Läs på engelska

Dela via


Hämta Microsoft Defender XDR-incidenter

Gäller för:

Anteckning

Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.

Anteckning

Den här åtgärden vidtas av MSSP.

Du kan hämta aviseringar på två sätt:

  • Använda SIEM-metoden
  • Använda API:er

Hämta incidenter till DIN SIEM

Om du vill hämta incidenter till SIEM-systemet måste du utföra följande steg:

  • Steg 1: Skapa ett program från tredje part
  • Steg 2: Hämta åtkomst- och uppdateringstoken från kundens klientorganisation
  • Steg 3: Tillåt ditt program på Microsoft Defender XDR

Steg 1: Skapa ett program i Microsoft Entra ID

Du måste skapa ett program och ge det behörighet att hämta aviseringar från kundens Microsoft Defender XDR klientorganisation.

  1. Logga in på Microsoft Entra administrationscenter.

  2. Välj Microsoft Entra ID>Appregistreringar.

  3. Klicka på Ny registrering.

  4. Ange följande värden:

    • Namn: <Tenant_name> SIEM MSSP Connector (ersätt Tenant_name med klientorganisationens visningsnamn)

    • Kontotyper som stöds: Endast konto i den här organisationskatalogen

    • Omdirigerings-URI: Välj Webb och skriv https://<domain_name>/SiemMsspConnector(ersätt <domain_name> med klientnamnet)

  5. Klicka på Registrera. Programmet visas i listan över program som du äger.

  6. Välj programmet och klicka sedan på Översikt.

  7. Kopiera värdet från fältet Program-ID (klient) till en säker plats. Du behöver det i nästa steg.

  8. Välj Certifikat & hemligheter i den nya programpanelen.

  9. Klicka på Ny klienthemlighet.

    • Beskrivning: Ange en beskrivning av nyckeln.
    • Upphör att gälla: Välj om 1 år
  10. Klicka på Lägg till, kopiera värdet för klienthemligheten till en säker plats. Du behöver det i nästa steg.

Steg 2: Hämta åtkomst- och uppdateringstoken från kundens klientorganisation

Det här avsnittet beskriver hur du använder ett PowerShell-skript för att hämta token från kundens klientorganisation. Det här skriptet använder programmet från föregående steg för att hämta åtkomst- och uppdateringstoken med hjälp av OAuth Authorization Code Flow.

När du har angett dina autentiseringsuppgifter måste du bevilja medgivande till programmet så att programmet etableras i kundens klientorganisation.

  1. Skapa en ny mapp och ge den namnet: MsspTokensAcquisition.

  2. Ladda ned modulen LoginBrowser.psm1 och spara den i MsspTokensAcquisition mappen .

    Anteckning

    I rad 30 ersätter du authorzationUrl med authorizationUrl.

  3. Skapa en fil med följande innehåll och spara den med namnet MsspTokensAcquisition.ps1 i mappen:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Öppna en upphöjd PowerShell-kommandotolk i MsspTokensAcquisition mappen .

  5. Kör följande kommando: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Ange följande kommandon: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Ersätt <client_id> med det program-ID (klient)-ID som du fick från föregående steg.
    • Ersätt <app_key> med klienthemligheten som du skapade från föregående steg.
    • Ersätt <customer_tenant_id> med kundens klientorganisations-ID.
  7. Du uppmanas att ange dina autentiseringsuppgifter och ditt medgivande. Ignorera sidomdirigeringen.

  8. I PowerShell-fönstret får du en åtkomsttoken och en uppdateringstoken. Spara uppdateringstoken för att konfigurera SIEM-anslutningsappen.

Steg 3: Tillåt ditt program på Microsoft Defender XDR

Du måste tillåta det program som du skapade i Microsoft Defender XDR.

Du måste ha behörigheten Hantera portalsysteminställningar för att tillåta programmet. Annars måste du be kunden att tillåta programmet åt dig.

  1. Gå till https://security.microsoft.com?tid=<customer_tenant_id> (ersätt <customer_tenant_id> med kundens klientorganisations-ID.

  2. Klicka på Inställningar>Slutpunkts-API>:er>SIEM.

  3. Välj fliken MSSP .

  4. Ange program-ID från det första steget och ditt klientorganisations-ID.

  5. Klicka på Auktorisera program.

Nu kan du ladda ned den relevanta konfigurationsfilen för SIEM och ansluta till Microsoft Defender XDR-API:et. Mer information finns i Hämta aviseringar till dina SIEM-verktyg.

  • I filen ArcSight-konfigurationsfil/Splunk-autentiseringsegenskaper skriver du programnyckeln manuellt genom att ange det hemliga värdet.
  • I stället för att hämta en uppdateringstoken i portalen använder du skriptet från föregående steg för att hämta en uppdateringstoken (eller hämta den på annat sätt).

Hämta aviseringar från MSSP-kundens klientorganisation med hjälp av API:er

Information om hur du hämtar aviseringar med hjälp av REST API finns i Pull alerts using REST API (Pull-aviseringar med REST API).

Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.