הבא התראות מ- דייר לקוח של MSSP

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

הערה

פעולה זו ננקטת על-ידי MSSP.

ניתן להביא התראות בשתי דרכים:

• שימוש בפעולת השירות SIEM
• שימוש בממשקי API

הבאת התראות ל- SIEM

כדי להביא התראות למערכת SIEM, יהיה עליך לבצע את השלבים הבאים:

• שלב 1: Create יישום של ספק חיצוני
• שלב 2: קבלת גישה ורענון של אסימונים מה דייר הלקוח שלך
• שלב 3: אפשר את היישום Microsoft Defender XDR

שלב 1: Create יישום Microsoft Entra מזהה

יהיה עליך ליצור יישום ולהעניק לו הרשאות להביא התראות מהמשתמש של הלקוח Microsoft Defender XDR שלך.

1. היכנס אל מרכז הניהול של Microsoft Entra.

2. בחר Microsoft Entra מזהה>רישום ל-App.

3. לחץ על רישום חדש.

4. ציין את הערכים הבאים:

   • Name: <Tenant_name> SIEM MSSP Connector (replace Tenant_name with the tenant display name)

   • סוגי חשבונות נתמכים: חשבון במדריך כתובות ארגוני זה בלבד

   • URI של ניתוב מחדש: בחר אינטרנט והקלד https://<domain_name>/SiemMsspConnector<(domain_name> בשם הדייר)

5. לחץ על הירשם. היישום מוצג ברשימת היישומים בבעלותך.

6. בחר את היישום ולאחר מכן לחץ על מבט כולל.

7. העתק את הערך מהשדות Application (client) ID למקום בטוח, תזדקק לו בשלב הבא.

8. בחר אישור & סודות בלוח היישום החדש.

9. לחץ על סוד לקוח חדש.

   • תיאור: הזן תיאור עבור המפתח.
   • פג: בחר בשנה אחת

10. לחץ על הוסף, העתק את הערך של סוד הלקוח למקום בטוח, תזדקק לו בשלב הבא.

שלב 2: קבלת גישה ורענון של אסימונים מה דייר הלקוח שלך

סעיף זה מנחה אותך לגבי אופן השימוש בקובץ Script של PowerShell כדי לקבל את האסימונים מה דייר הלקוח שלך. קובץ Script זה משתמש ביישום מהצעד הקודם כדי לקבל את האסימונים של הגישה והרענון באמצעות זרימת קוד ההרשאה של OAuth.

לאחר שתספק את האישורים שלך, יהיה עליך להעניק הסכמה ליישום כך שהיישום מוקצה בדייר של הלקוח.

1. Create תיקיה חדשה ותן לה שם: MsspTokensAcquisition.

2. הורד את המודול LoginBrowser.psm1 ושמור אותו MsspTokensAcquisition בתיקיה.

   הערה

   בשורה 30, החלף ב authorzationUrl - authorizationUrl.

3. Create קובץ עם התוכן הבא ושמור אותו בשם MsspTokensAcquisition.ps1 בתיקיה:

   param (
       [Parameter(Mandatory=$true)][string]$clientId,
       [Parameter(Mandatory=$true)][string]$secret,
       [Parameter(Mandatory=$true)][string]$tenantId
   )
   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   
   # Load our Login Browser Function
   Import-Module .\LoginBrowser.psm1
   
   # Configuration parameters
   $login = "https://login.microsoftonline.com"
   $redirectUri = "https://SiemMsspConnector"
   $resourceId = "https://graph.windows.net"
   
   Write-Host 'Prompt the user for his credentials, to get an authorization code'
   $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                       $login, $tenantId, $clientId, $redirectUri, $resourceId)
   Write-Host "authorzationUrl: $authorizationUrl"
   
   # Fake a proper endpoint for the Redirect URI
   $code = LoginBrowser $authorizationUrl $redirectUri
   
   # Acquire token using the authorization code
   
   $Body = @{
       grant_type = 'authorization_code'
       client_id = $clientId
       code = $code
       redirect_uri = $redirectUri
       resource = $resourceId
       client_secret = $secret
   }
   
   $tokenEndpoint = "$login/$tenantId/oauth2/token?"
   $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
   $token = $Response.access_token
   $refreshToken= $Response.refresh_token
   
   Write-Host " ----------------------------------- TOKEN ---------------------------------- "
   Write-Host $token
   
   Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
   Write-Host $refreshToken
   

4. פתח שורת פקודה עם הרשאות מלאות של MsspTokensAcquisition PowerShell בתיקיה.

5. הפעל את הפקודה הבאה: Set-ExecutionPolicy -ExecutionPolicy Bypass

6. הזן את הפקודות הבאות: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

   • החלף <client_id> עם מזהה היישום (לקוח) שיש לך מה בשלב הקודם.
   • החלף <app_key>בסוד הלקוח שיצרת מהצעד הקודם.
   • החלף <customer_tenant_id> עם מזהה הדייר של הלקוח שלך.

7. תתבקש לספק את האישורים וההסכמה שלך. התעלם מהניתוב מחדש של הדף.

8. בחלון PowerShell, תקבל אסימון גישה אסימוני רענון. שמור את אסימון הרענון כדי לקבוע את תצורת מחבר SIEM.

שלב 3: אפשר את היישום Microsoft Defender XDR

יהיה עליך לאפשר את היישום שיצרת ב- Microsoft Defender XDR.

דרושה לך הרשאת ניהול הגדרות מערכת פורטל כדי לאפשר את היישום. אחרת, יהיה עליך לבקש מהלקוח שלך לאפשר את היישום עבורך.

1. עבור אל https://security.microsoft.com?tid=<customer_tenant_id> ( <customer_tenant_id עם> מזהה הדייר של הלקוח.

2. לחץ על ממשקי>API של נקודות קצה>של>הגדרות, SIEM.

3. בחר את הכרטיסיה MSSP .

4. הזן את מזהה היישום מהצעד הראשון ומזהה הדייר שלך.

5. לחץ על אשר יישום.

כעת באפשרותך להוריד את קובץ התצורה הרלוונטי עבור ה- SIEM שלך ולחבר ל- API Microsoft Defender XDR שלך. לקבלת מידע נוסף, ראה משיכה של התראות לכלי SIEM.

• בקובץ התצורה של ArcSight / הקובץ Splunk Authentication Properties, כתוב את מפתח היישום באופן ידני על-ידי הגדרת הערך הסודי.
• במקום לרכוש אסימון רענון בפורטל, השתמש בקובץ ה- Script מהצעד הקודם כדי להשיג אסימון רענון (או להשיג אותו באופן אחר).

הבאת התראות מה דייר של לקוח MSSP באמצעות ממשקי API

לקבלת מידע אודות אופן הבאת התראות באמצעות REST API, ראה הבאת התראות מ- MSSP של דייר לקוח.

למידע נוסף

• הענק גישה ל- MSSP לפורטל
• קבל גישה לפורטל הלקוחות של MSSP
• קבע תצורה של הודעות התראה

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.