Получение инцидентов Microsoft Defender XDR
Область применения:
Примечание
Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.
Примечание
Это действие выполняется MSSP.
Есть два способа получения оповещений:
- Использование метода SIEM
- Использование API
Чтобы получить инциденты в систему SIEM, необходимо выполнить следующие действия:
- Шаг 1. Create стороннего приложения
- Шаг 2. Получение маркеров доступа и обновления из клиента клиента
- Шаг 3. Разрешение приложения на Microsoft Defender XDR
Вам потребуется создать приложение и предоставить ему разрешения на получение оповещений из клиента Microsoft Defender XDR клиента.
Войдите в центр администрирования Microsoft Entra .
Выберите Microsoft Entra ID>Регистрация приложений.
Щелкните Создать регистрацию.
Укажите следующие значения:
Имя: <Tenant_name> соединитель MSSP SIEM (замените Tenant_name отображаемым именем клиента)
Поддерживаемые типы учетных записей: учетная запись только в этом каталоге организации
URI перенаправления: выберите Веб и тип
https://<domain_name>/SiemMsspConnector
(замените <domain_name> именем клиента).
Нажмите Зарегистрировать. Приложение отображается в списке приложений, принадлежащих вам.
Выберите приложение, а затем щелкните Обзор.
Скопируйте значение из поля Идентификатор приложения (клиента) в безопасное место. Это потребуется на следующем шаге.
Выберите Сертификат & секреты на панели нового приложения.
Щелкните Новый секрет клиента.
- Описание: введите описание ключа.
- Срок действия: выберите в течение 1 года
Нажмите кнопку Добавить, скопируйте значение секрета клиента в безопасное место. Это потребуется на следующем шаге.
В этом разделе описано, как использовать скрипт PowerShell для получения маркеров из клиента клиента. Этот скрипт использует приложение из предыдущего шага для получения маркеров доступа и обновления с помощью потока кода авторизации OAuth.
После предоставления учетных данных необходимо предоставить согласие приложению, чтобы приложение было подготовлено в клиенте клиента.
Create новую папку и назовите ее :
MsspTokensAcquisition
.Скачайте модуль LoginBrowser.psm1 и сохраните его в папке
MsspTokensAcquisition
.Примечание
В строке 30 замените на
authorzationUrl
authorizationUrl
.Create файл со следующим содержимым и сохраните его с именем
MsspTokensAcquisition.ps1
в папке:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Откройте в папке командную строку PowerShell с повышенными привилегиями
MsspTokensAcquisition
.Выполните следующую команду:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Введите следующие команды:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Замените <client_id>идентификатором приложения (клиента), полученным на предыдущем шаге.
- Замените <app_key>секретом клиента , созданным на предыдущем шаге.
- Замените <customer_tenant_id>идентификатором клиента.
Вам будет предложено предоставить свои учетные данные и согласие. Проигнорируйте перенаправление страницы.
В окне PowerShell вы получите маркер доступа и маркер обновления. Сохраните маркер обновления, чтобы настроить соединитель SIEM.
Необходимо разрешить приложение, созданное в Microsoft Defender XDR.
Чтобы разрешить использование приложения, вам потребуется разрешение Управление системными параметрами портала . В противном случае потребуется запросить у клиента разрешение приложения.
Перейдите по (
https://security.microsoft.com?tid=<customer_tenant_id>
замените <customer_tenant_id> идентификатором клиента.Щелкните Параметры>API конечных>> точекSIEM.
Перейдите на вкладку MSSP .
Введите идентификатор приложения из первого шага и идентификатор клиента.
Щелкните Авторизовать приложение.
Теперь вы можете скачать соответствующий файл конфигурации для SIEM и подключиться к API Microsoft Defender XDR. Дополнительные сведения см. в статье Извлечение оповещений в средства SIEM.
- В файле конфигурации ArcSight или файле свойств проверки подлинности Splunk запишите ключ приложения вручную, задав значение секрета.
- Вместо получения маркера обновления на портале используйте скрипт из предыдущего шага, чтобы получить маркер обновления (или получить его другими способами).
Сведения о получении оповещений с помощью REST API см. в статье Оповещение по запросу с помощью REST API.
Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.