Waarschuwingen ophalen van DE MSSP-klanttenant

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Opmerking

Deze actie wordt uitgevoerd door de MSSP.

Er zijn twee manieren waarop u waarschuwingen kunt ophalen:

• De SIEM-methode gebruiken
• API's gebruiken

Waarschuwingen ophalen in uw SIEM

Als u waarschuwingen wilt ophalen in uw SIEM-systeem, moet u de volgende stappen uitvoeren:

• Stap 1: een toepassing van derden Creatie
• Stap 2: toegangstokens ophalen en vernieuwen van de tenant van uw klant
• Stap 3: uw toepassing toestaan op Microsoft Defender XDR

Stap 1: een toepassing Creatie in Microsoft Entra ID

U moet een toepassing maken en deze machtigingen verlenen om waarschuwingen op te halen uit de Microsoft Defender XDR tenant van uw klant.

1. Meld u aan bij de Microsoft Entra-beheercentrum.

2. Selecteer Microsoft Entra ID>App-registraties.

3. Klik op Nieuwe registratie.

4. Geef de volgende waarden op:

   • Naam: <Tenant_name> SIEM MSSP-connector (vervang Tenant_name door de weergavenaam van de tenant)

   • Ondersteunde accounttypen: alleen account in deze organisatiemap

   • Omleidings-URI: selecteer Web en typ https://<domain_name>/SiemMsspConnector(vervang <domain_name> door de tenantnaam)

5. Klik op Registreren. De toepassing wordt weergegeven in de lijst met toepassingen waarvan u de eigenaar bent.

6. Selecteer de toepassing en klik vervolgens op Overzicht.

7. Kopieer de waarde van het veld Toepassings-id (client-id) naar een veilige plaats. U hebt deze in de volgende stap nodig.

8. Selecteer Certificaat & geheimen in het nieuwe toepassingsvenster.

9. Klik op Nieuw clientgeheim.

   • Beschrijving: voer een beschrijving in voor de sleutel.
   • Verloopt: Selecteer Over 1 jaar

10. Klik op Toevoegen, kopieer de waarde van het clientgeheim naar een veilige plaats. U hebt dit in de volgende stap nodig.

Stap 2: toegangstokens ophalen en vernieuwen van de tenant van uw klant

In deze sectie wordt uitgelegd hoe u een PowerShell-script gebruikt om de tokens op te halen uit de tenant van uw klant. Dit script gebruikt de toepassing uit de vorige stap om de toegangs- en vernieuwingstokens op te halen met behulp van de OAuth-autorisatiecodestroom.

Nadat u uw referenties hebt opgegeven, moet u toestemming verlenen voor de toepassing, zodat de toepassing wordt ingericht in de tenant van de klant.

1. Creatie een nieuwe map en geef deze de volgende naam: MsspTokensAcquisition.

2. Download de module LoginBrowser.psm1 en sla deze op in de MsspTokensAcquisition map.

   Opmerking

   Vervang in regel 30 door authorzationUrlauthorizationUrl.

3. Creatie een bestand met de volgende inhoud en sla het bestand op met de naam MsspTokensAcquisition.ps1 in de map:

   param (
       [Parameter(Mandatory=$true)][string]$clientId,
       [Parameter(Mandatory=$true)][string]$secret,
       [Parameter(Mandatory=$true)][string]$tenantId
   )
   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   
   # Load our Login Browser Function
   Import-Module .\LoginBrowser.psm1
   
   # Configuration parameters
   $login = "https://login.microsoftonline.com"
   $redirectUri = "https://SiemMsspConnector"
   $resourceId = "https://graph.windows.net"
   
   Write-Host 'Prompt the user for his credentials, to get an authorization code'
   $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                       $login, $tenantId, $clientId, $redirectUri, $resourceId)
   Write-Host "authorzationUrl: $authorizationUrl"
   
   # Fake a proper endpoint for the Redirect URI
   $code = LoginBrowser $authorizationUrl $redirectUri
   
   # Acquire token using the authorization code
   
   $Body = @{
       grant_type = 'authorization_code'
       client_id = $clientId
       code = $code
       redirect_uri = $redirectUri
       resource = $resourceId
       client_secret = $secret
   }
   
   $tokenEndpoint = "$login/$tenantId/oauth2/token?"
   $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
   $token = $Response.access_token
   $refreshToken= $Response.refresh_token
   
   Write-Host " ----------------------------------- TOKEN ---------------------------------- "
   Write-Host $token
   
   Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
   Write-Host $refreshToken
   

4. Open een PowerShell-opdrachtprompt met verhoogde bevoegdheid in de MsspTokensAcquisition map.

5. Voer de volgende opdracht uit: Set-ExecutionPolicy -ExecutionPolicy Bypass

6. Voer de volgende opdrachten in: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

   • Vervang <client_id> door de toepassings-id (client) die u in de vorige stap hebt gekregen.
   • Vervang <app_key> door het clientgeheim dat u in de vorige stap hebt gemaakt.
   • Vervang <customer_tenant_id> door de tenant-id van uw klant.

7. U wordt gevraagd uw referenties en toestemming op te geven. De omleiding van de pagina negeren.

8. In het PowerShell-venster ontvangt u een toegangstoken en een vernieuwingstoken. Sla het vernieuwingstoken op om uw SIEM-connector te configureren.

Stap 3: uw toepassing toestaan op Microsoft Defender XDR

U moet de toepassing toestaan die u in Microsoft Defender XDR hebt gemaakt.

U moet de machtiging Portalsysteeminstellingen beheren hebben om de toepassing toe te staan. Anders moet u uw klant vragen om de toepassing voor u toe te staan.

1. Ga naar https://security.microsoft.com?tid=<customer_tenant_id> (vervang <customer_tenant_id> door de tenant-id van de klant.

2. Klik op Instellingen>Eindpunt-API's>>SIEM.

3. Selecteer het tabblad MSSP .

4. Voer de toepassings-id uit de eerste stap en uw tenant-id in.

5. Klik op Toepassing autoriseren.

U kunt nu het relevante configuratiebestand voor uw SIEM downloaden en verbinding maken met de Microsoft Defender XDR-API. Zie Waarschuwingen naar uw SIEM-hulpprogramma's ophalen voor meer informatie.

• Schrijf uw toepassingssleutel handmatig in het ArcSight-configuratiebestand/Splunk Authentication Properties-bestand door de geheime waarde in te stellen.
• In plaats van een vernieuwingstoken in de portal te verkrijgen, gebruikt u het script uit de vorige stap om een vernieuwingstoken te verkrijgen (of op een andere wijze te verkrijgen).

Waarschuwingen ophalen uit de tenant van de MSSP-klant met behulp van API's

Zie Waarschuwingen ophalen uit de MSSP-klanttenant voor meer informatie over het ophalen van waarschuwingen met behulp van de REST API.

Zie ook

• MSSP-toegang verlenen tot de portal
• Toegang tot de MSSP-klantportal
• Waarschuwingsmeldingen configureren

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.