Olvasás angol nyelven

Megosztás a következőn keresztül:


A Microsoft Defender XDR incidensek beolvasása

Érintett szolgáltatás:

Megjegyzés

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.

Megjegyzés

Ezt a műveletet az MSSP hajtja végre.

A riasztások kétféleképpen hívhatók le:

  • Az SIEM metódus használata
  • API-k használata

Incidensek beolvasása a SIEM-be

Ha incidenseket szeretne beolvasni a SIEM-rendszerbe, a következő lépéseket kell elvégeznie:

  • 1. lépés: külső alkalmazás Létrehozás
  • 2. lépés: Hozzáférési és frissítési jogkivonatok lekérése az ügyfél bérlőjéből
  • 3. lépés: az alkalmazás engedélyezése Microsoft Defender XDR

1. lépés: Alkalmazás Létrehozás Microsoft Entra ID

Létre kell hoznia egy alkalmazást, és engedélyeket kell adnia neki, hogy riasztásokat kérjen le az ügyfél Microsoft Defender XDR bérlőjéből.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központ.

  2. Válassza a Microsoft Entra ID>Alkalmazásregisztrációk lehetőséget.

  3. Kattintson az Új regisztráció elemre.

  4. Adja meg a következő értékeket:

    • Név: <Tenant_name> SIEM MSSP-összekötő (cserélje le Tenant_name a bérlő megjelenítendő nevére)

    • Támogatott fióktípusok: Csak ebben a szervezeti címtárban lévő fiók

    • Átirányítási URI: Válassza a Web lehetőséget, és írja be a következőt https://<domain_name>/SiemMsspConnector: (cserélje le <domain_name> a bérlő nevére)

  5. Kattintson a Regisztráció gombra. Az alkalmazás megjelenik a tulajdonában lévő alkalmazások listájában.

  6. Jelölje ki az alkalmazást, majd kattintson az Áttekintés elemre.

  7. Másolja az Application (client) ID (Alkalmazásazonosító) mező értékét egy biztonságos helyre, erre a következő lépésben lesz szüksége.

  8. Az új alkalmazáspanelen válassza a Tanúsítvány & titkos kód lehetőséget.

  9. Kattintson az Új titkos ügyfélkód elemre.

    • Leírás: Adja meg a kulcs leírását.
    • Lejár: Válassza az 1 év alatt lehetőséget
  10. Kattintson a Hozzáadás gombra, másolja a titkos ügyfélkód értékét egy biztonságos helyre. Erre a következő lépésben lesz szüksége.

2. lépés: Hozzáférési és frissítési jogkivonatok lekérése az ügyfél bérlőjéből

Ez a szakasz bemutatja, hogyan szerezheti be a jogkivonatokat az ügyfél bérlőjéből PowerShell-szkripttel. Ez a szkript az előző lépésben használt alkalmazást használja a hozzáférési és frissítési jogkivonatok lekéréséhez az OAuth engedélyezési kódfolyamat használatával.

A hitelesítő adatok megadása után hozzájárulást kell adnia az alkalmazáshoz, hogy az alkalmazás az ügyfél bérlőjében legyen kiépítve.

  1. Létrehozás egy új mappát, és adja neki a következő nevet: MsspTokensAcquisition.

  2. Töltse le a LoginBrowser.psm1 modult , és mentse a MsspTokensAcquisition mappába.

    Megjegyzés

    A 30. sorban cserélje le authorzationUrl a elemet a következőre authorizationUrl: .

  3. Létrehozás egy fájlt a következő tartalommal, és mentse a mappában lévő névvelMsspTokensAcquisition.ps1:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Nyisson meg egy emelt szintű PowerShell-parancssort a MsspTokensAcquisition mappában.

  5. Futtassa az alábbi parancsot: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Adja meg a következő parancsokat: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Cserélje le <client_id> az előző lépésben kapott alkalmazás-(ügyfél-) azonosítóra .
    • Cserélje le <app_key> az előző lépésben létrehozott titkos ügyfélkódra .
    • Cserélje le <customer_tenant_id> az ügyfél bérlőazonosítójára.
  7. A rendszer kérni fogja, hogy adja meg hitelesítő adatait és hozzájárulását. A lapátirányítás figyelmen kívül hagyása.

  8. A PowerShell-ablakban kapni fog egy hozzáférési és egy frissítési jogkivonatot. Mentse a frissítési jogkivonatot a SIEM-összekötő konfigurálásához.

3. lépés: Az alkalmazás engedélyezése Microsoft Defender XDR

Engedélyeznie kell a Microsoft Defender XDR-ben létrehozott alkalmazást.

Az alkalmazás engedélyezéséhez a Portál rendszerbeállításainak kezelése engedéllyel kell rendelkeznie. Ellenkező esetben meg kell kérnie az ügyfelet, hogy engedélyezze az alkalmazást.

  1. Lépjen a https://security.microsoft.com?tid=<customer_tenant_id> (cserélje le <customer_tenant_id> az ügyfél bérlőazonosítójára.

  2. Kattintson a Beállítások>Végpontok>API-k>SIEM elemre.

  3. Válassza az MSSP lapot.

  4. Adja meg az alkalmazásazonosítót az első lépésben, valamint a bérlőazonosítót.

  5. Kattintson az Alkalmazás engedélyezése elemre.

Most letöltheti az SIEM megfelelő konfigurációs fájlját, és csatlakozhat a Microsoft Defender XDR API-hoz. További információ: Riasztások lekérése az SIEM-eszközökre.

  • Az ArcSight konfigurációs fájljában /Splunk Authentication Properties fájlban írja be manuálisan az alkalmazáskulcsot a titkos kód értékének beállításával.
  • Ahelyett, hogy egy frissítési jogkivonatot szerez be a portálon, az előző lépés szkriptjével szerezzen be egy frissítési jogkivonatot (vagy más módon szerezze be).

Riasztások lekérése az MSSP-ügyfél bérlőjéből API-k használatával

További információ a riasztások REST API-val történő lekéréséről: Riasztások lekérése REST API használatával.

A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn

Tipp.

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.