Ler em inglês

Partilhar via


Buscar incidentes do Microsoft Defender XDR

Aplica-se a:

Nota

Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Nota

Esta ação é tomada pelo MSSP.

Existem duas formas de obter alertas:

  • Utilizar o método SIEM
  • Utilizar APIs

Obter incidentes no SIEM

Para obter incidentes no seu sistema SIEM, terá de seguir os seguintes passos:

  • Passo 1: Create uma aplicação de terceiros
  • Passo 2: Obter tokens de acesso e atualização do inquilino do cliente
  • Passo 3: permitir a sua aplicação no Microsoft Defender XDR

Passo 1: Create uma aplicação no Microsoft Entra ID

Terá de criar uma aplicação e conceder-lhe permissões para obter alertas do inquilino Microsoft Defender XDR do cliente.

  1. Inicie sessão no centro de administração Microsoft Entra.

  2. Selecione Microsoft Entra ID>Registos de aplicações.

  3. Clique em Novo registo.

  4. Especifique os seguintes valores:

    • Nome: <Tenant_name> Conector SIEM MSSP (substitua Tenant_name pelo nome a apresentar do inquilino)

    • Tipos de conta suportados: apenas conta neste diretório organizacional

    • URI de Redirecionamento: selecione Web e escreva https://<domain_name>/SiemMsspConnector(substitua <domain_name> pelo nome do inquilino)

  5. Clique em Registar. A aplicação é apresentada na lista de aplicações que possui.

  6. Selecione a aplicação e, em seguida, clique em Descrição Geral.

  7. Copie o valor do campo ID da Aplicação (cliente) para um local seguro. Irá precisar deste valor no próximo passo.

  8. Selecione Certificado & segredos no novo painel de aplicações.

  9. Clique em Novo segredo do cliente.

    • Descrição: introduza uma descrição para a chave.
    • Expira: selecione Em 1 ano
  10. Clique em Adicionar, copie o valor do segredo do cliente para um local seguro e irá precisar deste no próximo passo.

Passo 2: Obter tokens de acesso e atualização do inquilino do cliente

Esta secção orienta-o sobre como utilizar um script do PowerShell para obter os tokens do inquilino do cliente. Este script utiliza a aplicação do passo anterior para obter os tokens de acesso e atualização com o Fluxo de Código de Autorização OAuth.

Depois de fornecer as suas credenciais, terá de conceder consentimento à aplicação para que a aplicação seja aprovisionada no inquilino do cliente.

  1. Create uma nova pasta e dê-lhe o nome: MsspTokensAcquisition.

  2. Transfira o módulo LoginBrowser.psm1 e guarde-o na MsspTokensAcquisition pasta .

    Nota

    Na linha 30, substitua por authorzationUrlauthorizationUrl.

  3. Create um ficheiro com o seguinte conteúdo e guarde-o com o nome MsspTokensAcquisition.ps1 na pasta:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Abra uma linha de comandos elevada do PowerShell na MsspTokensAcquisition pasta .

  5. Execute o seguinte comando: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Introduza os seguintes comandos: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Substitua <client_id> pelo ID da Aplicação (cliente) que obteve do passo anterior.
    • Substitua <app_key> pelo Segredo do Cliente que criou no passo anterior.
    • Substitua <customer_tenant_id> pelo ID de Inquilino do cliente.
  7. Ser-lhe-á pedido que forneça as suas credenciais e consentimento. Ignorar o redirecionamento da página.

  8. Na janela do PowerShell, receberá um token de acesso e um token de atualização. Guarde o token de atualização para configurar o conector SIEM.

Passo 3: Permitir a aplicação no Microsoft Defender XDR

Terá de permitir a aplicação que criou no Microsoft Defender XDR.

Terá de ter a permissão Gerir definições do sistema de portal para permitir a aplicação. Caso contrário, terá de pedir ao cliente para permitir a aplicação por si.

  1. Aceda a https://security.microsoft.com?tid=<customer_tenant_id> (substitua <customer_tenant_id> pelo ID de inquilino do cliente.

  2. Clique em Definições>APIs>de Pontos Finais>SIEM.

  3. Selecione o separador MSSP .

  4. Introduza o ID da Aplicação do primeiro passo e o ID do Inquilino.

  5. Clique em Autorizar aplicação.

Agora, pode transferir o ficheiro de configuração relevante para o SIEM e ligar-se à API Microsoft Defender XDR. Para obter mais informações, veja Solicitar alertas para as suas ferramentas SIEM.

  • No ficheiro de configuração do ArcSight/ficheiro Propriedades de Autenticação do Splunk, escreva a chave da aplicação manualmente ao definir o valor do segredo.
  • Em vez de adquirir um token de atualização no portal, utilize o script do passo anterior para adquirir um token de atualização (ou adquiri-lo por outros meios).

Obter alertas do inquilino do cliente do MSSP através de APIs

Para obter informações sobre como obter alertas com a API REST, veja Pull alerts using REST API (Solicitar alertas com a API REST).

Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn

Gorjeta

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.