Hämta aviseringar från MSSP-kundklientorganisationen
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Anteckning
Den här åtgärden vidtas av MSSP.
Du kan hämta aviseringar på två sätt:
- Använda SIEM-metoden
- Använda API:er
Hämta aviseringar till din SIEM
Om du vill hämta aviseringar till ditt SIEM-system måste du göra följande:
- Steg 1: Skapa ett program från tredje part
- Steg 2: Hämta åtkomst och uppdatera token från kundens klientorganisation
- Steg 3: Tillåta ditt program på Microsoft 365 Defender
Steg 1: Skapa ett program i Azure Active Directory (Azure AD)
Du måste skapa ett program och ge det behörighet att hämta aviseringar från kundens Microsoft 365 Defender klientorganisation.
Logga in på Azure AD-portalen.
Välj Azure Active Directory > Appregistreringar.
Klicka på Ny registrering.
Ange följande värden:
Namn: <Tenant_name> SIEM MSSP-koppling (Tenant_name med klientorganisationens visningsnamn)
Kontotyper som stöds: Endast konto i denna organisationskatalog
Redirect URI: Select Web and type
https://<domain_name>/SiemMsspConnector(replace <domain_name> with the tenant name)
Klicka på Registrera. Programmet visas i listan med program som du äger.
Markera programmet och klicka sedan på Översikt.
Kopiera värdet från fältet Application (client) ID till en säker plats. Det behöver du i nästa steg.
Välj Certifikat & hemligheter i panelen för det nya programmet.
Klicka på Ny klienthemlighet.
- Beskrivning: Ange en beskrivning för nyckeln.
- Går ut: Välj om 1 år
Klicka på Lägg till , kopiera värdet för klienthemligheten till en säker plats, du behöver detta i nästa steg.
Steg 2: Hämta åtkomst och uppdatera token från kundens klientorganisation
I det här avsnittet får du veta hur du använder ett PowerShell-skript för att hämta tokens från kundens klientorganisation. Det här skriptet använder programmet från föregående steg för att få åtkomst- och uppdateringstoken med OAuth-auktoriseringskoden för Flow.
När du har lämnat in dina autentiseringsuppgifter måste du ge medgivande till programmet så att programmet etableras i kundens klientorganisation.
Skapa en ny mapp och ge den ett namn:
MsspTokensAcquisition.Ladda ned modulen LoginBrowser.psm1 och spara den i
MsspTokensAcquisitionmappen.Anteckning
Ersätt med på rad
authorzationUrlauthorizationUrl30.Skapa en fil med följande innehåll och spara den med
MsspTokensAcquisition.ps1namnet i mappen:param ( [Parameter(Mandatory=$true)][string]$clientId, [Parameter(Mandatory=$true)][string]$secret, [Parameter(Mandatory=$true)][string]$tenantId ) [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 # Load our Login Browser Function Import-Module .\LoginBrowser.psm1 # Configuration parameters $login = "https://login.microsoftonline.com" $redirectUri = "https://SiemMsspConnector" $resourceId = "https://graph.windows.net" Write-Host 'Prompt the user for his credentials, to get an authorization code' $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f $login, $tenantId, $clientId, $redirectUri, $resourceId) Write-Host "authorzationUrl: $authorizationUrl" # Fake a proper endpoint for the Redirect URI $code = LoginBrowser $authorizationUrl $redirectUri # Acquire token using the authorization code $Body = @{ grant_type = 'authorization_code' client_id = $clientId code = $code redirect_uri = $redirectUri resource = $resourceId client_secret = $secret } $tokenEndpoint = "$login/$tenantId/oauth2/token?" $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body $token = $Response.access_token $refreshToken= $Response.refresh_token Write-Host " ----------------------------------- TOKEN ---------------------------------- " Write-Host $token Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- " Write-Host $refreshTokenÖppna en PowerShell-kommandotolk med förhöjd behörighet i
MsspTokensAcquisitionmappen.Kör följande kommando:
Set-ExecutionPolicy -ExecutionPolicy BypassAnge följande kommandon:
.\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>- Ersätt <client_id> med det program -ID (klient-ID) du fick i föregående steg.
- Ersätt <app_key> med klienthemligheten som du skapade i föregående steg.
- Ersätt <customer_tenant_id> med kundens klientorganisations-ID.
Du uppmanas att ange dina autentiseringsuppgifter och ditt medgivande. Ignorera sidomdirigeringen.
I PowerShell-fönstret får du en åtkomsttoken och en uppdateringstoken. Spara uppdateringstoken för att konfigurera SIEM-kopplingen.
Steg 3: Tillåta ditt program på Microsoft 365 Defender
Du måste tillåta det program som du skapade i Microsoft 365 Defender.
Du måste ha behörigheten Hantera systeminställningar på portalen för att kunna tillåta programmet. Annars måste du begära att kunden tillåter programmet åt dig.
Gå till
https://security.microsoft.com?tid=<customer_tenant_id>(ersätt <customer_tenant_id> med kundens klientorganisations-ID.Klicka Inställningar > slutpunkts-API:er > > SIEM.
Välj fliken MSSP.
Ange Program-ID från det första steget och ditt klientorganisations-ID.
Klicka på Auktorisera program.
Nu kan du ladda ned den relevanta konfigurationsfilen för SIEM och ansluta till Microsoft 365 Defender API. Mer information finns i Hämta aviseringar till dina SIEM-verktyg.
- I filen ArcSight configuration file /Splunk Authentication Properties (ArcSight-autentisering) skriver du programnyckeln manuellt genom att ange det hemliga värdet.
- I stället för att skaffa en uppdateringstoken i portalen använder du skriptet från föregående steg för att skaffa en uppdateringstoken (eller skaffa den på annat sätt).
Hämta aviseringar från MSSP-klientens klientorganisation med API:er
Information om hur du hämtar aviseringar med REST API finns i Hämta aviseringar från MSSP-kundklientorganisationen.