Introdução
Este documento descreve o procedimento para integrar a API do Microsoft Graph com o SecureX e o tipo de dados que podem ser consultados.
Pré-requisitos
- Conta de administrador do SecureX
- Conta do Administrador de Sistema do Microsoft Azure
- Acesso ao SecureX Threat Response
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Etapas de integração
Etapa 1.
Faça logon no Microsoft Azure como um Administrador do Sistema.
![Sign In](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-00.png)
Etapa 2.
Clique em App Registrations
no portal de serviços do Azure.
![App registrations](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-01.png)
Etapa 3.
Clique em New registration
.
![New registration](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-02.png)
Etapa 4.
Digite um nome para identificar o novo Aplicativo.
![Name](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-03.png)
Observação: uma marca de seleção verde será exibida se o nome for válido.
Em Tipos de conta suportados, escolha a opção Accounts
in this organizational directory only
.
![Supported account types](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-04.png)
Observação: não é necessário digitar um URI de redirecionamento.
Etapa 5.
Role até a parte inferior da tela e clique em Register
.
![Register](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-05.png)
Etapa 6.
Volte para a página de serviços do Azure e clique em App Registrations > Owned Applications
.
Identifique seu aplicativo e clique no nome. Neste exemplo, é SecureX
.
![Owned applications](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-06.png)
Passo 7.
Um resumo do seu aplicativo é exibido. Identifique estes detalhes relevantes:
ID do aplicativo (cliente):
![Client ID](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-07.png)
Diretório ID (locatário):
![Directory ID](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-08.png)
Etapa 8.
Navegue até Manage Menu > API Permissions
.
![API permissions](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-09.png)
Etapa 9.
Em Permissões configuradas, clique em Add a Permission
.
![Add permission](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-10.png)
Etapa 10.
Na seção Solicitar Permissões de API, clique em Microsoft Graph
.
![Microsoft Graph](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-11.png)
Etapa 11.
Selecionar Application permissions
.
![App permission](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-12.png)
Na barra de pesquisa, procure Security
. Expandir Security Actions
e selecione
- Ler.Tudo
- LeituraGravação.Tudo
- Eventos de segurança e selecione
- Ler.Tudo
- LeituraGravação.Tudo
- Indicadores de ameaças e selecione
- IndicadoresDeAmeaças.LeituraGravação.PropriedadeDe
Clique em Add permissions
.
Etapa 12.
Revisar as permissões selecionadas.
![Review permissions](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-13.png)
Clique em Grant Admin consent
para a sua empresa.
![Grant admin consent](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-14.png)
Um prompt para escolher se você deseja conceder consentimento para todas as permissões é exibido. Clique em Yes
.
Um pop-up semelhante ao mostrado nesta imagem é exibido:
![Consent popup](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-15.png)
Etapa 13.
Navegue até Manage > Certificates & Secrets
.
Clique em Add New Client Secret
.
Escreva uma breve descrição e selecione um Expires
data. Sugere-se selecionar uma data de validade de mais de 6 meses para evitar a expiração das chaves de API.
Depois de criada, copie e armazene em um local seguro a parte que diz Value
, como é usado para a integração.
![Client secrets](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-16.png)
Aviso: este campo não pode ser recuperado e você deve criar um Novo Segredo.
Quando tiver todas as informações, navegue de volta para Overview
e copie os valores do seu aplicativo. Em seguida, navegue até SecureX
.
Etapa 14.
Navegue até Integration Modules > Available Integration Modules >
selecionar Microsoft Security Graph API
, clique em Add
.
![Add Integration module](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-17.png)
Atribua um nome e cole os valores obtidos no portal do Azure.
![Configure Integration module](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-18.png)
Clique em Save
e aguarde a verificação de integridade ser bem-sucedida.
![Health check](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-19.png)
Executar investigações
A partir de agora, a API do Microsoft Security Graph não preenche o painel do SecureX com um bloco. Em vez disso, as informações do seu portal do Azure podem ser consultadas com o uso de Investigações.
Lembre-se de que a API do Graph só pode ser consultada para:
- ip
- domínio
- hostname
- url
- nome_do_arquivo
- caminho_do_arquivo
- sha256
Neste exemplo, a investigação usou este SHA c73d01ffb427e5b7008003b4eaf9303c1febd883100bf81752ba71f41c701148
.
![Observable](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-20.png)
Como você pode ver, ele tem 0 pontos turísticos no ambiente de laboratório, então como testar se a API do Graph funciona?
Abra o WebDeveloper Tools, execute a investigação, encontre um evento de postagem para visibility.amp.cisco.com no arquivo chamado Observables
.
![API details](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-21.png)
Verificar
Você pode usar este link: Snapshots de segurança do gráfico da Microsoft para obter uma lista de Snapshots que o ajudam a entender a resposta que você pode obter de cada tipo de item observável.
Você pode ver um exemplo como mostrado nesta imagem:
![Sightings](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-22.png)
Expanda a janela, você poderá ver as informações fornecidas pela integração:
![Additional details](/c/dam/en/us/support/docs/security/securex/220331-configure-microsoft-graph-api-integratio-23.png)
Lembre-se de que os dados devem existir no portal do Azure, e a API do Graph funciona melhor quando usada com outras soluções da Microsoft. No entanto, isso deve ser validado pelo Suporte da Microsoft.
Para referência sobre o escopo do TAC, consulte este documento: Verifique o escopo do suporte para o securex.
Troubleshooting
- Mensagem de falha de autorização:
- Assegure os valores para
Tenant ID
e Client ID
estão corretas e que ainda são válidas.
- Nenhum dado aparece na investigação:
- Certifique-se de ter copiado e colado os valores apropriados para
Tenant ID
e Client ID
.
- Certifique-se de ter usado as informações do campo
Value
nos Certificates & Secrets
seção.
- Use as ferramentas do WebDeveloper para determinar se a API do Graph é consultada quando ocorre uma investigação.
- À medida que a API do Graph mescla dados de vários provedores de alerta da Microsoft, certifique-se de que OData seja suportado para os filtros de consulta. (Por exemplo, Segurança e Conformidade do Office 365 e ATP do Microsoft Defender).