MSSP 顧客テナントからアラートを取得する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

注:

このアクションは MSSP によって実行されます。

アラートを取得する方法は 2 つあります。

• SIEM メソッドの使用
• API の使用

SIEM にアラートをフェッチする

SIEM システムにアラートをフェッチするには、次の手順を実行する必要があります。

• 手順 1: サード パーティ製アプリケーションをCreateする
• 手順 2: 顧客のテナントからアクセス トークンと更新トークンを取得する
• 手順 3: Microsoft Defender XDRでアプリケーションを許可する

手順 1: Microsoft Entra IDでアプリケーションをCreateする

アプリケーションを作成し、顧客のMicrosoft Defender XDR テナントからアラートを取得するためのアクセス許可を付与する必要があります。

1. Microsoft Entra 管理センターにサインインします。

2. [Microsoft Entra ID>アプリの登録] を選択します。

3. [ 新しい登録] をクリックします。

4. 次の値を指定します。

   • 名前: <SIEM MSSP コネクタTenant_name> (Tenant_nameをテナントの表示名に置き換えます)

   • サポートされているアカウントの種類: この組織のディレクトリ内のアカウントのみ

   • リダイレクト URI: [Web] と [型https://<domain_name>/SiemMsspConnector] を選択します (domain_name>をテナント名に置き換えます<)

5. [登録] をクリックします。 アプリケーションは、所有しているアプリケーションの一覧に表示されます。

6. アプリケーションを選択し、[ 概要] をクリックします。

7. [アプリケーション (クライアント) ID] フィールドの値を安全な場所にコピーします。これは次の手順で必要になります。

8. 新しいアプリケーション パネル で [証明書 & シークレット ] を選択します。

9. [ 新しいクライアント シークレット] をクリックします。

   • 説明: キーの説明を入力します。
   • 期限切れ: [1 年で] を選択します

10. [ 追加] をクリックし、クライアント シークレットの値を安全な場所にコピーします。これは次の手順で必要になります。

手順 2: 顧客のテナントからアクセス トークンと更新トークンを取得する

このセクションでは、PowerShell スクリプトを使用して顧客のテナントからトークンを取得する方法について説明します。 このスクリプトでは、前の手順のアプリケーションを使用して、OAuth 承認コード フローを使用してアクセス トークンと更新トークンを取得します。

資格情報を指定したら、アプリケーションが顧客のテナントでプロビジョニングされるように、アプリケーションに同意を付与する必要があります。

1. 新しいフォルダーをCreateし、 という名前を付けます。 MsspTokensAcquisition

2. LoginBrowser.psm1 モジュールをダウンロードし、フォルダーにMsspTokensAcquisition保存します。

   注:

   30 行目で を にauthorizationUrl置き換えますauthorzationUrl。

3. 次の内容のファイルをCreateし、フォルダーに名前MsspTokensAcquisition.ps1を付けて保存します。

   param (
       [Parameter(Mandatory=$true)][string]$clientId,
       [Parameter(Mandatory=$true)][string]$secret,
       [Parameter(Mandatory=$true)][string]$tenantId
   )
   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   
   # Load our Login Browser Function
   Import-Module .\LoginBrowser.psm1
   
   # Configuration parameters
   $login = "https://login.microsoftonline.com"
   $redirectUri = "https://SiemMsspConnector"
   $resourceId = "https://graph.windows.net"
   
   Write-Host 'Prompt the user for his credentials, to get an authorization code'
   $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                       $login, $tenantId, $clientId, $redirectUri, $resourceId)
   Write-Host "authorzationUrl: $authorizationUrl"
   
   # Fake a proper endpoint for the Redirect URI
   $code = LoginBrowser $authorizationUrl $redirectUri
   
   # Acquire token using the authorization code
   
   $Body = @{
       grant_type = 'authorization_code'
       client_id = $clientId
       code = $code
       redirect_uri = $redirectUri
       resource = $resourceId
       client_secret = $secret
   }
   
   $tokenEndpoint = "$login/$tenantId/oauth2/token?"
   $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
   $token = $Response.access_token
   $refreshToken= $Response.refresh_token
   
   Write-Host " ----------------------------------- TOKEN ---------------------------------- "
   Write-Host $token
   
   Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
   Write-Host $refreshToken
   

4. フォルダーで管理者特権の PowerShell コマンド プロンプトを MsspTokensAcquisition 開きます。

5. 次のコマンドを実行します。Set-ExecutionPolicy -ExecutionPolicy Bypass

6. 次のコマンドを入力します。 .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

   • client_id>を、前の手順で取得したアプリケーション (クライアント) ID に置き換えます<。
   • app_key>を、前の手順で作成したクライアント シークレットに置き換えます<。
   • customer_tenant_id>を顧客のテナント ID に置き換えます<。

7. 資格情報と同意の入力を求められます。 ページ リダイレクトを無視します。

8. PowerShell ウィンドウで、アクセス トークンと更新トークンを受け取ります。 更新トークンを保存して SIEM コネクタを構成します。

手順 3: Microsoft Defender XDRでアプリケーションを許可する

Microsoft Defender XDRで作成したアプリケーションを許可する必要があります。

アプリケーションを許可するには、 ポータル システム設定の管理 アクセス許可が必要です。 それ以外の場合は、アプリケーションを許可するように顧客に要求する必要があります。

1. に移動します https://security.microsoft.com?tid=<customer_tenant_id> (customer_tenant_id>を顧客のテナント ID に置き換えます<。

2. [設定エンドポイント>API SIEM]> を>クリックします。

3. [ MSSP ] タブを選択します。

4. 最初の手順の アプリケーション ID と テナント ID を入力します。

5. [ アプリケーションの承認] をクリックします。

SIEM に関連する構成ファイルをダウンロードし、Microsoft Defender XDR API に接続できるようになりました。 詳細については、「 SIEM ツールにアラートをプルする」を参照してください。

• ArcSight 構成ファイル/Splunk Authentication Properties ファイルで、シークレット値を設定してアプリケーション キーを手動で書き込みます。
• ポータルで更新トークンを取得する代わりに、前の手順のスクリプトを使用して更新トークンを取得します (または他の方法で取得します)。

API を使用して MSSP 顧客のテナントからアラートを取得する

REST API を使用してアラートをフェッチする方法については、「 MSSP 顧客テナントからアラートをフェッチする」を参照してください。

関連項目

• ポータルへの MSSP アクセスを許可する
• MSSP カスタマー ポータルにアクセスする
• アラート通知を構成する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。