Получение оповещений от клиента MSSP

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Примечание.

Это действие выполняется MSSP.

Есть два способа получения оповещений:

• Использование метода SIEM
• Использование API

Получение оповещений в SIEM

Для получения оповещений в систему SIEM необходимо выполнить следующие действия:

• Шаг 1. Create стороннего приложения
• Шаг 2. Получение маркеров доступа и обновления из клиента клиента
• Шаг 3. Разрешение приложения на Microsoft Defender XDR

Шаг 1. Create приложения в Microsoft Entra ID

Вам потребуется создать приложение и предоставить ему разрешения на получение оповещений из клиента Microsoft Defender XDR клиента.

1. Войдите в центр администрирования Microsoft Entra .

2. Выберите Microsoft Entra ID>Регистрация приложений.

3. Щелкните Создать регистрацию.

4. Укажите следующие значения:

   • Имя: <Tenant_name> соединитель MSSP SIEM (замените Tenant_name отображаемым именем клиента)

   • Поддерживаемые типы учетных записей: учетная запись только в этом каталоге организации

   • URI перенаправления: выберите Веб и тип https://<domain_name>/SiemMsspConnector(замените <domain_name> именем клиента).

5. Нажмите Зарегистрировать. Приложение отображается в списке приложений, принадлежащих вам.

6. Выберите приложение, а затем щелкните Обзор.

7. Скопируйте значение из поля Идентификатор приложения (клиента) в безопасное место. Это потребуется на следующем шаге.

8. Выберите Сертификат & секреты на панели нового приложения.

9. Щелкните Новый секрет клиента.

   • Описание: введите описание ключа.
   • Срок действия: выберите в течение 1 года

10. Нажмите кнопку Добавить, скопируйте значение секрета клиента в безопасное место. Это потребуется на следующем шаге.

Шаг 2. Получение маркеров доступа и обновления из клиента клиента

В этом разделе описано, как использовать скрипт PowerShell для получения маркеров из клиента клиента. Этот скрипт использует приложение из предыдущего шага для получения маркеров доступа и обновления с помощью потока кода авторизации OAuth.

После предоставления учетных данных необходимо предоставить согласие приложению, чтобы приложение было подготовлено в клиенте клиента.

1. Create новую папку и назовите ее : MsspTokensAcquisition.

2. Скачайте модуль LoginBrowser.psm1 и сохраните его в папке MsspTokensAcquisition .

   Примечание.

   В строке 30 замените на authorzationUrlauthorizationUrl.

3. Create файл со следующим содержимым и сохраните его с именем MsspTokensAcquisition.ps1 в папке:

   param (
       [Parameter(Mandatory=$true)][string]$clientId,
       [Parameter(Mandatory=$true)][string]$secret,
       [Parameter(Mandatory=$true)][string]$tenantId
   )
   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   
   # Load our Login Browser Function
   Import-Module .\LoginBrowser.psm1
   
   # Configuration parameters
   $login = "https://login.microsoftonline.com"
   $redirectUri = "https://SiemMsspConnector"
   $resourceId = "https://graph.windows.net"
   
   Write-Host 'Prompt the user for his credentials, to get an authorization code'
   $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                       $login, $tenantId, $clientId, $redirectUri, $resourceId)
   Write-Host "authorzationUrl: $authorizationUrl"
   
   # Fake a proper endpoint for the Redirect URI
   $code = LoginBrowser $authorizationUrl $redirectUri
   
   # Acquire token using the authorization code
   
   $Body = @{
       grant_type = 'authorization_code'
       client_id = $clientId
       code = $code
       redirect_uri = $redirectUri
       resource = $resourceId
       client_secret = $secret
   }
   
   $tokenEndpoint = "$login/$tenantId/oauth2/token?"
   $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
   $token = $Response.access_token
   $refreshToken= $Response.refresh_token
   
   Write-Host " ----------------------------------- TOKEN ---------------------------------- "
   Write-Host $token
   
   Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
   Write-Host $refreshToken
   

4. Откройте в папке командную строку PowerShell с повышенными привилегиями MsspTokensAcquisition .

5. Выполните следующую команду: Set-ExecutionPolicy -ExecutionPolicy Bypass

6. Введите следующие команды: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

   • Замените <client_id>идентификатором приложения (клиента), полученным на предыдущем шаге.
   • Замените <app_key>секретом клиента , созданным на предыдущем шаге.
   • Замените <customer_tenant_id>идентификатором клиента.

7. Вам будет предложено предоставить свои учетные данные и согласие. Проигнорируйте перенаправление страницы.

8. В окне PowerShell вы получите маркер доступа и маркер обновления. Сохраните маркер обновления, чтобы настроить соединитель SIEM.

Шаг 3. Разрешение приложения на Microsoft Defender XDR

Необходимо разрешить приложение, созданное в Microsoft Defender XDR.

Чтобы разрешить использование приложения, вам потребуется разрешение Управление системными параметрами портала . В противном случае потребуется запросить у клиента разрешение приложения.

1. Перейдите по ( https://security.microsoft.com?tid=<customer_tenant_id> замените <customer_tenant_id> идентификатором клиента.

2. Щелкните Параметры>API конечных>> точекSIEM.

3. Перейдите на вкладку MSSP .

4. Введите идентификатор приложения из первого шага и идентификатор клиента.

5. Щелкните Авторизовать приложение.

Теперь вы можете скачать соответствующий файл конфигурации для SIEM и подключиться к API Microsoft Defender XDR. Дополнительные сведения см. в статье Извлечение оповещений в средства SIEM.

• В файле конфигурации ArcSight или файле свойств проверки подлинности Splunk запишите ключ приложения вручную, задав значение секрета.
• Вместо получения маркера обновления на портале используйте скрипт из предыдущего шага, чтобы получить маркер обновления (или получить его другими способами).

Получение оповещений из клиента MSSP с помощью API

Сведения о получении оповещений с помощью REST API см. в статье Получение оповещений от клиента MSSP.

См. также

• Предоставление MSSP доступа к порталу
• Получение доступа к порталу клиентов MSSP
• Настройка уведомлений оповещений

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.