kommandoer:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Erstat <client_id> med det program-id (klient), du fik fra det forrige trin.
- Erstat <app_key> med den klienthemmelighed , du oprettede fra det forrige trin.
- Erstat <customer_tenant_id> med kundens lejer-id.
Du bliver bedt om at angive dine legitimationsoplysninger og dit samtykke. Ignorer sideomdirigering.
I PowerShell-vinduet modtager du et adgangstoken og et opdateringstoken. Gem opdateringstokenet for at konfigurere SIEM-connectoren.
Du skal tillade det program, du oprettede i Microsoft Defender XDR.
Du skal have tilladelse til at administrere portalsystemindstillinger for at tillade programmet. Ellers skal du anmode din kunde om at tillade programmet for dig.
Gå til
https://security.microsoft.com?tid=<customer_tenant_id>
(erstat <customer_tenant_id> med kundens lejer-id.Klik på Indstillinger>Slutpunkter>API'er>SIEM.
Vælg fanen MSSP .
Angiv program-id'et fra det første trin og dit lejer-id.
Klik på Godkend program.
Du kan nu downloade den relevante konfigurationsfil til din SIEM og oprette forbindelse til Microsoft Defender XDR-API'en. Du kan finde flere oplysninger under Pullbeskeder til dine SIEM-værktøjer.
- I filen Med egenskaber for ArcSight-konfigurationsfil/Splunk-godkendelse skal du skrive din programnøgle manuelt ved at angive værdien for hemmeligheden.
- I stedet for at hente et opdateringstoken i portalen skal du bruge scriptet fra det forrige trin til at hente et opdateringstoken (eller hente det på anden måde).
Du kan finde oplysninger om, hvordan du henter beskeder ved hjælp af REST API, under Pull-beskeder ved hjælp af REST API.
Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.