A Microsoft Defender XDR incidensek beolvasása
Érintett szolgáltatás:
Megjegyzés
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Megjegyzés
Ezt a műveletet az MSSP hajtja végre.
A riasztások kétféleképpen hívhatók le:
- Az SIEM metódus használata
- API-k használata
Ha incidenseket szeretne beolvasni a SIEM-rendszerbe, a következő lépéseket kell elvégeznie:
- 1. lépés: külső alkalmazás Létrehozás
- 2. lépés: Hozzáférési és frissítési jogkivonatok lekérése az ügyfél bérlőjéből
- 3. lépés: az alkalmazás engedélyezése Microsoft Defender XDR
Létre kell hoznia egy alkalmazást, és engedélyeket kell adnia neki, hogy riasztásokat kérjen le az ügyfél Microsoft Defender XDR bérlőjéből.
Jelentkezzen be a Microsoft Entra felügyeleti központ.
Válassza a Microsoft Entra ID>Alkalmazásregisztrációk lehetőséget.
Kattintson az Új regisztráció elemre.
Adja meg a következő értékeket:
Név: <Tenant_name> SIEM MSSP-összekötő (cserélje le Tenant_name a bérlő megjelenítendő nevére)
Támogatott fióktípusok: Csak ebben a szervezeti címtárban lévő fiók
Átirányítási URI: Válassza a Web lehetőséget, és írja be a következőt
https://<domain_name>/SiemMsspConnector
: (cserélje le <domain_name> a bérlő nevére)
Kattintson a Regisztráció gombra. Az alkalmazás megjelenik a tulajdonában lévő alkalmazások listájában.
Jelölje ki az alkalmazást, majd kattintson az Áttekintés elemre.
Másolja az Application (client) ID (Alkalmazásazonosító) mező értékét egy biztonságos helyre, erre a következő lépésben lesz szüksége.
Az új alkalmazáspanelen válassza a Tanúsítvány & titkos kód lehetőséget.
Kattintson az Új titkos ügyfélkód elemre.
- Leírás: Adja meg a kulcs leírását.
- Lejár: Válassza az 1 év alatt lehetőséget
Kattintson a Hozzáadás gombra, másolja a titkos ügyfélkód értékét egy biztonságos helyre. Erre a következő lépésben lesz szüksége.
Ez a szakasz bemutatja, hogyan szerezheti be a jogkivonatokat az ügyfél bérlőjéből PowerShell-szkripttel. Ez a szkript az előző lépésben használt alkalmazást használja a hozzáférési és frissítési jogkivonatok lekéréséhez az OAuth engedélyezési kódfolyamat használatával.
A hitelesítő adatok megadása után hozzájárulást kell adnia az alkalmazáshoz, hogy az alkalmazás az ügyfél bérlőjében legyen kiépítve.
Létrehozás egy új mappát, és adja neki a következő nevet:
MsspTokensAcquisition
.Töltse le a LoginBrowser.psm1 modult , és mentse a
MsspTokensAcquisition
mappába.Megjegyzés
A 30. sorban cserélje le
authorzationUrl
a elemet a következőreauthorizationUrl
: .Létrehozás egy fájlt a következő tartalommal, és mentse a mappában lévő névvel
MsspTokensAcquisition.ps1
:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Nyisson meg egy emelt szintű PowerShell-parancssort a
MsspTokensAcquisition
mappában.Futtassa az alábbi parancsot:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Adja meg a következő parancsokat:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Cserélje le <client_id> az előző lépésben kapott alkalmazás-(ügyfél-) azonosítóra .
- Cserélje le <app_key> az előző lépésben létrehozott titkos ügyfélkódra .
- Cserélje le <customer_tenant_id> az ügyfél bérlőazonosítójára.
A rendszer kérni fogja, hogy adja meg hitelesítő adatait és hozzájárulását. A lapátirányítás figyelmen kívül hagyása.
A PowerShell-ablakban kapni fog egy hozzáférési és egy frissítési jogkivonatot. Mentse a frissítési jogkivonatot a SIEM-összekötő konfigurálásához.
Engedélyeznie kell a Microsoft Defender XDR-ben létrehozott alkalmazást.
Az alkalmazás engedélyezéséhez a Portál rendszerbeállításainak kezelése engedéllyel kell rendelkeznie. Ellenkező esetben meg kell kérnie az ügyfelet, hogy engedélyezze az alkalmazást.
Lépjen a
https://security.microsoft.com?tid=<customer_tenant_id>
(cserélje le <customer_tenant_id> az ügyfél bérlőazonosítójára.Kattintson a Beállítások>Végpontok>API-k>SIEM elemre.
Válassza az MSSP lapot.
Adja meg az alkalmazásazonosítót az első lépésben, valamint a bérlőazonosítót.
Kattintson az Alkalmazás engedélyezése elemre.
Most letöltheti az SIEM megfelelő konfigurációs fájlját, és csatlakozhat a Microsoft Defender XDR API-hoz. További információ: Riasztások lekérése az SIEM-eszközökre.
- Az ArcSight konfigurációs fájljában /Splunk Authentication Properties fájlban írja be manuálisan az alkalmazáskulcsot a titkos kód értékének beállításával.
- Ahelyett, hogy egy frissítési jogkivonatot szerez be a portálon, az előző lépés szkriptjével szerezzen be egy frissítési jogkivonatot (vagy más módon szerezze be).
További információ a riasztások REST API-val történő lekéréséről: Riasztások lekérése REST API használatával.
A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn
Tipp.
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.