לקריאה באנגלית

שתף באמצעות


אחזר תקריות של Microsoft Defender XDR

חל על:

הערה

נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API לאבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.

הערה

פעולה זו ננקטת על-ידי MSSP.

ניתן להביא התראות בשתי דרכים:

  • שימוש בפעולת השירות SIEM
  • שימוש בממשקי API

הבאת תקריות ל- SIEM

כדי להביא מקרים למערכת SIEM, יהיה עליך לבצע את השלבים הבאים:

  • שלב 1: Create יישום של ספק חיצוני
  • שלב 2: קבלת גישה ורענון של אסימונים מה דייר הלקוח שלך
  • שלב 3: אפשר את היישום Microsoft Defender XDR

שלב 1: Create יישום Microsoft Entra מזהה

יהיה עליך ליצור יישום ולהעניק לו הרשאות להביא התראות מהמשתמש של הלקוח Microsoft Defender XDR שלך.

  1. היכנס אל מרכז הניהול של Microsoft Entra.

  2. בחר Microsoft Entra מזהה>רישום ל-App.

  3. לחץ על רישום חדש.

  4. ציין את הערכים הבאים:

    • Name: <Tenant_name> SIEM MSSP Connector (replace Tenant_name with the tenant display name)

    • סוגי חשבונות נתמכים: חשבון במדריך כתובות ארגוני זה בלבד

    • URI של ניתוב מחדש: בחר אינטרנט והקלד https://<domain_name>/SiemMsspConnector<(domain_name> בשם הדייר)

  5. לחץ על הירשם. היישום מוצג ברשימת היישומים בבעלותך.

  6. בחר את היישום ולאחר מכן לחץ על מבט כולל.

  7. העתק את הערך מהשדות Application (client) ID למקום בטוח, תזדקק לו בשלב הבא.

  8. בחר אישור & סודות בלוח היישום החדש.

  9. לחץ על סוד לקוח חדש.

    • תיאור: הזן תיאור עבור המפתח.
    • פג: בחר בשנה אחת
  10. לחץ על הוסף, העתק את הערך של סוד הלקוח למקום בטוח, תזדקק לו בשלב הבא.

שלב 2: קבלת גישה ורענון של אסימונים מה דייר הלקוח שלך

סעיף זה מנחה אותך לגבי אופן השימוש בקובץ Script של PowerShell כדי לקבל את האסימונים מה דייר הלקוח שלך. קובץ Script זה משתמש ביישום מהצעד הקודם כדי לקבל את האסימונים של הגישה והרענון באמצעות זרימת קוד ההרשאה של OAuth.

לאחר שתספק את האישורים שלך, יהיה עליך להעניק הסכמה ליישום כך שהיישום מוקצה בדייר של הלקוח.

  1. Create תיקיה חדשה ותן לה שם: MsspTokensAcquisition.

  2. הורד את המודול LoginBrowser.psm1 ושמור אותו MsspTokensAcquisition בתיקיה.

    הערה

    בשורה 30, החלף ב authorzationUrl - authorizationUrl.

  3. Create קובץ עם התוכן הבא ושמור אותו בשם MsspTokensAcquisition.ps1 בתיקיה:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. פתח שורת פקודה עם הרשאות מלאות של MsspTokensAcquisition PowerShell בתיקיה.

  5. הפעל את הפקודה הבאה: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. הזן את הפקודות הבאות: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • החלף <client_id> עם מזהה היישום (לקוח) שיש לך מה בשלב הקודם.
    • החלף <app_key>בסוד הלקוח שיצרת מהצעד הקודם.
    • החלף <customer_tenant_id> עם מזהה הדייר של הלקוח שלך.
  7. תתבקש לספק את האישורים וההסכמה שלך. התעלם מהניתוב מחדש של הדף.

  8. בחלון PowerShell, תקבל אסימון גישה אסימוני רענון. שמור את אסימון הרענון כדי לקבוע את תצורת מחבר SIEM.

שלב 3: אפשר את היישום Microsoft Defender XDR

יהיה עליך לאפשר את היישום שיצרת ב- Microsoft Defender XDR.

דרושה לך הרשאת ניהול הגדרות מערכת פורטל כדי לאפשר את היישום. אחרת, יהיה עליך לבקש מהלקוח שלך לאפשר את היישום עבורך.

  1. עבור אל https://security.microsoft.com?tid=<customer_tenant_id> ( <customer_tenant_id עם> מזהה הדייר של הלקוח.

  2. לחץ על ממשקי>API של נקודות קצה>של>הגדרות, SIEM.

  3. בחר את הכרטיסיה MSSP .

  4. הזן את מזהה היישום מהצעד הראשון ומזהה הדייר שלך.

  5. לחץ על אשר יישום.

כעת באפשרותך להוריד את קובץ התצורה הרלוונטי עבור ה- SIEM שלך ולחבר ל- API Microsoft Defender XDR שלך. לקבלת מידע נוסף, ראה משיכה של התראות לכלי SIEM.

  • בקובץ התצורה של ArcSight / הקובץ Splunk Authentication Properties, כתוב את מפתח היישום באופן ידני על-ידי הגדרת הערך הסודי.
  • במקום לרכוש אסימון רענון בפורטל, השתמש בקובץ ה- Script מהצעד הקודם כדי להשיג אסימון רענון (או להשיג אותו באופן אחר).

הבאת התראות מה דייר של לקוח MSSP באמצעות ממשקי API

לקבלת מידע אודות אופן הבאת התראות באמצעות REST API, ראה משוך התראות באמצעות REST API.

השתמש ב- API של אבטחת Microsoft Graph - Microsoft Graph | Microsoft Learn

טיפ

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.