Buscar alertas do locatário do cliente MSSPFetch alerts from MSSP customer tenant

Aplica-se a:Applies to:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade?Want to experience Microsoft Defender for Endpoint? Inscreva-se para uma avaliação gratuita.Sign up for a free trial.

Observação

Essa ação é tomada pelo MSSP.This action is taken by the MSSP.

Há duas maneiras de buscar alertas:There are two ways you can fetch alerts:

  • Usando o método SIEMUsing the SIEM method
  • Usando APIsUsing APIs

Buscar alertas em seu SIEMFetch alerts into your SIEM

Para buscar alertas no sistema SIEM, você precisará seguir as seguintes etapas:To fetch alerts into your SIEM system, you'll need to take the following steps:

Etapa 1: Criar um aplicativo de terceirosStep 1: Create a third-party application

Etapa 2: obter tokens de acesso e atualização do locatário do clienteStep 2: Get access and refresh tokens from your customer's tenant

Etapa 3: permitir que seu aplicativo Central de Segurança do Microsoft DefenderStep 3: allow your application on Microsoft Defender Security Center

Etapa 1: Criar um aplicativo no Azure Active Directory (Azure AD)Step 1: Create an application in Azure Active Directory (Azure AD)

Você precisará criar um aplicativo e conceder permissões a ele para buscar alertas do locatário do Microsoft Defender para Ponto de Extremidade do seu cliente.You'll need to create an application and grant it permissions to fetch alerts from your customer's Microsoft Defender for Endpoint tenant.

  1. Entre no portal do Azure AD.Sign in to the Azure AD portal.

  2. Selecione Azure Active Directory > registros do aplicativo.Select Azure Active Directory > App registrations.

  3. Clique em Novo registro.Click New registration.

  4. Especifique os seguintes valores:Specify the following values:

    • Nome: <Tenant_name> Conector do SIEM MSSP (substitua Tenant_name pelo nome de exibição do locatário)Name: <Tenant_name> SIEM MSSP Connector (replace Tenant_name with the tenant display name)

    • Tipos de conta com suporte: Conta somente neste diretório organizacionalSupported account types: Account in this organizational directory only

    • URI de redirecionamento: selecione Web e digite https://<domain_name>/SiemMsspConnector (substitua <domain_name> pelo nome do locatário)Redirect URI: Select Web and type https://<domain_name>/SiemMsspConnector(replace <domain_name> with the tenant name)

  5. Clique em Registrar.Click Register. O aplicativo é exibido na lista de aplicativos que você possui.The application is displayed in the list of applications you own.

  6. Selecione o aplicativo e clique em Visão Geral.Select the application, then click Overview.

  7. Copie o valor do campo ID do aplicativo (cliente) para um local seguro, você precisará disso na próxima etapa.Copy the value from the Application (client) ID field to a safe place, you will need this in the next step.

  8. Selecione Certificado & segredos no novo painel de aplicativos.Select Certificate & secrets in the new application panel.

  9. Clique em Novo segredo do cliente.Click New client secret.

    • Descrição: insira uma descrição da chave.Description: Enter a description for the key.
    • Expira: Selecionar em 1 anoExpires: Select In 1 year
  10. Clique em Adicionar, copie o valor do segredo do cliente para um local seguro, você precisará disso na próxima etapa.Click Add, copy the value of the client secret to a safe place, you will need this in the next step.

Etapa 2: obter tokens de acesso e atualização do locatário do clienteStep 2: Get access and refresh tokens from your customer's tenant

Esta seção orienta você sobre como usar um script do PowerShell para obter os tokens do locatário do cliente.This section guides you on how to use a PowerShell script to get the tokens from your customer's tenant. Este script usa o aplicativo da etapa anterior para obter os tokens de acesso e atualização usando o código de autorização OAuth Flow.This script uses the application from the previous step to get the access and refresh tokens using the OAuth Authorization Code Flow.

Depois de fornecer suas credenciais, você precisará conceder consentimento ao aplicativo para que o aplicativo seja provisionado no locatário do cliente.After providing your credentials, you'll need to grant consent to the application so that the application is provisioned in the customer's tenant.

  1. Crie uma nova pasta e nomee-a: MsspTokensAcquisition .Create a new folder and name it: MsspTokensAcquisition.

  2. Baixe o módulo LoginBrowser.psm1 e salve-o na MsspTokensAcquisition pasta.Download the LoginBrowser.psm1 module and save it in the MsspTokensAcquisition folder.

    Observação

    Na linha 30, substitua authorzationUrl por authorizationUrl .In line 30, replace authorzationUrl with authorizationUrl.

  3. Crie um arquivo com o seguinte conteúdo e salve-o com o nome MsspTokensAcquisition.ps1 na pasta:Create a file with the following content and save it with the name MsspTokensAcquisition.ps1 in the folder:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " -----------------------------------  TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " -----------------------------------  REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken 
    
  4. Abra um prompt de comando do PowerShell com elevação na MsspTokensAcquisition pasta.Open an elevated PowerShell command prompt in the MsspTokensAcquisition folder.

  5. Execute o seguinte comando: Set-ExecutionPolicy -ExecutionPolicy BypassRun the following command: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Insira os seguintes comandos: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>Enter the following commands: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Substitua <client_id> pela ID de aplicativo (cliente) que você recebeu da etapa anterior.Replace <client_id> with the Application (client) ID you got from the previous step.
    • Substitua <app_key> pelo Segredo do Cliente criado na etapa anterior.Replace <app_key> with the Client Secret you created from the previous step.
    • Substitua <customer_tenant_id> pela ID de Locatário do seu cliente.Replace <customer_tenant_id> with your customer's Tenant ID.
  7. Você será solicitado a fornecer suas credenciais e consentimento.You'll be asked to provide your credentials and consent. Ignore o redirecionamento de página.Ignore the page redirect.

  8. Na janela do PowerShell, você receberá um token de acesso e um token de atualização.In the PowerShell window, you'll receive an access token and a refresh token. Salve o token de atualização para configurar seu conector SIEM.Save the refresh token to configure your SIEM connector.

Etapa 3: Permitir que seu aplicativo Central de Segurança do Microsoft DefenderStep 3: Allow your application on Microsoft Defender Security Center

Você precisará permitir o aplicativo criado em Central de Segurança do Microsoft Defender.You'll need to allow the application you created in Microsoft Defender Security Center.

Você precisará ter a permissão Gerenciar configurações do sistema de portal para permitir o aplicativo.You'll need to have Manage portal system settings permission to allow the application. Caso contrário, você precisará solicitar que seu cliente permita o aplicativo para você.Otherwise, you'll need to request your customer to allow the application for you.

  1. Vá para https://securitycenter.windows.com?tid=<customer_tenant_id> (substitua <customer_tenant_id> pela ID de locatário do cliente.Go to https://securitycenter.windows.com?tid=<customer_tenant_id> (replace <customer_tenant_id> with the customer's tenant ID.

  2. Clique Configurações > SIEM.Click Settings > SIEM.

  3. Selecione a guia MSSP.Select the MSSP tab.

  4. Insira a ID do Aplicativo na primeira etapa e a ID do locatário.Enter the Application ID from the first step and your Tenant ID.

  5. Clique em Autorizar aplicativo.Click Authorize application.

Agora você pode baixar o arquivo de configuração relevante para seu SIEM e se conectar à API do Defender para Ponto de Extremidade.You can now download the relevant configuration file for your SIEM and connect to the Defender for Endpoint API. Para obter mais informações, consulte Pull alerts to your SIEM tools.For more information, see, Pull alerts to your SIEM tools.

  • No arquivo de configuração arcSight/arquivo propriedades de autenticação Splunk, escreva a chave do aplicativo manualmente definindo o valor secreto.In the ArcSight configuration file / Splunk Authentication Properties file, write your application key manually by setting the secret value.
  • Em vez de adquirir um token de atualização no portal, use o script da etapa anterior para adquirir um token de atualização (ou adquiri-lo por outros meios).Instead of acquiring a refresh token in the portal, use the script from the previous step to acquire a refresh token (or acquire it by other means).

Buscar alertas do locatário do cliente MSSP usando APIsFetch alerts from MSSP customer's tenant using APIs

Para obter informações sobre como buscar alertas usando a API REST, consulte Pull alerts using REST API.For information on how to fetch alerts using REST API, see Pull alerts using REST API.

Confira tambémSee also