Recupero incidenti di Microsoft Defender XDR
Si applica a:
Nota
Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.
Nota
Questa azione viene eseguita da MSSP.
Esistono due modi per recuperare gli avvisi:
- Uso del metodo SIEM
- Uso delle API
Per recuperare gli eventi imprevisti nel sistema SIEM, è necessario seguire questa procedura:
- Passaggio 1: Create un'applicazione di terze parti
- Passaggio 2: Ottenere i token di accesso e aggiornamento dal tenant del cliente
- Passaggio 3: consentire l'applicazione in Microsoft Defender XDR
Sarà necessario creare un'applicazione e concederle le autorizzazioni per recuperare gli avvisi dal tenant Microsoft Defender XDR del cliente.
Accedere all'interfaccia di amministrazione di Microsoft Entra.
Selezionare Microsoft Entra ID>Registrazioni app.
Fare clic su Nuova registrazione.
Specificare i valori seguenti:
Nome: <Tenant_name> connettore MSSP SIEM (sostituire Tenant_name con il nome visualizzato del tenant)
Tipi di account supportati: solo account in questa directory organizzativa
URI di reindirizzamento: selezionare Web e digitare
https://<domain_name>/SiemMsspConnector
(sostituire <domain_name> con il nome del tenant)
Fare clic su Registra. L'applicazione viene visualizzata nell'elenco delle applicazioni di cui si è proprietari.
Selezionare l'applicazione, quindi fare clic su Panoramica.
Copiare il valore dal campo ID applicazione (client) in un luogo sicuro, che sarà necessario nel passaggio successivo.
Selezionare Certificato & segreti nel nuovo pannello dell'applicazione.
Fare clic su Nuovo segreto client.
- Descrizione: immettere una descrizione per la chiave.
- Scadenza: selezionare Tra 1 anno
Fare clic su Aggiungi, copiare il valore del segreto client in un luogo sicuro, che sarà necessario nel passaggio successivo.
Questa sezione illustra come usare uno script di PowerShell per ottenere i token dal tenant del cliente. Questo script usa l'applicazione del passaggio precedente per ottenere i token di accesso e aggiornamento usando il flusso di codice di autorizzazione OAuth.
Dopo aver fornito le credenziali, è necessario concedere il consenso all'applicazione in modo che venga effettuato il provisioning dell'applicazione nel tenant del cliente.
Create una nuova cartella e denominarla:
MsspTokensAcquisition
.Scaricare il modulo LoginBrowser.psm1 e salvarlo nella
MsspTokensAcquisition
cartella .Nota
Nella riga 30 sostituire
authorzationUrl
conauthorizationUrl
.Create un file con il contenuto seguente e salvarlo con il nome
MsspTokensAcquisition.ps1
nella cartella:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Aprire un prompt dei comandi di PowerShell con privilegi elevati nella
MsspTokensAcquisition
cartella.Esegui il comando seguente:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Immettere i comandi seguenti:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Sostituire <client_id> con l'ID applicazione (client) ottenuto dal passaggio precedente.
- Sostituire <app_key> con il segreto client creato nel passaggio precedente.
- Sostituire <customer_tenant_id> con l'ID tenant del cliente.
Verrà richiesto di fornire le credenziali e il consenso. Ignorare il reindirizzamento della pagina.
Nella finestra di PowerShell si riceveranno un token di accesso e un token di aggiornamento. Salvare il token di aggiornamento per configurare il connettore SIEM.
Sarà necessario consentire l'applicazione creata in Microsoft Defender XDR.
È necessario disporre dell'autorizzazione Gestisci impostazioni di sistema del portale per consentire l'applicazione. In caso contrario, è necessario richiedere al cliente di consentire l'applicazione.
Passare a
https://security.microsoft.com?tid=<customer_tenant_id>
(sostituire <customer_tenant_id> con l'ID tenant del cliente.Fare clic su IMPOSTAZIONI>>API>ENDPOINT SIEM.
Selezionare la scheda MSSP .
Immettere l'ID applicazione dal primo passaggio e l'ID tenant.
Fare clic su Autorizza applicazione.
È ora possibile scaricare il file di configurazione pertinente per SIEM e connettersi all'API Microsoft Defender XDR. Per altre informazioni, vedere Eseguire il pull degli avvisi agli strumenti SIEM.
- Nel file di configurazione di ArcSight/Splunk Authentication Properties( Proprietà autenticazione Splunk) scrivere manualmente la chiave dell'applicazione impostando il valore del segreto.
- Invece di acquisire un token di aggiornamento nel portale, usare lo script del passaggio precedente per acquisire un token di aggiornamento (o acquisirlo con altri mezzi).
Per informazioni su come recuperare gli avvisi usando l'API REST, vedere Eseguire il pull degli avvisi con l'API REST.
Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn
Suggerimento
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.