擷取 Microsoft Defender XDR 事件

適用於:

注意

使用 MS Graph 安全性 API 試用新的 API。 深入瞭解: 使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn

注意

此動作是由 MSSP 執行。

您可以透過兩個方式來擷取警示:

  • 使用 SIEM 方法
  • 使用 API

將事件擷取到您的 SIEM

若要將事件擷取到您的 SIEM 系統,您必須採取下列步驟:

  • 步驟 1:建立第三方應用程式
  • 步驟 2:從客戶的租用戶取得存取和重新整理權杖
  • 步驟 3:在 Microsoft Defender 全面偵測回應 上允許您的應用程式

步驟 1:在 Microsoft Entra ID 中 Create 應用程式

您必須建立應用程式,並授與其從客戶 Microsoft Defender 全面偵測回應 租使用者擷取警示的許可權。

  1. 登入 Microsoft Entra 系統管理中心

  2. 取 [Microsoft Entra ID>應用程式註冊]。

  3. 按一下 [新增註冊]

  4. 指定下列值:

    • 名稱: <Tenant_name> SIEM MSSP 連接器 (以租用戶顯示名稱取代 Tenant_name)

    • 支援的帳戶類型:僅限此組織目錄中的帳戶

    • 重新導向 URI:選取 [Web],然後輸入 https://<domain_name>/SiemMsspConnector (以租用戶名稱取代 <domain_name>)

  5. 按一下 [註冊]。 應用程式會顯示在您擁有的應用程式清單中。

  6. 選取應用程式,然後按一下 [概觀]

  7. 將值從 [應用程式 (用戶端) 識別碼] 欄位複製到安全的位置,您在下一個步驟中將需要此資訊。

  8. 在新應用程式面板中選取 [憑證與密碼]

  9. 按一下 [新用戶端密碼]

    • 描述:輸入金鑰的描述。
    • 到期:選取 [1 年內]
  10. 按一下 [新增],將用戶端密碼的值複製到安全的位置,您在下一個步驟中將需要此資訊。

步驟 2:從客戶的租用戶取得存取和重新整理權杖

本節會引導您如何使用 PowerShell 指令碼從客戶的租用戶取得權杖。 此指令碼會使用上一個步驟中的應用程式,使用 OAuth 授權程式碼流程來取得存取和重新整理權杖。

提供認證之後,您必須授與應用程式同意,才能在客戶的租用戶中佈建應用程式。

  1. 建立新資料夾並將它命名:MsspTokensAcquisition

  2. 下載 LoginBrowser.psm1 模組,並將其儲存在 MsspTokensAcquisition 資料夾中。

    注意

    在行 30 中,將 authorzationUrl 取代為 authorizationUrl

  3. 建立包含下列內容的檔案,並將其以名稱 MsspTokensAcquisition.ps1 儲存在資料夾中:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. MsspTokensAcquisition 資料夾中開啟提高權限的 PowerShell 命令提示字元。

  5. 執行下列命令:Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. 輸入下列命令:.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • 將client_id>取代<為您從上一個步驟取得的應用程式 (用戶端) 標識碼。
    • 將app_key>取代<為您從上一個步驟建立的客戶端密碼
    • 將customer_tenant_id>取代<為您客戶的租用戶標識碼
  7. 系統將會要求您提供認證和同意。 忽略頁面重新導向。

  8. 在 PowerShell 視窗中,您將會收到存取權杖和重新整理權杖。 儲存重新整理權杖,以設定 SIEM 連接器。

步驟 3:在 Microsoft Defender 全面偵測回應 上允許您的應用程式

您必須允許您在 Microsoft Defender 全面偵測回應 中建立的應用程式。

您必須擁有 [管理入口網站系統設定] 權限,才能允許應用程式。 否則,您必須要求客戶為您允許該應用程式。

  1. 移至 https://security.microsoft.com?tid=<customer_tenant_id> (將customer_tenant_id>取代<為客戶的租用戶標識碼。

  2. 按兩下 [>設定端點>API>SIEM]

  3. 選取 [MSSP] 索引標籤。

  4. 輸入來自第一個步驟的應用程式識別碼和您的租用戶識別碼

  5. 按一下 [授權應用程式]

您現在可以下載 SIEM 的相關組態檔,並連線到 Microsoft Defender 全面偵測回應 API。 如需詳細資訊,請參閱將提醒放入您的 SIEM 工具

  • 在 ArcSight 設定檔/Splunk 驗證屬性檔案中,設定密碼值以手動寫入您的應用程式金鑰。
  • 不要在入口網站中取得重新整理權杖,而是使用上一個步驟中的指令碼來取得重新整理權杖 (或透過其他方式取得)。

使用 API 從 MSSP 客戶的租用戶擷取警示

如需如何使用 REST API 擷取警示的相關資訊,請參閱使用 REST API 放入警示

使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。