Lue englanniksi

Jaa


Hae Microsoft Defender XDR -tapaukset

Koskee seuraavia:

Huomautus

Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.

Huomautus

MSSP toteuttaa tämän toiminnon.

Voit noutaa ilmoituksia kahdella tavalla:

  • SIEM-menetelmän käyttäminen
  • Ohjelmointirajapintoja käyttämällä

Tapausten noutaminen siem-laitteeseesi

Jos haluat noutaa tapauksia SIEM-järjestelmääsi, sinun on suoritettava seuraavat vaiheet:

  • Vaihe 1: kolmannen osapuolen sovelluksen Create
  • Vaihe 2: Hanki käyttöoikeus- ja päivitystunnukset asiakkaan vuokraajasta
  • Vaihe 3: salli sovelluksesi Microsoft Defender XDR

Vaihe 1: sovelluksen Create Microsoft Entra ID

Sinun on luotava sovellus ja myönnettävä sille oikeudet noutaa ilmoituksia asiakkaan Microsoft Defender XDR vuokraajasta.

  1. Kirjaudu sisään Microsoft Entra -hallintakeskus.

  2. Valitse Microsoft Entra ID>Sovelluksen rekisteröinnit.

  3. Valitse Uusi rekisteröinti.

  4. Määritä seuraavat arvot:

    • Nimi: <Tenant_name> SIEM MSSP Connector (korvaa Tenant_name vuokraajan näyttönimellä)

    • Tuetut tilityypit: Vain tämän organisaatiohakemiston tili

    • Uudelleenohjauksen URI: Valitse verkko ja kirjoita https://<domain_name>/SiemMsspConnector(korvaa <domain_name> vuokraajan nimellä)

  5. Valitse Rekisteröi. Sovellus näkyy omistamieni sovellusten luettelossa.

  6. Valitse sovellus ja valitse sitten Yleiskatsaus.

  7. Kopioi arvo Sovelluksen (asiakkaan) tunnus -kentästä turvalliseen paikkaan. Tarvitset sitä seuraavassa vaiheessa.

  8. Valitse Uudessa sovelluspaneelissa Varmenne & salaisuuksia .

  9. Valitse Uusi asiakassalaisuus.

    • Kuvaus: Kirjoita avaimen kuvaus.
    • Vanhentuu: Valitse 1 vuoden kuluttua
  10. Valitse Lisää, kopioi asiakassalaisuuden arvo turvalliseen paikkaan. Tarvitset tätä seuraavassa vaiheessa.

Vaihe 2: Hanki käyttöoikeus- ja päivitystunnukset asiakkaan vuokraajasta

Tässä osiossa kerrotaan, miten saat tunnukset asiakkaan vuokraajasta PowerShell-komentosarjan avulla. Tämä komentosarja käyttää edellisen vaiheen sovellusta käyttöoikeuksien ja päivitystunnusten hankkimiseen OAuth-valtuutuskoodin työnkulun avulla.

Kun olet antanut tunnistetietosi, sinun on myönnettävä suostumus sovellukselle, jotta sovellus valmistellaan asiakkaan vuokraajassa.

  1. Create uuden kansion ja anna sille nimi: MsspTokensAcquisition.

  2. Lataa LoginBrowser.psm1-moduuli ja tallenna se kansioon MsspTokensAcquisition .

    Huomautus

    Korvaa rivillä 30 arvolla authorzationUrlauthorizationUrl.

  3. Create tiedoston, jossa on seuraava sisältö, ja tallenna se nimellä MsspTokensAcquisition.ps1 kansioon:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Avaa laajennetun PowerShell-komentokehotteen kansiossa MsspTokensAcquisition .

  5. Suorita seuraava komento: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Anna seuraavat komennot: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Korvaa <client_id>sovelluksen (asiakkaan) tunnuksella , jonka sait edellisestä vaiheesta.
    • Korvaa <app_key>asiakassalaiksella , jonka loit edellisessä vaiheessa.
    • Korvaa <customer_tenant_id> asiakkaan vuokraajatunnuksella.
  7. Sinua pyydetään antamaan tunnistetietosi ja suostumuksesi. Ohita sivun uudelleenohjaus.

  8. Saat PowerShell-ikkunassa käyttöoikeustietueen ja päivitystunnuksen. Tallenna päivitystunnus SIEM-liittimen määrittämista varten.

Vaihe 3: Salli sovelluksesi Microsoft Defender XDR

Sinun on sallittava Microsoft Defender XDR luomasi sovellus.

Sinulla on oltava portaalijärjestelmän hallinta -käyttöoikeus , jotta voit sallia sovelluksen. Muussa tapauksessa sinun on pyydettävä asiakasta sallimaan sovellus puolestasi.

  1. Siirry kohtaan https://security.microsoft.com?tid=<customer_tenant_id> (korvaa <customer_tenant_id> asiakkaan vuokraajatunnuksella.

  2. Valitse Asetukset>Päätepisteiden ohjelmointirajapinnat>>SIEM.

  3. Valitse MSSP-välilehti .

  4. Anna sovellustunnus ensimmäisestä vaiheesta ja vuokraajatunnuksesi.

  5. Valitse Valtuuta sovellus.

Voit nyt ladata asianmukaisen määritystiedoston SIEM:lle ja muodostaa yhteyden Microsoft Defender XDR-ohjelmointirajapintaan. Lisätietoja on kohdassa Nouda hälytykset SIEM-työkaluihisi.

  • Kirjoita ArcSight-määritystiedostoon / Splunk Authentication Properties -tiedostoon sovellusavain manuaalisesti asettamalla salaisen koodin arvo.
  • Sen sijaan, että hankkisit päivitystunnuksen portaalista, hanki päivitystunnus (tai hanki se muilla keinoin) edellisen vaiheen komentosarjan avulla.

Ilmoitusten noutaminen MSSP-asiakkaan vuokraajasta ohjelmointirajapintoja käyttämällä

Lisätietoja ilmoitusten noutamisesta REST-ohjelmointirajapinnan avulla on kohdassa Pull-ilmoitukset REST-ohjelmointirajapinnan avulla.

Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.