Прочитать на английском

Поделиться через


Получение инцидентов Microsoft Defender XDR

Область применения:

Примечание

Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.

Примечание

Это действие выполняется MSSP.

Есть два способа получения оповещений:

  • Использование метода SIEM
  • Использование API

Получение инцидентов в SIEM

Чтобы получить инциденты в систему SIEM, необходимо выполнить следующие действия:

  • Шаг 1. Create стороннего приложения
  • Шаг 2. Получение маркеров доступа и обновления из клиента клиента
  • Шаг 3. Разрешение приложения на Microsoft Defender XDR

Шаг 1. Create приложения в Microsoft Entra ID

Вам потребуется создать приложение и предоставить ему разрешения на получение оповещений из клиента Microsoft Defender XDR клиента.

  1. Войдите в центр администрирования Microsoft Entra .

  2. Выберите Microsoft Entra ID>Регистрация приложений.

  3. Щелкните Создать регистрацию.

  4. Укажите следующие значения:

    • Имя: <Tenant_name> соединитель MSSP SIEM (замените Tenant_name отображаемым именем клиента)

    • Поддерживаемые типы учетных записей: учетная запись только в этом каталоге организации

    • URI перенаправления: выберите Веб и тип https://<domain_name>/SiemMsspConnector(замените <domain_name> именем клиента).

  5. Нажмите Зарегистрировать. Приложение отображается в списке приложений, принадлежащих вам.

  6. Выберите приложение, а затем щелкните Обзор.

  7. Скопируйте значение из поля Идентификатор приложения (клиента) в безопасное место. Это потребуется на следующем шаге.

  8. Выберите Сертификат & секреты на панели нового приложения.

  9. Щелкните Новый секрет клиента.

    • Описание: введите описание ключа.
    • Срок действия: выберите в течение 1 года
  10. Нажмите кнопку Добавить, скопируйте значение секрета клиента в безопасное место. Это потребуется на следующем шаге.

Шаг 2. Получение маркеров доступа и обновления из клиента клиента

В этом разделе описано, как использовать скрипт PowerShell для получения маркеров из клиента клиента. Этот скрипт использует приложение из предыдущего шага для получения маркеров доступа и обновления с помощью потока кода авторизации OAuth.

После предоставления учетных данных необходимо предоставить согласие приложению, чтобы приложение было подготовлено в клиенте клиента.

  1. Create новую папку и назовите ее : MsspTokensAcquisition.

  2. Скачайте модуль LoginBrowser.psm1 и сохраните его в папке MsspTokensAcquisition .

    Примечание

    В строке 30 замените на authorzationUrlauthorizationUrl.

  3. Create файл со следующим содержимым и сохраните его с именем MsspTokensAcquisition.ps1 в папке:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Откройте в папке командную строку PowerShell с повышенными привилегиями MsspTokensAcquisition .

  5. Выполните следующую команду: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Введите следующие команды: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Замените <client_id>идентификатором приложения (клиента), полученным на предыдущем шаге.
    • Замените <app_key>секретом клиента , созданным на предыдущем шаге.
    • Замените <customer_tenant_id>идентификатором клиента.
  7. Вам будет предложено предоставить свои учетные данные и согласие. Проигнорируйте перенаправление страницы.

  8. В окне PowerShell вы получите маркер доступа и маркер обновления. Сохраните маркер обновления, чтобы настроить соединитель SIEM.

Шаг 3. Разрешение приложения на Microsoft Defender XDR

Необходимо разрешить приложение, созданное в Microsoft Defender XDR.

Чтобы разрешить использование приложения, вам потребуется разрешение Управление системными параметрами портала . В противном случае потребуется запросить у клиента разрешение приложения.

  1. Перейдите по ( https://security.microsoft.com?tid=<customer_tenant_id> замените <customer_tenant_id> идентификатором клиента.

  2. Щелкните Параметры>API конечных>> точекSIEM.

  3. Перейдите на вкладку MSSP .

  4. Введите идентификатор приложения из первого шага и идентификатор клиента.

  5. Щелкните Авторизовать приложение.

Теперь вы можете скачать соответствующий файл конфигурации для SIEM и подключиться к API Microsoft Defender XDR. Дополнительные сведения см. в статье Извлечение оповещений в средства SIEM.

  • В файле конфигурации ArcSight или файле свойств проверки подлинности Splunk запишите ключ приложения вручную, задав значение секрета.
  • Вместо получения маркера обновления на портале используйте скрипт из предыдущего шага, чтобы получить маркер обновления (или получить его другими способами).

Получение оповещений из клиента MSSP с помощью API

Сведения о получении оповещений с помощью REST API см. в статье Оповещение по запросу с помощью REST API.

Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.