Riasztások lekérése az MSSP-ügyfélbérlőből

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Megjegyzés:

Ezt a műveletet az MSSP hajtja végre.

A riasztások kétféleképpen hívhatók le:

• Az SIEM metódus használata
• API-k használata

Riasztások beolvasása a SIEM-be

Ha riasztásokat szeretne beolvasni a SIEM-rendszerbe, a következő lépéseket kell végrehajtania:

• 1. lépés: külső alkalmazás Létrehozás
• 2. lépés: Hozzáférési és frissítési jogkivonatok lekérése az ügyfél bérlőjéből
• 3. lépés: az alkalmazás engedélyezése Microsoft Defender XDR

1. lépés: Alkalmazás Létrehozás Microsoft Entra ID

Létre kell hoznia egy alkalmazást, és engedélyeket kell adnia neki, hogy riasztásokat kérjen le az ügyfél Microsoft Defender XDR bérlőjéből.

1. Jelentkezzen be a Microsoft Entra felügyeleti központ.

2. Válassza a Microsoft Entra ID>Alkalmazásregisztrációk lehetőséget.

3. Kattintson az Új regisztráció elemre.

4. Adja meg a következő értékeket:

   • Név: <Tenant_name> SIEM MSSP-összekötő (cserélje le Tenant_name a bérlő megjelenítendő nevére)

   • Támogatott fióktípusok: Csak ebben a szervezeti címtárban lévő fiók

   • Átirányítási URI: Válassza a Web lehetőséget, és írja be a következőt https://<domain_name>/SiemMsspConnector: (cserélje le <domain_name> a bérlő nevére)

5. Kattintson a Regisztráció gombra. Az alkalmazás megjelenik a tulajdonában lévő alkalmazások listájában.

6. Jelölje ki az alkalmazást, majd kattintson az Áttekintés elemre.

7. Másolja az Application (client) ID (Alkalmazásazonosító) mező értékét egy biztonságos helyre, erre a következő lépésben lesz szüksége.

8. Az új alkalmazáspanelen válassza a Tanúsítvány & titkos kód lehetőséget.

9. Kattintson az Új titkos ügyfélkód elemre.

   • Leírás: Adja meg a kulcs leírását.
   • Lejár: Válassza az 1 év alatt lehetőséget

10. Kattintson a Hozzáadás gombra, másolja a titkos ügyfélkód értékét egy biztonságos helyre. Erre a következő lépésben lesz szüksége.

2. lépés: Hozzáférési és frissítési jogkivonatok lekérése az ügyfél bérlőjéből

Ez a szakasz bemutatja, hogyan szerezheti be a jogkivonatokat az ügyfél bérlőjéből PowerShell-szkripttel. Ez a szkript az előző lépésben használt alkalmazást használja a hozzáférési és frissítési jogkivonatok lekéréséhez az OAuth engedélyezési kódfolyamat használatával.

A hitelesítő adatok megadása után hozzájárulást kell adnia az alkalmazáshoz, hogy az alkalmazás az ügyfél bérlőjében legyen kiépítve.

1. Létrehozás egy új mappát, és adja neki a következő nevet: MsspTokensAcquisition.

2. Töltse le a LoginBrowser.psm1 modult , és mentse a MsspTokensAcquisition mappába.

   Megjegyzés:

   A 30. sorban cserélje le authorzationUrl a elemet a következőre authorizationUrl: .

3. Létrehozás egy fájlt a következő tartalommal, és mentse a mappában lévő névvelMsspTokensAcquisition.ps1:

   param (
       [Parameter(Mandatory=$true)][string]$clientId,
       [Parameter(Mandatory=$true)][string]$secret,
       [Parameter(Mandatory=$true)][string]$tenantId
   )
   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   
   # Load our Login Browser Function
   Import-Module .\LoginBrowser.psm1
   
   # Configuration parameters
   $login = "https://login.microsoftonline.com"
   $redirectUri = "https://SiemMsspConnector"
   $resourceId = "https://graph.windows.net"
   
   Write-Host 'Prompt the user for his credentials, to get an authorization code'
   $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                       $login, $tenantId, $clientId, $redirectUri, $resourceId)
   Write-Host "authorzationUrl: $authorizationUrl"
   
   # Fake a proper endpoint for the Redirect URI
   $code = LoginBrowser $authorizationUrl $redirectUri
   
   # Acquire token using the authorization code
   
   $Body = @{
       grant_type = 'authorization_code'
       client_id = $clientId
       code = $code
       redirect_uri = $redirectUri
       resource = $resourceId
       client_secret = $secret
   }
   
   $tokenEndpoint = "$login/$tenantId/oauth2/token?"
   $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
   $token = $Response.access_token
   $refreshToken= $Response.refresh_token
   
   Write-Host " ----------------------------------- TOKEN ---------------------------------- "
   Write-Host $token
   
   Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
   Write-Host $refreshToken
   

4. Nyisson meg egy emelt szintű PowerShell-parancssort a MsspTokensAcquisition mappában.

5. Futtassa az alábbi parancsot: Set-ExecutionPolicy -ExecutionPolicy Bypass

6. Adja meg a következő parancsokat: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

   • Cserélje le <client_id> az előző lépésben kapott alkalmazás-(ügyfél-) azonosítóra .
   • Cserélje le <app_key> az előző lépésben létrehozott titkos ügyfélkódra .
   • Cserélje le <customer_tenant_id> az ügyfél bérlőazonosítójára.

7. A rendszer kérni fogja, hogy adja meg hitelesítő adatait és hozzájárulását. A lapátirányítás figyelmen kívül hagyása.

8. A PowerShell-ablakban kapni fog egy hozzáférési és egy frissítési jogkivonatot. Mentse a frissítési jogkivonatot a SIEM-összekötő konfigurálásához.

3. lépés: Az alkalmazás engedélyezése Microsoft Defender XDR

Engedélyeznie kell a Microsoft Defender XDR-ben létrehozott alkalmazást.

Az alkalmazás engedélyezéséhez a Portál rendszerbeállításainak kezelése engedéllyel kell rendelkeznie. Ellenkező esetben meg kell kérnie az ügyfelet, hogy engedélyezze az alkalmazást.

1. Lépjen a https://security.microsoft.com?tid=<customer_tenant_id> (cserélje le <customer_tenant_id> az ügyfél bérlőazonosítójára.

2. Kattintson a Beállítások>Végpontok>API-k>SIEM elemre.

3. Válassza az MSSP lapot.

4. Adja meg az alkalmazásazonosítót az első lépésben, valamint a bérlőazonosítót.

5. Kattintson az Alkalmazás engedélyezése elemre.

Most letöltheti az SIEM megfelelő konfigurációs fájlját, és csatlakozhat a Microsoft Defender XDR API-hoz. További információ: Riasztások lekérése az SIEM-eszközökre.

• Az ArcSight konfigurációs fájljában /Splunk Authentication Properties fájlban írja be manuálisan az alkalmazáskulcsot a titkos kód értékének beállításával.
• Ahelyett, hogy egy frissítési jogkivonatot szerez be a portálon, az előző lépés szkriptjével szerezzen be egy frissítési jogkivonatot (vagy más módon szerezze be).

Riasztások lekérése az MSSP-ügyfél bérlőjéből API-k használatával

További információ a riasztások REST API-val történő lekéréséről: Riasztások lekérése az MSSP-ügyfélbérlőből.

Lásd még

• MSSP-hozzáférés megadása a portálhoz
• Az MSSP ügyfélportál elérése
• Riasztási értesítések konfigurálása

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.