Freigeben über


Abrufen von Microsoft Defender XDR-Vorfällen

Gilt für:

Hinweis

Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.

Hinweis

Diese Aktion wird vom MSSP ausgeführt.

Es gibt zwei Möglichkeiten, Warnungen abzurufen:

  • Verwenden der SIEM-Methode
  • Verwenden von APIs

Abrufen von Incidents in Ihre SIEM-Datei

Um Incidents in Ihr SIEM-System abzurufen, müssen Sie die folgenden Schritte ausführen:

  • Schritt 1: Create einer Drittanbieteranwendung
  • Schritt 2: Abrufen von Zugriffs- und Aktualisierungstoken vom Mandanten Ihres Kunden
  • Schritt 3: Zulassen ihrer Anwendung auf Microsoft Defender XDR

Schritt 1: Create einer Anwendung in Microsoft Entra ID

Sie müssen eine Anwendung erstellen und ihr Berechtigungen zum Abrufen von Warnungen vom Microsoft Defender XDR Mandanten Ihres Kunden erteilen.

  1. Melden Sie sich beim Microsoft Entra Admin Centeran.

  2. Wählen Sie Microsoft Entra ID>App-Registrierungen aus.

  3. Klicken Sie auf Neue Registrierung.

  4. Geben Sie die folgenden Werte an:

    • Name: <Tenant_name> SIEM MSSP-Connector (ersetzen Sie Tenant_name durch den Anzeigenamen des Mandanten).

    • Unterstützte Kontotypen: Nur Konto in diesem Organisationsverzeichnis

    • Umleitungs-URI: Wählen Sie Web aus, und geben Sie ein https://<domain_name>/SiemMsspConnector(ersetzen Sie <domain_name> durch den Mandantennamen).

  5. Klicken Sie auf Registrieren. Die Anwendung wird in der Liste der Anwendungen angezeigt, die Sie besitzen.

  6. Wählen Sie die Anwendung aus, und klicken Sie dann auf Übersicht.

  7. Kopieren Sie den Wert aus dem Feld Anwendungs-ID (Client-ID) an einen sicheren Ort. Sie benötigen dies im nächsten Schritt.

  8. Wählen Sie im bereich "Neue Anwendung " die Option Zertifikat & Geheimnisse aus.

  9. Klicken Sie auf Neuer geheimer Clientschlüssel.

    • Beschreibung: Geben Sie eine Beschreibung für den Schlüssel ein.
    • Läuft ab: Wählen Sie In 1 Jahr aus.
  10. Klicken Sie auf Hinzufügen, kopieren Sie den Wert des geheimen Clientschlüssels an einen sicheren Ort. Dies wird im nächsten Schritt benötigt.

Schritt 2: Abrufen von Zugriffs- und Aktualisierungstoken vom Mandanten Ihres Kunden

In diesem Abschnitt erfahren Sie, wie Sie ein PowerShell-Skript verwenden, um die Token vom Mandanten Ihres Kunden abzurufen. Dieses Skript verwendet die Anwendung aus dem vorherigen Schritt, um die Zugriffs- und Aktualisierungstoken mithilfe des OAuth-Autorisierungscodeflows abzurufen.

Nachdem Sie Ihre Anmeldeinformationen angegeben haben, müssen Sie der Anwendung ihre Zustimmung erteilen, damit die Anwendung im Mandanten des Kunden bereitgestellt wird.

  1. Create einen neuen Ordner, und nennen Sie ihn: MsspTokensAcquisition.

  2. Laden Sie das Modul LoginBrowser.psm1 herunter, und speichern Sie es im MsspTokensAcquisition Ordner.

    Hinweis

    Ersetzen Sie in authorzationUrl Zeile 30 durch authorizationUrl.

  3. Create eine Datei mit dem folgenden Inhalt, und speichern Sie sie mit dem Namen MsspTokensAcquisition.ps1 im Ordner:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten im MsspTokensAcquisition Ordner.

  5. Führen Sie den folgenden Befehl aus: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Geben Sie die folgenden Befehle ein: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Ersetzen Sie <client_id> durch die Anwendungs-ID (Client), die Sie aus dem vorherigen Schritt erhalten haben.
    • Ersetzen Sie <app_key> durch den geheimen Clientschlüssel , den Sie im vorherigen Schritt erstellt haben.
    • Ersetzen Sie <customer_tenant_id> durch die Mandanten-ID Ihres Kunden.
  7. Sie werden aufgefordert, Ihre Anmeldeinformationen und Ihre Zustimmung anzugeben. Ignorieren Sie die Seitenumleitung.

  8. Im PowerShell-Fenster erhalten Sie ein Zugriffstoken und ein Aktualisierungstoken. Speichern Sie das Aktualisierungstoken, um Ihren SIEM-Connector zu konfigurieren.

Schritt 3: Zulassen ihrer Anwendung auf Microsoft Defender XDR

Sie müssen die Anwendung zulassen, die Sie in Microsoft Defender XDR erstellt haben.

Sie müssen über die Berechtigung Zum Verwalten von Portal-Systemeinstellungen verfügen, um die Anwendung zuzulassen. Andernfalls müssen Sie Ihren Kunden bitten, die Anwendung für Sie zuzulassen.

  1. Wechseln Sie zu https://security.microsoft.com?tid=<customer_tenant_id> (ersetzen Sie <customer_tenant_id> durch die Mandanten-ID des Kunden.

  2. Klicken Sie auf Einstellungen>Endpunkte-APIs>>SIEM.

  3. Wählen Sie die Registerkarte MSSP aus.

  4. Geben Sie die Anwendungs-ID aus dem ersten Schritt und Ihre Mandanten-ID ein.

  5. Klicken Sie auf Anwendung autorisieren.

Sie können jetzt die relevante Konfigurationsdatei für Ihr SIEM herunterladen und eine Verbindung mit der Microsoft Defender XDR-API herstellen. Weitere Informationen finden Sie unter Pullen von Warnungen in Ihre SIEM-Tools.

  • Schreiben Sie ihren Anwendungsschlüssel manuell in die Datei ArcSight-Konfigurationsdatei/Splunk-Authentifizierungseigenschaften, indem Sie den Geheimniswert festlegen.
  • Anstatt ein Aktualisierungstoken im Portal abzurufen, verwenden Sie das Skript aus dem vorherigen Schritt, um ein Aktualisierungstoken abzurufen (oder es auf andere Weise abzurufen).

Abrufen von Warnungen vom Mandanten des MSSP-Kunden mithilfe von APIs

Informationen zum Abrufen von Warnungen mithilfe der REST-API finden Sie unter Pullen von Warnungen mithilfe der REST-API.

Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.