אחזר תקריות של Microsoft Defender XDR
חל על:
הערה
נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API לאבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.
הערה
פעולה זו ננקטת על-ידי MSSP.
ניתן להביא התראות בשתי דרכים:
- שימוש בפעולת השירות SIEM
- שימוש בממשקי API
כדי להביא מקרים למערכת SIEM, יהיה עליך לבצע את השלבים הבאים:
- שלב 1: Create יישום של ספק חיצוני
- שלב 2: קבלת גישה ורענון של אסימונים מה דייר הלקוח שלך
- שלב 3: אפשר את היישום Microsoft Defender XDR
יהיה עליך ליצור יישום ולהעניק לו הרשאות להביא התראות מהמשתמש של הלקוח Microsoft Defender XDR שלך.
היכנס אל מרכז הניהול של Microsoft Entra.
בחר Microsoft Entra מזהה>רישום ל-App.
לחץ על רישום חדש.
ציין את הערכים הבאים:
Name: <Tenant_name> SIEM MSSP Connector (replace Tenant_name with the tenant display name)
סוגי חשבונות נתמכים: חשבון במדריך כתובות ארגוני זה בלבד
URI של ניתוב מחדש: בחר אינטרנט והקלד
https://<domain_name>/SiemMsspConnector
<(domain_name> בשם הדייר)
לחץ על הירשם. היישום מוצג ברשימת היישומים בבעלותך.
בחר את היישום ולאחר מכן לחץ על מבט כולל.
העתק את הערך מהשדות Application (client) ID למקום בטוח, תזדקק לו בשלב הבא.
בחר אישור & סודות בלוח היישום החדש.
לחץ על סוד לקוח חדש.
- תיאור: הזן תיאור עבור המפתח.
- פג: בחר בשנה אחת
לחץ על הוסף, העתק את הערך של סוד הלקוח למקום בטוח, תזדקק לו בשלב הבא.
סעיף זה מנחה אותך לגבי אופן השימוש בקובץ Script של PowerShell כדי לקבל את האסימונים מה דייר הלקוח שלך. קובץ Script זה משתמש ביישום מהצעד הקודם כדי לקבל את האסימונים של הגישה והרענון באמצעות זרימת קוד ההרשאה של OAuth.
לאחר שתספק את האישורים שלך, יהיה עליך להעניק הסכמה ליישום כך שהיישום מוקצה בדייר של הלקוח.
Create תיקיה חדשה ותן לה שם:
MsspTokensAcquisition
.הורד את המודול LoginBrowser.psm1 ושמור אותו
MsspTokensAcquisition
בתיקיה.הערה
בשורה 30, החלף ב
authorzationUrl
-authorizationUrl
.Create קובץ עם התוכן הבא ושמור אותו בשם
MsspTokensAcquisition.ps1
בתיקיה:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
פתח שורת פקודה עם הרשאות מלאות של
MsspTokensAcquisition
PowerShell בתיקיה.הפעל את הפקודה הבאה:
Set-ExecutionPolicy -ExecutionPolicy Bypass
הזן את הפקודות הבאות:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- החלף <client_id> עם מזהה היישום (לקוח) שיש לך מה בשלב הקודם.
- החלף <app_key>בסוד הלקוח שיצרת מהצעד הקודם.
- החלף <customer_tenant_id> עם מזהה הדייר של הלקוח שלך.
תתבקש לספק את האישורים וההסכמה שלך. התעלם מהניתוב מחדש של הדף.
בחלון PowerShell, תקבל אסימון גישה אסימוני רענון. שמור את אסימון הרענון כדי לקבוע את תצורת מחבר SIEM.
יהיה עליך לאפשר את היישום שיצרת ב- Microsoft Defender XDR.
דרושה לך הרשאת ניהול הגדרות מערכת פורטל כדי לאפשר את היישום. אחרת, יהיה עליך לבקש מהלקוח שלך לאפשר את היישום עבורך.
עבור אל
https://security.microsoft.com?tid=<customer_tenant_id>
( <customer_tenant_id עם> מזהה הדייר של הלקוח.לחץ על ממשקי>API של נקודות קצה>של>הגדרות, SIEM.
בחר את הכרטיסיה MSSP .
הזן את מזהה היישום מהצעד הראשון ומזהה הדייר שלך.
לחץ על אשר יישום.
כעת באפשרותך להוריד את קובץ התצורה הרלוונטי עבור ה- SIEM שלך ולחבר ל- API Microsoft Defender XDR שלך. לקבלת מידע נוסף, ראה משיכה של התראות לכלי SIEM.
- בקובץ התצורה של ArcSight / הקובץ Splunk Authentication Properties, כתוב את מפתח היישום באופן ידני על-ידי הגדרת הערך הסודי.
- במקום לרכוש אסימון רענון בפורטל, השתמש בקובץ ה- Script מהצעד הקודם כדי להשיג אסימון רענון (או להשיג אותו באופן אחר).
לקבלת מידע אודות אופן הבאת התראות באמצעות REST API, ראה משוך התראות באמצעות REST API.
השתמש ב- API של אבטחת Microsoft Graph - Microsoft Graph | Microsoft Learn
טיפ
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.