Récupérer des alertes à partir d’un client MSSP
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Remarque
Cette action est effectuée par le MSSP.
Il existe deux façons d’extraire des alertes :
- Utilisation de la méthode SIEM
- Utilisation d’API
Extraire des alertes dans votre SIEM
Pour extraire des alertes dans votre système SIEM, vous devez effectuer les étapes suivantes :
- Étape 1 : Create une application tierce
- Étape 2 : Obtenir des jetons d’accès et d’actualisation auprès du locataire de votre client
- Étape 3 : autoriser votre application sur Microsoft Defender XDR
Étape 1 : Create une application dans Microsoft Entra ID
Vous devez créer une application et lui accorder des autorisations pour récupérer des alertes à partir du locataire Microsoft Defender XDR de votre client.
Connectez-vous au Centre d'administration Microsoft 365.
Sélectionnez Microsoft Entra ID>inscriptions d'applications.
Cliquez sur Nouvelle inscription.
Spécifiez les valeurs suivantes :
Nom : <Tenant_name> connecteur SIEM MSSP (remplacez Tenant_name par le nom complet du locataire)
Types de comptes pris en charge : compte dans cet annuaire organisationnel uniquement
URI de redirection : sélectionnez Web et tapez
https://<domain_name>/SiemMsspConnector
(remplacez <domain_name> par le nom du locataire)
Cliquez sur S'inscrire. L’application s’affiche dans la liste des applications que vous possédez.
Sélectionnez l’application, puis cliquez sur Vue d’ensemble.
Copiez la valeur du champ ID d’application (client) dans un emplacement sûr. Vous en aurez besoin à l’étape suivante.
Sélectionnez Certificat & secrets dans le panneau nouvelle application.
Cliquez sur Nouvelle clé secrète client.
- Description : entrez une description pour la clé.
- Expire : sélectionnez Dans 1 an
Cliquez sur Ajouter, copiez la valeur de la clé secrète client dans un emplacement sûr. Vous en aurez besoin à l’étape suivante.
Étape 2 : Obtenir des jetons d’accès et d’actualisation auprès du locataire de votre client
Cette section vous guide sur l’utilisation d’un script PowerShell pour obtenir les jetons auprès du locataire de votre client. Ce script utilise l’application de l’étape précédente pour obtenir les jetons d’accès et d’actualisation à l’aide du flux de code d’autorisation OAuth.
Après avoir fourni vos informations d’identification, vous devez accorder le consentement à l’application afin que l’application soit provisionnée dans le locataire du client.
Create un nouveau dossier et nommez-le :
MsspTokensAcquisition
.Téléchargez le module LoginBrowser.psm1 et enregistrez-le dans le
MsspTokensAcquisition
dossier .Remarque
À la ligne 30, remplacez par
authorzationUrl
authorizationUrl
.Create un fichier avec le contenu suivant et enregistrez-le avec le nom
MsspTokensAcquisition.ps1
dans le dossier :param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Ouvrez une invite de commandes PowerShell avec élévation de privilèges dans le
MsspTokensAcquisition
dossier .Exécutez la commande suivante :
Set-ExecutionPolicy -ExecutionPolicy Bypass
Entrez les commandes suivantes :
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Remplacez <client_id> par l’ID d’application (client) que vous avez obtenu à l’étape précédente.
- Remplacez <app_key> par la clé secrète client que vous avez créée à l’étape précédente.
- Remplacez <customer_tenant_id> par l’ID de locataire de votre client.
Vous serez invité à fournir vos informations d’identification et votre consentement. Ignorez la redirection de la page.
Dans la fenêtre PowerShell, vous recevez un jeton d’accès et un jeton d’actualisation. Enregistrez le jeton d’actualisation pour configurer votre connecteur SIEM.
Étape 3 : Autoriser votre application sur Microsoft Defender XDR
Vous devez autoriser l’application que vous avez créée dans Microsoft Defender XDR.
Vous devez disposer de l’autorisation Gérer les paramètres système du portail pour autoriser l’application. Sinon, vous devez demander à votre client d’autoriser l’application pour vous.
Accédez à
https://security.microsoft.com?tid=<customer_tenant_id>
(remplacez <customer_tenant_id> par l’ID de locataire du client.Cliquez sur Paramètres>API>SIEMpoints de terminaison>.
Sélectionnez l’onglet MSSP .
Entrez l’ID d’application de la première étape et votre ID de locataire.
Cliquez sur Autoriser l’application.
Vous pouvez maintenant télécharger le fichier de configuration approprié pour votre SIEM et vous connecter à l’API Microsoft Defender XDR. Pour plus d’informations, consultez Extraire des alertes vers vos outils SIEM.
- Dans le fichier de configuration ArcSight/Propriétés d’authentification Splunk, écrivez votre clé d’application manuellement en définissant la valeur du secret.
- Au lieu d’acquérir un jeton d’actualisation dans le portail, utilisez le script de l’étape précédente pour acquérir un jeton d’actualisation (ou l’acquérir par d’autres moyens).
Récupérer des alertes du locataire du client MSSP à l’aide d’API
Pour plus d’informations sur la façon d’extraire des alertes à l’aide de l’API REST, consultez Récupérer des alertes à partir d’un client MSSP.
Voir aussi
- Accorder l’accès MSSP au portail
- Accéder au portail client MSSP
- Configurer des notifications d’alerte
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.