Hent Microsoft Defender XDR-hændelser
Gælder for:
Bemærk!
Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.
Bemærk!
Denne handling udføres af MSSP.
Du kan hente beskeder på to måder:
- Brug af SIEM-metoden
- Brug af API'er
Hent hændelser i din SIEM
Hvis du vil hente hændelser til dit SIEM-system, skal du udføre følgende trin:
- Trin 1: Create et tredjepartsprogram
- Trin 2: Få adgangs- og opdateringstokens fra din kundes lejer
- Trin 3: Tillad dit program på Microsoft Defender XDR
Trin 1: Create et program i Microsoft Entra ID
Du skal oprette et program og tildele det tilladelser til at hente beskeder fra din kundes Microsoft Defender XDR lejer.
Vælg Microsoft Entra ID>Appregistreringer.
Klik på Ny registrering.
Angiv følgende værdier:
Navn: <Tenant_name> SIEM MSSP Connector (erstat Tenant_name med lejerens viste navn)
Understøttede kontotyper: Kun konto i denne organisationsmappe
Omdirigerings-URI: Vælg Web, og skriv
https://<domain_name>/SiemMsspConnector
(erstat <domain_name> med lejernavnet)
Klik på Registrer. Programmet vises på listen over programmer, du ejer.
Vælg programmet, og klik derefter på Oversigt.
Kopiér værdien fra feltet Program-id (klient) til et sikkert sted. Det skal du bruge i næste trin.
Vælg Certifikat & hemmeligheder i det nye programpanel.
Klik på Ny klienthemmelighed.
- Beskrivelse: Angiv en beskrivelse af nøglen.
- Udløber: Vælg om 1 år
Klik på Tilføj, kopiér værdien af klienthemmeligheden til et sikkert sted. Det skal du bruge i næste trin.
Trin 2: Få adgangs- og opdateringstokens fra din kundes lejer
I dette afsnit kan du se, hvordan du bruger et PowerShell-script til at hente tokens fra din kundes lejer. Dette script bruger programmet fra det forrige trin til at hente adgangs- og opdateringstokens ved hjælp af OAuth-godkendelseskodeflowet.
Når du har angivet dine legitimationsoplysninger, skal du give samtykke til programmet, så programmet klargøres i kundens lejer.
Create en ny mappe, og navngiv den:
MsspTokensAcquisition
.Download modulet LoginBrowser.psm1, og gem det i mappen
MsspTokensAcquisition
.Bemærk!
Erstat
authorzationUrl
med på linje 30.authorizationUrl
Create en fil med følgende indhold, og gem den med navnet
MsspTokensAcquisition.ps1
i mappen:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Åbn en PowerShell-kommandoprompt med administratorrettigheder i mappen
MsspTokensAcquisition
.Kør følgende kommando:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Angiv følgende kommandoer:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Erstat <client_id> med det program-id (klient), du fik fra det forrige trin.
- Erstat <app_key> med den klienthemmelighed , du oprettede fra det forrige trin.
- Erstat <customer_tenant_id> med kundens lejer-id.
Du bliver bedt om at angive dine legitimationsoplysninger og dit samtykke. Ignorer sideomdirigering.
I PowerShell-vinduet modtager du et adgangstoken og et opdateringstoken. Gem opdateringstokenet for at konfigurere SIEM-connectoren.
Trin 3: Tillad dit program på Microsoft Defender XDR
Du skal tillade det program, du oprettede i Microsoft Defender XDR.
Du skal have tilladelse til at administrere portalsystemindstillinger for at tillade programmet. Ellers skal du anmode din kunde om at tillade programmet for dig.
Gå til
https://security.microsoft.com?tid=<customer_tenant_id>
(erstat <customer_tenant_id> med kundens lejer-id.Klik på Indstillinger>Slutpunkter>API'er>SIEM.
Vælg fanen MSSP .
Angiv program-id'et fra det første trin og dit lejer-id.
Klik på Godkend program.
Du kan nu downloade den relevante konfigurationsfil til din SIEM og oprette forbindelse til Microsoft Defender XDR-API'en. Du kan finde flere oplysninger under Pullbeskeder til dine SIEM-værktøjer.
- I filen Med egenskaber for ArcSight-konfigurationsfil/Splunk-godkendelse skal du skrive din programnøgle manuelt ved at angive værdien for hemmeligheden.
- I stedet for at hente et opdateringstoken i portalen skal du bruge scriptet fra det forrige trin til at hente et opdateringstoken (eller hente det på anden måde).
Hent beskeder fra MSSP-kundens lejer ved hjælp af API'er
Du kan finde oplysninger om, hvordan du henter beskeder ved hjælp af REST API, under Pull-beskeder ved hjælp af REST API.
Relaterede emner
Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.