Buscar incidentes do Microsoft Defender XDR
Aplica-se a:
Observação
Experimente nossas novas APIs usando a API de segurança do MS Graph. Saiba mais em: Usar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.
Observação
Essa ação é tomada pelo MSSP.
Há duas maneiras de buscar alertas:
- Usando o método SIEM
- Usando APIs
Para buscar incidentes em seu sistema SIEM, você precisará seguir as seguintes etapas:
- Etapa 1: Create um aplicativo de terceiros
- Etapa 2: Obter tokens de acesso e atualização do locatário do cliente
- Etapa 3: permitir seu aplicativo no Microsoft Defender XDR
Você precisará criar um aplicativo e conceder-lhe permissões para buscar alertas do locatário Microsoft Defender XDR do cliente.
Selecione Microsoft Entra ID>Registros de aplicativo.
Clique em Novo registro.
Especifique os seguintes valores:
Nome: <Tenant_name> Conector DO SIEM MSSP (substitua Tenant_name pelo nome de exibição do locatário)
Tipos de conta com suporte: conta somente neste diretório organizacional
URI de redirecionamento: selecione Web e tipo
https://<domain_name>/SiemMsspConnector
(substitua <domain_name> pelo nome do locatário)
Clique em Registrar. O aplicativo é exibido na lista de aplicativos que você possui.
Selecione o aplicativo e clique em Visão geral.
Copie o valor do campo ID do aplicativo (cliente) para um local seguro, você precisará disso na próxima etapa.
Selecione Certificado & segredos no novo painel de aplicativos.
Clique em Novo segredo do cliente.
- Descrição: insira uma descrição da chave.
- Expira: Selecione Em 1 ano
Clique em Adicionar, copie o valor do segredo do cliente para um local seguro, você precisará disso na próxima etapa.
Esta seção orienta como usar um script do PowerShell para obter os tokens do locatário do cliente. Este script usa o aplicativo da etapa anterior para obter os tokens de acesso e atualização usando o Fluxo de Código de Autorização OAuth.
Depois de fornecer suas credenciais, você precisará conceder consentimento ao aplicativo para que o aplicativo seja provisionado no locatário do cliente.
Create uma nova pasta e nomeie-a:
MsspTokensAcquisition
.Baixe o módulo LoginBrowser.psm1 e salve-o na
MsspTokensAcquisition
pasta.Observação
Na linha 30, substitua por
authorzationUrl
authorizationUrl
.Create um arquivo com o seguinte conteúdo e salve-o com o nome
MsspTokensAcquisition.ps1
na pasta:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Abra um prompt de comando do PowerShell elevado na
MsspTokensAcquisition
pasta.Execute o seguinte comando:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Insira os seguintes comandos:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Substitua <client_id> pela ID do aplicativo (cliente) que você obteve da etapa anterior.
- Substitua <app_key> pelo Segredo do Cliente que você criou na etapa anterior.
- Substitua <customer_tenant_id> pela ID do locatário do cliente.
Você será solicitado a fornecer suas credenciais e consentimento. Ignore o redirecionamento da página.
Na janela do PowerShell, você receberá um token de acesso e um token de atualização. Salve o token de atualização para configurar o conector SIEM.
Você precisará permitir o aplicativo criado em Microsoft Defender XDR.
Você precisará ter a permissão Gerenciar configurações do sistema de portal para permitir o aplicativo. Caso contrário, você precisará solicitar ao seu cliente para permitir o aplicativo para você.
https://security.microsoft.com?tid=<customer_tenant_id>
Acesse (substitua <customer_tenant_id> pela ID do locatário do cliente.Clique em Configurações>APIs> dePontos> de ExtremidadeSIEM.
Selecione a guia MSSP .
Insira a ID do aplicativo da primeira etapa e sua ID do Locatário.
Clique em Autorizar aplicativo.
Agora você pode baixar o arquivo de configuração relevante para seu SIEM e conectar-se à API Microsoft Defender XDR. Para obter mais informações, confira Puxar alertas para suas ferramentas SIEM.
- No arquivo de configuração do ArcSight /Splunk Authentication Properties, escreva a chave do aplicativo manualmente definindo o valor secreto.
- Em vez de adquirir um token de atualização no portal, use o script da etapa anterior para adquirir um token de atualização (ou adquiri-lo por outros meios).
Para obter informações sobre como buscar alertas usando a API REST, consulte Puxar alertas usando a API REST.
Usar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.