Capturar incidentes de Microsoft Defender XDR
Se aplica a:
Nota
Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.
Nota
Esta acción la realiza el MSSP.
Hay dos maneras de capturar alertas:
- Uso del método SIEM
- Uso de API
Para capturar incidentes en el sistema SIEM, deberá realizar los pasos siguientes:
- Paso 1: Create una aplicación de terceros
- Paso 2: Obtención de tokens de acceso y actualización desde el inquilino del cliente
- Paso 3: permitir la aplicación en Microsoft Defender XDR
Tendrá que crear una aplicación y concederle permisos para capturar alertas del inquilino Microsoft Defender XDR del cliente.
Inicie sesión en el Centro de administración Microsoft Entra.
Seleccione Microsoft Entra ID>Registros de aplicaciones.
Haga clic en Nuevo registro.
Especifique los valores siguientes:
Nombre: <Tenant_name> conector SIEM MSSP (reemplace Tenant_name por el nombre para mostrar del inquilino)
Tipos de cuenta admitidos: solo cuenta en este directorio organizativo
URI de redirección: seleccione Web y escriba
https://<domain_name>/SiemMsspConnector
(reemplace <domain_name> por el nombre del inquilino)
Haga clic en Registrar. La aplicación se muestra en la lista de aplicaciones de su propiedad.
Seleccione la aplicación y haga clic en Información general.
Copie el valor del campo Id. de aplicación (cliente) en un lugar seguro, lo necesitará en el paso siguiente.
Seleccione Certificado & secretos en el nuevo panel de aplicación.
Haga clic en Nuevo secreto de cliente.
- Descripción: escriba una descripción para la clave.
- Expira: Seleccionar en 1 año
Haga clic en Agregar, copie el valor del secreto de cliente en un lugar seguro, lo necesitará en el paso siguiente.
Esta sección le guía sobre cómo usar un script de PowerShell para obtener los tokens del inquilino del cliente. Este script usa la aplicación del paso anterior para obtener los tokens de acceso y actualización mediante el flujo de código de autorización de OAuth.
Después de proporcionar sus credenciales, tendrá que conceder consentimiento a la aplicación para que la aplicación se aprovisione en el inquilino del cliente.
Create una nueva carpeta y asígnele el nombre :
MsspTokensAcquisition
.Descargue el módulo LoginBrowser.psm1 y guárdelo en la
MsspTokensAcquisition
carpeta .Nota
En la línea 30, reemplace por
authorzationUrl
authorizationUrl
.Create un archivo con el siguiente contenido y guárdelo con el nombre
MsspTokensAcquisition.ps1
en la carpeta :param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Abra un símbolo del sistema de PowerShell con privilegios elevados en la
MsspTokensAcquisition
carpeta .Ejecute el siguiente comando:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Escriba los siguientes comandos:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Reemplace <client_id> por el identificador de aplicación (cliente) que obtuvo en el paso anterior.
- Reemplace <app_key> por el secreto de cliente que creó en el paso anterior.
- Reemplace <customer_tenant_id> por el identificador de inquilino del cliente.
Se le pedirá que proporcione sus credenciales y su consentimiento. Omita el redireccionamiento de la página.
En la ventana de PowerShell, recibirá un token de acceso y un token de actualización. Guarde el token de actualización para configurar el conector SIEM.
Tendrá que permitir la aplicación que creó en Microsoft Defender XDR.
Tendrá que tener permiso administrar la configuración del sistema del portal para permitir la aplicación. De lo contrario, deberá solicitar al cliente que le permita la aplicación.
Vaya a
https://security.microsoft.com?tid=<customer_tenant_id>
(reemplace <customer_tenant_id> por el identificador de inquilino del cliente.Haga clic en API depuntos de conexión>>de configuración>SIEM.
Seleccione la pestaña MSSP .
Escriba el identificador de aplicación del primer paso y el identificador de inquilino.
Haga clic en Autorizar aplicación.
Ahora puede descargar el archivo de configuración correspondiente para siem y conectarse a la API de Microsoft Defender XDR. Para obtener más información, consulte Extracción de alertas en las herramientas SIEM.
- En el archivo de configuración de ArcSight o en el archivo de propiedades de autenticación de Splunk, escriba la clave de aplicación manualmente estableciendo el valor del secreto.
- En lugar de adquirir un token de actualización en el portal, use el script del paso anterior para adquirir un token de actualización (o adquirirlo por otros medios).
Para obtener información sobre cómo capturar alertas mediante la API REST, consulte Extracción de alertas mediante la API REST.
Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.