Les på engelsk

Del via


Hente Microsoft Defender XDR hendelser

Gjelder for:

Obs!

Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn.

Obs!

Denne handlingen utføres av MSSP.

Du kan hente varsler på to måter:

  • Bruke SIEM-metoden
  • Bruke API-er

Hent hendelser til SIEM

Hvis du vil hente hendelser inn i SIEM-systemet, må du utføre følgende trinn:

  • Trinn 1: Opprett et tredjepartsprogram
  • Trinn 2: Få tilgang til og oppdatere tokener fra kundens leier
  • Trinn 3: tillat programmet på Microsoft Defender XDR

Trinn 1: Opprett et program i Microsoft Entra ID

Du må opprette et program og gi det tillatelse til å hente varsler fra kundens Microsoft Defender XDR tenant.

  1. Logg på Microsoft Entra administrasjonssenter.

  2. Velg Microsoft Entra ID>App-registreringer.

  3. Klikk Ny registrering.

  4. Angi følgende verdier:

    • Navn: <Tenant_name> SIEM MSSP Connector (erstatt Tenant_name med visningsnavnet for leieren)

    • Støttede kontotyper: Bare konto i denne organisasjonskatalogen

    • Omdirigerings-URI: Velg web og type https://<domain_name>/SiemMsspConnector(erstatt <domain_name> med leiernavnet)

  5. Klikk Registrer. Programmet vises i listen over programmer du eier.

  6. Velg programmet, og klikk deretter Oversikt.

  7. Kopier verdien fra program-ID-feltet (klient) til et trygt sted, du trenger dette i neste trinn.

  8. Velg Sertifikat & hemmeligheter i det nye programpanelet.

  9. Klikk Ny klienthemmelighet.

    • Beskrivelse: Skriv inn en beskrivelse for nøkkelen.
    • Utløper: Velg om ett år
  10. Klikk Legg til, kopier verdien av klienthemmeligheten til et trygt sted, du trenger dette i neste trinn.

Trinn 2: Få tilgang til og oppdatere tokener fra kundens leier

Denne delen veileder deg om hvordan du bruker et PowerShell-skript for å få tokener fra kundens leier. Dette skriptet bruker programmet fra forrige trinn til å få tilgang og oppdatere tokener ved hjelp av OAuth Authorization Code Flow.

Når du har angitt legitimasjonen din, må du gi samtykke til programmet slik at programmet klargjøres i kundens leier.

  1. Opprett en ny mappe og gi den et navn: MsspTokensAcquisition.

  2. Last ned LoginBrowser.psm1-modulen , og lagre den MsspTokensAcquisition i mappen.

    Obs!

    Erstatt authorzationUrl med i linje 30 med authorizationUrl.

  3. Opprett en fil med følgende innhold og lagre den med navnet MsspTokensAcquisition.ps1 i mappen:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Åpne en hevet PowerShell-ledetekst i MsspTokensAcquisition mappen.

  5. Utfør denne kommandoen: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Skriv inn følgende kommandoer: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Erstatt <client_id> med program-ID-en (klienten) du fikk fra forrige trinn.
    • Erstatt <app_key> med klienthemmeligheten du opprettet fra forrige trinn.
    • Erstatt <customer_tenant_id> med kundens leier-ID.
  7. Du blir bedt om å oppgi legitimasjon og samtykke. Ignorer omadressering av siden.

  8. I PowerShell-vinduet får du et tilgangstoken og et oppdateringstoken. Lagre oppdateringstokenet for å konfigurere SIEM-koblingen.

Trinn 3: Tillat programmet på Microsoft Defender XDR

Du må tillate programmet du opprettet i Microsoft Defender XDR.

Du må ha tillatelse til å administrere systeminnstillinger for portalen for å tillate programmet. Ellers må du be kunden om å tillate programmet for deg.

  1. Gå til https://security.microsoft.com?tid=<customer_tenant_id> (erstatt <customer_tenant_id> med kundens leier-ID.

  2. Klikk Innstillinger>endepunkter>API>SIEM.

  3. Velg MSSP-fanen .

  4. Skriv inn program-ID-en fra det første trinnet og leier-ID-en.

  5. Klikk Godkjenn program.

Nå kan du laste ned den relevante konfigurasjonsfilen for SIEM og koble til Microsoft Defender XDR-API-en. Hvis du vil ha mer informasjon, kan du se Pull-varsler til SIEM-verktøyene.

  • Skriv programnøkkelen manuelt i arcsight-konfigurasjonsfilen / Splunk Authentication Properties-filen manuelt ved å angi den hemmelige verdien.
  • I stedet for å anskaffe et oppdateringstoken i portalen, kan du bruke skriptet fra forrige trinn til å hente et oppdateringstoken (eller hente det på andre måter).

Hent varsler fra MSSP-kundens leier ved hjelp av API-er

Hvis du vil ha informasjon om hvordan du henter varsler ved hjelp av REST-API, kan du se Pull-varsler ved hjelp av REST-API.

Bruk Microsoft Graph-sikkerhets-API -en – Microsoft Graph | Microsoft Learn

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.