Hämta aviseringar från MSSP-kundklientorganisationenFetch alerts from MSSP customer tenant

Gäller för:Applies to:

Vill du uppleva Microsoft Defender för Slutpunkt?Want to experience Microsoft Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Anteckning

Den här åtgärden vidtas av MSSP.This action is taken by the MSSP.

Du kan hämta aviseringar på två sätt:There are two ways you can fetch alerts:

  • Använda SIEM-metodenUsing the SIEM method
  • Använda API:erUsing APIs

Hämta aviseringar till din SIEMFetch alerts into your SIEM

Om du vill hämta aviseringar till ditt SIEM-system måste du göra följande:To fetch alerts into your SIEM system, you'll need to take the following steps:

Steg 1: Skapa ett program från tredje partStep 1: Create a third-party application

Steg 2: Få åtkomst och uppdatera token från kundens klientorganisationStep 2: Get access and refresh tokens from your customer's tenant

Steg 3: Tillåt ditt program i Microsoft Defender SäkerhetscenterStep 3: allow your application on Microsoft Defender Security Center

Steg 1: Skapa ett program i Azure Active Directory (Azure AD)Step 1: Create an application in Azure Active Directory (Azure AD)

Du måste skapa ett program och ge det behörighet att hämta aviseringar från kundens Microsoft Defender för Slutpunktsklientorganisation.You'll need to create an application and grant it permissions to fetch alerts from your customer's Microsoft Defender for Endpoint tenant.

  1. Logga in på Azure AD-portalen.Sign in to the Azure AD portal.

  2. Välj Azure Active > Directory-appregistreringar.Select Azure Active Directory > App registrations.

  3. Klicka på Ny registrering.Click New registration.

  4. Ange följande värden:Specify the following values:

    • Namn: <Tenant_name> SIEM MSSP-koppling (Tenant_name med klientorganisationens visningsnamn)Name: <Tenant_name> SIEM MSSP Connector (replace Tenant_name with the tenant display name)

    • Kontotyper som stöds: Endast konto i denna organisationskatalogSupported account types: Account in this organizational directory only

    • Redirect URI: Select Web and type https://<domain_name>/SiemMsspConnector (replace <domain_name> with the tenant name)Redirect URI: Select Web and type https://<domain_name>/SiemMsspConnector(replace <domain_name> with the tenant name)

  5. Klicka på Registrera.Click Register. Programmet visas i listan med program som du äger.The application is displayed in the list of applications you own.

  6. Markera programmet och klicka sedan på Översikt.Select the application, then click Overview.

  7. Kopiera värdet från fältet Application (client) ID till en säker plats. Det behöver du i nästa steg.Copy the value from the Application (client) ID field to a safe place, you will need this in the next step.

  8. Välj Certifikat & hemligheter i panelen för det nya programmet.Select Certificate & secrets in the new application panel.

  9. Klicka på Ny klienthemlighet.Click New client secret.

    • Beskrivning: Ange en beskrivning för nyckeln.Description: Enter a description for the key.
    • Går ut: Välj om 1 årExpires: Select In 1 year
  10. Klicka Lägg till , kopiera värdet för klienthemligheten till en säker plats, du behöver detta i nästa steg.Click Add, copy the value of the client secret to a safe place, you will need this in the next step.

Steg 2: Få åtkomst och uppdatera token från kundens klientorganisationStep 2: Get access and refresh tokens from your customer's tenant

I det här avsnittet får du veta hur du använder ett PowerShell-skript för att hämta tokens från kundens klientorganisation.This section guides you on how to use a PowerShell script to get the tokens from your customer's tenant. Det här skriptet använder programmet från föregående steg för att få åtkomst och uppdatera tokens med OAuth-auktoriseringskodflödet.This script uses the application from the previous step to get the access and refresh tokens using the OAuth Authorization Code Flow.

När du har lämnat in dina autentiseringsuppgifter måste du ge medgivande till programmet så att programmet etableras i kundens klientorganisation.After providing your credentials, you'll need to grant consent to the application so that the application is provisioned in the customer's tenant.

  1. Skapa en ny mapp och ge den ett namn: MsspTokensAcquisition .Create a new folder and name it: MsspTokensAcquisition.

  2. Ladda ned modulen LoginBrowser.psm1 och spara den i MsspTokensAcquisition mappen.Download the LoginBrowser.psm1 module and save it in the MsspTokensAcquisition folder.

    Anteckning

    Ersätt med på rad authorzationUrl authorizationUrl 30.In line 30, replace authorzationUrl with authorizationUrl.

  3. Skapa en fil med följande innehåll och spara den med MsspTokensAcquisition.ps1 namnet i mappen:Create a file with the following content and save it with the name MsspTokensAcquisition.ps1 in the folder:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " -----------------------------------  TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " -----------------------------------  REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken 
    
  4. Öppna en PowerShell-kommandotolk med förhöjd behörighet i MsspTokensAcquisition mappen.Open an elevated PowerShell command prompt in the MsspTokensAcquisition folder.

  5. Kör följande kommando:Set-ExecutionPolicy -ExecutionPolicy BypassRun the following command: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Ange följande kommandon: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>Enter the following commands: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Ersätt <client_id> med det program -ID (klient-ID) du fick i föregående steg.Replace <client_id> with the Application (client) ID you got from the previous step.
    • Ersätt <app_key> med klienthemligheten som du skapade från föregående steg.Replace <app_key> with the Client Secret you created from the previous step.
    • Ersätt <customer_tenant_id> med kundens klientorganisations-ID.Replace <customer_tenant_id> with your customer's Tenant ID.
  7. Du uppmanas att ange dina autentiseringsuppgifter och ditt medgivande.You'll be asked to provide your credentials and consent. Ignorera sidomdirigeringen.Ignore the page redirect.

  8. I PowerShell-fönstret får du en åtkomsttoken och en uppdateringstoken.In the PowerShell window, you'll receive an access token and a refresh token. Spara uppdateringstoken för att konfigurera SIEM-kopplingen.Save the refresh token to configure your SIEM connector.

Steg 3: Tillåt ditt program i Microsoft Defender SäkerhetscenterStep 3: Allow your application on Microsoft Defender Security Center

Du måste tillåta programmet som du skapade i Microsoft Defender Säkerhetscenter.You'll need to allow the application you created in Microsoft Defender Security Center.

Du måste ha behörigheten Hantera portalsysteminställningar för att tillåta programmet.You'll need to have Manage portal system settings permission to allow the application. Annars måste du begära att kunden tillåter programmet åt dig.Otherwise, you'll need to request your customer to allow the application for you.

  1. Gå till https://securitycenter.windows.com?tid=<customer_tenant_id> (ersätt <customer_tenant_id> med kundens klientorganisations-ID.Go to https://securitycenter.windows.com?tid=<customer_tenant_id> (replace <customer_tenant_id> with the customer's tenant ID.

  2. Klicka på Inställningar > SIEM.Click Settings > SIEM.

  3. Välj fliken MSSP.Select the MSSP tab.

  4. Ange Program-ID från det första steget och ditt klientorganisations-ID.Enter the Application ID from the first step and your Tenant ID.

  5. Klicka på Auktorisera program.Click Authorize application.

Nu kan du ladda ned den relevanta konfigurationsfilen för SIEM och ansluta till Defender för Endpoint API.You can now download the relevant configuration file for your SIEM and connect to the Defender for Endpoint API. Mer information finns i Hämta aviseringar till dina SIEM-verktyg.For more information, see, Pull alerts to your SIEM tools.

  • I filen ArcSight configuration file /Splunk Authentication Properties skriver du programnyckeln manuellt genom att ange det hemliga värdet.In the ArcSight configuration file / Splunk Authentication Properties file, write your application key manually by setting the secret value.
  • I stället för att skaffa en uppdateringstoken i portalen använder du skriptet från föregående steg för att skaffa en uppdateringstoken (eller skaffa den på annat sätt).Instead of acquiring a refresh token in the portal, use the script from the previous step to acquire a refresh token (or acquire it by other means).

Hämta aviseringar från MSSP-klientens klientorganisation med API:erFetch alerts from MSSP customer's tenant using APIs

Information om hur du hämtar aviseringar med HJÄLP av REST API finns i Hämta aviseringar med REST API.For information on how to fetch alerts using REST API, see Pull alerts using REST API.

Se ävenSee also