Hente Microsoft Defender XDR hendelser
Gjelder for:
Obs!
Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn.
Obs!
Denne handlingen utføres av MSSP.
Du kan hente varsler på to måter:
- Bruke SIEM-metoden
- Bruke API-er
Hvis du vil hente hendelser inn i SIEM-systemet, må du utføre følgende trinn:
- Trinn 1: Opprett et tredjepartsprogram
- Trinn 2: Få tilgang til og oppdatere tokener fra kundens leier
- Trinn 3: tillat programmet på Microsoft Defender XDR
Du må opprette et program og gi det tillatelse til å hente varsler fra kundens Microsoft Defender XDR tenant.
Velg Microsoft Entra ID>App-registreringer.
Klikk Ny registrering.
Angi følgende verdier:
Navn: <Tenant_name> SIEM MSSP Connector (erstatt Tenant_name med visningsnavnet for leieren)
Støttede kontotyper: Bare konto i denne organisasjonskatalogen
Omdirigerings-URI: Velg web og type
https://<domain_name>/SiemMsspConnector
(erstatt <domain_name> med leiernavnet)
Klikk Registrer. Programmet vises i listen over programmer du eier.
Velg programmet, og klikk deretter Oversikt.
Kopier verdien fra program-ID-feltet (klient) til et trygt sted, du trenger dette i neste trinn.
Velg Sertifikat & hemmeligheter i det nye programpanelet.
Klikk Ny klienthemmelighet.
- Beskrivelse: Skriv inn en beskrivelse for nøkkelen.
- Utløper: Velg om ett år
Klikk Legg til, kopier verdien av klienthemmeligheten til et trygt sted, du trenger dette i neste trinn.
Denne delen veileder deg om hvordan du bruker et PowerShell-skript for å få tokener fra kundens leier. Dette skriptet bruker programmet fra forrige trinn til å få tilgang og oppdatere tokener ved hjelp av OAuth Authorization Code Flow.
Når du har angitt legitimasjonen din, må du gi samtykke til programmet slik at programmet klargjøres i kundens leier.
Opprett en ny mappe og gi den et navn:
MsspTokensAcquisition
.Last ned LoginBrowser.psm1-modulen , og lagre den
MsspTokensAcquisition
i mappen.Obs!
Erstatt
authorzationUrl
med i linje 30 medauthorizationUrl
.Opprett en fil med følgende innhold og lagre den med navnet
MsspTokensAcquisition.ps1
i mappen:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Åpne en hevet PowerShell-ledetekst i
MsspTokensAcquisition
mappen.Utfør denne kommandoen:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Skriv inn følgende kommandoer:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Erstatt <client_id> med program-ID-en (klienten) du fikk fra forrige trinn.
- Erstatt <app_key> med klienthemmeligheten du opprettet fra forrige trinn.
- Erstatt <customer_tenant_id> med kundens leier-ID.
Du blir bedt om å oppgi legitimasjon og samtykke. Ignorer omadressering av siden.
I PowerShell-vinduet får du et tilgangstoken og et oppdateringstoken. Lagre oppdateringstokenet for å konfigurere SIEM-koblingen.
Du må tillate programmet du opprettet i Microsoft Defender XDR.
Du må ha tillatelse til å administrere systeminnstillinger for portalen for å tillate programmet. Ellers må du be kunden om å tillate programmet for deg.
Gå til
https://security.microsoft.com?tid=<customer_tenant_id>
(erstatt <customer_tenant_id> med kundens leier-ID.Klikk Innstillinger>endepunkter>API>SIEM.
Velg MSSP-fanen .
Skriv inn program-ID-en fra det første trinnet og leier-ID-en.
Klikk Godkjenn program.
Nå kan du laste ned den relevante konfigurasjonsfilen for SIEM og koble til Microsoft Defender XDR-API-en. Hvis du vil ha mer informasjon, kan du se Pull-varsler til SIEM-verktøyene.
- Skriv programnøkkelen manuelt i arcsight-konfigurasjonsfilen / Splunk Authentication Properties-filen manuelt ved å angi den hemmelige verdien.
- I stedet for å anskaffe et oppdateringstoken i portalen, kan du bruke skriptet fra forrige trinn til å hente et oppdateringstoken (eller hente det på andre måter).
Hvis du vil ha informasjon om hvordan du henter varsler ved hjelp av REST-API, kan du se Pull-varsler ved hjelp av REST-API.
Bruk Microsoft Graph-sikkerhets-API -en – Microsoft Graph | Microsoft Learn
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.