Hente varsler fra MSSP-kundeleieren

Artikkel
04/26/2024

Gjelder for:

Obs!

Denne handlingen utføres av MSSP.

Du kan hente varsler på to måter:

Bruke SIEM-metoden
Bruke API-er

Hente varsler til SIEM

Hvis du vil hente varsler til SIEM-systemet, må du utføre følgende trinn:

Trinn 1: Opprett et tredjepartsprogram
Trinn 2: Få tilgang til og oppdatere tokener fra kundens leier
Trinn 3: tillat programmet på Microsoft Defender XDR

Trinn 1: Opprett et program i Microsoft Entra ID

Du må opprette et program og gi det tillatelse til å hente varsler fra kundens Microsoft Defender XDR tenant.

Logg på Microsoft Entra administrasjonssenter.
Velg Microsoft Entra ID>App-registreringer.
Klikk Ny registrering.
Angi følgende verdier:
- Navn: <Tenant_name> SIEM MSSP Connector (erstatt Tenant_name med visningsnavnet for leieren)
- Støttede kontotyper: Bare konto i denne organisasjonskatalogen
- Omdirigerings-URI: Velg web og type https://<domain_name>/SiemMsspConnector(erstatt <domain_name> med leiernavnet)
Klikk Registrer. Programmet vises i listen over programmer du eier.
Velg programmet, og klikk deretter Oversikt.
Kopier verdien fra program-ID-feltet (klient) til et trygt sted, du trenger dette i neste trinn.
Velg Sertifikat & hemmeligheter i det nye programpanelet.
Klikk Ny klienthemmelighet.
- Beskrivelse: Skriv inn en beskrivelse for nøkkelen.
- Utløper: Velg om ett år
Klikk Legg til, kopier verdien av klienthemmeligheten til et trygt sted, du trenger dette i neste trinn.

Trinn 2: Få tilgang til og oppdatere tokener fra kundens leier

Denne delen veileder deg om hvordan du bruker et PowerShell-skript for å få tokener fra kundens leier. Dette skriptet bruker programmet fra forrige trinn til å få tilgang og oppdatere tokener ved hjelp av OAuth Authorization Code Flow.

Når du har angitt legitimasjonen din, må du gi samtykke til programmet slik at programmet klargjøres i kundens leier.

Opprett en ny mappe og gi den et navn: MsspTokensAcquisition.
Last ned LoginBrowser.psm1-modulen , og lagre den MsspTokensAcquisition i mappen.

Obs!

Erstatt authorzationUrl med i linje 30 med authorizationUrl.

Opprett en fil med følgende innhold og lagre den med navnet MsspTokensAcquisition.ps1 i mappen:

param (
    [Parameter(Mandatory=$true)][string]$clientId,
    [Parameter(Mandatory=$true)][string]$secret,
    [Parameter(Mandatory=$true)][string]$tenantId
)
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

# Load our Login Browser Function
Import-Module .\LoginBrowser.psm1

# Configuration parameters
$login = "https://login.microsoftonline.com"
$redirectUri = "https://SiemMsspConnector"
$resourceId = "https://graph.windows.net"

Write-Host 'Prompt the user for his credentials, to get an authorization code'
$authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                    $login, $tenantId, $clientId, $redirectUri, $resourceId)
Write-Host "authorzationUrl: $authorizationUrl"

# Fake a proper endpoint for the Redirect URI
$code = LoginBrowser $authorizationUrl $redirectUri

# Acquire token using the authorization code

$Body = @{
    grant_type = 'authorization_code'
    client_id = $clientId
    code = $code
    redirect_uri = $redirectUri
    resource = $resourceId
    client_secret = $secret
}

$tokenEndpoint = "$login/$tenantId/oauth2/token?"
$Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
$token = $Response.access_token
$refreshToken= $Response.refresh_token

Write-Host " ----------------------------------- TOKEN ---------------------------------- "
Write-Host $token

Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
Write-Host $refreshToken

Åpne en hevet PowerShell-ledetekst i MsspTokensAcquisition mappen.
Utfør denne kommandoen: Set-ExecutionPolicy -ExecutionPolicy Bypass
Skriv inn følgende kommandoer: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Erstatt <client_id> med program-ID-en (klienten) du fikk fra forrige trinn.
- Erstatt <app_key> med klienthemmeligheten du opprettet fra forrige trinn.
- Erstatt <customer_tenant_id> med kundens leier-ID.
Du blir bedt om å oppgi legitimasjon og samtykke. Ignorer omadressering av siden.
I PowerShell-vinduet får du et tilgangstoken og et oppdateringstoken. Lagre oppdateringstokenet for å konfigurere SIEM-koblingen.

Trinn 3: Tillat programmet på Microsoft Defender XDR

Du må tillate programmet du opprettet i Microsoft Defender XDR.

Du må ha tillatelse til å administrere systeminnstillinger for portalen for å tillate programmet. Ellers må du be kunden om å tillate programmet for deg.

Gå til https://security.microsoft.com?tid=<customer_tenant_id> (erstatt <customer_tenant_id> med kundens leier-ID.
Klikk Innstillinger>endepunkter>API>SIEM.
Velg MSSP-fanen .
Skriv inn program-ID-en fra det første trinnet og leier-ID-en.
Klikk Godkjenn program.

Nå kan du laste ned den relevante konfigurasjonsfilen for SIEM og koble til Microsoft Defender XDR-API-en. Hvis du vil ha mer informasjon, kan du se Pull-varsler til SIEM-verktøyene.

Skriv programnøkkelen manuelt i arcsight-konfigurasjonsfilen / Splunk Authentication Properties-filen manuelt ved å angi den hemmelige verdien.
I stedet for å anskaffe et oppdateringstoken i portalen, kan du bruke skriptet fra forrige trinn til å hente et oppdateringstoken (eller hente det på andre måter).

Hent varsler fra MSSP-kundens leier ved hjelp av API-er

Hvis du vil ha informasjon om hvordan du henter varsler ved hjelp av REST-API, kan du se Hent varsler fra MSSP-kundeleieren.

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.

Del via