英語で読む

次の方法で共有


Microsoft Defender XDR インシデントを取得する

適用対象:

注意

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

注意

このアクションは MSSP によって実行されます。

アラートを取得する方法は 2 つあります。

  • SIEM メソッドの使用
  • API の使用

SIEM にインシデントをフェッチする

SIEM システムにインシデントをフェッチするには、次の手順を実行する必要があります。

  • 手順 1: サード パーティ製アプリケーションをCreateする
  • 手順 2: 顧客のテナントからアクセス トークンと更新トークンを取得する
  • 手順 3: Microsoft Defender XDRでアプリケーションを許可する

手順 1: Microsoft Entra IDでアプリケーションをCreateする

アプリケーションを作成し、顧客のMicrosoft Defender XDR テナントからアラートを取得するためのアクセス許可を付与する必要があります。

  1. Microsoft Entra 管理センターにサインインします。

  2. [Microsoft Entra ID>アプリの登録] を選択します

  3. [ 新しい登録] をクリックします。

  4. 次の値を指定します。

    • 名前: <SIEM MSSP コネクタTenant_name> (Tenant_nameをテナントの表示名に置き換えます)

    • サポートされているアカウントの種類: この組織のディレクトリ内のアカウントのみ

    • リダイレクト URI: [Web] と [型https://<domain_name>/SiemMsspConnector] を選択します (domain_name>をテナント名に置き換えます<)

  5. [登録] をクリックします。 アプリケーションは、所有しているアプリケーションの一覧に表示されます。

  6. アプリケーションを選択し、[ 概要] をクリックします。

  7. [アプリケーション (クライアント) ID] フィールドの値を安全な場所にコピーします。これは次の手順で必要になります。

  8. 新しいアプリケーション パネル で [証明書 & シークレット ] を選択します。

  9. [ 新しいクライアント シークレット] をクリックします。

    • 説明: キーの説明を入力します。
    • 期限切れ: [1 年で] を選択します
  10. [ 追加] をクリックし、クライアント シークレットの値を安全な場所にコピーします。これは次の手順で必要になります。

手順 2: 顧客のテナントからアクセス トークンと更新トークンを取得する

このセクションでは、PowerShell スクリプトを使用して顧客のテナントからトークンを取得する方法について説明します。 このスクリプトでは、前の手順のアプリケーションを使用して、OAuth 承認コード フローを使用してアクセス トークンと更新トークンを取得します。

資格情報を指定したら、アプリケーションが顧客のテナントでプロビジョニングされるように、アプリケーションに同意を付与する必要があります。

  1. 新しいフォルダーをCreateし、 という名前を付けます。 MsspTokensAcquisition

  2. LoginBrowser.psm1 モジュールをダウンロードし、フォルダーにMsspTokensAcquisition保存します。

    注意

    30 行目で を にauthorizationUrl置き換えますauthorzationUrl

  3. 次の内容のファイルをCreateし、フォルダーに名前MsspTokensAcquisition.ps1を付けて保存します。

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. フォルダーで管理者特権の PowerShell コマンド プロンプトを MsspTokensAcquisition 開きます。

  5. 次のコマンドを実行します。Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. 次のコマンドを入力します。 .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • client_id>を、前の手順で取得したアプリケーション (クライアント) ID に置き換えます<。
    • app_key>を、前の手順で作成したクライアント シークレットに置き換えます<。
    • customer_tenant_id>を顧客のテナント ID に置き換えます<。
  7. 資格情報と同意の入力を求められます。 ページ リダイレクトを無視します。

  8. PowerShell ウィンドウで、アクセス トークンと更新トークンを受け取ります。 更新トークンを保存して SIEM コネクタを構成します。

手順 3: Microsoft Defender XDRでアプリケーションを許可する

Microsoft Defender XDRで作成したアプリケーションを許可する必要があります。

アプリケーションを許可するには、 ポータル システム設定の管理 アクセス許可が必要です。 それ以外の場合は、アプリケーションを許可するように顧客に要求する必要があります。

  1. に移動します https://security.microsoft.com?tid=<customer_tenant_id> (customer_tenant_id>を顧客のテナント ID に置き換えます<。

  2. [設定エンドポイント>API SIEM]> を>クリックします。

  3. [ MSSP ] タブを選択します。

  4. 最初の手順の アプリケーション IDテナント ID を入力します。

  5. [ アプリケーションの承認] をクリックします。

SIEM に関連する構成ファイルをダウンロードし、Microsoft Defender XDR API に接続できるようになりました。 詳細については、「 SIEM ツールにアラートをプルする」を参照してください。

  • ArcSight 構成ファイル/Splunk Authentication Properties ファイルで、シークレット値を設定してアプリケーション キーを手動で書き込みます。
  • ポータルで更新トークンを取得する代わりに、前の手順のスクリプトを使用して更新トークンを取得します (または他の方法で取得します)。

API を使用して MSSP 顧客のテナントからアラートを取得する

REST API を使用してアラートをフェッチする方法については、「REST API を 使用してアラートをプルする」を参照してください。

Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします