Recuperare avvisi dal tenant del cliente MSSP

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Nota

Questa azione viene eseguita da MSSP.

Esistono due modi per recuperare gli avvisi:

• Uso del metodo SIEM
• Uso delle API

Recuperare gli avvisi nel SIEM

Per recuperare gli avvisi nel sistema SIEM, è necessario seguire questa procedura:

• Passaggio 1: Create un'applicazione di terze parti
• Passaggio 2: Ottenere i token di accesso e aggiornamento dal tenant del cliente
• Passaggio 3: consentire l'applicazione in Microsoft Defender XDR

Passaggio 1: Create un'applicazione in Microsoft Entra ID

Sarà necessario creare un'applicazione e concederle le autorizzazioni per recuperare gli avvisi dal tenant Microsoft Defender XDR del cliente.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Selezionare Microsoft Entra ID>Registrazioni app.

3. Fare clic su Nuova registrazione.

4. Specificare i valori seguenti:

   • Nome: <Tenant_name> connettore MSSP SIEM (sostituire Tenant_name con il nome visualizzato del tenant)

   • Tipi di account supportati: solo account in questa directory organizzativa

   • URI di reindirizzamento: selezionare Web e digitare https://<domain_name>/SiemMsspConnector(sostituire <domain_name> con il nome del tenant)

5. Fare clic su Registra. L'applicazione viene visualizzata nell'elenco delle applicazioni di cui si è proprietari.

6. Selezionare l'applicazione, quindi fare clic su Panoramica.

7. Copiare il valore dal campo ID applicazione (client) in un luogo sicuro, che sarà necessario nel passaggio successivo.

8. Selezionare Certificato & segreti nel nuovo pannello dell'applicazione.

9. Fare clic su Nuovo segreto client.

   • Descrizione: immettere una descrizione per la chiave.
   • Scadenza: selezionare Tra 1 anno

10. Fare clic su Aggiungi, copiare il valore del segreto client in un luogo sicuro, che sarà necessario nel passaggio successivo.

Passaggio 2: Ottenere i token di accesso e aggiornamento dal tenant del cliente

Questa sezione illustra come usare uno script di PowerShell per ottenere i token dal tenant del cliente. Questo script usa l'applicazione del passaggio precedente per ottenere i token di accesso e aggiornamento usando il flusso di codice di autorizzazione OAuth.

Dopo aver fornito le credenziali, è necessario concedere il consenso all'applicazione in modo che venga effettuato il provisioning dell'applicazione nel tenant del cliente.

1. Create una nuova cartella e denominarla: MsspTokensAcquisition.

2. Scaricare il modulo LoginBrowser.psm1 e salvarlo nella MsspTokensAcquisition cartella .

   Nota

   Nella riga 30 sostituire authorzationUrl con authorizationUrl.

3. Create un file con il contenuto seguente e salvarlo con il nome MsspTokensAcquisition.ps1 nella cartella:

   param (
       [Parameter(Mandatory=$true)][string]$clientId,
       [Parameter(Mandatory=$true)][string]$secret,
       [Parameter(Mandatory=$true)][string]$tenantId
   )
   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   
   # Load our Login Browser Function
   Import-Module .\LoginBrowser.psm1
   
   # Configuration parameters
   $login = "https://login.microsoftonline.com"
   $redirectUri = "https://SiemMsspConnector"
   $resourceId = "https://graph.windows.net"
   
   Write-Host 'Prompt the user for his credentials, to get an authorization code'
   $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                       $login, $tenantId, $clientId, $redirectUri, $resourceId)
   Write-Host "authorzationUrl: $authorizationUrl"
   
   # Fake a proper endpoint for the Redirect URI
   $code = LoginBrowser $authorizationUrl $redirectUri
   
   # Acquire token using the authorization code
   
   $Body = @{
       grant_type = 'authorization_code'
       client_id = $clientId
       code = $code
       redirect_uri = $redirectUri
       resource = $resourceId
       client_secret = $secret
   }
   
   $tokenEndpoint = "$login/$tenantId/oauth2/token?"
   $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
   $token = $Response.access_token
   $refreshToken= $Response.refresh_token
   
   Write-Host " ----------------------------------- TOKEN ---------------------------------- "
   Write-Host $token
   
   Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
   Write-Host $refreshToken
   

4. Aprire un prompt dei comandi di PowerShell con privilegi elevati nella MsspTokensAcquisition cartella.

5. Esegui il comando seguente: Set-ExecutionPolicy -ExecutionPolicy Bypass

6. Immettere i comandi seguenti: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

   • Sostituire <client_id> con l'ID applicazione (client) ottenuto dal passaggio precedente.
   • Sostituire <app_key> con il segreto client creato nel passaggio precedente.
   • Sostituire <customer_tenant_id> con l'ID tenant del cliente.

7. Verrà richiesto di fornire le credenziali e il consenso. Ignorare il reindirizzamento della pagina.

8. Nella finestra di PowerShell si riceveranno un token di accesso e un token di aggiornamento. Salvare il token di aggiornamento per configurare il connettore SIEM.

Passaggio 3: Consentire l'applicazione in Microsoft Defender XDR

Sarà necessario consentire l'applicazione creata in Microsoft Defender XDR.

È necessario disporre dell'autorizzazione Gestisci impostazioni di sistema del portale per consentire l'applicazione. In caso contrario, è necessario richiedere al cliente di consentire l'applicazione.

1. Passare a https://security.microsoft.com?tid=<customer_tenant_id> (sostituire <customer_tenant_id> con l'ID tenant del cliente.

2. Fare clic su IMPOSTAZIONI>>API>ENDPOINT SIEM.

3. Selezionare la scheda MSSP .

4. Immettere l'ID applicazione dal primo passaggio e l'ID tenant.

5. Fare clic su Autorizza applicazione.

È ora possibile scaricare il file di configurazione pertinente per SIEM e connettersi all'API Microsoft Defender XDR. Per altre informazioni, vedere Eseguire il pull degli avvisi agli strumenti SIEM.

• Nel file di configurazione di ArcSight/Splunk Authentication Properties( Proprietà autenticazione Splunk) scrivere manualmente la chiave dell'applicazione impostando il valore del segreto.
• Invece di acquisire un token di aggiornamento nel portale, usare lo script del passaggio precedente per acquisire un token di aggiornamento (o acquisirlo con altri mezzi).

Recuperare avvisi dal tenant del cliente MSSP usando le API

Per informazioni su come recuperare gli avvisi usando l'API REST, vedere Recuperare avvisi dal tenant del cliente MSSP.

Vedere anche

• Concedere a MSSP l'accesso al portale
• Accedere al portale clienti MSSP
• Configurare le notifiche di avviso

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.