配置Microsoft Graph API與SecureX的整合

已更新: 2023 年 4 月 3 日
文件 ID:220331

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹將Microsoft Graph API與SecureX整合的過程,以及可查詢的資料型別。

    必要條件

    • SecureX管理員帳戶
    • Microsoft Azure系統管理員帳戶
    • 訪問SecureX威脅響應

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    整合步驟

    步驟 1.

    以系統管理員身份登入Microsoft Azure。
    Sign In

    步驟 2.

    按一下 App Registrations 在Azure服務門戶上。
    App registrations

    步驟 3.

    按一下 New registration.


    New registration

    步驟 4.

    鍵入一個名稱以標識您的新應用。
    Name

    note-icon

    :如果名稱有效,則會顯示綠色複選標籤。

    在支援的帳戶型別上,選擇選項 Accounts in this organizational directory only.

    Supported account types

    note-icon

    注意:您不需要鍵入重定向URI。

    步驟 5.

    滾動到螢幕底部並按一下 Register.

    Register

    步驟 6.

    導航回到Azure服務頁面,按一下 App Registrations > Owned Applications.

    識別您的應用並按一下名稱。在本例中, SecureX.

    Owned applications

    步驟 7.

    此時將顯示您的應用程式的摘要。請確定以下相關詳細資訊:

    應用程式(客戶端)ID:

    Client ID

    目錄 (租戶)ID:

    Directory ID

    步驟 8.

    導航至 Manage Menu > API Permissions.

    API permissions

    步驟 9.

    在「配置的許可權」下,按一下 Add a Permission.

    Add permission

    步驟 10.

    在「請求API許可權」部分,按一下 Microsoft Graph.

    Microsoft Graph

    步驟 11.

    選擇 Application permissions.

    App permission

    在搜尋欄中查詢 Security.拓展 Security Actions 並選取

    • 全部讀取
    • ReadWrite.All
    • 安全事件並選擇
      • 全部讀取
      • ReadWrite.All
    • 威脅指示符和選擇
      • ThreatIndicators.ReadWrite.OwnedBy

    按一下 Add permissions.


    步驟 12.

    檢視您選擇的許可權。

    Review permissions

    按一下 Grant Admin consent 為貴組織服務。

    Grant admin consent

    系統將顯示一個提示,提示您選擇是否要對所有許可權授予同意許可權。按一下 Yes.

    系統會顯示類似彈出視窗,如下圖所示:

    Consent popup

    步驟 13.

    導航至 Manage > Certificates & Secrets.

    按一下 Add New Client Secret.

    寫一份簡短說明,然後選擇有效的 Expires 日期。建議選擇超過6個月的有效日期以防止API金鑰過期。

    建立後,將表示以下內容的部分複製並儲存到安全位置: Value,因為它用於整合。

    Client secrets

    warning-icon

    告:此欄位無法恢復,您必須建立新密碼。

    獲得所有資訊後,導航回到 Overview 並複製應用的值。然後導航至 SecureX.

    步驟 14.

    導航至 Integration Modules > Available Integration Modules > 選擇 Microsoft Security Graph API,按一下 Add.

    Add Integration module

    分配名稱並貼上從Azure門戶獲得的值。
    Configure Integration module

    按一下 Save 並等待運行狀況檢查成功。

    Health check

    執行調查

    目前,Microsoft Security Graph API未使用磁貼填充SecureX儀表板。相反,可以使用調查來查詢Azure門戶中的資訊。

    請記住,Graph API只能查詢以下內容:

    • ip
    • 主機名
    • url
    • file_name
    • file_path
    • sha256


    在本例中,調查使用此SHA c73d01ffb427e5b7008003b4eaf9303c1febd883100bf81752ba71f41c701148.

    Observable

    您可以看到,它在實驗室環境中有0次發現,那麼如何測試Graph API是否工作呢?

    開啟WebDeveloper Tools,運行調查,找到指向visibility.amp.cisco.com的Post事件,該檔名為 Observables.
    API details

    驗證

    您可以使用此連結: Microsoft graph security Snapshots獲取快照清單,該清單可幫助您瞭解可從每種可觀察型別獲得的響應。

    您可以看到如下圖所示的範例:

    Sightings

    展開此視窗,您可以看到整合提供的資訊:

    Additional details

    請記住,資料必須存在於Azure門戶中,當與其他Microsoft解決方案一起使用時,Graph API工作效果更好。但是,這必須由Microsoft支援部門驗證。

    有關TAC範圍的參考,請參閱本檔案:驗證securex的支援範圍。

    疑難排解

    • 授權失敗消息:
      • 確保的值 Tenant IDClient ID 正確,並且它們仍然有效。
    • 調查中未顯示資料:
      • 確保複製並貼上了適當的值 Tenant IDClient ID.
      • 確保您使用了欄位的資訊 ValueCertificates & Secrets 部分。
      • 使用WebDeveloper工具確定調查發生時是否查詢Graph API。
      • 當圖形API合併來自各種Microsoft警報提供者的資料時,請確保查詢過濾器支援OData。(例如,Office 365安全與合規性和Microsoft Defender ATP)。

    修訂記錄

    修訂 發佈日期 意見
    1.0
    03-Apr-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Uriel Tadeo Montero Casas

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品