簡介
本文檔介紹將Microsoft Graph API與SecureX整合的過程,以及可查詢的資料型別。
必要條件
- SecureX管理員帳戶
- Microsoft Azure系統管理員帳戶
- 訪問SecureX威脅響應
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
整合步驟
步驟 1.
以系統管理員身份登入Microsoft Azure。
步驟 2.
按一下 App Registrations
在Azure服務門戶上。
步驟 3.
按一下 New registration
.
步驟 4.
鍵入一個名稱以標識您的新應用。
在支援的帳戶型別上,選擇選項 Accounts
in this organizational directory only
.
步驟 5.
滾動到螢幕底部並按一下 Register
.
步驟 6.
導航回到Azure服務頁面,按一下 App Registrations > Owned Applications
.
識別您的應用並按一下名稱。在本例中, SecureX
.
步驟 7.
此時將顯示您的應用程式的摘要。請確定以下相關詳細資訊:
應用程式(客戶端)ID:
目錄 (租戶)ID:
步驟 8.
導航至 Manage Menu > API Permissions
.
步驟 9.
在「配置的許可權」下,按一下 Add a Permission
.
步驟 10.
在「請求API許可權」部分,按一下 Microsoft Graph
.
步驟 11.
選擇 Application permissions
.
在搜尋欄中查詢 Security
.拓展 Security Actions
並選取
- 安全事件並選擇
- 威脅指示符和選擇
- ThreatIndicators.ReadWrite.OwnedBy
按一下 Add permissions
.
步驟 12.
檢視您選擇的許可權。
按一下 Grant Admin consent
為貴組織服務。
系統將顯示一個提示,提示您選擇是否要對所有許可權授予同意許可權。按一下 Yes
.
系統會顯示類似彈出視窗,如下圖所示:
步驟 13.
導航至 Manage > Certificates & Secrets
.
按一下 Add New Client Secret
.
寫一份簡短說明,然後選擇有效的 Expires
日期。建議選擇超過6個月的有效日期以防止API金鑰過期。
建立後,將表示以下內容的部分複製並儲存到安全位置: Value
,因為它用於整合。
獲得所有資訊後,導航回到 Overview
並複製應用的值。然後導航至 SecureX
.
步驟 14.
導航至 Integration Modules > Available Integration Modules >
選擇 Microsoft Security Graph API
,按一下 Add
.
分配名稱並貼上從Azure門戶獲得的值。
按一下 Save
並等待運行狀況檢查成功。
執行調查
目前,Microsoft Security Graph API未使用磁貼填充SecureX儀表板。相反,可以使用調查來查詢Azure門戶中的資訊。
請記住,Graph API只能查詢以下內容:
- ip
- 域
- 主機名
- url
- file_name
- file_path
- sha256
在本例中,調查使用此SHA c73d01ffb427e5b7008003b4eaf9303c1febd883100bf81752ba71f41c701148
.
您可以看到,它在實驗室環境中有0次發現,那麼如何測試Graph API是否工作呢?
開啟WebDeveloper Tools,運行調查,找到指向visibility.amp.cisco.com的Post事件,該檔名為 Observables
.
驗證
您可以使用此連結: Microsoft graph security Snapshots獲取快照清單,該清單可幫助您瞭解可從每種可觀察型別獲得的響應。
您可以看到如下圖所示的範例:
展開此視窗,您可以看到整合提供的資訊:
請記住,資料必須存在於Azure門戶中,當與其他Microsoft解決方案一起使用時,Graph API工作效果更好。但是,這必須由Microsoft支援部門驗證。
有關TAC範圍的參考,請參閱本檔案:驗證securex的支援範圍。
疑難排解
- 授權失敗消息:
- 確保的值
Tenant ID
和 Client ID
正確,並且它們仍然有效。
- 調查中未顯示資料:
- 確保複製並貼上了適當的值
Tenant ID
和 Client ID
.
- 確保您使用了欄位的資訊
Value
從 Certificates & Secrets
部分。
- 使用WebDeveloper工具確定調查發生時是否查詢Graph API。
- 當圖形API合併來自各種Microsoft警報提供者的資料時,請確保查詢過濾器支援OData。(例如,Office 365安全與合規性和Microsoft Defender ATP)。