Ler em inglês

Compartilhar via


Buscar incidentes do Microsoft Defender XDR

Aplica-se a:

Observação

Experimente nossas novas APIs usando a API de segurança do MS Graph. Saiba mais em: Usar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Observação

Essa ação é tomada pelo MSSP.

Há duas maneiras de buscar alertas:

  • Usando o método SIEM
  • Usando APIs

Buscar incidentes em seu SIEM

Para buscar incidentes em seu sistema SIEM, você precisará seguir as seguintes etapas:

  • Etapa 1: Create um aplicativo de terceiros
  • Etapa 2: Obter tokens de acesso e atualização do locatário do cliente
  • Etapa 3: permitir seu aplicativo no Microsoft Defender XDR

Etapa 1: Create um aplicativo no Microsoft Entra ID

Você precisará criar um aplicativo e conceder-lhe permissões para buscar alertas do locatário Microsoft Defender XDR do cliente.

  1. Entre no Centro de administração do Microsoft Entra.

  2. Selecione Microsoft Entra ID>Registros de aplicativo.

  3. Clique em Novo registro.

  4. Especifique os seguintes valores:

    • Nome: <Tenant_name> Conector DO SIEM MSSP (substitua Tenant_name pelo nome de exibição do locatário)

    • Tipos de conta com suporte: conta somente neste diretório organizacional

    • URI de redirecionamento: selecione Web e tipo https://<domain_name>/SiemMsspConnector(substitua <domain_name> pelo nome do locatário)

  5. Clique em Registrar. O aplicativo é exibido na lista de aplicativos que você possui.

  6. Selecione o aplicativo e clique em Visão geral.

  7. Copie o valor do campo ID do aplicativo (cliente) para um local seguro, você precisará disso na próxima etapa.

  8. Selecione Certificado & segredos no novo painel de aplicativos.

  9. Clique em Novo segredo do cliente.

    • Descrição: insira uma descrição da chave.
    • Expira: Selecione Em 1 ano
  10. Clique em Adicionar, copie o valor do segredo do cliente para um local seguro, você precisará disso na próxima etapa.

Etapa 2: Obter tokens de acesso e atualização do locatário do cliente

Esta seção orienta como usar um script do PowerShell para obter os tokens do locatário do cliente. Este script usa o aplicativo da etapa anterior para obter os tokens de acesso e atualização usando o Fluxo de Código de Autorização OAuth.

Depois de fornecer suas credenciais, você precisará conceder consentimento ao aplicativo para que o aplicativo seja provisionado no locatário do cliente.

  1. Create uma nova pasta e nomeie-a: MsspTokensAcquisition.

  2. Baixe o módulo LoginBrowser.psm1 e salve-o na MsspTokensAcquisition pasta.

    Observação

    Na linha 30, substitua por authorzationUrlauthorizationUrl.

  3. Create um arquivo com o seguinte conteúdo e salve-o com o nome MsspTokensAcquisition.ps1 na pasta:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Abra um prompt de comando do PowerShell elevado na MsspTokensAcquisition pasta.

  5. Execute o seguinte comando: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Insira os seguintes comandos: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Substitua <client_id> pela ID do aplicativo (cliente) que você obteve da etapa anterior.
    • Substitua <app_key> pelo Segredo do Cliente que você criou na etapa anterior.
    • Substitua <customer_tenant_id> pela ID do locatário do cliente.
  7. Você será solicitado a fornecer suas credenciais e consentimento. Ignore o redirecionamento da página.

  8. Na janela do PowerShell, você receberá um token de acesso e um token de atualização. Salve o token de atualização para configurar o conector SIEM.

Etapa 3: permitir seu aplicativo no Microsoft Defender XDR

Você precisará permitir o aplicativo criado em Microsoft Defender XDR.

Você precisará ter a permissão Gerenciar configurações do sistema de portal para permitir o aplicativo. Caso contrário, você precisará solicitar ao seu cliente para permitir o aplicativo para você.

  1. https://security.microsoft.com?tid=<customer_tenant_id> Acesse (substitua <customer_tenant_id> pela ID do locatário do cliente.

  2. Clique em Configurações>APIs> dePontos> de ExtremidadeSIEM.

  3. Selecione a guia MSSP .

  4. Insira a ID do aplicativo da primeira etapa e sua ID do Locatário.

  5. Clique em Autorizar aplicativo.

Agora você pode baixar o arquivo de configuração relevante para seu SIEM e conectar-se à API Microsoft Defender XDR. Para obter mais informações, confira Puxar alertas para suas ferramentas SIEM.

  • No arquivo de configuração do ArcSight /Splunk Authentication Properties, escreva a chave do aplicativo manualmente definindo o valor secreto.
  • Em vez de adquirir um token de atualização no portal, use o script da etapa anterior para adquirir um token de atualização (ou adquiri-lo por outros meios).

Buscar alertas do locatário do cliente MSSP usando APIs

Para obter informações sobre como buscar alertas usando a API REST, consulte Puxar alertas usando a API REST.

Usar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.