Leer en inglés

Compartir a través de


Capturar incidentes de Microsoft Defender XDR

Se aplica a:

Nota

Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

Nota

Esta acción la realiza el MSSP.

Hay dos maneras de capturar alertas:

  • Uso del método SIEM
  • Uso de API

Captura de incidentes en siem

Para capturar incidentes en el sistema SIEM, deberá realizar los pasos siguientes:

  • Paso 1: Create una aplicación de terceros
  • Paso 2: Obtención de tokens de acceso y actualización desde el inquilino del cliente
  • Paso 3: permitir la aplicación en Microsoft Defender XDR

Paso 1: Create una aplicación en Microsoft Entra ID

Tendrá que crear una aplicación y concederle permisos para capturar alertas del inquilino Microsoft Defender XDR del cliente.

  1. Inicie sesión en el Centro de administración Microsoft Entra.

  2. Seleccione Microsoft Entra ID>Registros de aplicaciones.

  3. Haga clic en Nuevo registro.

  4. Especifique los valores siguientes:

    • Nombre: <Tenant_name> conector SIEM MSSP (reemplace Tenant_name por el nombre para mostrar del inquilino)

    • Tipos de cuenta admitidos: solo cuenta en este directorio organizativo

    • URI de redirección: seleccione Web y escriba https://<domain_name>/SiemMsspConnector(reemplace <domain_name> por el nombre del inquilino)

  5. Haga clic en Registrar. La aplicación se muestra en la lista de aplicaciones de su propiedad.

  6. Seleccione la aplicación y haga clic en Información general.

  7. Copie el valor del campo Id. de aplicación (cliente) en un lugar seguro, lo necesitará en el paso siguiente.

  8. Seleccione Certificado & secretos en el nuevo panel de aplicación.

  9. Haga clic en Nuevo secreto de cliente.

    • Descripción: escriba una descripción para la clave.
    • Expira: Seleccionar en 1 año
  10. Haga clic en Agregar, copie el valor del secreto de cliente en un lugar seguro, lo necesitará en el paso siguiente.

Paso 2: Obtención de tokens de acceso y actualización desde el inquilino del cliente

Esta sección le guía sobre cómo usar un script de PowerShell para obtener los tokens del inquilino del cliente. Este script usa la aplicación del paso anterior para obtener los tokens de acceso y actualización mediante el flujo de código de autorización de OAuth.

Después de proporcionar sus credenciales, tendrá que conceder consentimiento a la aplicación para que la aplicación se aprovisione en el inquilino del cliente.

  1. Create una nueva carpeta y asígnele el nombre : MsspTokensAcquisition.

  2. Descargue el módulo LoginBrowser.psm1 y guárdelo en la MsspTokensAcquisition carpeta .

    Nota

    En la línea 30, reemplace por authorzationUrlauthorizationUrl.

  3. Create un archivo con el siguiente contenido y guárdelo con el nombre MsspTokensAcquisition.ps1 en la carpeta :

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Abra un símbolo del sistema de PowerShell con privilegios elevados en la MsspTokensAcquisition carpeta .

  5. Ejecute el siguiente comando: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Escriba los siguientes comandos: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Reemplace <client_id> por el identificador de aplicación (cliente) que obtuvo en el paso anterior.
    • Reemplace <app_key> por el secreto de cliente que creó en el paso anterior.
    • Reemplace <customer_tenant_id> por el identificador de inquilino del cliente.
  7. Se le pedirá que proporcione sus credenciales y su consentimiento. Omita el redireccionamiento de la página.

  8. En la ventana de PowerShell, recibirá un token de acceso y un token de actualización. Guarde el token de actualización para configurar el conector SIEM.

Paso 3: Permitir la aplicación en Microsoft Defender XDR

Tendrá que permitir la aplicación que creó en Microsoft Defender XDR.

Tendrá que tener permiso administrar la configuración del sistema del portal para permitir la aplicación. De lo contrario, deberá solicitar al cliente que le permita la aplicación.

  1. Vaya a https://security.microsoft.com?tid=<customer_tenant_id> (reemplace <customer_tenant_id> por el identificador de inquilino del cliente.

  2. Haga clic en API depuntos de conexión>>de configuración>SIEM.

  3. Seleccione la pestaña MSSP .

  4. Escriba el identificador de aplicación del primer paso y el identificador de inquilino.

  5. Haga clic en Autorizar aplicación.

Ahora puede descargar el archivo de configuración correspondiente para siem y conectarse a la API de Microsoft Defender XDR. Para obtener más información, consulte Extracción de alertas en las herramientas SIEM.

  • En el archivo de configuración de ArcSight o en el archivo de propiedades de autenticación de Splunk, escriba la clave de aplicación manualmente estableciendo el valor del secreto.
  • En lugar de adquirir un token de actualización en el portal, use el script del paso anterior para adquirir un token de actualización (o adquirirlo por otros medios).

Captura de alertas del inquilino del cliente de MSSP mediante las API

Para obtener información sobre cómo capturar alertas mediante la API REST, consulte Extracción de alertas mediante la API REST.

Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.