Table of contents
TOC
折叠目录
展开目录

配置 HP ArcSight 以便消除 Windows Defender ATP 警报

jcaparas|上次更新日期: 2017/3/14
|
1 参与者

适用于:

  • Windows 10 企业版
  • Windows 10 教育版
  • Windows 10 专业版
  • Windows 10 专业教育版
  • Windows Defender 高级威胁防护 (Windows Defender ATP)

你需要配置 HP ArcSight 以便它可以消除 Windows Defender ATP 警报。

开始之前

  • 通过选择应用程序配置页面上的查看终结点,从 Azure Active Directory (AAD) 中获取以下信息:
    • OAuth 2 令牌刷新 URL
    • OAuth 2 客户端 ID
    • OAuth 2 客户端密钥
  • 下载 WDATP connector.properties 文件并更新以下值:

    • client_ID:OAuth 2 客户端 ID
    • client_secret:OAuth 2 客户端密钥
    • auth_urlhttps://login.microsoftonline.com/<tenantID>?resource=https%3A%2F%2FWDATPAlertExport.Seville.onmicrosoft.com

      注意

      tenantID 替换为你的租户 ID。

    • token_urlhttps://login.microsoftonline.com/<tenantID>/oauth2/token

      注意

      tenantID 值替换为你的租户 ID。

    • redirect_urihttps://localhost:44300/wdatpconnector

    • scope:将此值保留为空
  • 下载 WDATP-connector.jsonparser.properties 文件。 此文件的用途是分析从 Windows Defender ATP 到 HP ArcSight 可用格式的信息。

  • 安装 HP ArcSight REST FlexConnector 程序包。 你可以在 HPE 软件中心中找到此程序包。 将程序包安装在可以访问 Internet 的服务器上。

配置 HP ArcSight

执行以下步骤的前提是你已完成开始之前中的所有必要步骤。 有关详细信息,请参阅 ArcSight FlexConnector 开发人员指南。

  1. WDATP-connector.jsonparser.properties file 文件保存到连接器安装文件中。

  2. WDATP-connector.properties 文件保存到连接器安装文件夹的 <root>\current\user\agent\flexagent 文件夹中。

  3. 打开提升的命令行:

    a. 转到开始菜单,然后键入 cmd

    b. 右键单击命令提示符,然后选择以管理员身份运行

  4. 输入以下命令,然后按 Enterrunagentsetup.bat。 此时将显示“连接器设置”弹出窗口。

  5. 在表格的必填字段中填写以下值:

    注意

    表格中的所有其他值均可选,且可以留空。

    字段
    配置文件键入客户端属性文件的名称。 该名称必须与客户端属性文件相匹配。
    事件 URL根据你的数据中心位置,选择欧盟或美国 URL:
    对于欧盟:https://wdatp-alertexporter-eu.windows.com/api/alerts/?sinceTimeUtc=$START_AT_TIME
    对于美国:https://wdatp-alertexporter-us.windows.com/api/alerts/?sinceTimeUtc=$START_AT_TIME
    身份验证类型OAuth 2
    OAuth 2 客户端属性文件选择 wdatp-connector.properties
    刷新令牌你可以使用 Windows Defender ATP 事件 URL 或 restutil 工具获取刷新令牌。
    有关使用事件 URL 获取刷新令牌的详细信息,请参阅获取刷新令牌

    若要使用 restutil 工具获取刷新令牌:
    a. 打开命令提示符。 导航到 C:\ArcSightSmartConnectors\<descriptive_name>\current\bin
    b. 键入:arcsight restutil token -config C:\ArcSightSmartConnectors_Prod\WDATP\WDATP-connector.properties。 Web 浏览器窗口将会打开。

    c. 键入你的凭据,然后单击密码字段,以便让页面重定向。 在登录提示中输入你的凭据。

    d. 刷新令牌会显示在命令提示符中。

    e. 将值粘贴在表单中。
  6. 选择下一步,然后保存

  7. 运行连接器。 你可以选择在“服务”模式下运行,也可以选择在“应用程序”模式下运行。

  8. 在 HP ArcSight 控制台中,创建时间间隔和属性适用于你的企业需求的 Windows Defender ATP 通道。 Windows Defender ATP 警报将呈现为离散事件,“Microsoft”为供应商,“Windows Defender ATP”为设备名称。

相关主题

© 2017 Microsoft