Waarschuwingen ophalen van MSSP-klant tenantFetch alerts from MSSP customer tenant

Van toepassing op:Applies to:

Wilt u Microsoft Defender voor Eindpunt ervaren?Want to experience Microsoft Defender for Endpoint? Meld u aan voor een gratis proefabonnement.Sign up for a free trial.

Notitie

Deze actie wordt ondernomen door de MSSP.This action is taken by the MSSP.

Er zijn twee manieren waarop u waarschuwingen kunt ophalen:There are two ways you can fetch alerts:

  • De SIEM-methode gebruikenUsing the SIEM method
  • API's gebruikenUsing APIs

Waarschuwingen ophalen in uw SIEMFetch alerts into your SIEM

Als u waarschuwingen wilt ophalen in uw SIEM-systeem, moet u de volgende stappen ondernemen:To fetch alerts into your SIEM system, you'll need to take the following steps:

Stap 1: Een toepassing van derden makenStep 1: Create a third-party application

Stap 2: Toegang krijgen en tokens vernieuwen van de tenant van uw klantStep 2: Get access and refresh tokens from your customer's tenant

Stap 3: uw toepassing toestaan op Microsoft Defender-beveiligingscentrumStep 3: allow your application on Microsoft Defender Security Center

Stap 1: Een toepassing maken in Azure Active Directory (Azure AD)Step 1: Create an application in Azure Active Directory (Azure AD)

U moet een toepassing maken en deze machtigingen verlenen om waarschuwingen op te halen bij de Microsoft Defender voor Eindpunt-tenant van uw klant.You'll need to create an application and grant it permissions to fetch alerts from your customer's Microsoft Defender for Endpoint tenant.

  1. Meld u aan bij de Azure AD-portal.Sign in to the Azure AD portal.

  2. Selecteer Azure Active Directory > app-registraties.Select Azure Active Directory > App registrations.

  3. Klik op Nieuwe registratie.Click New registration.

  4. Geef de volgende waarden op:Specify the following values:

    • Naam: <Tenant_name> SIEM MSSP Connector (vervangen door Tenant_name tenantweergavenaam)Name: <Tenant_name> SIEM MSSP Connector (replace Tenant_name with the tenant display name)

    • Ondersteunde accounttypen: Alleen account in deze organisatiemapSupported account types: Account in this organizational directory only

    • Redirect URI: Web selecteren en typen https://<domain_name>/SiemMsspConnector (<domain_name> vervangen door de tenantnaam)Redirect URI: Select Web and type https://<domain_name>/SiemMsspConnector(replace <domain_name> with the tenant name)

  5. Klik op Registreren.Click Register. De toepassing wordt weergegeven in de lijst met toepassingen die u bezit.The application is displayed in the list of applications you own.

  6. Selecteer de toepassing en klik vervolgens op Overzicht.Select the application, then click Overview.

  7. Kopieer de waarde van het veld Toepassings-id (client-id) naar een veilige plaats, u hebt deze in de volgende stap nodig.Copy the value from the Application (client) ID field to a safe place, you will need this in the next step.

  8. Selecteer Certificaat & in het nieuwe toepassingsvenster.Select Certificate & secrets in the new application panel.

  9. Klik op Nieuw clientgeheim.Click New client secret.

    • Beschrijving: Voer een beschrijving voor de sleutel in.Description: Enter a description for the key.
    • Verloopt: Selecteren in 1 jaarExpires: Select In 1 year
  10. Klik op Toevoegen, kopieer de waarde van het clientgeheim naar een veilige plaats, u hebt dit nodig in de volgende stap.Click Add, copy the value of the client secret to a safe place, you will need this in the next step.

Stap 2: Toegang krijgen en tokens vernieuwen van de tenant van uw klantStep 2: Get access and refresh tokens from your customer's tenant

In deze sectie vindt u informatie over het gebruik van een PowerShell-script om de tokens van de tenant van uw klant op te halen.This section guides you on how to use a PowerShell script to get the tokens from your customer's tenant. In dit script wordt de toepassing uit de vorige stap gebruikt om toegangs- en vernieuwingstokens te verkrijgen met behulp van de OAuth Autorisatiecode Flow.This script uses the application from the previous step to get the access and refresh tokens using the OAuth Authorization Code Flow.

Nadat u uw referenties hebt ingediend, moet u toestemming verlenen voor de toepassing, zodat de toepassing is ingericht in de tenant van de klant.After providing your credentials, you'll need to grant consent to the application so that the application is provisioned in the customer's tenant.

  1. Een nieuwe map maken en deze een naam geven: MsspTokensAcquisition .Create a new folder and name it: MsspTokensAcquisition.

  2. Download de module LoginBrowser.psm1 en sla deze op in de MsspTokensAcquisition map.Download the LoginBrowser.psm1 module and save it in the MsspTokensAcquisition folder.

    Notitie

    Vervang in regel 30 authorzationUrl door authorizationUrl .In line 30, replace authorzationUrl with authorizationUrl.

  3. Maak een bestand met de volgende inhoud en sla het op met de naam MsspTokensAcquisition.ps1 in de map:Create a file with the following content and save it with the name MsspTokensAcquisition.ps1 in the folder:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " -----------------------------------  TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " -----------------------------------  REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken 
    
  4. Open een verhoogde PowerShell-opdrachtprompt in de MsspTokensAcquisition map.Open an elevated PowerShell command prompt in the MsspTokensAcquisition folder.

  5. Voer de volgende opdracht uit: Set-ExecutionPolicy -ExecutionPolicy BypassRun the following command: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Voer de volgende opdrachten in: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>Enter the following commands: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Vervang <client_id> de toepassings-id (client-id) die u hebt van de vorige stap.Replace <client_id> with the Application (client) ID you got from the previous step.
    • Vervang <app_key> het clientgeheim dat u hebt gemaakt op de vorige stap.Replace <app_key> with the Client Secret you created from the previous step.
    • Vervangen <customer_tenant_id> door de tenant-id van uw klant.Replace <customer_tenant_id> with your customer's Tenant ID.
  7. U wordt gevraagd uw referenties en toestemming te geven.You'll be asked to provide your credentials and consent. Negeer de omleiding van de pagina.Ignore the page redirect.

  8. In het PowerShell-venster ontvangt u een toegangs-token en een vernieuwings-token.In the PowerShell window, you'll receive an access token and a refresh token. Sla het vernieuwingsken op om de SIEM-connector te configureren.Save the refresh token to configure your SIEM connector.

Stap 3: Uw toepassing toestaan op Microsoft Defender-beveiligingscentrumStep 3: Allow your application on Microsoft Defender Security Center

U moet de toepassing toestaan die u hebt gemaakt in Microsoft Defender-beveiligingscentrum.You'll need to allow the application you created in Microsoft Defender Security Center.

U moet de machtiging Portalsysteeminstellingen beheren hebben om de toepassing toe te staan.You'll need to have Manage portal system settings permission to allow the application. Anders moet u uw klant vragen om de toepassing voor u toe te staan.Otherwise, you'll need to request your customer to allow the application for you.

  1. Ga naar https://securitycenter.windows.com?tid=<customer_tenant_id> (vervangen <customer_tenant_id> door de tenant-id van de klant.Go to https://securitycenter.windows.com?tid=<customer_tenant_id> (replace <customer_tenant_id> with the customer's tenant ID.

  2. Klik Instellingen > SIEM.Click Settings > SIEM.

  3. Selecteer het tabblad MSSP.Select the MSSP tab.

  4. Voer de toepassings-id in van de eerste stap en uw tenant-id.Enter the Application ID from the first step and your Tenant ID.

  5. Klik op Toepassing autoreren.Click Authorize application.

U kunt nu het relevante configuratiebestand voor uw SIEM downloaden en verbinding maken met de Defender for Endpoint API.You can now download the relevant configuration file for your SIEM and connect to the Defender for Endpoint API. Zie Waarschuwingen naar uw SIEM-hulpprogramma's trekken voor meer informatie.For more information, see, Pull alerts to your SIEM tools.

  • Schrijf de toepassingssleutel handmatig in het configuratiebestand ArcSight / Splunk Authentication Properties door de geheime waarde in te stellen.In the ArcSight configuration file / Splunk Authentication Properties file, write your application key manually by setting the secret value.
  • In plaats van een vernieuwingsken in de portal te kopen, gebruikt u het script uit de vorige stap om een vernieuwings-token te verkrijgen (of op een andere manier te verkrijgen).Instead of acquiring a refresh token in the portal, use the script from the previous step to acquire a refresh token (or acquire it by other means).

Waarschuwingen ophalen bij de tenant van MSSP-klanten met API'sFetch alerts from MSSP customer's tenant using APIs

Zie Waarschuwingen ophalen met REST API voor informatie over het ophalen van waarschuwingen met BEHULP van REST API.For information on how to fetch alerts using REST API, see Pull alerts using REST API.

Zie ookSee also