Hämta aviseringar från MSSP-kundklientorganisationen

Artikel
04/26/2024

Gäller för:

Obs!

Den här åtgärden vidtas av MSSP.

Du kan hämta aviseringar på två sätt:

Använda SIEM-metoden
Använda API:er

Hämta aviseringar till SIEM

Om du vill hämta aviseringar till SIEM-systemet måste du utföra följande steg:

Steg 1: Skapa ett program från tredje part
Steg 2: Hämta åtkomst- och uppdateringstoken från kundens klientorganisation
Steg 3: Tillåt ditt program på Microsoft Defender XDR

Steg 1: Skapa ett program i Microsoft Entra ID

Du måste skapa ett program och ge det behörighet att hämta aviseringar från kundens Microsoft Defender XDR klientorganisation.

Logga in på Microsoft Entra administrationscenter.
Välj Microsoft Entra ID>Appregistreringar.
Klicka på Ny registrering.
Ange följande värden:
- Namn: <Tenant_name> SIEM MSSP Connector (ersätt Tenant_name med klientorganisationens visningsnamn)
- Kontotyper som stöds: Endast konto i den här organisationskatalogen
- Omdirigerings-URI: Välj Webb och skriv https://<domain_name>/SiemMsspConnector(ersätt <domain_name> med klientnamnet)
Klicka på Registrera. Programmet visas i listan över program som du äger.
Välj programmet och klicka sedan på Översikt.
Kopiera värdet från fältet Program-ID (klient) till en säker plats. Du behöver det i nästa steg.
Välj Certifikat & hemligheter i den nya programpanelen.
Klicka på Ny klienthemlighet.
- Beskrivning: Ange en beskrivning av nyckeln.
- Upphör att gälla: Välj om 1 år
Klicka på Lägg till, kopiera värdet för klienthemligheten till en säker plats. Du behöver det i nästa steg.

Steg 2: Hämta åtkomst- och uppdateringstoken från kundens klientorganisation

Det här avsnittet beskriver hur du använder ett PowerShell-skript för att hämta token från kundens klientorganisation. Det här skriptet använder programmet från föregående steg för att hämta åtkomst- och uppdateringstoken med hjälp av OAuth Authorization Code Flow.

När du har angett dina autentiseringsuppgifter måste du bevilja medgivande till programmet så att programmet etableras i kundens klientorganisation.

Skapa en ny mapp och ge den namnet: MsspTokensAcquisition.
Ladda ned modulen LoginBrowser.psm1 och spara den i MsspTokensAcquisition mappen .

Obs!

I rad 30 ersätter du authorzationUrl med authorizationUrl.

Skapa en fil med följande innehåll och spara den med namnet MsspTokensAcquisition.ps1 i mappen:

param (
    [Parameter(Mandatory=$true)][string]$clientId,
    [Parameter(Mandatory=$true)][string]$secret,
    [Parameter(Mandatory=$true)][string]$tenantId
)
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

# Load our Login Browser Function
Import-Module .\LoginBrowser.psm1

# Configuration parameters
$login = "https://login.microsoftonline.com"
$redirectUri = "https://SiemMsspConnector"
$resourceId = "https://graph.windows.net"

Write-Host 'Prompt the user for his credentials, to get an authorization code'
$authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                    $login, $tenantId, $clientId, $redirectUri, $resourceId)
Write-Host "authorzationUrl: $authorizationUrl"

# Fake a proper endpoint for the Redirect URI
$code = LoginBrowser $authorizationUrl $redirectUri

# Acquire token using the authorization code

$Body = @{
    grant_type = 'authorization_code'
    client_id = $clientId
    code = $code
    redirect_uri = $redirectUri
    resource = $resourceId
    client_secret = $secret
}

$tokenEndpoint = "$login/$tenantId/oauth2/token?"
$Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
$token = $Response.access_token
$refreshToken= $Response.refresh_token

Write-Host " ----------------------------------- TOKEN ---------------------------------- "
Write-Host $token

Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
Write-Host $refreshToken

Öppna en upphöjd PowerShell-kommandotolk i MsspTokensAcquisition mappen .
Kör följande kommando: Set-ExecutionPolicy -ExecutionPolicy Bypass
Ange följande kommandon: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Ersätt <client_id> med det program-ID (klient)-ID som du fick från föregående steg.
- Ersätt <app_key> med klienthemligheten som du skapade från föregående steg.
- Ersätt <customer_tenant_id> med kundens klientorganisations-ID.
Du uppmanas att ange dina autentiseringsuppgifter och ditt medgivande. Ignorera sidomdirigeringen.
I PowerShell-fönstret får du en åtkomsttoken och en uppdateringstoken. Spara uppdateringstoken för att konfigurera SIEM-anslutningsappen.

Steg 3: Tillåt ditt program på Microsoft Defender XDR

Du måste tillåta det program som du skapade i Microsoft Defender XDR.

Du måste ha behörigheten Hantera portalsysteminställningar för att tillåta programmet. Annars måste du be kunden att tillåta programmet åt dig.

Gå till https://security.microsoft.com?tid=<customer_tenant_id> (ersätt <customer_tenant_id> med kundens klientorganisations-ID.
Klicka på Inställningar>Slutpunkts-API>:er>SIEM.
Välj fliken MSSP .
Ange program-ID från det första steget och ditt klientorganisations-ID.
Klicka på Auktorisera program.

Nu kan du ladda ned den relevanta konfigurationsfilen för SIEM och ansluta till Microsoft Defender XDR-API:et. Mer information finns i Hämta aviseringar till dina SIEM-verktyg.

I filen ArcSight-konfigurationsfil/Splunk-autentiseringsegenskaper skriver du programnyckeln manuellt genom att ange det hemliga värdet.
I stället för att hämta en uppdateringstoken i portalen använder du skriptet från föregående steg för att hämta en uppdateringstoken (eller hämta den på annat sätt).

Hämta aviseringar från MSSP-kundens klientorganisation med hjälp av API:er

Information om hur du hämtar aviseringar med hjälp av REST API finns i Hämta aviseringar från MSSP-kundklientorganisationen.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.

Share via