Obter alertas do inquilino do cliente do MSSP

Artigo
04/26/2024

Aplica-se a:

Nota

Esta ação é tomada pelo MSSP.

Existem duas formas de obter alertas:

Utilizar o método SIEM
Utilizar APIs

Obter alertas para o SIEM

Para obter alertas para o seu sistema SIEM, terá de seguir os seguintes passos:

Passo 1: Create uma aplicação de terceiros
Passo 2: Obter tokens de acesso e atualização do inquilino do cliente
Passo 3: permitir a sua aplicação no Microsoft Defender XDR

Passo 1: Create uma aplicação no Microsoft Entra ID

Terá de criar uma aplicação e conceder-lhe permissões para obter alertas do inquilino Microsoft Defender XDR do cliente.

Inicie sessão no centro de administração Microsoft Entra.
Selecione Microsoft Entra ID>Registos de aplicações.
Clique em Novo registo.
Especifique os seguintes valores:
- Nome: <Tenant_name> Conector SIEM MSSP (substitua Tenant_name pelo nome a apresentar do inquilino)
- Tipos de conta suportados: apenas conta neste diretório organizacional
- URI de Redirecionamento: selecione Web e escreva https://<domain_name>/SiemMsspConnector(substitua <domain_name> pelo nome do inquilino)
Clique em Registar. A aplicação é apresentada na lista de aplicações que possui.
Selecione a aplicação e, em seguida, clique em Descrição Geral.
Copie o valor do campo ID da Aplicação (cliente) para um local seguro. Irá precisar deste valor no próximo passo.
Selecione Certificado & segredos no novo painel de aplicações.
Clique em Novo segredo do cliente.
- Descrição: introduza uma descrição para a chave.
- Expira: selecione Em 1 ano
Clique em Adicionar, copie o valor do segredo do cliente para um local seguro e irá precisar deste no próximo passo.

Passo 2: Obter tokens de acesso e atualização do inquilino do cliente

Esta secção orienta-o sobre como utilizar um script do PowerShell para obter os tokens do inquilino do cliente. Este script utiliza a aplicação do passo anterior para obter os tokens de acesso e atualização com o Fluxo de Código de Autorização OAuth.

Depois de fornecer as suas credenciais, terá de conceder consentimento à aplicação para que a aplicação seja aprovisionada no inquilino do cliente.

Create uma nova pasta e dê-lhe o nome: MsspTokensAcquisition.
Transfira o módulo LoginBrowser.psm1 e guarde-o na MsspTokensAcquisition pasta .

Nota

Na linha 30, substitua por authorzationUrlauthorizationUrl.

Create um ficheiro com o seguinte conteúdo e guarde-o com o nome MsspTokensAcquisition.ps1 na pasta:

param (
    [Parameter(Mandatory=$true)][string]$clientId,
    [Parameter(Mandatory=$true)][string]$secret,
    [Parameter(Mandatory=$true)][string]$tenantId
)
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

# Load our Login Browser Function
Import-Module .\LoginBrowser.psm1

# Configuration parameters
$login = "https://login.microsoftonline.com"
$redirectUri = "https://SiemMsspConnector"
$resourceId = "https://graph.windows.net"

Write-Host 'Prompt the user for his credentials, to get an authorization code'
$authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                    $login, $tenantId, $clientId, $redirectUri, $resourceId)
Write-Host "authorzationUrl: $authorizationUrl"

# Fake a proper endpoint for the Redirect URI
$code = LoginBrowser $authorizationUrl $redirectUri

# Acquire token using the authorization code

$Body = @{
    grant_type = 'authorization_code'
    client_id = $clientId
    code = $code
    redirect_uri = $redirectUri
    resource = $resourceId
    client_secret = $secret
}

$tokenEndpoint = "$login/$tenantId/oauth2/token?"
$Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
$token = $Response.access_token
$refreshToken= $Response.refresh_token

Write-Host " ----------------------------------- TOKEN ---------------------------------- "
Write-Host $token

Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
Write-Host $refreshToken

Abra uma linha de comandos elevada do PowerShell na MsspTokensAcquisition pasta .
Execute o seguinte comando: Set-ExecutionPolicy -ExecutionPolicy Bypass
Introduza os seguintes comandos: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Substitua <client_id> pelo ID da Aplicação (cliente) que obteve do passo anterior.
- Substitua <app_key> pelo Segredo do Cliente que criou no passo anterior.
- Substitua <customer_tenant_id> pelo ID de Inquilino do cliente.
Ser-lhe-á pedido que forneça as suas credenciais e consentimento. Ignorar o redirecionamento da página.
Na janela do PowerShell, receberá um token de acesso e um token de atualização. Guarde o token de atualização para configurar o conector SIEM.

Passo 3: Permitir a aplicação no Microsoft Defender XDR

Terá de permitir a aplicação que criou no Microsoft Defender XDR.

Terá de ter a permissão Gerir definições do sistema de portal para permitir a aplicação. Caso contrário, terá de pedir ao cliente para permitir a aplicação por si.

Aceda a https://security.microsoft.com?tid=<customer_tenant_id> (substitua <customer_tenant_id> pelo ID de inquilino do cliente.
Clique em Definições>APIs>de Pontos Finais>SIEM.
Selecione o separador MSSP .
Introduza o ID da Aplicação do primeiro passo e o ID do Inquilino.
Clique em Autorizar aplicação.

Agora, pode transferir o ficheiro de configuração relevante para o SIEM e ligar-se à API Microsoft Defender XDR. Para obter mais informações, veja Solicitar alertas para as suas ferramentas SIEM.

No ficheiro de configuração do ArcSight/ficheiro Propriedades de Autenticação do Splunk, escreva a chave da aplicação manualmente ao definir o valor do segredo.
Em vez de adquirir um token de atualização no portal, utilize o script do passo anterior para adquirir um token de atualização (ou adquiri-lo por outros meios).