Læs på engelsk

Del via


Hent Microsoft Defender XDR-hændelser

Gælder for:

Bemærk

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Bemærk

Denne handling udføres af MSSP.

Du kan hente beskeder på to måder:

  • Brug af SIEM-metoden
  • Brug af API'er

Hent hændelser i din SIEM

Hvis du vil hente hændelser til dit SIEM-system, skal du udføre følgende trin:

  • Trin 1: Create et tredjepartsprogram
  • Trin 2: Få adgangs- og opdateringstokens fra din kundes lejer
  • Trin 3: Tillad dit program på Microsoft Defender XDR

Trin 1: Create et program i Microsoft Entra ID

Du skal oprette et program og tildele det tilladelser til at hente beskeder fra din kundes Microsoft Defender XDR lejer.

  1. Log på Microsoft Entra-administrationscenter.

  2. Vælg Microsoft Entra ID>Appregistreringer.

  3. Klik på Ny registrering.

  4. Angiv følgende værdier:

    • Navn: <Tenant_name> SIEM MSSP Connector (erstat Tenant_name med lejerens viste navn)

    • Understøttede kontotyper: Kun konto i denne organisationsmappe

    • Omdirigerings-URI: Vælg Web, og skriv https://<domain_name>/SiemMsspConnector(erstat <domain_name> med lejernavnet)

  5. Klik på Registrer. Programmet vises på listen over programmer, du ejer.

  6. Vælg programmet, og klik derefter på Oversigt.

  7. Kopiér værdien fra feltet Program-id (klient) til et sikkert sted. Det skal du bruge i næste trin.

  8. Vælg Certifikat & hemmeligheder i det nye programpanel.

  9. Klik på Ny klienthemmelighed.

    • Beskrivelse: Angiv en beskrivelse af nøglen.
    • Udløber: Vælg om 1 år
  10. Klik på Tilføj, kopiér værdien af klienthemmeligheden til et sikkert sted. Det skal du bruge i næste trin.

Trin 2: Få adgangs- og opdateringstokens fra din kundes lejer

I dette afsnit kan du se, hvordan du bruger et PowerShell-script til at hente tokens fra din kundes lejer. Dette script bruger programmet fra det forrige trin til at hente adgangs- og opdateringstokens ved hjælp af OAuth-godkendelseskodeflowet.

Når du har angivet dine legitimationsoplysninger, skal du give samtykke til programmet, så programmet klargøres i kundens lejer.

  1. Create en ny mappe, og navngiv den: MsspTokensAcquisition.

  2. Download modulet LoginBrowser.psm1, og gem det i mappen MsspTokensAcquisition .

    Bemærk

    Erstat authorzationUrl med på linje 30.authorizationUrl

  3. Create en fil med følgende indhold, og gem den med navnet MsspTokensAcquisition.ps1 i mappen:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Åbn en PowerShell-kommandoprompt med administratorrettigheder i mappen MsspTokensAcquisition .

  5. Kør følgende kommando: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Angiv følgende kommandoer: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Erstat <client_id> med det program-id (klient), du fik fra det forrige trin.
    • Erstat <app_key> med den klienthemmelighed , du oprettede fra det forrige trin.
    • Erstat <customer_tenant_id> med kundens lejer-id.
  7. Du bliver bedt om at angive dine legitimationsoplysninger og dit samtykke. Ignorer sideomdirigering.

  8. I PowerShell-vinduet modtager du et adgangstoken og et opdateringstoken. Gem opdateringstokenet for at konfigurere SIEM-connectoren.

Trin 3: Tillad dit program på Microsoft Defender XDR

Du skal tillade det program, du oprettede i Microsoft Defender XDR.

Du skal have tilladelse til at administrere portalsystemindstillinger for at tillade programmet. Ellers skal du anmode din kunde om at tillade programmet for dig.

  1. Gå til https://security.microsoft.com?tid=<customer_tenant_id> (erstat <customer_tenant_id> med kundens lejer-id.

  2. Klik på Indstillinger>Slutpunkter>API'er>SIEM.

  3. Vælg fanen MSSP .

  4. Angiv program-id'et fra det første trin og dit lejer-id.

  5. Klik på Godkend program.

Du kan nu downloade den relevante konfigurationsfil til din SIEM og oprette forbindelse til Microsoft Defender XDR-API'en. Du kan finde flere oplysninger under Pullbeskeder til dine SIEM-værktøjer.

  • I filen Med egenskaber for ArcSight-konfigurationsfil/Splunk-godkendelse skal du skrive din programnøgle manuelt ved at angive værdien for hemmeligheden.
  • I stedet for at hente et opdateringstoken i portalen skal du bruge scriptet fra det forrige trin til at hente et opdateringstoken (eller hente det på anden måde).

Hent beskeder fra MSSP-kundens lejer ved hjælp af API'er

Du kan finde oplysninger om, hvordan du henter beskeder ved hjælp af REST API, under Pull-beskeder ved hjælp af REST API.

Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.