Microsoft Defender XDR インシデントを取得する
適用対象:
注意
MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。
注意
このアクションは MSSP によって実行されます。
アラートを取得する方法は 2 つあります。
- SIEM メソッドの使用
- API の使用
SIEM システムにインシデントをフェッチするには、次の手順を実行する必要があります。
- 手順 1: サード パーティ製アプリケーションをCreateする
- 手順 2: 顧客のテナントからアクセス トークンと更新トークンを取得する
- 手順 3: Microsoft Defender XDRでアプリケーションを許可する
アプリケーションを作成し、顧客のMicrosoft Defender XDR テナントからアラートを取得するためのアクセス許可を付与する必要があります。
Microsoft Entra 管理センターにサインインします。
[Microsoft Entra ID>アプリの登録] を選択します。
[ 新しい登録] をクリックします。
次の値を指定します。
名前: <SIEM MSSP コネクタTenant_name> (Tenant_nameをテナントの表示名に置き換えます)
サポートされているアカウントの種類: この組織のディレクトリ内のアカウントのみ
リダイレクト URI: [Web] と [型
https://<domain_name>/SiemMsspConnector
] を選択します (domain_name>をテナント名に置き換えます<)
[登録] をクリックします。 アプリケーションは、所有しているアプリケーションの一覧に表示されます。
アプリケーションを選択し、[ 概要] をクリックします。
[アプリケーション (クライアント) ID] フィールドの値を安全な場所にコピーします。これは次の手順で必要になります。
新しいアプリケーション パネル で [証明書 & シークレット ] を選択します。
[ 新しいクライアント シークレット] をクリックします。
- 説明: キーの説明を入力します。
- 期限切れ: [1 年で] を選択します
[ 追加] をクリックし、クライアント シークレットの値を安全な場所にコピーします。これは次の手順で必要になります。
このセクションでは、PowerShell スクリプトを使用して顧客のテナントからトークンを取得する方法について説明します。 このスクリプトでは、前の手順のアプリケーションを使用して、OAuth 承認コード フローを使用してアクセス トークンと更新トークンを取得します。
資格情報を指定したら、アプリケーションが顧客のテナントでプロビジョニングされるように、アプリケーションに同意を付与する必要があります。
新しいフォルダーをCreateし、 という名前を付けます。
MsspTokensAcquisition
LoginBrowser.psm1 モジュールをダウンロードし、フォルダーに
MsspTokensAcquisition
保存します。注意
30 行目で を に
authorizationUrl
置き換えますauthorzationUrl
。次の内容のファイルをCreateし、フォルダーに名前
MsspTokensAcquisition.ps1
を付けて保存します。param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
フォルダーで管理者特権の PowerShell コマンド プロンプトを
MsspTokensAcquisition
開きます。次のコマンドを実行します。
Set-ExecutionPolicy -ExecutionPolicy Bypass
次のコマンドを入力します。
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- client_id>を、前の手順で取得したアプリケーション (クライアント) ID に置き換えます<。
- app_key>を、前の手順で作成したクライアント シークレットに置き換えます<。
- customer_tenant_id>を顧客のテナント ID に置き換えます<。
資格情報と同意の入力を求められます。 ページ リダイレクトを無視します。
PowerShell ウィンドウで、アクセス トークンと更新トークンを受け取ります。 更新トークンを保存して SIEM コネクタを構成します。
Microsoft Defender XDRで作成したアプリケーションを許可する必要があります。
アプリケーションを許可するには、 ポータル システム設定の管理 アクセス許可が必要です。 それ以外の場合は、アプリケーションを許可するように顧客に要求する必要があります。
に移動します
https://security.microsoft.com?tid=<customer_tenant_id>
(customer_tenant_id>を顧客のテナント ID に置き換えます<。[設定エンドポイント>API SIEM]> を>クリックします。
[ MSSP ] タブを選択します。
最初の手順の アプリケーション ID と テナント ID を入力します。
[ アプリケーションの承認] をクリックします。
SIEM に関連する構成ファイルをダウンロードし、Microsoft Defender XDR API に接続できるようになりました。 詳細については、「 SIEM ツールにアラートをプルする」を参照してください。
- ArcSight 構成ファイル/Splunk Authentication Properties ファイルで、シークレット値を設定してアプリケーション キーを手動で書き込みます。
- ポータルで更新トークンを取得する代わりに、前の手順のスクリプトを使用して更新トークンを取得します (または他の方法で取得します)。
REST API を使用してアラートをフェッチする方法については、「REST API を 使用してアラートをプルする」を参照してください。
Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。