Pobieranie alertów z dzierżawy klienta MSSP

Istnieją dwa sposoby pobierania alertów:

• Korzystanie z metody SIEM
• Korzystanie z interfejsów API

Pobieranie alertów do rozwiązania SIEM

Aby pobrać alerty do systemu SIEM, należy wykonać następujące kroki:

• Krok 1. Tworzenie aplikacji innej firmy
• Krok 2. Uzyskiwanie dostępu i odświeżanie tokenów z dzierżawy klienta
• Krok 3. Zezwalaj aplikacji na Microsoft Defender XDR

Krok 1. Tworzenie aplikacji w Microsoft Entra identyfikatorze

Musisz utworzyć aplikację i udzielić jej uprawnień do pobierania alertów z dzierżawy Microsoft Defender XDR klienta.

1. Zaloguj się do centrum administracyjnego Microsoft Entra.

2. Wybierz Microsoft Entra identyfikator>Rejestracje aplikacji.

3. Kliknij pozycję Nowa rejestracja.

4. Określ następujące wartości:

   • Nazwa: <Tenant_name> łącznikA MSSP rozwiązania SIEM (zastąp Tenant_name nazwą wyświetlaną dzierżawy)

   • Obsługiwane typy kont: konto tylko w tym katalogu organizacyjnym

   • Identyfikator URI przekierowania: wybierz pozycję Sieć Web i wpisz https://<domain_name>/SiemMsspConnector(zastąp <domain_name> nazwą dzierżawy)

5. Kliknij pozycję Zarejestruj. Aplikacja jest wyświetlana na liście posiadanych aplikacji.

6. Wybierz aplikację, a następnie kliknij pozycję Przegląd.

7. Skopiuj wartość z pola Identyfikator aplikacji (klienta) do bezpiecznego miejsca. Będzie to potrzebne w następnym kroku.

8. Wybierz pozycję Certyfikat & wpisów tajnych w nowym panelu aplikacji.

9. Kliknij pozycję Nowy klucz tajny klienta.

   • Opis: wprowadź opis klucza.
   • Wygasa: wybierz pozycję W ciągu 1 roku

10. Kliknij przycisk Dodaj, skopiuj wartość klucza tajnego klienta do bezpiecznego miejsca. Będzie to potrzebne w następnym kroku.

Krok 2. Uzyskiwanie dostępu i odświeżanie tokenów z dzierżawy klienta

W tej sekcji przedstawiono sposób używania skryptu programu PowerShell do pobierania tokenów z dzierżawy klienta. Ten skrypt używa aplikacji z poprzedniego kroku do uzyskiwania dostępu i odświeżania tokenów przy użyciu przepływu kodu autoryzacji OAuth.

Po podaniu poświadczeń musisz udzielić zgody aplikacji, aby aplikacja była aprowizowana w dzierżawie klienta.

1. Utwórz nowy folder i nadaj mu nazwę: MsspTokensAcquisition.

2. Pobierz moduł LoginBrowser.psm1 i zapisz go w folderze MsspTokensAcquisition .

   Uwaga

   W wierszu 30 zastąp ciąg authorzationUrl .authorizationUrl

3. Utwórz plik o następującej zawartości i zapisz go z nazwą MsspTokensAcquisition.ps1 w folderze:

   param (
       [Parameter(Mandatory=$true)][string]$clientId,
       [Parameter(Mandatory=$true)][string]$secret,
       [Parameter(Mandatory=$true)][string]$tenantId
   )
   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   
   # Load our Login Browser Function
   Import-Module .\LoginBrowser.psm1
   
   # Configuration parameters
   $login = "https://login.microsoftonline.com"
   $redirectUri = "https://SiemMsspConnector"
   $resourceId = "https://graph.windows.net"
   
   Write-Host 'Prompt the user for his credentials, to get an authorization code'
   $authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                       $login, $tenantId, $clientId, $redirectUri, $resourceId)
   Write-Host "authorzationUrl: $authorizationUrl"
   
   # Fake a proper endpoint for the Redirect URI
   $code = LoginBrowser $authorizationUrl $redirectUri
   
   # Acquire token using the authorization code
   
   $Body = @{
       grant_type = 'authorization_code'
       client_id = $clientId
       code = $code
       redirect_uri = $redirectUri
       resource = $resourceId
       client_secret = $secret
   }
   
   $tokenEndpoint = "$login/$tenantId/oauth2/token?"
   $Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
   $token = $Response.access_token
   $refreshToken= $Response.refresh_token
   
   Write-Host " ----------------------------------- TOKEN ---------------------------------- "
   Write-Host $token
   
   Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
   Write-Host $refreshToken
   

4. Otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień w folderze MsspTokensAcquisition .

5. Uruchom następujące polecenie: Set-ExecutionPolicy -ExecutionPolicy Bypass

6. Wprowadź następujące polecenia: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>

   • Zastąp <client_id>identyfikatorem aplikacji (klienta) uzyskanym w poprzednim kroku.
   • Zastąp <app_key> kluczem tajnym klienta utworzonym w poprzednim kroku.
   • Zastąp <customer_tenant_id>identyfikatorem dzierżawy klienta.

7. Zostanie wyświetlony monit o podanie poświadczeń i zgody. Ignoruj przekierowanie strony.

8. W oknie programu PowerShell otrzymasz token dostępu i token odświeżania. Zapisz token odświeżania, aby skonfigurować łącznik SIEM.

Krok 3. Zezwalaj aplikacji na Microsoft Defender XDR

Musisz zezwolić na aplikację utworzoną w Microsoft Defender XDR.

Aby zezwolić aplikacji, musisz mieć uprawnienie Do zarządzania ustawieniami systemu portalu . W przeciwnym razie musisz poprosić klienta o zezwolenie na aplikację.

1. Przejdź do https://security.microsoft.com?tid=<customer_tenant_id> strony (zastąp <customer_tenant_id> identyfikatorem dzierżawy klienta.

2. Kliknij pozycję Ustawienia>Interfejsy API punktów końcowych>>SIEM.

3. Wybierz kartę MSSP .

4. Wprowadź identyfikator aplikacji z pierwszego kroku i identyfikator dzierżawy.

5. Kliknij pozycję Autoryzuj aplikację.

Teraz możesz pobrać odpowiedni plik konfiguracji dla rozwiązania SIEM i nawiązać połączenie z interfejsem API Microsoft Defender XDR. Aby uzyskać więcej informacji, zobacz Ściąganie alertów do narzędzi SIEM.

• W pliku konfiguracji usługi ArcSight / pliku właściwości uwierzytelniania splunk zapisz klucz aplikacji ręcznie, ustawiając wartość wpisu tajnego.
• Zamiast uzyskiwania tokenu odświeżania w portalu, użyj skryptu z poprzedniego kroku, aby uzyskać token odświeżania (lub uzyskać go w inny sposób).

Pobieranie alertów z dzierżawy klienta programu MSSP przy użyciu interfejsów API

Aby uzyskać informacje na temat pobierania alertów przy użyciu interfejsu API REST, zobacz Pobieranie alertów z dzierżawy klienta MSSP.

Zobacz też

• Przyznaj dostawcy zarządzanych usług zabezpieczeń dostęp do portalu
• Uzyskaj dostęp do portalu klienta dostawcy zarządzanych usług zabezpieczeń
• Konfiguruj powiadomienia o alertach