Récupérer des alertes à partir du client MSSPFetch alerts from MSSP customer tenant

S’applique à :Applies to:

Vous souhaitez découvrir Microsoft Defender pour le point de terminaison ?Want to experience Microsoft Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Notes

Cette action est prise par le MSSP.This action is taken by the MSSP.

Il existe deux façons d’extraire des alertes :There are two ways you can fetch alerts:

  • Utilisation de la méthode SIEMUsing the SIEM method
  • Utilisation des APIUsing APIs

Récupérer des alertes dans votre SIEMFetch alerts into your SIEM

Pour récupérer des alertes dans votre système SIEM, vous devez suivre les étapes suivantes :To fetch alerts into your SIEM system, you'll need to take the following steps:

Étape 1 : Créer une application tierceStep 1: Create a third-party application

Étape 2 : Obtenir des jetons d’accès et d’actualisation à partir du client de votre clientStep 2: Get access and refresh tokens from your customer's tenant

Étape 3 : autoriser votre application sur le Centre de sécurité Microsoft DefenderStep 3: allow your application on Microsoft Defender Security Center

Étape 1 : Créer une application dans Azure Active Directory (Azure AD)Step 1: Create an application in Azure Active Directory (Azure AD)

Vous devez créer une application et lui accorder des autorisations pour récupérer des alertes à partir du client Microsoft Defender for Endpoint de votre client.You'll need to create an application and grant it permissions to fetch alerts from your customer's Microsoft Defender for Endpoint tenant.

  1. Connectez-vous au portail Azure AD.Sign in to the Azure AD portal.

  2. Sélectionnez les inscriptions d’applications Azure Active Directory. > Select Azure Active Directory > App registrations.

  3. Cliquez sur Nouvelle inscription.Click New registration.

  4. Spécifiez les valeurs suivantes :Specify the following values:

    • Nom : <Tenant_name> Connecteur MSSP SIEM (remplacez Tenant_name par le nom complet du client)Name: <Tenant_name> SIEM MSSP Connector (replace Tenant_name with the tenant display name)

    • Types de comptes pris en charge : compte dans cet annuaire d’organisation uniquementSupported account types: Account in this organizational directory only

    • URI de redirection : sélectionnez Web et tapez https://<domain_name>/SiemMsspConnector (remplacez <domain_name> par le nom du client)Redirect URI: Select Web and type https://<domain_name>/SiemMsspConnector(replace <domain_name> with the tenant name)

  5. Cliquez sur S'inscrire.Click Register. L’application s’affiche dans la liste des applications que vous possédez.The application is displayed in the list of applications you own.

  6. Sélectionnez l’application, puis cliquez sur Vue d’ensemble.Select the application, then click Overview.

  7. Copiez la valeur du champ ID de l’application (client) dans un endroit sûr. Vous en aurez besoin à l’étape suivante.Copy the value from the Application (client) ID field to a safe place, you will need this in the next step.

  8. Sélectionnez Certificat & secrets dans le nouveau panneau d’application.Select Certificate & secrets in the new application panel.

  9. Cliquez sur Nouvelle secret client.Click New client secret.

    • Description : entrez une description de la clé.Description: Enter a description for the key.
    • Expire : sélection dans 1 anExpires: Select In 1 year
  10. Cliquez sur Ajouter , copiez la valeur de la question secrète client dans un endroit sûr. Vous en aurez besoin à l’étape suivante.Click Add, copy the value of the client secret to a safe place, you will need this in the next step.

Étape 2 : Obtenir des jetons d’accès et d’actualisation à partir du client de votre clientStep 2: Get access and refresh tokens from your customer's tenant

Cette section vous guide sur l’utilisation d’un script PowerShell pour obtenir les jetons du client de votre client.This section guides you on how to use a PowerShell script to get the tokens from your customer's tenant. Ce script utilise l’application de l’étape précédente pour obtenir les jetons d’accès et d’actualisation à l’aide du flux de code d’autorisation OAuth.This script uses the application from the previous step to get the access and refresh tokens using the OAuth Authorization Code Flow.

Après avoir fourni vos informations d’identification, vous devez donner votre consentement à l’application afin que l’application soit mise en service dans le client du client.After providing your credentials, you'll need to grant consent to the application so that the application is provisioned in the customer's tenant.

  1. Créez un dossier et nommez-le : MsspTokensAcquisition .Create a new folder and name it: MsspTokensAcquisition.

  2. Téléchargez le module LoginBrowser.psm1 et enregistrez-le dans le MsspTokensAcquisition dossier.Download the LoginBrowser.psm1 module and save it in the MsspTokensAcquisition folder.

    Notes

    À la ligne 30, authorzationUrl remplacez par authorizationUrl .In line 30, replace authorzationUrl with authorizationUrl.

  3. Créez un fichier avec le contenu suivant et enregistrez-le avec le nom MsspTokensAcquisition.ps1 dans le dossier :Create a file with the following content and save it with the name MsspTokensAcquisition.ps1 in the folder:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " -----------------------------------  TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " -----------------------------------  REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken 
    
  4. Ouvrez une invite de commandes PowerShell avec élévation de niveaux dans le MsspTokensAcquisition dossier.Open an elevated PowerShell command prompt in the MsspTokensAcquisition folder.

  5. Exécutez la commande suivante : Set-ExecutionPolicy -ExecutionPolicy BypassRun the following command: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Entrez les commandes suivantes : .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>Enter the following commands: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • <client_id>Remplacez-le par l’ID d’application (client) obtenu à l’étape précédente.Replace <client_id> with the Application (client) ID you got from the previous step.
    • Remplacez <app_key> par la secret client que vous avez créée à l’étape précédente.Replace <app_key> with the Client Secret you created from the previous step.
    • Remplacez <customer_tenant_id> par l’ID de locataire de votre client.Replace <customer_tenant_id> with your customer's Tenant ID.
  7. Vous serez invité à fournir vos informations d’identification et votre consentement.You'll be asked to provide your credentials and consent. Ignorez la redirection de page.Ignore the page redirect.

  8. Dans la fenêtre PowerShell, vous recevrez un jeton d’accès et un jeton d’actualisation.In the PowerShell window, you'll receive an access token and a refresh token. Enregistrez le jeton d’actualisation pour configurer votre connecteur SIEM.Save the refresh token to configure your SIEM connector.

Étape 3 : Autoriser votre application sur le Centre de sécurité Microsoft DefenderStep 3: Allow your application on Microsoft Defender Security Center

Vous devez autoriser l’application que vous avez créée dans le Centre de sécurité Microsoft Defender.You'll need to allow the application you created in Microsoft Defender Security Center.

Vous devez avoir l’autorisation Gérer les paramètres système du portail pour autoriser l’application.You'll need to have Manage portal system settings permission to allow the application. Dans le cas contraire, vous devrez demander à votre client d’autoriser l’application pour vous.Otherwise, you'll need to request your customer to allow the application for you.

  1. Go to https://securitycenter.windows.com?tid=<customer_tenant_id> (replace <customer_tenant_id> with the customer's tenant ID.Go to https://securitycenter.windows.com?tid=<customer_tenant_id> (replace <customer_tenant_id> with the customer's tenant ID.

  2. Cliquez sur Paramètres > SIEM.Click Settings > SIEM.

  3. Sélectionnez l’onglet MSSP.Select the MSSP tab.

  4. Entrez l’ID d’application à partir de la première étape et votre ID de client.Enter the Application ID from the first step and your Tenant ID.

  5. Cliquez sur Autoriser l’application.Click Authorize application.

Vous pouvez maintenant télécharger le fichier de configuration approprié pour votre SIEM et vous connecter à l’API Defender for Endpoint.You can now download the relevant configuration file for your SIEM and connect to the Defender for Endpoint API. Pour plus d’informations, voir « Tirer des alertes vers vos outils SIEM».For more information, see, Pull alerts to your SIEM tools.

  • Dans le fichier de configuration ArcSight /Splunk Authentication Properties, écrivez votre clé d’application manuellement en définir la valeur secrète.In the ArcSight configuration file / Splunk Authentication Properties file, write your application key manually by setting the secret value.
  • Au lieu d’acquérir un jeton d’actualisation dans le portail, utilisez le script de l’étape précédente pour acquérir un jeton d’actualisation (ou l’acquérir par d’autres moyens).Instead of acquiring a refresh token in the portal, use the script from the previous step to acquire a refresh token (or acquire it by other means).

Récupérer des alertes à partir du client MSSP client à l’aide des APIFetch alerts from MSSP customer's tenant using APIs

Pour plus d’informations sur la récupération des alertes à l’aide de l’API REST, voir Extraire des alertes à l’aide de l’API REST.For information on how to fetch alerts using REST API, see Pull alerts using REST API.

Voir aussiSee also