配置Microsoft Graph API與Cisco XDR的整合

下載選項

  • PDF     (870.7 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (501.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (371.2 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 7 月 31 日
文件 ID:220688

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹將Microsoft Graph API與Cisco XDR整合的過程,以及可查詢的資料型別。

    必要條件

    • Cisco XDR管理員帳戶
    • Microsoft Azure系統管理員帳戶
    • 訪問Cisco XDR 

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    整合步驟

    步驟 1.

    以系統管理員身份登入Microsoft Azure。
    登入

    步驟 2.

    點選App Registrations Azure服務門戶。
    應用註冊

    步驟 3.

    按一下New registration。


    新里吉斯

    步驟 4.

    鍵入名稱以標識您的新應用。
    名稱

    附註圖示

    注意:如果名稱有效,會顯示綠色核取記號。

    在支援的帳戶型別上,選擇 Accounts in this organizational directory only選項。

    支援

    附註圖示

    注意:您不需要輸入重新導向URI。

    步驟 5.

    滾動到螢幕底部並按一下 Register

    註冊者

    步驟 6.

    導航回Azure服務頁面,點選App Registrations > Owned Applications。

    辨識您的應用程式並按一下名稱。在本例中為SecureX。

    SecureX

    步驟 7.

    系統將顯示應用摘要。請確定以下相關詳細資訊:

    應用程式(使用者端)辨識碼:

    xlientid

    目錄(租戶) ID:

    目錄

    步驟 8.

    導航到Manage Menu > API Permissions。

    API許可權

    步驟 9.

    在「配置的許可權」下,按一下Add a Permission。

    增加許可權

    步驟 10.

    在「請求API許可權」部分中,按一下 Microsoft Graph

    圖形

    步驟 11.

    選擇Application permissions。

    應用許可

    在搜尋欄中查詢Security。展開 Security Actions 並選取

    • 全部讀取
    • 全部讀取
      •
    • 安全事件並選擇
      • 全部讀取
      • 全部讀取
    • 威脅指示器並選擇
      • ThreatIndicators.ReadWrite.OwnedBy
      •

    按一下Add permissions。


    步驟 12.

    檢閱您選取的許可權。

    Sxreenshot

    按一下 Grant Admin consent 以取得您的組織。

    管理員同意

    出現一個提示,提示您選擇是否要同意所有許可權。按一下Yes。

    將會顯示類似快顯視窗,如下圖所示:

    同意

    步驟 13.

    導航到Manage > Certificates & Secrets。

    按一下Add New Client Secret。

    撰寫簡短描述並選取有效的日期Expires。建議選擇6個月以上的有效日期,以防止API金鑰過期。

    建立後,將說明 Value的部分複製並儲存在安全位置,因為它可用於整合。

    secret

    警告圖示

    警告:此欄位無法恢復,您必須建立新金鑰。

    獲取所有資訊後,導航回 Overview 並複製應用的值。然後導航到SecureX。

    步驟 14.

    導航到Integration Modules > Available Integration Modules > 選擇Microsoft Security Graph API,點選Add。

    新增

    分配名稱並貼上您從Azure門戶獲得的值。
    按鍵

    按一下Save,然後等待運行狀況檢查成功。

    狀況檢查

    執行調查

    目前,Microsoft Security Graph API未在Cisco XDR Dashboard中填充磁貼。相反,可以使用調查來查詢Azure門戶中的資訊。

    請記住,Graph API只能查詢:

    • ip
    • 網域
    • 主機名
    • url
    • 檔案名稱
    • file_path
    • sha256
      •


    在本示例中,調查使用了此SHAc73d01ffb427e5b7008003b4eaf9303c1febd883100bf81752ba71f41c701148。

    log

    如您所見,它在實驗室環境中有0次發現,那麼如何測試Graph API是否有效?

    打開WebDeveloper工具,運行調查,然後找到名為Observables的檔案並發佈到visibility.amp.cisco.com的事件。
    檢查

    驗證

    您可以使用此連結:Microsoft graph security Snapshots獲取快照清單,可幫助您瞭解可以從每種型別的可觀察得到的響應。

    您可以看到如下圖所示的範例:

    視線

    展開視窗,您可以看到整合所提供的資訊:

    sight2

    請記住,資料必須存在於Azure門戶中,當與其他Microsoft解決方案一起使用時,Graph API的運行效果更好。但是,這必須由Microsoft支援部門進行驗證。

    疑難排解

    • 授權失敗的訊息:
      • 確保 Tenant IDClient ID的值正確並且仍然有效。
      •
    • 調查中未顯示任何資料:
      • 確保複製並貼上了 Tenant IDClient ID的適當值。
      • 確保使用了Certificates & Secrets部分 Value 的欄位資訊。
      • 使用WebDeveloper工具確定調查發生時是否查詢圖形API。
      • 當Graph API合併來自各種Microsoft警報提供者的資料時,請確保查詢過濾器支援OData。(例如,Office 365安全與合規性和Microsoft Defender ATP)。
        •

    修訂記錄

    修訂 發佈日期 意見
    1.0
    30-Jul-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Daniel Benitez
      TAC Technical Leader
    • Uriel Montero
      TAC Engineer
    • Nik Kale
      TAC Principal Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品