简介
本文档介绍将Microsoft Graph API与SecureX集成的过程,以及可查询的数据类型。
先决条件
- SecureX管理员帐户
- Microsoft Azure系统管理员帐户
- 访问SecureX威胁响应
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
集成步骤
步骤1:
以系统管理员身份登录Microsoft Azure。
第二步:
点击 App Registrations
在Azure服务门户上。
第三步:
点击 New registration
.
第四步:
键入名称以标识新应用。
在支持的帐户类型上,选择选项 Accounts
in this organizational directory only
.
第五步:
滚动到屏幕底部并单击 Register
.
第六步:
导航回Azure服务页面,点击 App Registrations > Owned Applications
.
识别您的应用,然后点击名称。在本例中,它是 SecureX
.
步骤 7.
系统将显示您的应用的摘要。请确定以下相关详细信息:
应用(客户端)ID:
目录 (租户)ID:
步骤 8
导航至 Manage Menu > API Permissions
.
步骤 9
在Configured Permissions下,单击 Add a Permission
.
步骤 10
在“请求API权限”部分,单击 Microsoft Graph
.
步骤 11
选择 Application permissions
.
在搜索栏中查找 Security
.扩大采购 Security Actions
并选择
- Security Events并选择
- 威胁指示符和选择
- ThreatIndicators.ReadWrite.OwnedBy
点击 Add permissions
.
步骤 12
检查所选权限。
点击 Grant Admin consent
您的组织。
系统将显示一个提示,提示您选择是否同意所有权限。点击 Yes
.
系统将显示如下图所示的类似弹出窗口:
步骤 13
导航至 Manage > Certificates & Secrets
.
点击 Add New Client Secret
.
写下简要说明并选择有效的 Expires
日期.建议选择超过6个月的有效日期以防止API密钥过期。
创建后,复制并存储到安全位置, Value
,因为它用于集成。
获得所有信息后,导航回 Overview
并复制应用的值。然后导航至 SecureX
.
步骤 14
导航至 Integration Modules > Available Integration Modules >
选择 Microsoft Security Graph API
,单击 Add
.
分配名称并粘贴从Azure门户获得的值。
点击 Save
并等待运行状况检查成功。
执行调查
到目前为止,Microsoft Security Graph API未使用磁贴填充SecureX Dashboard。相反,可以通过使用调查来查询Azure门户中的信息。
请记住,只能查询图形API:
- ip
- 域
- 主机名
- url
- file_name
- file_path
- sha256
在本示例中,调查使用此SHA c73d01ffb427e5b7008003b4eaf9303c1febd883100bf81752ba71f41c701148
.
如您所见,它在实验室环境中有0次发现,那么如何测试Graph API是否有效?
打开WebDeveloper工具,运行调查,找到指向visibility.amp.cisco.com的帖子事件,文件名为 Observables
.
验证
您可以使用此链接:Microsoft graph security Snapshots获取快照列表,该列表可帮助您了解可以从每种可观察类型获得的响应。
您可以看到如下图所示的示例:
展开此窗口,您可以看到集成提供的信息:
请记住,数据必须存在于Azure门户中,Graph API在与其他Microsoft解决方案配合使用时效果更好。但是,这必须由Microsoft支持部门进行验证。
有关TAC范围的参考,请参阅本文档:验证securex的支持范围。
故障排除
- 授权失败消息:
- 确保的值
Tenant ID
和 Client ID
正确,并且它们仍然有效。
- 调查中未显示数据:
- 确保复制并粘贴了适当的值
Tenant ID
和 Client ID
.
- 确保您使用了该字段的信息
Value
从 Certificates & Secrets
部分。
- 使用WebDeveloper工具来确定是否在调查时查询图形API。
- 当Graph API合并来自各种Microsoft警报提供程序的数据时,请确保查询过滤器支持OData。(例如,Office 365安全与合规性和Microsoft Defender ATP)。