Hämta aviseringar från MSSP-kundklientorganisationen

Gäller för:

Anteckning

Den här åtgärden vidtas av MSSP.

Du kan hämta aviseringar på två sätt:

  • Använda SIEM-metoden
  • Använda API:er

Hämta aviseringar till din SIEM

Om du vill hämta aviseringar till ditt SIEM-system måste du göra följande:

  • Steg 1: Skapa ett program från tredje part
  • Steg 2: Hämta åtkomst och uppdatera token från kundens klientorganisation
  • Steg 3: Tillåta ditt program på Microsoft 365 Defender

Steg 1: Skapa ett program i Azure Active Directory (Azure AD)

Du måste skapa ett program och ge det behörighet att hämta aviseringar från kundens Microsoft 365 Defender klientorganisation.

  1. Logga in på Azure AD-portalen.

  2. Välj Azure Active Directory > Appregistreringar.

  3. Klicka på Ny registrering.

  4. Ange följande värden:

    • Namn: <Tenant_name> SIEM MSSP-koppling (Tenant_name med klientorganisationens visningsnamn)

    • Kontotyper som stöds: Endast konto i denna organisationskatalog

    • Redirect URI: Select Web and type https://<domain_name>/SiemMsspConnector (replace <domain_name> with the tenant name)

  5. Klicka på Registrera. Programmet visas i listan med program som du äger.

  6. Markera programmet och klicka sedan på Översikt.

  7. Kopiera värdet från fältet Application (client) ID till en säker plats. Det behöver du i nästa steg.

  8. Välj Certifikat & hemligheter i panelen för det nya programmet.

  9. Klicka på Ny klienthemlighet.

    • Beskrivning: Ange en beskrivning för nyckeln.
    • Går ut: Välj om 1 år
  10. Klicka Lägg till , kopiera värdet för klienthemligheten till en säker plats, du behöver detta i nästa steg.

Steg 2: Hämta åtkomst och uppdatera token från kundens klientorganisation

I det här avsnittet får du veta hur du använder ett PowerShell-skript för att hämta tokens från kundens klientorganisation. Det här skriptet använder programmet från föregående steg för att få åtkomst- och uppdateringstoken med OAuth-auktoriseringskoden för Flow.

När du har lämnat in dina autentiseringsuppgifter måste du ge medgivande till programmet så att programmet etableras i kundens klientorganisation.

  1. Skapa en ny mapp och ge den ett namn: MsspTokensAcquisition .

  2. Ladda ned modulen LoginBrowser.psm1 och spara den i MsspTokensAcquisition mappen.

    Anteckning

    Ersätt med på rad authorzationUrl authorizationUrl 30.

  3. Skapa en fil med följande innehåll och spara den med MsspTokensAcquisition.ps1 namnet i mappen:

    param (
        [Parameter(Mandatory=$true)][string]$clientId,
        [Parameter(Mandatory=$true)][string]$secret,
        [Parameter(Mandatory=$true)][string]$tenantId
    )
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    
    # Load our Login Browser Function
    Import-Module .\LoginBrowser.psm1
    
    # Configuration parameters
    $login = "https://login.microsoftonline.com"
    $redirectUri = "https://SiemMsspConnector"
    $resourceId = "https://graph.windows.net"
    
    Write-Host 'Prompt the user for his credentials, to get an authorization code'
    $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                        $login, $tenantId, $clientId, $redirectUri, $resourceId)
    Write-Host "authorzationUrl: $authorizationUrl"
    
    # Fake a proper endpoint for the Redirect URI
    $code = LoginBrowser $authorizationUrl $redirectUri
    
    # Acquire token using the authorization code
    
    $Body = @{
        grant_type = 'authorization_code'
        client_id = $clientId
        code = $code
        redirect_uri = $redirectUri
        resource = $resourceId
        client_secret = $secret
    }
    
    $tokenEndpoint = "$login/$tenantId/oauth2/token?"
    $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
    $token = $Response.access_token
    $refreshToken= $Response.refresh_token
    
    Write-Host " ----------------------------------- TOKEN ---------------------------------- "
    Write-Host $token
    
    Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
    Write-Host $refreshToken
    
  4. Öppna en PowerShell-kommandotolk med förhöjd behörighet i MsspTokensAcquisition mappen.

  5. Kör följande kommando: Set-ExecutionPolicy -ExecutionPolicy Bypass

  6. Ange följande kommandon: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

    • Ersätt <client_id> med det program -ID (klient-ID) du fick i föregående steg.
    • Ersätt <app_key> med klienthemligheten som du skapade i föregående steg.
    • Ersätt <customer_tenant_id> med kundens klientorganisations-ID.
  7. Du uppmanas att ange dina autentiseringsuppgifter och ditt medgivande. Ignorera sidomdirigeringen.

  8. I PowerShell-fönstret får du en åtkomsttoken och en uppdateringstoken. Spara uppdateringstoken för att konfigurera SIEM-kopplingen.

Steg 3: Tillåta ditt program på Microsoft 365 Defender

Du måste tillåta det program som du skapade i Microsoft 365 Defender.

Du måste ha behörigheten Hantera systeminställningar på portalen för att kunna tillåta programmet. Annars måste du begära att kunden tillåter programmet åt dig.

  1. Gå till https://security.microsoft.com?tid=<customer_tenant_id> (ersätt <customer_tenant_id> med kundens klientorganisations-ID.

  2. Klicka Inställningar > slutpunkts-API:er > > SIEM.

  3. Välj fliken MSSP.

  4. Ange Program-ID från det första steget och ditt klientorganisations-ID.

  5. Klicka på Auktorisera program.

Nu kan du ladda ned den relevanta konfigurationsfilen för SIEM och ansluta till Microsoft 365 Defender API. Mer information finns i Hämta aviseringar till dina SIEM-verktyg.

  • I filen ArcSight configuration file /Splunk Authentication Properties (ArcSight-autentisering) skriver du programnyckeln manuellt genom att ange det hemliga värdet.
  • I stället för att skaffa en uppdateringstoken i portalen använder du skriptet från föregående steg för att skaffa en uppdateringstoken (eller skaffa den på annat sätt).

Hämta aviseringar från MSSP-klientens klientorganisation med API:er

Information om hur du hämtar aviseringar med REST API finns i Hämta aviseringar från MSSP-kundklientorganisationen.

Se även