Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern

Konfigurieren einer Azure Active Directory-Anwendung für die SIEM-Integration

jcaparas|Zuletzt aktualisiert: 14.03.2017
|
1 Mitwirkender

Gilt für:

  • Azure Active Directory
  • Windows 10 Enterprise
  • Windows 10 Education
  • Windows 10 Pro
  • Windows 10 Pro Education
  • Windows Defender Advanced Threat Protection (Windows Defender ATP)

Sie müssen eine Anwendung im Azure Active Directory (AAD)-Mandanten hinzufügen und dann die Windows Defender ATP Alerts Export-Anwendung für die Kommunikation autorisieren, damit das Sicherheitsinformations- und Ereignis-Management-Tool (SIEM-Tool) Warnungen vom Windows Defender ATP-Portal nutzen kann.

  1. Melden Sie sich am Azure-Verwaltungsportal an.

  2. Wählen Sie Active Directory aus.

  3. Wählen Sie den Mandanten aus.

  4. Klicken Sie auf Anwendungen, und wählen Sie dann Hinzufügen aus, um eine neue Anwendung zu erstellen.

  5. Klicken Sie auf Eine von meinem Unternehmen entwickelte Anwendung hinzufügen.

  6. Wählen Sie einen Clientnamen für die Anwendung, z. B. Alert Export Client.

  7. Wählen Sie WEBANWENDUNG UND/ODER WEB-API im Abschnitt für den Typ aus.

  8. Weisen Sie der Anwendung eine Anmelde-URL und einen App-ID-URI zu, z. B. https://alertexportclient.

  9. Bestätigen Sie die Details der Anforderung, und überprüfen Sie, ob Sie die App erfolgreich hinzugefügt haben.

  10. Wählen Sie die Anwendung aus, die Sie gerade in der Verzeichnisanwendungsliste erstellt haben, und klicken Sie auf die Registerkarte Konfigurieren.

  11. Scrollen Sie nach unten zum Abschnitt Schlüssel, und wählen Sie eine Dauer für den Anwendungsschlüssel aus.

  12. Geben Sie die folgenden URLs im Feld Antwort-URL ein:

    • https://DataAccess-PRD.trafficmanager.net:444/api/FetchAccessTokenFromAuthCode
    • https://localhost:44300/WDATPconnector
  13. Klicken Sie auf Speichern, und kopieren Sie den Schlüssel an einen sicheren Ort. Sie benötigen diesen Schlüssel, um die Clientanwendung für Azure Active Directory zu authentifizieren.

  14. Öffnen Sie einen Webbrowser, und stellen Sie eine Verbindung mit folgender URL her: https://DataAccess-PRD.trafficmanager.net:444/api/FetchToken?clientId=f7c1acd8-0458-48a0-a662-dba6de049d1c&tenantId=<tenant ID>&clientSecret=1234

    Eine Azure-Anmeldeseite wird angezeigt.

    Hinweis
    • Ersetzen Sie Mandanten-ID durch die tatsächliche Mandanten-ID.
    • Lassen Sie clientSecret unverändert. Dies ist ein Dummywert, aber der Parameter muss angezeigt werden.
  15. Melden Sie sich mit den Anmeldeinformationen eines Benutzers vom Mandanten an.

  16. Klicken Sie auf Akzeptieren, um die Zustimmung zu erteilen. Ignorieren Sie den Fehler.

  17. Klicken Sie unter Ihrem Mandanten auf Anwendungskonfiguration.

  18. Klicken Sie auf Berechtigungen für andere Anwendungen, und wählen Sie Anwendung hinzufügen aus.

  19. Klicken Sie auf Alle Apps im Feld ANZEIGEN, und übermitteln Sie die Apps.

  20. Klicken Sie auf WDATPAlertExport und dann auf +, um die Anwendung hinzuzufügen. Sie sollte im Panel AUSGEWÄHLTE angezeigt werden.

  21. Übermitteln Sie Ihre Änderungen.

  22. Wählen Sie im Datensatz WDATPAlertExport im Feld Delegierte Berechtigungen die Option Access WDATPAlertExport aus.

  23. Speichern Sie die Anwendungsänderungen.

Nach dem Konfigurieren der Anwendung in AAD müssen Sie ein Aktualisierungstoken abrufen. Sie müssen das Token beim Konfigurieren des Connectors für Ihr SIEM-Tool in den nächsten Schritten verwenden. Das Token ermöglicht dem Connector den Zugriff auf Windows Defender ATP-Ereignisse zur Nutzung durch Ihr SIEM.

Abrufen eines Aktualisierungstokens mithilfe einer Event-URL

Rufen Sie ein Aktualisierungstoken ab, das zum Abrufen von Windows Defender Advanced Threat Protection-Ereignissen auf Ihr SIEM verwendet wird. Dieser Abschnitt enthält Informationen dazu, wie eine Event-URL zum Abrufen des erforderlichen Aktualisierungstokens verwendet werden kann.

Hinweis

Bei HP ArcSight können Sie ein Aktualisierungstoken mithilfe des Tools restutil abrufen. Weitere Informationen finden Sie unter Konfigurieren von HP ArcSight, um Warnungen zu nutzen.

Vorbemerkungen

Rufen Sie die folgenden Informationen aus der Azure Active Directory(AAD)-Anwendung ab, indem Sie Endpunkt anzeigen auf der Anwendungskonfigurationsseite auswählen:

- OAuth 2-Client-ID
- Geheimer OAuth 2-Clientschlüssel

Sie können diese Werte verwenden, um ein Aktualisierungstoken abzurufen.

Wichtig

Vor der Verwendung des geheimen OAuth 2-Clientschlüssels, der in den nächsten Schritten beschrieben wird, müssen Sie diesen codieren. Verwenden Sie einen URL-Encoder, um den geheimen OAuth 2-Clientschlüssel zu transformieren.

Abrufen eines Aktualisierungstokens

  1. Öffnen Sie einen Webbrowser, und stellen Sie eine Verbindung mit folgender URL her: https://DataAccess-PRD.trafficmanager.net:444/api/FetchToken?clientId=<client ID>&tenantId=<tenant ID>&clientSecret=<client secret>

    Hinweis
    • Ersetzen Sie den Wert der Client-ID durch denjenigen, den Sie von der AAD-Anwendung erhalten haben.
    • Ersetzen Sie Mandanten-ID durch die tatsächliche Mandanten-ID.
    • Ersetzen Sie den geheimen Clientschlüssel mit Ihrem codierten geheimen Clientschlüssel. Der geheime Clientschlüssel muss codiert eingefügt werden.
  2. Klicken Sie auf Annehmen. Bei der Authentifizierung öffnet sich eine Webseite mit Ihrem Aktualisierungstoken.

  3. Speichern Sie das Aktualisierungstoken. Sie finden dieses im <RefreshToken></RefreshToken>-Wert. Sie benötigen diesen Wert, wenn Sie das SIEM-Tool konfigurieren.

Nach dem Konfigurieren der AAD-Anwendung und dem Generieren eines Aktualisierungstokens können Sie das SIEM-Tool konfigurieren.

Verwandte Themen

© 2017 Microsoft