Buscar alertas do locatário do cliente MSSP

Artigo
04/26/2024

Aplica-se a:

Observação

Essa ação é tomada pelo MSSP.

Há duas maneiras de buscar alertas:

Usando o método SIEM
Usando APIs

Buscar alertas em seu SIEM

Para buscar alertas no sistema SIEM, você precisará seguir as seguintes etapas:

Etapa 1: Create um aplicativo de terceiros
Etapa 2: Obter tokens de acesso e atualização do locatário do cliente
Etapa 3: permitir seu aplicativo no Microsoft Defender XDR

Etapa 1: Create um aplicativo no Microsoft Entra ID

Você precisará criar um aplicativo e conceder-lhe permissões para buscar alertas do locatário Microsoft Defender XDR do cliente.

Entre no Centro de administração do Microsoft Entra.
Selecione Microsoft Entra ID>Registros de aplicativo.
Clique em Novo registro.
Especifique os seguintes valores:
- Nome: <Tenant_name> Conector DO SIEM MSSP (substitua Tenant_name pelo nome de exibição do locatário)
- Tipos de conta com suporte: conta somente neste diretório organizacional
- URI de redirecionamento: selecione Web e tipo https://<domain_name>/SiemMsspConnector(substitua <domain_name> pelo nome do locatário)
Clique em Registrar. O aplicativo é exibido na lista de aplicativos que você possui.
Selecione o aplicativo e clique em Visão geral.
Copie o valor do campo ID do aplicativo (cliente) para um local seguro, você precisará disso na próxima etapa.
Selecione Certificado & segredos no novo painel de aplicativos.
Clique em Novo segredo do cliente.
- Descrição: insira uma descrição da chave.
- Expira: Selecione Em 1 ano
Clique em Adicionar, copie o valor do segredo do cliente para um local seguro, você precisará disso na próxima etapa.

Etapa 2: Obter tokens de acesso e atualização do locatário do cliente

Esta seção orienta como usar um script do PowerShell para obter os tokens do locatário do cliente. Este script usa o aplicativo da etapa anterior para obter os tokens de acesso e atualização usando o Fluxo de Código de Autorização OAuth.

Depois de fornecer suas credenciais, você precisará conceder consentimento ao aplicativo para que o aplicativo seja provisionado no locatário do cliente.

Create uma nova pasta e nomeie-a: MsspTokensAcquisition.
Baixe o módulo LoginBrowser.psm1 e salve-o na MsspTokensAcquisition pasta.

Observação

Na linha 30, substitua por authorzationUrlauthorizationUrl.

Create um arquivo com o seguinte conteúdo e salve-o com o nome MsspTokensAcquisition.ps1 na pasta:

param (
    [Parameter(Mandatory=$true)][string]$clientId,
    [Parameter(Mandatory=$true)][string]$secret,
    [Parameter(Mandatory=$true)][string]$tenantId
)
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

# Load our Login Browser Function
Import-Module .\LoginBrowser.psm1

# Configuration parameters
$login = "https://login.microsoftonline.com"
$redirectUri = "https://SiemMsspConnector"
$resourceId = "https://graph.windows.net"

Write-Host 'Prompt the user for his credentials, to get an authorization code'
$authorizationUrl = ("{0}/{1}/oauth2/authorize?prompt=select_account&response_type=code&client_id={2}&redirect_uri={3}&resource={4}" -f
                    $login, $tenantId, $clientId, $redirectUri, $resourceId)
Write-Host "authorzationUrl: $authorizationUrl"

# Fake a proper endpoint for the Redirect URI
$code = LoginBrowser $authorizationUrl $redirectUri

# Acquire token using the authorization code

$Body = @{
    grant_type = 'authorization_code'
    client_id = $clientId
    code = $code
    redirect_uri = $redirectUri
    resource = $resourceId
    client_secret = $secret
}

$tokenEndpoint = "$login/$tenantId/oauth2/token?"
$Response = Invoke-RestMethod -Method Post -Uri $tokenEndpoint -Body $Body
$token = $Response.access_token
$refreshToken= $Response.refresh_token

Write-Host " ----------------------------------- TOKEN ---------------------------------- "
Write-Host $token

Write-Host " ----------------------------------- REFRESH TOKEN ---------------------------------- "
Write-Host $refreshToken

Abra um prompt de comando do PowerShell elevado na MsspTokensAcquisition pasta.
Execute o seguinte comando: Set-ExecutionPolicy -ExecutionPolicy Bypass
Insira os seguintes comandos: .\MsspTokensAcquisition.ps1 -clientId <client_id> -secret <app_key> -tenantId <customer_tenant_id>
- Substitua <client_id> pela ID do aplicativo (cliente) que você obteve da etapa anterior.
- Substitua <app_key> pelo Segredo do Cliente que você criou na etapa anterior.
- Substitua <customer_tenant_id> pela ID do locatário do cliente.
Você será solicitado a fornecer suas credenciais e consentimento. Ignore o redirecionamento da página.
Na janela do PowerShell, você receberá um token de acesso e um token de atualização. Salve o token de atualização para configurar o conector SIEM.

Etapa 3: permitir seu aplicativo no Microsoft Defender XDR

Você precisará permitir o aplicativo criado em Microsoft Defender XDR.

Você precisará ter a permissão Gerenciar configurações do sistema de portal para permitir o aplicativo. Caso contrário, você precisará solicitar ao seu cliente para permitir o aplicativo para você.

https://security.microsoft.com?tid=<customer_tenant_id> Acesse (substitua <customer_tenant_id> pela ID do locatário do cliente.
Clique em Configurações>APIs> dePontos> de ExtremidadeSIEM.
Selecione a guia MSSP .
Insira a ID do aplicativo da primeira etapa e sua ID do Locatário.
Clique em Autorizar aplicativo.

Agora você pode baixar o arquivo de configuração relevante para seu SIEM e conectar-se à API Microsoft Defender XDR. Para obter mais informações, confira Puxar alertas para suas ferramentas SIEM.

No arquivo de configuração do ArcSight /Splunk Authentication Properties, escreva a chave do aplicativo manualmente definindo o valor secreto.
Em vez de adquirir um token de atualização no portal, use o script da etapa anterior para adquirir um token de atualização (ou adquiri-lo por outros meios).