Ilmoitusten noutaminen MSSP-asiakasvuokraajasta

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Huomautus

MSSP toteuttaa tämän toiminnon.

Voit noutaa ilmoituksia kahdella tavalla:

• SIEM-menetelmän käyttäminen
• Ohjelmointirajapintoja käyttämällä

Ilmoitusten noutaminen siem-laitteeseesi

Jos haluat noutaa hälytyksiä SIEM-järjestelmääsi, sinun on suoritettava seuraavat vaiheet:

• Vaihe 1: kolmannen osapuolen sovelluksen Create
• Vaihe 2: Hanki käyttöoikeus- ja päivitystunnukset asiakkaan vuokraajasta
• Vaihe 3: salli sovelluksesi Microsoft Defender XDR

Vaihe 1: sovelluksen Create Microsoft Entra ID

Sinun on luotava sovellus ja myönnettävä sille oikeudet noutaa ilmoituksia asiakkaan Microsoft Defender XDR vuokraajasta.

1. Kirjaudu sisään Microsoft Entra -hallintakeskus.

2. Valitse Microsoft Entra ID>Sovelluksen rekisteröinnit.

3. Valitse Uusi rekisteröinti.

4. Määritä seuraavat arvot:

   • Nimi: <Tenant_name> SIEM MSSP Connector (korvaa Tenant_name vuokraajan näyttönimellä)

   • Tuetut tilityypit: Vain tämän organisaatiohakemiston tili

   • Uudelleenohjauksen URI: Valitse verkko ja kirjoita https://<domain_name>/SiemMsspConnector(korvaa <domain_name> vuokraajan nimellä)

5. Valitse Rekisteröi. Sovellus näkyy omistamieni sovellusten luettelossa.

6. Valitse sovellus ja valitse sitten Yleiskatsaus.

7. Kopioi arvo Sovelluksen (asiakkaan) tunnus -kentästä turvalliseen paikkaan. Tarvitset sitä seuraavassa vaiheessa.

8. Valitse Uudessa sovelluspaneelissa Varmenne & salaisuuksia .

9. Valitse Uusi asiakassalaisuus.

   • Kuvaus: Kirjoita avaimen kuvaus.
   • Vanhentuu: Valitse 1 vuoden kuluttua

10. Valitse Lisää, kopioi asiakassalaisuuden arvo turvalliseen paikkaan. Tarvitset tätä seuraavassa vaiheessa.

Vaihe 2: Hanki käyttöoikeus- ja päivitystunnukset asiakkaan vuokraajasta

Tässä osiossa kerrotaan, miten saat tunnukset asiakkaan vuokraajasta PowerShell-komentosarjan avulla. Tämä komentosarja käyttää edellisen vaiheen sovellusta käyttöoikeuksien ja päivitystunnusten hankkimiseen OAuth-valtuutuskoodin työnkulun avulla.

Kun olet antanut tunnistetietosi, sinun on myönnettävä suostumus sovellukselle, jotta sovellus valmistellaan asiakkaan vuokraajassa.

1. Create uuden kansion ja anna sille nimi: MsspTokensAcquisition.

2. Lataa LoginBrowser.psm1-moduuli ja tallenna se kansioon MsspTokensAcquisition .

   Huomautus

   Korvaa rivillä 30 arvolla authorzationUrlauthorizationUrl.

3. Create tiedoston, jossa on seuraava sisältö, ja tallenna se nimellä MsspTokensAcquisition.ps1 kansioon:

   param (
       [Parameter(Mandatory=$true)][string]$clientId,
       [Parameter(Mandatory=$true)][string]$secret,
       [Parameter(Mandatory=$true)][string]$tenantId
   )
   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   
   # Load our Login Browser Function
   Import-Module .\LoginBrowser.psm1
   
   # Configuration parameters
   $login = "https://login.microsoftonline.com"
   $redirectUri = "https://SiemMsspConnector"
   $resourceId = "https://graph.windows.net"
   
   Write-Host 'Prompt the user for his credentials, to get an authorization code'
   $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                       $login, $tenantId, $clientId, $redirectUri, $resourceId)
   Write-Host "authorzationUrl: $authorizationUrl"
   
   # Fake a proper endpoint for the Redirect URI
   $code = LoginBrowser $authorizationUrl $redirectUri
   
   # Acquire token using the authorization code
   
   $Body = @{
       grant_type = 'authorization_code'
       client_id = $clientId
       code = $code
       redirect_uri = $redirectUri
       resource = $resourceId
       client_secret = $secret
   }
   
   $tokenEndpoint = "$login/$tenantId/oauth2/token?"
   $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
   $token = $Response.access_token
   $refreshToken= $Response.refresh_token
   
   Write-Host " ----------------------------------- TOKEN ---------------------------------- "
   Write-Host $token
   
   Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
   Write-Host $refreshToken
   

4. Avaa laajennetun PowerShell-komentokehotteen kansiossa MsspTokensAcquisition .

5. Suorita seuraava komento: Set-ExecutionPolicy -ExecutionPolicy Bypass

6. Anna seuraavat komennot: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

   • Korvaa <client_id>sovelluksen (asiakkaan) tunnuksella , jonka sait edellisestä vaiheesta.
   • Korvaa <app_key>asiakassalaiksella , jonka loit edellisessä vaiheessa.
   • Korvaa <customer_tenant_id> asiakkaan vuokraajatunnuksella.

7. Sinua pyydetään antamaan tunnistetietosi ja suostumuksesi. Ohita sivun uudelleenohjaus.

8. Saat PowerShell-ikkunassa käyttöoikeustietueen ja päivitystunnuksen. Tallenna päivitystunnus SIEM-liittimen määrittämista varten.

Vaihe 3: Salli sovelluksesi Microsoft Defender XDR

Sinun on sallittava Microsoft Defender XDR luomasi sovellus.

Sinulla on oltava portaalijärjestelmän hallinta -käyttöoikeus , jotta voit sallia sovelluksen. Muussa tapauksessa sinun on pyydettävä asiakasta sallimaan sovellus puolestasi.

1. Siirry kohtaan https://security.microsoft.com?tid=<customer_tenant_id> (korvaa <customer_tenant_id> asiakkaan vuokraajatunnuksella.

2. Valitse Asetukset>Päätepisteiden ohjelmointirajapinnat>>SIEM.

3. Valitse MSSP-välilehti .

4. Anna sovellustunnus ensimmäisestä vaiheesta ja vuokraajatunnuksesi.

5. Valitse Valtuuta sovellus.

Voit nyt ladata asianmukaisen määritystiedoston SIEM:lle ja muodostaa yhteyden Microsoft Defender XDR-ohjelmointirajapintaan. Lisätietoja on kohdassa Nouda hälytykset SIEM-työkaluihisi.

• Kirjoita ArcSight-määritystiedostoon / Splunk Authentication Properties -tiedostoon sovellusavain manuaalisesti asettamalla salaisen koodin arvo.
• Sen sijaan, että hankkisit päivitystunnuksen portaalista, hanki päivitystunnus (tai hanki se muilla keinoin) edellisen vaiheen komentosarjan avulla.

Ilmoitusten noutaminen MSSP-asiakkaan vuokraajasta ohjelmointirajapintoja käyttämällä

Lisätietoja ilmoitusten noutamisesta REST-ohjelmointirajapinnan avulla on kohdassa Ilmoitusten noutaminen MSSP-asiakkaan vuokraajasta.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Myönnä MSSP:lle käyttöoikeus portaaliin
• Käyttöoikeus MSSP-asiakasportaalin
• Hälytysilmoitusten määrittäminen

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.