Hämta Microsoft Defender XDR-incidenter
Gäller för:
Anteckning
Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.
Anteckning
Den här åtgärden vidtas av MSSP.
Du kan hämta aviseringar på två sätt:
- Använda SIEM-metoden
- Använda API:er
Om du vill hämta incidenter till SIEM-systemet måste du utföra följande steg:
- Steg 1: Skapa ett program från tredje part
- Steg 2: Hämta åtkomst- och uppdateringstoken från kundens klientorganisation
- Steg 3: Tillåt ditt program på Microsoft Defender XDR
Du måste skapa ett program och ge det behörighet att hämta aviseringar från kundens Microsoft Defender XDR klientorganisation.
Logga in på Microsoft Entra administrationscenter.
Välj Microsoft Entra ID>Appregistreringar.
Klicka på Ny registrering.
Ange följande värden:
Namn: <Tenant_name> SIEM MSSP Connector (ersätt Tenant_name med klientorganisationens visningsnamn)
Kontotyper som stöds: Endast konto i den här organisationskatalogen
Omdirigerings-URI: Välj Webb och skriv
https://<domain_name>/SiemMsspConnector
(ersätt <domain_name> med klientnamnet)
Klicka på Registrera. Programmet visas i listan över program som du äger.
Välj programmet och klicka sedan på Översikt.
Kopiera värdet från fältet Program-ID (klient) till en säker plats. Du behöver det i nästa steg.
Välj Certifikat & hemligheter i den nya programpanelen.
Klicka på Ny klienthemlighet.
- Beskrivning: Ange en beskrivning av nyckeln.
- Upphör att gälla: Välj om 1 år
Klicka på Lägg till, kopiera värdet för klienthemligheten till en säker plats. Du behöver det i nästa steg.
Det här avsnittet beskriver hur du använder ett PowerShell-skript för att hämta token från kundens klientorganisation. Det här skriptet använder programmet från föregående steg för att hämta åtkomst- och uppdateringstoken med hjälp av OAuth Authorization Code Flow.
När du har angett dina autentiseringsuppgifter måste du bevilja medgivande till programmet så att programmet etableras i kundens klientorganisation.
Skapa en ny mapp och ge den namnet:
MsspTokensAcquisition
.Ladda ned modulen LoginBrowser.psm1 och spara den i
MsspTokensAcquisition
mappen .Anteckning
I rad 30 ersätter du
authorzationUrl
medauthorizationUrl
.Skapa en fil med följande innehåll och spara den med namnet
MsspTokensAcquisition.ps1
i mappen:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
Öppna en upphöjd PowerShell-kommandotolk i
MsspTokensAcquisition
mappen .Kör följande kommando:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Ange följande kommandon:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Ersätt <client_id> med det program-ID (klient)-ID som du fick från föregående steg.
- Ersätt <app_key> med klienthemligheten som du skapade från föregående steg.
- Ersätt <customer_tenant_id> med kundens klientorganisations-ID.
Du uppmanas att ange dina autentiseringsuppgifter och ditt medgivande. Ignorera sidomdirigeringen.
I PowerShell-fönstret får du en åtkomsttoken och en uppdateringstoken. Spara uppdateringstoken för att konfigurera SIEM-anslutningsappen.
Du måste tillåta det program som du skapade i Microsoft Defender XDR.
Du måste ha behörigheten Hantera portalsysteminställningar för att tillåta programmet. Annars måste du be kunden att tillåta programmet åt dig.
Gå till
https://security.microsoft.com?tid=<customer_tenant_id>
(ersätt <customer_tenant_id> med kundens klientorganisations-ID.Klicka på Inställningar>Slutpunkts-API>:er>SIEM.
Välj fliken MSSP .
Ange program-ID från det första steget och ditt klientorganisations-ID.
Klicka på Auktorisera program.
Nu kan du ladda ned den relevanta konfigurationsfilen för SIEM och ansluta till Microsoft Defender XDR-API:et. Mer information finns i Hämta aviseringar till dina SIEM-verktyg.
- I filen ArcSight-konfigurationsfil/Splunk-autentiseringsegenskaper skriver du programnyckeln manuellt genom att ange det hemliga värdet.
- I stället för att hämta en uppdateringstoken i portalen använder du skriptet från föregående steg för att hämta en uppdateringstoken (eller hämta den på annat sätt).
Information om hur du hämtar aviseringar med hjälp av REST API finns i Pull alerts using REST API (Pull-aviseringar med REST API).
Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.