Lezen in het Engels

Delen via


Microsoft Defender XDR-incidenten ophalen

Van toepassing op:

Notitie

Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.

Notitie

Deze actie wordt uitgevoerd door de MSSP.

Er zijn twee manieren waarop u waarschuwingen kunt ophalen:

  • De SIEM-methode gebruiken
  • API's gebruiken

Incidenten ophalen in uw SIEM

Als u incidenten wilt ophalen in uw SIEM-systeem, moet u de volgende stappen uitvoeren:

  • Stap 1: een toepassing van derden Creatie
  • Stap 2: toegangstokens ophalen en vernieuwen van de tenant van uw klant
  • Stap 3: uw toepassing toestaan op Microsoft Defender XDR

Stap 1: een toepassing Creatie in Microsoft Entra ID

U moet een toepassing maken en deze machtigingen verlenen om waarschuwingen op te halen uit de Microsoft Defender XDR tenant van uw klant.

  1. Meld u aan bij de Microsoft Entra-beheercentrum.

  2. Selecteer Microsoft Entra ID>App-registraties.

  3. Klik op Nieuwe registratie.

  4. Geef de volgende waarden op:

    • Naam: <Tenant_name> SIEM MSSP-connector (vervang Tenant_name door de weergavenaam van de tenant)

    • Ondersteunde accounttypen: alleen account in deze organisatiemap

    • Omleidings-URI: selecteer Web en typ https://<domain_name>/SiemMsspConnector(vervang <domain_name> door de tenantnaam)

  5. Klik op Registreren. De toepassing wordt weergegeven in de lijst met toepassingen waarvan u de eigenaar bent.

  6. Selecteer de toepassing en klik vervolgens op Overzicht.

  7. Kopieer de waarde van het veld Toepassings-id (client-id) naar een veilige plaats. U hebt deze in de volgende stap nodig.

  8. Selecteer Certificaat & geheimen in het nieuwe toepassingsvenster.

  9. Klik op Nieuw clientgeheim.

    • Beschrijving: voer een beschrijving in voor de sleutel.
    • Verloopt: Selecteer Over 1 jaar
  10. Klik op Toevoegen, kopieer de waarde van het clientgeheim naar een veilige plaats. U hebt dit in de volgende stap nodig.

Stap 2: toegangstokens ophalen en vernieuwen van de tenant van uw klant

In deze sectie wordt uitgelegd hoe u een PowerShell-script gebruikt om de tokens op te halen uit de tenant van uw klant. Dit script gebruikt de toepassing uit de vorige stap om de toegangs- en vernieuwingstokens op te halen met behulp van de OAuth-autorisatiecodestroom.

Nadat u uw referenties hebt opgegeven, moet u toestemming verlenen voor de toepassing, zodat de toepassing wordt ingericht in de tenant van de klant.

  1. Creatie een nieuwe map en geef deze de volgende naam: MsspTokensAcquisition.

  2. Download de module LoginBrowser.psm1 en sla deze op in de MsspTokensAcquisition map.

    Notitie

    Vervang in regel 30 door authorzationUrlauthorizationUrl.

  3. Creatie een bestand met de volgende inhoud en sla het bestand op met de naam MsspTokensAcquisition.ps1 in de map:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Open een PowerShell-opdrachtprompt met verhoogde bevoegdheid in de MsspTokensAcquisition map.

  5. Voer de volgende opdracht uit: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Voer de volgende opdrachten in: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Vervang <client_id> door de toepassings-id (client) die u in de vorige stap hebt gekregen.
    • Vervang <app_key> door het clientgeheim dat u in de vorige stap hebt gemaakt.
    • Vervang <customer_tenant_id> door de tenant-id van uw klant.
  7. U wordt gevraagd uw referenties en toestemming op te geven. De omleiding van de pagina negeren.

  8. In het PowerShell-venster ontvangt u een toegangstoken en een vernieuwingstoken. Sla het vernieuwingstoken op om uw SIEM-connector te configureren.

Stap 3: uw toepassing toestaan op Microsoft Defender XDR

U moet de toepassing toestaan die u in Microsoft Defender XDR hebt gemaakt.

U moet de machtiging Portalsysteeminstellingen beheren hebben om de toepassing toe te staan. Anders moet u uw klant vragen om de toepassing voor u toe te staan.

  1. Ga naar https://security.microsoft.com?tid=<customer_tenant_id> (vervang <customer_tenant_id> door de tenant-id van de klant.

  2. Klik op Instellingen>Eindpunt-API's>>SIEM.

  3. Selecteer het tabblad MSSP .

  4. Voer de toepassings-id uit de eerste stap en uw tenant-id in.

  5. Klik op Toepassing autoriseren.

U kunt nu het relevante configuratiebestand voor uw SIEM downloaden en verbinding maken met de Microsoft Defender XDR-API. Zie Waarschuwingen naar uw SIEM-hulpprogramma's ophalen voor meer informatie.

  • Schrijf uw toepassingssleutel handmatig in het ArcSight-configuratiebestand/Splunk Authentication Properties-bestand door de geheime waarde in te stellen.
  • In plaats van een vernieuwingstoken in de portal te verkrijgen, gebruikt u het script uit de vorige stap om een vernieuwingstoken te verkrijgen (of op een andere wijze te verkrijgen).

Waarschuwingen ophalen uit de tenant van de MSSP-klant met behulp van API's

Zie Waarschuwingen ophalen met behulp van REST API voor meer informatie over het ophalen van waarschuwingen met behulp van REST API.

De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.