Buscar incidentes do Microsoft Defender XDR
Aplica-se a:
Nota
Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.
Nota
Esta ação é tomada pelo MSSP.
Existem duas formas de obter alertas:
- Utilizar o método SIEM
- Utilizar APIs
Para obter incidentes no seu sistema SIEM, terá de seguir os seguintes passos:
- Passo 1: Create uma aplicação de terceiros
- Passo 2: Obter tokens de acesso e atualização do inquilino do cliente
- Passo 3: permitir a sua aplicação no Microsoft Defender XDR
Terá de criar uma aplicação e conceder-lhe permissões para obter alertas do inquilino Microsoft Defender XDR do cliente.
Inicie sessão no centro de administração Microsoft Entra.
Selecione Microsoft Entra ID>Registos de aplicações.
Clique em Novo registo.
Especifique os seguintes valores:
Nome: <Tenant_name> Conector SIEM MSSP (substitua Tenant_name pelo nome a apresentar do inquilino)
Tipos de conta suportados: apenas conta neste diretório organizacional
URI de Redirecionamento: selecione Web e escreva
https://<domain_name>/SiemMsspConnector
(substitua <domain_name> pelo nome do inquilino)
Clique em Registar. A aplicação é apresentada na lista de aplicações que possui.
Selecione a aplicação e, em seguida, clique em Descrição Geral.
Copie o valor do campo ID da Aplicação (cliente) para um local seguro. Irá precisar deste valor no próximo passo.
Selecione Certificado & segredos no novo painel de aplicações.
Clique em Novo segredo do cliente.
- Descrição: introduza uma descrição para a chave.
- Expira: selecione Em 1 ano
Clique em Adicionar, copie o valor do segredo do cliente para um local seguro e irá precisar deste no próximo passo.
Esta secção orienta-o sobre como utilizar um script do PowerShell para obter os tokens do inquilino do cliente. Este script utiliza a aplicação do passo anterior para obter os tokens de acesso e atualização com o Fluxo de Código de Autorização OAuth.
Depois de fornecer as suas credenciais, terá de conceder consentimento à aplicação para que a aplicação seja aprovisionada no inquilino do cliente.
Create uma nova pasta e dê-lhe o nome:
MsspTokensAcquisition
.Transfira o módulo LoginBrowser.psm1 e guarde-o na
MsspTokensAcquisition
pasta .Nota
Na linha 30, substitua por
authorzationUrl
authorizationUrl
.Create um ficheiro com o seguinte conteúdo e guarde-o com o nome
MsspTokensAcquisition.ps1
na pasta:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Abra uma linha de comandos elevada do PowerShell na
MsspTokensAcquisition
pasta .Execute o seguinte comando:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Introduza os seguintes comandos:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Substitua <client_id> pelo ID da Aplicação (cliente) que obteve do passo anterior.
- Substitua <app_key> pelo Segredo do Cliente que criou no passo anterior.
- Substitua <customer_tenant_id> pelo ID de Inquilino do cliente.
Ser-lhe-á pedido que forneça as suas credenciais e consentimento. Ignorar o redirecionamento da página.
Na janela do PowerShell, receberá um token de acesso e um token de atualização. Guarde o token de atualização para configurar o conector SIEM.
Terá de permitir a aplicação que criou no Microsoft Defender XDR.
Terá de ter a permissão Gerir definições do sistema de portal para permitir a aplicação. Caso contrário, terá de pedir ao cliente para permitir a aplicação por si.
Aceda a
https://security.microsoft.com?tid=<customer_tenant_id>
(substitua <customer_tenant_id> pelo ID de inquilino do cliente.Clique em Definições>APIs>de Pontos Finais>SIEM.
Selecione o separador MSSP .
Introduza o ID da Aplicação do primeiro passo e o ID do Inquilino.
Clique em Autorizar aplicação.
Agora, pode transferir o ficheiro de configuração relevante para o SIEM e ligar-se à API Microsoft Defender XDR. Para obter mais informações, veja Solicitar alertas para as suas ferramentas SIEM.
- No ficheiro de configuração do ArcSight/ficheiro Propriedades de Autenticação do Splunk, escreva a chave da aplicação manualmente ao definir o valor do segredo.
- Em vez de adquirir um token de atualização no portal, utilize o script do passo anterior para adquirir um token de atualização (ou adquiri-lo por outros meios).
Para obter informações sobre como obter alertas com a API REST, veja Pull alerts using REST API (Solicitar alertas com a API REST).
Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn
Gorjeta
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.