소개
이 문서에서는 Microsoft Graph API를 SecureX와 통합하는 절차 및 쿼리할 수 있는 데이터 유형에 대해 설명합니다.
사전 요구 사항
- SecureX 관리자 계정
- Microsoft Azure 시스템 관리자 계정
- SecureX 위협 대응 액세스
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
통합 단계
1단계.
시스템 관리자로 Microsoft Azure에 로그인합니다.
2단계.
클릭 App Registrations
Azure 서비스 포털에 있습니다.
3단계.
클릭 New registration
.
4단계.
새 앱을 식별할 이름을 입력하세요.
참고: 이름이 유효한 경우 녹색 확인 표시가 나타납니다.
지원되는 계정 유형에서 옵션을 선택합니다. Accounts
in this organizational directory only
.
참고: 리디렉션 URI를 입력할 필요가 없습니다.
5단계.
화면 아래쪽으로 스크롤하여 Register
.
6단계.
Azure 서비스 페이지로 다시 이동하여 App Registrations > Owned Applications
.
앱을 식별하고 이름을 클릭합니다. 이 예에서는 SecureX
.
7단계.
앱의 요약이 나타납니다. 관련 세부 정보를 확인하십시오.
애플리케이션(클라이언트) ID:
디렉터리에 저장할 수 있습니다 (테넌트) ID:
8단계.
탐색 Manage Menu > API Permissions
.
9단계.
구성된 권한에서 Add a Permission
.
10단계.
API 권한 요청 섹션에서 Microsoft Graph
.
11단계.
선택 Application permissions
.
검색 막대에서 다음을 찾습니다. Security
. Expand Security Actions
및 선택
- 보안 이벤트 및
- 위협 지표 및
- ThreatIndicators.ReadWrite.Owned사용자
클릭 Add permissions
.
12단계.
선택한 사용 권한을 검토합니다.
클릭 Grant Admin consent
제공합니다.
모든 권한에 대한 동의를 부여할지 여부를 선택하는 프롬프트가 나타납니다. 클릭 Yes
.
이 이미지에 표시된 것과 유사한 팝업이 나타납니다.
13단계.
탐색 Manage > Certificates & Secrets
.
클릭 Add New Client Secret
.
간단한 설명을 작성하고 유효한 설명을 선택합니다. Expires
날짜. API 키의 만료를 막기 위해 유효 기간을 6개월 이상으로 선택하는 것이 좋습니다.
일단 생성되면, 그 부분을 복사하여 안전한 장소에 보관하세요 Value
통합에 사용됩니다.
경고: 이 필드는 복구할 수 없으며 새 암호를 만들어야 합니다.
모든 정보를 확보했으면 Overview
앱의 값을 복사합니다. 다음으로 이동 SecureX
.
14단계.
탐색 Integration Modules > Available Integration Modules >
선택 Microsoft Security Graph API
, 클릭 Add
.
이름을 할당하고 Azure 포털에서 가져온 값을 붙여넣습니다.
클릭 Save
상태 검사가 성공할 때까지 기다립니다.
조사 수행
현재로서는 Microsoft Security Graph API가 SecureX Dashboard에 타일을 채우지 않습니다. 조사 기능을 사용하여 Azure 포털의 정보를 쿼리할 수 있습니다.
Graph API는 다음에만 쿼리할 수 있습니다.
- ip
- 도메인
- 호스트 이름
- url
- 파일_이름
- 파일 경로
- sha256
이 예에서는 조사에서 이 SHA를 사용했습니다 c73d01ffb427e5b7008003b4eaf9303c1febd883100bf81752ba71f41c701148
.
보시다시피 Lab Environment에서는 Sightings 0개가 표시되는데, Graph API가 작동하는지 테스트하는 방법은 무엇입니까?
WebDeveloper 툴을 열고, 조사를 실행하고, visibility.amp.cisco.com에 대한 Post Event(사후 이벤트)를 찾은 다음 Observables
.
다음을 확인합니다.
이 링크를 사용할 수 있습니다. 관찰 가능한 각 유형에서 얻을 수 있는 응답을 이해하는 데 도움이 되는 스냅샷 목록에 대한 Microsoft graph security Snapshots
이 그림과 같은 예를 볼 수 있습니다.
창을 확장하면 통합에서 제공하는 정보를 볼 수 있습니다.
데이터는 Azure 포털에 있어야 하며 Graph API는 다른 Microsoft 솔루션과 함께 사용할 때 더 잘 작동합니다. 그러나 이는 Microsoft 지원에서 검증해야 합니다.
TAC 범위에 대한 참조는 다음 문서를 참조하십시오. securex에 대한 지원 범위 확인
문제 해결
- 권한 부여 실패 메시지:
- 다음에 대한 값을 확인합니다.
Tenant ID
및 Client ID
정확하며 아직 유효합니다.
- Investigation에 데이터가 표시되지 않음:
- 에 대한 적절한 값을 복사하여 붙여 넣었는지 확인합니다.
Tenant ID
및 Client ID
.
- 필드의 정보를 사용했는지 확인합니다.
Value
에서 Certificates & Secrets
섹션을 참조하십시오.
- WebDeveloper 툴을 사용하여 조사가 수행될 때 Graph API를 쿼리할지 여부를 확인합니다.
- Graph API가 다양한 Microsoft 알림 공급자의 데이터를 병합할 때 쿼리 필터에 대해 OData가 지원되는지 확인합니다. (예: Office 365 보안 및 규정 준수, Microsoft Defender ATP).