擷取 Microsoft Defender XDR 事件
適用於:
注意
使用 MS Graph 安全性 API 試用新的 API。 深入瞭解: 使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn。
注意
此動作是由 MSSP 執行。
您可以透過兩個方式來擷取警示:
- 使用 SIEM 方法
- 使用 API
若要將事件擷取到您的 SIEM 系統,您必須採取下列步驟:
- 步驟 1:建立第三方應用程式
- 步驟 2:從客戶的租用戶取得存取和重新整理權杖
- 步驟 3:在 Microsoft Defender 全面偵測回應 上允許您的應用程式
您必須建立應用程式,並授與其從客戶 Microsoft Defender 全面偵測回應 租使用者擷取警示的許可權。
選取 [Microsoft Entra ID>應用程式註冊]。
按一下 [新增註冊]。
指定下列值:
名稱: <Tenant_name> SIEM MSSP 連接器 (以租用戶顯示名稱取代 Tenant_name)
支援的帳戶類型:僅限此組織目錄中的帳戶
重新導向 URI:選取 [Web],然後輸入
https://<domain_name>/SiemMsspConnector
(以租用戶名稱取代 <domain_name>)
按一下 [註冊]。 應用程式會顯示在您擁有的應用程式清單中。
選取應用程式,然後按一下 [概觀]。
將值從 [應用程式 (用戶端) 識別碼] 欄位複製到安全的位置,您在下一個步驟中將需要此資訊。
在新應用程式面板中選取 [憑證與密碼]。
按一下 [新用戶端密碼]。
- 描述:輸入金鑰的描述。
- 到期:選取 [1 年內]
按一下 [新增],將用戶端密碼的值複製到安全的位置,您在下一個步驟中將需要此資訊。
本節會引導您如何使用 PowerShell 指令碼從客戶的租用戶取得權杖。 此指令碼會使用上一個步驟中的應用程式,使用 OAuth 授權程式碼流程來取得存取和重新整理權杖。
提供認證之後,您必須授與應用程式同意,才能在客戶的租用戶中佈建應用程式。
建立新資料夾並將它命名:
MsspTokensAcquisition
。下載 LoginBrowser.psm1 模組,並將其儲存在
MsspTokensAcquisition
資料夾中。注意
在行 30 中,將
authorzationUrl
取代為authorizationUrl
。建立包含下列內容的檔案,並將其以名稱
MsspTokensAcquisition.ps1
儲存在資料夾中:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshToken
在
MsspTokensAcquisition
資料夾中開啟提高權限的 PowerShell 命令提示字元。執行下列命令:
Set-ExecutionPolicy -ExecutionPolicy Bypass
輸入下列命令:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- 將client_id>取代<為您從上一個步驟取得的應用程式 (用戶端) 標識碼。
- 將app_key>取代<為您從上一個步驟建立的客戶端密碼。
- 將customer_tenant_id>取代<為您客戶的租用戶標識碼。
系統將會要求您提供認證和同意。 忽略頁面重新導向。
在 PowerShell 視窗中,您將會收到存取權杖和重新整理權杖。 儲存重新整理權杖,以設定 SIEM 連接器。
您必須允許您在 Microsoft Defender 全面偵測回應 中建立的應用程式。
您必須擁有 [管理入口網站系統設定] 權限,才能允許應用程式。 否則,您必須要求客戶為您允許該應用程式。
移至
https://security.microsoft.com?tid=<customer_tenant_id>
(將customer_tenant_id>取代<為客戶的租用戶標識碼。按兩下 [>設定端點>API>SIEM]。
選取 [MSSP] 索引標籤。
輸入來自第一個步驟的應用程式識別碼和您的租用戶識別碼。
按一下 [授權應用程式]。
您現在可以下載 SIEM 的相關組態檔,並連線到 Microsoft Defender 全面偵測回應 API。 如需詳細資訊,請參閱將提醒放入您的 SIEM 工具。
- 在 ArcSight 設定檔/Splunk 驗證屬性檔案中,設定密碼值以手動寫入您的應用程式金鑰。
- 不要在入口網站中取得重新整理權杖,而是使用上一個步驟中的指令碼來取得重新整理權杖 (或透過其他方式取得)。
如需如何使用 REST API 擷取警示的相關資訊,請參閱使用 REST API 放入警示。
使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。