Pobieranie zdarzeń usługi Microsoft Defender XDR

Dotyczy:

Uwaga

Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.

Uwaga

Ta akcja jest podejmowana przez program MSSP.

Istnieją dwa sposoby pobierania alertów:

  • Korzystanie z metody SIEM
  • Korzystanie z interfejsów API

Pobieranie zdarzeń do rozwiązania SIEM

Aby pobrać zdarzenia do systemu SIEM, należy wykonać następujące kroki:

  • Krok 1. Twórca aplikacji innej firmy
  • Krok 2. Uzyskiwanie dostępu i odświeżanie tokenów z dzierżawy klienta
  • Krok 3. Zezwalaj aplikacji na Microsoft Defender XDR

Krok 1. Twórca aplikacji w Tożsamość Microsoft Entra

Musisz utworzyć aplikację i udzielić jej uprawnień do pobierania alertów z dzierżawy Microsoft Defender XDR klienta.

  1. Zaloguj się do centrum administracyjne Microsoft Entra.

  2. Wybierz pozycję Tożsamość Microsoft Entra>Rejestracje aplikacji.

  3. Kliknij pozycję Nowa rejestracja.

  4. Określ następujące wartości:

    • Nazwa: <Tenant_name> łącznikA MSSP rozwiązania SIEM (zastąp Tenant_name nazwą wyświetlaną dzierżawy)

    • Obsługiwane typy kont: konto tylko w tym katalogu organizacyjnym

    • Identyfikator URI przekierowania: wybierz pozycję Sieć Web i wpisz https://<domain_name>/SiemMsspConnector(zastąp <domain_name> nazwą dzierżawy)

  5. Kliknij pozycję Zarejestruj. Aplikacja jest wyświetlana na liście posiadanych aplikacji.

  6. Wybierz aplikację, a następnie kliknij pozycję Przegląd.

  7. Skopiuj wartość z pola Identyfikator aplikacji (klienta) do bezpiecznego miejsca. Będzie to potrzebne w następnym kroku.

  8. Wybierz pozycję Certyfikat & wpisów tajnych w nowym panelu aplikacji.

  9. Kliknij pozycję Nowy klucz tajny klienta.

    • Opis: wprowadź opis klucza.
    • Wygasa: wybierz pozycję W ciągu 1 roku
  10. Kliknij przycisk Dodaj, skopiuj wartość klucza tajnego klienta do bezpiecznego miejsca. Będzie to potrzebne w następnym kroku.

Krok 2. Uzyskiwanie dostępu i odświeżanie tokenów z dzierżawy klienta

W tej sekcji przedstawiono sposób używania skryptu programu PowerShell do pobierania tokenów z dzierżawy klienta. Ten skrypt używa aplikacji z poprzedniego kroku do uzyskiwania dostępu i odświeżania tokenów przy użyciu przepływu kodu autoryzacji OAuth.

Po podaniu poświadczeń musisz udzielić zgody aplikacji, aby aplikacja była aprowizowana w dzierżawie klienta.

  1. Twórca nowy folder i nadaj mu nazwę: MsspTokensAcquisition.

  2. Pobierz moduł LoginBrowser.psm1 i zapisz go w folderze MsspTokensAcquisition .

    Uwaga

    W wierszu 30 zastąp ciąg authorzationUrl .authorizationUrl

  3. Twórca plik z następującą zawartością i zapisz go z nazwą MsspTokensAcquisition.ps1 w folderze:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień w folderze MsspTokensAcquisition .

  5. Uruchom następujące polecenie: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Wprowadź następujące polecenia: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Zastąp <client_id>identyfikatorem aplikacji (klienta) uzyskanym w poprzednim kroku.
    • Zastąp <app_key> kluczem tajnym klienta utworzonym w poprzednim kroku.
    • Zastąp <customer_tenant_id>identyfikatorem dzierżawy klienta.
  7. Zostanie wyświetlony monit o podanie poświadczeń i zgody. Ignoruj przekierowanie strony.

  8. W oknie programu PowerShell otrzymasz token dostępu i token odświeżania. Zapisz token odświeżania, aby skonfigurować łącznik SIEM.

Krok 3. Zezwalaj aplikacji na Microsoft Defender XDR

Musisz zezwolić na aplikację utworzoną w Microsoft Defender XDR.

Aby zezwolić aplikacji, musisz mieć uprawnienie Do zarządzania ustawieniami systemu portalu . W przeciwnym razie musisz poprosić klienta o zezwolenie na aplikację.

  1. Przejdź do https://security.microsoft.com?tid=<customer_tenant_id> strony (zastąp <customer_tenant_id> identyfikatorem dzierżawy klienta.

  2. Kliknij pozycję Ustawienia>Interfejsy API punktów końcowych>>SIEM.

  3. Wybierz kartę MSSP .

  4. Wprowadź identyfikator aplikacji z pierwszego kroku i identyfikator dzierżawy.

  5. Kliknij pozycję Autoryzuj aplikację.

Teraz możesz pobrać odpowiedni plik konfiguracji dla rozwiązania SIEM i nawiązać połączenie z interfejsem API Microsoft Defender XDR. Aby uzyskać więcej informacji, zobacz Ściąganie alertów do narzędzi SIEM.

  • W pliku konfiguracji usługi ArcSight / pliku właściwości uwierzytelniania splunk zapisz klucz aplikacji ręcznie, ustawiając wartość wpisu tajnego.
  • Zamiast uzyskiwania tokenu odświeżania w portalu, użyj skryptu z poprzedniego kroku, aby uzyskać token odświeżania (lub uzyskać go w inny sposób).

Pobieranie alertów z dzierżawy klienta programu MSSP przy użyciu interfejsów API

Aby uzyskać informacje na temat pobierania alertów przy użyciu interfejsu API REST, zobacz Ściąganie alertów przy użyciu interfejsu API REST.

Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.