다음을 통해 공유


Microsoft Defender XDR 인시던트 가져오기

적용 대상:

참고

MS Graph 보안 API를 사용하여 새 API를 사용해 보세요. 자세한 정보: Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.

참고

이 작업은 MSSP에서 수행합니다.

다음과 같은 두 가지 방법으로 경고를 가져올 수 있습니다.

  • SIEM 메서드 사용
  • API 사용

SIEM에 인시던트 가져오기

SIEM 시스템에 인시던트 가져오기를 수행하려면 다음 단계를 수행해야 합니다.

  • 1단계: 타사 애플리케이션 Create
  • 2단계: 고객의 테넌트에서 액세스 및 새로 고침 토큰 가져오기
  • 3단계: Microsoft Defender XDR 애플리케이션 허용

1단계: Microsoft Entra ID 애플리케이션 Create

애플리케이션을 만들고 고객의 Microsoft Defender XDR 테넌트에서 경고를 가져올 수 있는 권한을 부여해야 합니다.

  1. Microsoft Entra 관리 센터에 로그인합니다.

  2. Microsoft Entra ID>앱 등록 선택합니다.

  3. 새 등록을 클릭합니다.

  4. 다음 값을 지정합니다.

    • 이름: <Tenant_name> SIEM MSSP 커넥터(Tenant_name 테넌트 표시 이름으로 바꾸기)

    • 지원되는 계정 유형: 이 조직 디렉터리의 계정만

    • 리디렉션 URI: 웹을 선택하고 를 입력합니다https://<domain_name>/SiemMsspConnector(domain_name> 테넌트 이름으로 바꾸기<).

  5. 등록을 클릭합니다. 애플리케이션은 소유한 애플리케이션 목록에 표시됩니다.

  6. 애플리케이션을 선택한 다음 개요를 클릭합니다.

  7. 애플리케이션(클라이언트) ID 필드에서 안전한 위치로 값을 복사합니다. 다음 단계에서 이 값이 필요합니다.

  8. 새 애플리케이션 패널에서 인증서 & 비밀을 선택합니다.

  9. 새 클라이언트 암호를 클릭합니다.

    • 설명: 키에 대한 설명을 입력합니다.
    • 만료: 1년 후 선택
  10. 추가를 클릭하고 클라이언트 암호 값을 안전한 장소에 복사합니다. 다음 단계에서 필요합니다.

2단계: 고객의 테넌트에서 액세스 및 새로 고침 토큰 가져오기

이 섹션에서는 PowerShell 스크립트를 사용하여 고객의 테넌트에서 토큰을 가져오는 방법을 안내합니다. 이 스크립트는 이전 단계의 애플리케이션을 사용하여 OAuth 인증 코드 흐름을 사용하여 액세스 및 새로 고침 토큰을 가져옵니다.

자격 증명을 제공한 후에는 애플리케이션이 고객의 테넌트에서 프로비전되도록 애플리케이션에 동의를 부여해야 합니다.

  1. 새 폴더를 Create 이름을 로 지정합니다MsspTokensAcquisition.

  2. LoginBrowser.psm1 모듈을 다운로드하여 폴더에 MsspTokensAcquisition 저장합니다.

    참고

    줄 30에서 를 로 바authorizationUrl꿉다authorzationUrl.

  3. 다음 콘텐츠가 포함된 파일을 Create 폴더에 이름으로 MsspTokensAcquisition.ps1 저장합니다.

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. 폴더에서 관리자 권한 PowerShell 명령 프롬프트를 MsspTokensAcquisition 엽니다.

  5. 다음 명령을 실행합니다. Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. 다음 명령을 입력합니다. .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • client_id> 이전 단계에서 얻은 애플리케이션(클라이언트) ID로 바꿉니다<.
    • app_key> 이전 단계에서 만든 클라이언트 암호로 바꿉니다<.
    • customer_tenant_id> 고객의 테넌트 ID로 대체<합니다.
  7. 자격 증명 및 동의를 제공하라는 메시지가 표시됩니다. 페이지 리디렉션을 무시합니다.

  8. PowerShell 창에서 액세스 토큰과 새로 고침 토큰을 받게 됩니다. 새로 고침 토큰을 저장하여 SIEM 커넥터를 구성합니다.

3단계: Microsoft Defender XDR 애플리케이션 허용

Microsoft Defender XDR 만든 애플리케이션을 허용해야 합니다.

애플리케이션을 허용하려면 포털 시스템 설정 관리 권한이 있어야 합니다. 그렇지 않으면 고객에게 애플리케이션을 허용하도록 요청해야 합니다.

  1. (https://security.microsoft.com?tid=<customer_tenant_id>customer_tenant_id> 고객의 테넌트 ID로 바꿉<니다.

  2. 설정>엔드포인트 API>SIEM을 > 클릭합니다.

  3. MSSP 탭을 선택합니다.

  4. 첫 번째 단계의 애플리케이션 ID테넌트 ID를 입력합니다.

  5. 애플리케이션 권한 부여를 클릭합니다.

이제 SIEM에 대한 관련 구성 파일을 다운로드하고 Microsoft Defender XDR API에 연결할 수 있습니다. 자세한 내용은 SIEM 도구로 경고 끌어오기를 참조하세요.

  • ArcSight 구성 파일/Splunk 인증 속성 파일에서 비밀 값을 설정하여 애플리케이션 키를 수동으로 작성합니다.
  • 포털에서 새로 고침 토큰을 가져오는 대신 이전 단계의 스크립트를 사용하여 새로 고침 토큰을 획득하거나 다른 방법으로 토큰을 획득합니다.

API를 사용하여 MSSP 고객의 테넌트에서 경고 가져오기

REST API를 사용하여 경고를 가져오는 방법에 대한 자세한 내용은 REST API를 사용하여 경고 끌어오기를 참조하세요.

Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.