Pobieranie zdarzeń usługi Microsoft Defender XDR
Dotyczy:
Uwaga
Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.
Uwaga
Ta akcja jest podejmowana przez program MSSP.
Istnieją dwa sposoby pobierania alertów:
- Korzystanie z metody SIEM
- Korzystanie z interfejsów API
Aby pobrać zdarzenia do systemu SIEM, należy wykonać następujące kroki:
- Krok 1. Twórca aplikacji innej firmy
- Krok 2. Uzyskiwanie dostępu i odświeżanie tokenów z dzierżawy klienta
- Krok 3. Zezwalaj aplikacji na Microsoft Defender XDR
Musisz utworzyć aplikację i udzielić jej uprawnień do pobierania alertów z dzierżawy Microsoft Defender XDR klienta.
Zaloguj się do centrum administracyjne Microsoft Entra.
Wybierz pozycję Tożsamość Microsoft Entra>Rejestracje aplikacji.
Kliknij pozycję Nowa rejestracja.
Określ następujące wartości:
Nazwa: <Tenant_name> łącznikA MSSP rozwiązania SIEM (zastąp Tenant_name nazwą wyświetlaną dzierżawy)
Obsługiwane typy kont: konto tylko w tym katalogu organizacyjnym
Identyfikator URI przekierowania: wybierz pozycję Sieć Web i wpisz
https://<domain_name>/SiemMsspConnector
(zastąp <domain_name> nazwą dzierżawy)
Kliknij pozycję Zarejestruj. Aplikacja jest wyświetlana na liście posiadanych aplikacji.
Wybierz aplikację, a następnie kliknij pozycję Przegląd.
Skopiuj wartość z pola Identyfikator aplikacji (klienta) do bezpiecznego miejsca. Będzie to potrzebne w następnym kroku.
Wybierz pozycję Certyfikat & wpisów tajnych w nowym panelu aplikacji.
Kliknij pozycję Nowy klucz tajny klienta.
- Opis: wprowadź opis klucza.
- Wygasa: wybierz pozycję W ciągu 1 roku
Kliknij przycisk Dodaj, skopiuj wartość klucza tajnego klienta do bezpiecznego miejsca. Będzie to potrzebne w następnym kroku.
W tej sekcji przedstawiono sposób używania skryptu programu PowerShell do pobierania tokenów z dzierżawy klienta. Ten skrypt używa aplikacji z poprzedniego kroku do uzyskiwania dostępu i odświeżania tokenów przy użyciu przepływu kodu autoryzacji OAuth.
Po podaniu poświadczeń musisz udzielić zgody aplikacji, aby aplikacja była aprowizowana w dzierżawie klienta.
Twórca nowy folder i nadaj mu nazwę:
MsspTokensAcquisition
.Pobierz moduł LoginBrowser.psm1 i zapisz go w folderze
MsspTokensAcquisition
.Uwaga
W wierszu 30 zastąp ciąg
authorzationUrl
.authorizationUrl
Twórca plik z następującą zawartością i zapisz go z nazwą
MsspTokensAcquisition.ps1
w folderze:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień w folderze
MsspTokensAcquisition
.Uruchom następujące polecenie:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Wprowadź następujące polecenia:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Zastąp <client_id>identyfikatorem aplikacji (klienta) uzyskanym w poprzednim kroku.
- Zastąp <app_key> kluczem tajnym klienta utworzonym w poprzednim kroku.
- Zastąp <customer_tenant_id>identyfikatorem dzierżawy klienta.
Zostanie wyświetlony monit o podanie poświadczeń i zgody. Ignoruj przekierowanie strony.
W oknie programu PowerShell otrzymasz token dostępu i token odświeżania. Zapisz token odświeżania, aby skonfigurować łącznik SIEM.
Musisz zezwolić na aplikację utworzoną w Microsoft Defender XDR.
Aby zezwolić aplikacji, musisz mieć uprawnienie Do zarządzania ustawieniami systemu portalu . W przeciwnym razie musisz poprosić klienta o zezwolenie na aplikację.
Przejdź do
https://security.microsoft.com?tid=<customer_tenant_id>
strony (zastąp <customer_tenant_id> identyfikatorem dzierżawy klienta.Kliknij pozycję Ustawienia>Interfejsy API punktów końcowych>>SIEM.
Wybierz kartę MSSP .
Wprowadź identyfikator aplikacji z pierwszego kroku i identyfikator dzierżawy.
Kliknij pozycję Autoryzuj aplikację.
Teraz możesz pobrać odpowiedni plik konfiguracji dla rozwiązania SIEM i nawiązać połączenie z interfejsem API Microsoft Defender XDR. Aby uzyskać więcej informacji, zobacz Ściąganie alertów do narzędzi SIEM.
- W pliku konfiguracji usługi ArcSight / pliku właściwości uwierzytelniania splunk zapisz klucz aplikacji ręcznie, ustawiając wartość wpisu tajnego.
- Zamiast uzyskiwania tokenu odświeżania w portalu, użyj skryptu z poprzedniego kroku, aby uzyskać token odświeżania (lub uzyskać go w inny sposób).
Aby uzyskać informacje na temat pobierania alertów przy użyciu interfejsu API REST, zobacz Ściąganie alertów przy użyciu interfejsu API REST.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.