MSSP müşteri kiracısından uyarıları getirme

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2
• Microsoft Defender XDR

Not

Bu eylem MSSP tarafından gerçekleştirilen.

Uyarıları getirmenin iki yolu vardır:

• SIEM yöntemini kullanma
• API'leri kullanma

Uyarıları SIEM'inize getirme

Uyarıları SIEM sisteminize getirmek için aşağıdaki adımları uygulamanız gerekir:

• 1. Adım: Üçüncü taraf bir uygulamayı İçerik Oluşturucu
• 2. Adım: Müşterinizin kiracısından erişim ve yenileme belirteçleri alma
• 3. Adım: uygulamanızın Microsoft Defender XDR

1. Adım: Microsoft Entra ID'da bir uygulamayı İçerik Oluşturucu

Müşterinizin Microsoft Defender XDR kiracısından uyarı getirmek için bir uygulama oluşturmanız ve bu uygulamaya izin vermeniz gerekir.

1. Microsoft Entra yönetim merkezi oturum açın.

2. Microsoft Entra ID>Uygulama kayıtları'ı seçin.

3. Yeni kayıt'a tıklayın.

4. Aşağıdaki değerleri belirtin:

   • Ad: <Tenant_name> SIEM MSSP Bağlayıcısı (Tenant_name kiracı görünen adıyla değiştirin)

   • Desteklenen hesap türleri: Yalnızca bu kuruluş dizinindeki hesap

   • Yeniden yönlendirme URI'sini: Web'i seçin ve yazın https://<domain_name>/SiemMsspConnector(domain_name> kiracı adıyla değiştirin<)

5. Kaydet'e tıklayın. Uygulama, sahip olduğunuz uygulamalar listesinde görüntülenir.

6. Uygulamayı seçin ve genel bakış'a tıklayın.

7. Uygulama (istemci) Kimliği alanındaki değeri güvenli bir yere kopyalayın; sonraki adımda buna ihtiyacınız olacaktır.

8. Yeni uygulama panelinde Sertifika & gizli dizileri'ni seçin.

9. Yeni istemci gizli dizisi'ne tıklayın.

   • Açıklama: Anahtar için bir açıklama girin.
   • Süre sonu: 1 yıl içinde seçin

10. Ekle'ye tıklayın, istemci gizli dizisinin değerini güvenli bir yere kopyalayın, sonraki adımda buna ihtiyacınız olacaktır.

2. Adım: Müşterinizin kiracısından erişim ve yenileme belirteçleri alma

Bu bölüm, müşterinizin kiracısından belirteçleri almak için PowerShell betiğini kullanma konusunda size yol gösterir. Bu betik, OAuth Yetkilendirme Kodu Akışı'nı kullanarak erişim ve yenileme belirteçlerini almak için önceki adımdaki uygulamayı kullanır.

Kimlik bilgilerinizi sağladıktan sonra, uygulamanın müşterinin kiracısında sağlanması için uygulamaya onay vermeniz gerekir.

1. Yeni bir klasör İçerik Oluşturucu ve şunu adlandır: MsspTokensAcquisition.

2. LoginBrowser.psm1 modülünü indirin ve klasöre MsspTokensAcquisition kaydedin.

   Not

   30. satırda değerini ile authorizationUrldeğiştirinauthorzationUrl.

3. Aşağıdaki içeriğe sahip bir dosyayı İçerik Oluşturucu ve klasördeki adla MsspTokensAcquisition.ps1 kaydedin:

   param (
       [Parameter(Mandatory=$true)][string]$clientId,
       [Parameter(Mandatory=$true)][string]$secret,
       [Parameter(Mandatory=$true)][string]$tenantId
   )
   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   
   # Load our Login Browser Function
   Import-Module .\LoginBrowser.psm1
   
   # Configuration parameters
   $login = "https://login.microsoftonline.com"
   $redirectUri = "https://SiemMsspConnector"
   $resourceId = "https://graph.windows.net"
   
   Write-Host 'Prompt the user for his credentials, to get an authorization code'
   $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                       $login, $tenantId, $clientId, $redirectUri, $resourceId)
   Write-Host "authorzationUrl: $authorizationUrl"
   
   # Fake a proper endpoint for the Redirect URI
   $code = LoginBrowser $authorizationUrl $redirectUri
   
   # Acquire token using the authorization code
   
   $Body = @{
       grant_type = 'authorization_code'
       client_id = $clientId
       code = $code
       redirect_uri = $redirectUri
       resource = $resourceId
       client_secret = $secret
   }
   
   $tokenEndpoint = "$login/$tenantId/oauth2/token?"
   $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
   $token = $Response.access_token
   $refreshToken= $Response.refresh_token
   
   Write-Host " ----------------------------------- TOKEN ---------------------------------- "
   Write-Host $token
   
   Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
   Write-Host $refreshToken
   

4. Klasörde yükseltilmiş bir PowerShell komut istemi MsspTokensAcquisition açın.

5. Aşağıdaki konumu çalıştırın: Set-ExecutionPolicy -ExecutionPolicy Bypass

6. Aşağıdaki komutları girin: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

   • client_id> yerine önceki adımdan aldığınız Uygulama (istemci) kimliğini yazın<.
   • app_key> değerini önceki adımda oluşturduğunuz İstemci Gizli Anahtarı ile değiştirin<.
   • customer_tenant_id> müşterinizin Kiracı Kimliği ile değiştirin<.

7. Kimlik bilgilerinizi ve onayınızı sağlamanız istenir. Sayfa yeniden yönlendirmesini yoksayın.

8. PowerShell penceresinde bir erişim belirteci ve yenileme belirteci alırsınız. SIEM bağlayıcınızı yapılandırmak için yenileme belirtecini kaydedin.

3. Adım: Uygulamanızın Microsoft Defender XDR'de izin verme

Microsoft Defender XDR'de oluşturduğunuz uygulamaya izin vermeniz gerekir.

Uygulamaya izin vermek için Portal sistem ayarlarını yönet iznine sahip olmanız gerekir. Aksi takdirde müşterinizden uygulamaya sizin için izin vermelerini istemeniz gerekir.

1. adresine https://security.microsoft.com?tid=<customer_tenant_id> gidin (customer_tenant_id> müşterinin kiracı kimliğiyle değiştirin<.

2. Ayarlar>Uç Noktaları API'leri>>SIEM'i tıklatın.

3. MSSP sekmesini seçin.

4. İlk adımdaki Uygulama Kimliğini ve Kiracı Kimliğinizi girin.

5. Uygulamayı yetkile'ye tıklayın.

Artık SIEM'iniz için ilgili yapılandırma dosyasını indirebilir ve Microsoft Defender XDR API'sine bağlanabilirsiniz. Daha fazla bilgi için bkz. SIEM araçlarınıza uyarılar çekme.

• ArcSight yapılandırma dosyası / Splunk Kimlik Doğrulama Özellikleri dosyasında gizli dizi değerini ayarlayarak uygulama anahtarınızı el ile yazın.
• Portalda yenileme belirteci almak yerine bir yenileme belirteci almak (veya başka bir yolla almak) için önceki adımdaki betiği kullanın.

API'leri kullanarak MSSP müşteri kiracısından uyarıları getirme

REST API kullanarak uyarıları getirme hakkında bilgi için bkz. MSSP müşteri kiracısından uyarıları getirme.

Ayrıca bkz.

• Portala MSSP erişimi ver
• MSSP müşteri portalına erişin
• Uyarı bildirimlerini yapılandırın

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.