Lire en anglais

Partager via


Extraire les incidents Microsoft Defender XDR

S’applique à :

Notes

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Notes

Cette action est effectuée par le MSSP.

Il existe deux façons d’extraire des alertes :

  • Utilisation de la méthode SIEM
  • Utilisation d’API

Récupérer les incidents dans votre SIEM

Pour récupérer des incidents dans votre système SIEM, vous devez effectuer les étapes suivantes :

  • Étape 1 : Create une application tierce
  • Étape 2 : Obtenir des jetons d’accès et d’actualisation auprès du locataire de votre client
  • Étape 3 : autoriser votre application sur Microsoft Defender XDR

Étape 1 : Create une application dans Microsoft Entra ID

Vous devez créer une application et lui accorder des autorisations pour récupérer des alertes à partir du locataire Microsoft Defender XDR de votre client.

  1. Connectez-vous au Centre d'administration Microsoft 365.

  2. Sélectionnez Microsoft Entra ID>inscriptions d'applications.

  3. Cliquez sur Nouvelle inscription.

  4. Spécifiez les valeurs suivantes :

    • Nom : <Tenant_name> connecteur SIEM MSSP (remplacez Tenant_name par le nom complet du locataire)

    • Types de comptes pris en charge : compte dans cet annuaire organisationnel uniquement

    • URI de redirection : sélectionnez Web et tapez https://<domain_name>/SiemMsspConnector(remplacez <domain_name> par le nom du locataire)

  5. Cliquez sur S'inscrire. L’application s’affiche dans la liste des applications que vous possédez.

  6. Sélectionnez l’application, puis cliquez sur Vue d’ensemble.

  7. Copiez la valeur du champ ID d’application (client) dans un emplacement sûr. Vous en aurez besoin à l’étape suivante.

  8. Sélectionnez Certificat & secrets dans le panneau nouvelle application.

  9. Cliquez sur Nouvelle clé secrète client.

    • Description : entrez une description pour la clé.
    • Expire : sélectionnez Dans 1 an
  10. Cliquez sur Ajouter, copiez la valeur de la clé secrète client dans un emplacement sûr. Vous en aurez besoin à l’étape suivante.

Étape 2 : Obtenir des jetons d’accès et d’actualisation auprès du locataire de votre client

Cette section vous guide sur l’utilisation d’un script PowerShell pour obtenir les jetons auprès du locataire de votre client. Ce script utilise l’application de l’étape précédente pour obtenir les jetons d’accès et d’actualisation à l’aide du flux de code d’autorisation OAuth.

Après avoir fourni vos informations d’identification, vous devez accorder le consentement à l’application afin que l’application soit provisionnée dans le locataire du client.

  1. Create un nouveau dossier et nommez-le : MsspTokensAcquisition.

  2. Téléchargez le module LoginBrowser.psm1 et enregistrez-le dans le MsspTokensAcquisition dossier .

    Notes

    À la ligne 30, remplacez par authorzationUrlauthorizationUrl.

  3. Create un fichier avec le contenu suivant et enregistrez-le avec le nom MsspTokensAcquisition.ps1 dans le dossier :

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Ouvrez une invite de commandes PowerShell avec élévation de privilèges dans le MsspTokensAcquisition dossier .

  5. Exécutez la commande suivante : Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Entrez les commandes suivantes : .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Remplacez <client_id> par l’ID d’application (client) que vous avez obtenu à l’étape précédente.
    • Remplacez <app_key> par la clé secrète client que vous avez créée à l’étape précédente.
    • Remplacez <customer_tenant_id> par l’ID de locataire de votre client.
  7. Vous serez invité à fournir vos informations d’identification et votre consentement. Ignorez la redirection de la page.

  8. Dans la fenêtre PowerShell, vous recevez un jeton d’accès et un jeton d’actualisation. Enregistrez le jeton d’actualisation pour configurer votre connecteur SIEM.

Étape 3 : Autoriser votre application sur Microsoft Defender XDR

Vous devez autoriser l’application que vous avez créée dans Microsoft Defender XDR.

Vous devez disposer de l’autorisation Gérer les paramètres système du portail pour autoriser l’application. Sinon, vous devez demander à votre client d’autoriser l’application pour vous.

  1. Accédez à https://security.microsoft.com?tid=<customer_tenant_id> (remplacez <customer_tenant_id> par l’ID de locataire du client.

  2. Cliquez sur Paramètres>API>SIEMpoints de terminaison>.

  3. Sélectionnez l’onglet MSSP .

  4. Entrez l’ID d’application de la première étape et votre ID de locataire.

  5. Cliquez sur Autoriser l’application.

Vous pouvez maintenant télécharger le fichier de configuration approprié pour votre SIEM et vous connecter à l’API Microsoft Defender XDR. Pour plus d’informations, consultez Extraire des alertes vers vos outils SIEM.

  • Dans le fichier de configuration ArcSight/Propriétés d’authentification Splunk, écrivez votre clé d’application manuellement en définissant la valeur du secret.
  • Au lieu d’acquérir un jeton d’actualisation dans le portail, utilisez le script de l’étape précédente pour acquérir un jeton d’actualisation (ou l’acquérir par d’autres moyens).

Récupérer des alertes du locataire du client MSSP à l’aide d’API

Pour plus d’informations sur la façon d’extraire des alertes à l’aide de l’API REST, consultez Extraire des alertes à l’aide de l’API REST.

Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.