Microsoft Defender XDR-incidenten ophalen
Van toepassing op:
Notitie
Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.
Notitie
Deze actie wordt uitgevoerd door de MSSP.
Er zijn twee manieren waarop u waarschuwingen kunt ophalen:
- De SIEM-methode gebruiken
- API's gebruiken
Als u incidenten wilt ophalen in uw SIEM-systeem, moet u de volgende stappen uitvoeren:
- Stap 1: een toepassing van derden Creatie
- Stap 2: toegangstokens ophalen en vernieuwen van de tenant van uw klant
- Stap 3: uw toepassing toestaan op Microsoft Defender XDR
U moet een toepassing maken en deze machtigingen verlenen om waarschuwingen op te halen uit de Microsoft Defender XDR tenant van uw klant.
Meld u aan bij de Microsoft Entra-beheercentrum.
Selecteer Microsoft Entra ID>App-registraties.
Klik op Nieuwe registratie.
Geef de volgende waarden op:
Naam: <Tenant_name> SIEM MSSP-connector (vervang Tenant_name door de weergavenaam van de tenant)
Ondersteunde accounttypen: alleen account in deze organisatiemap
Omleidings-URI: selecteer Web en typ
https://<domain_name>/SiemMsspConnector
(vervang <domain_name> door de tenantnaam)
Klik op Registreren. De toepassing wordt weergegeven in de lijst met toepassingen waarvan u de eigenaar bent.
Selecteer de toepassing en klik vervolgens op Overzicht.
Kopieer de waarde van het veld Toepassings-id (client-id) naar een veilige plaats. U hebt deze in de volgende stap nodig.
Selecteer Certificaat & geheimen in het nieuwe toepassingsvenster.
Klik op Nieuw clientgeheim.
- Beschrijving: voer een beschrijving in voor de sleutel.
- Verloopt: Selecteer Over 1 jaar
Klik op Toevoegen, kopieer de waarde van het clientgeheim naar een veilige plaats. U hebt dit in de volgende stap nodig.
In deze sectie wordt uitgelegd hoe u een PowerShell-script gebruikt om de tokens op te halen uit de tenant van uw klant. Dit script gebruikt de toepassing uit de vorige stap om de toegangs- en vernieuwingstokens op te halen met behulp van de OAuth-autorisatiecodestroom.
Nadat u uw referenties hebt opgegeven, moet u toestemming verlenen voor de toepassing, zodat de toepassing wordt ingericht in de tenant van de klant.
Creatie een nieuwe map en geef deze de volgende naam:
MsspTokensAcquisition
.Download de module LoginBrowser.psm1 en sla deze op in de
MsspTokensAcquisition
map.Notitie
Vervang in regel 30 door
authorzationUrl
authorizationUrl
.Creatie een bestand met de volgende inhoud en sla het bestand op met de naam
MsspTokensAcquisition.ps1
in de map:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Open een PowerShell-opdrachtprompt met verhoogde bevoegdheid in de
MsspTokensAcquisition
map.Voer de volgende opdracht uit:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Voer de volgende opdrachten in:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Vervang <client_id> door de toepassings-id (client) die u in de vorige stap hebt gekregen.
- Vervang <app_key> door het clientgeheim dat u in de vorige stap hebt gemaakt.
- Vervang <customer_tenant_id> door de tenant-id van uw klant.
U wordt gevraagd uw referenties en toestemming op te geven. De omleiding van de pagina negeren.
In het PowerShell-venster ontvangt u een toegangstoken en een vernieuwingstoken. Sla het vernieuwingstoken op om uw SIEM-connector te configureren.
U moet de toepassing toestaan die u in Microsoft Defender XDR hebt gemaakt.
U moet de machtiging Portalsysteeminstellingen beheren hebben om de toepassing toe te staan. Anders moet u uw klant vragen om de toepassing voor u toe te staan.
Ga naar
https://security.microsoft.com?tid=<customer_tenant_id>
(vervang <customer_tenant_id> door de tenant-id van de klant.Klik op Instellingen>Eindpunt-API's>>SIEM.
Selecteer het tabblad MSSP .
Voer de toepassings-id uit de eerste stap en uw tenant-id in.
Klik op Toepassing autoriseren.
U kunt nu het relevante configuratiebestand voor uw SIEM downloaden en verbinding maken met de Microsoft Defender XDR-API. Zie Waarschuwingen naar uw SIEM-hulpprogramma's ophalen voor meer informatie.
- Schrijf uw toepassingssleutel handmatig in het ArcSight-configuratiebestand/Splunk Authentication Properties-bestand door de geheime waarde in te stellen.
- In plaats van een vernieuwingstoken in de portal te verkrijgen, gebruikt u het script uit de vorige stap om een vernieuwingstoken te verkrijgen (of op een andere wijze te verkrijgen).
Zie Waarschuwingen ophalen met behulp van REST API voor meer informatie over het ophalen van waarschuwingen met behulp van REST API.
De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.