Hae Microsoft Defender XDR -tapaukset
Koskee seuraavia:
Huomautus
Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.
Huomautus
MSSP toteuttaa tämän toiminnon.
Voit noutaa ilmoituksia kahdella tavalla:
- SIEM-menetelmän käyttäminen
- Ohjelmointirajapintoja käyttämällä
Jos haluat noutaa tapauksia SIEM-järjestelmääsi, sinun on suoritettava seuraavat vaiheet:
- Vaihe 1: kolmannen osapuolen sovelluksen Create
- Vaihe 2: Hanki käyttöoikeus- ja päivitystunnukset asiakkaan vuokraajasta
- Vaihe 3: salli sovelluksesi Microsoft Defender XDR
Sinun on luotava sovellus ja myönnettävä sille oikeudet noutaa ilmoituksia asiakkaan Microsoft Defender XDR vuokraajasta.
Kirjaudu sisään Microsoft Entra -hallintakeskus.
Valitse Microsoft Entra ID>Sovelluksen rekisteröinnit.
Valitse Uusi rekisteröinti.
Määritä seuraavat arvot:
Nimi: <Tenant_name> SIEM MSSP Connector (korvaa Tenant_name vuokraajan näyttönimellä)
Tuetut tilityypit: Vain tämän organisaatiohakemiston tili
Uudelleenohjauksen URI: Valitse verkko ja kirjoita
https://<domain_name>/SiemMsspConnector
(korvaa <domain_name> vuokraajan nimellä)
Valitse Rekisteröi. Sovellus näkyy omistamieni sovellusten luettelossa.
Valitse sovellus ja valitse sitten Yleiskatsaus.
Kopioi arvo Sovelluksen (asiakkaan) tunnus -kentästä turvalliseen paikkaan. Tarvitset sitä seuraavassa vaiheessa.
Valitse Uudessa sovelluspaneelissa Varmenne & salaisuuksia .
Valitse Uusi asiakassalaisuus.
- Kuvaus: Kirjoita avaimen kuvaus.
- Vanhentuu: Valitse 1 vuoden kuluttua
Valitse Lisää, kopioi asiakassalaisuuden arvo turvalliseen paikkaan. Tarvitset tätä seuraavassa vaiheessa.
Tässä osiossa kerrotaan, miten saat tunnukset asiakkaan vuokraajasta PowerShell-komentosarjan avulla. Tämä komentosarja käyttää edellisen vaiheen sovellusta käyttöoikeuksien ja päivitystunnusten hankkimiseen OAuth-valtuutuskoodin työnkulun avulla.
Kun olet antanut tunnistetietosi, sinun on myönnettävä suostumus sovellukselle, jotta sovellus valmistellaan asiakkaan vuokraajassa.
Create uuden kansion ja anna sille nimi:
MsspTokensAcquisition
.Lataa LoginBrowser.psm1-moduuli ja tallenna se kansioon
MsspTokensAcquisition
.Huomautus
Korvaa rivillä 30 arvolla
authorzationUrl
authorizationUrl
.Create tiedoston, jossa on seuraava sisältö, ja tallenna se nimellä
MsspTokensAcquisition.ps1
kansioon:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Avaa laajennetun PowerShell-komentokehotteen kansiossa
MsspTokensAcquisition
.Suorita seuraava komento:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Anna seuraavat komennot:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Korvaa <client_id>sovelluksen (asiakkaan) tunnuksella , jonka sait edellisestä vaiheesta.
- Korvaa <app_key>asiakassalaiksella , jonka loit edellisessä vaiheessa.
- Korvaa <customer_tenant_id> asiakkaan vuokraajatunnuksella.
Sinua pyydetään antamaan tunnistetietosi ja suostumuksesi. Ohita sivun uudelleenohjaus.
Saat PowerShell-ikkunassa käyttöoikeustietueen ja päivitystunnuksen. Tallenna päivitystunnus SIEM-liittimen määrittämista varten.
Sinun on sallittava Microsoft Defender XDR luomasi sovellus.
Sinulla on oltava portaalijärjestelmän hallinta -käyttöoikeus , jotta voit sallia sovelluksen. Muussa tapauksessa sinun on pyydettävä asiakasta sallimaan sovellus puolestasi.
Siirry kohtaan
https://security.microsoft.com?tid=<customer_tenant_id>
(korvaa <customer_tenant_id> asiakkaan vuokraajatunnuksella.Valitse Asetukset>Päätepisteiden ohjelmointirajapinnat>>SIEM.
Valitse MSSP-välilehti .
Anna sovellustunnus ensimmäisestä vaiheesta ja vuokraajatunnuksesi.
Valitse Valtuuta sovellus.
Voit nyt ladata asianmukaisen määritystiedoston SIEM:lle ja muodostaa yhteyden Microsoft Defender XDR-ohjelmointirajapintaan. Lisätietoja on kohdassa Nouda hälytykset SIEM-työkaluihisi.
- Kirjoita ArcSight-määritystiedostoon / Splunk Authentication Properties -tiedostoon sovellusavain manuaalisesti asettamalla salaisen koodin arvo.
- Sen sijaan, että hankkisit päivitystunnuksen portaalista, hanki päivitystunnus (tai hanki se muilla keinoin) edellisen vaiheen komentosarjan avulla.
Lisätietoja ilmoitusten noutamisesta REST-ohjelmointirajapinnan avulla on kohdassa Pull-ilmoitukset REST-ohjelmointirajapinnan avulla.
Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.