Defender para punto de conexión: informes de MSSP ...

Syndicate_Admin · ‎01-17-2024

Estoy creando algunos informes que extraerán datos de un inquilino de Defender para punto de conexión de los clientes en un informe de Power Bi que se puede presentar cada mes. Parece que la forma más recomendada de hacerlo es tener una cuenta creada de forma nativa dentro del entorno de los clientes y autenticar la API a través de la opción "Cuenta de organización".

¿Hay una buena manera de hacer esto con una aplicación registrada en Entra ID con los permisos de la API? Probablemente usando OAuth. He jugado un poco con esto, pero no parece haber una forma ampliamente aceptada de hacerlo. ¿Alguien ha logrado este tipo de despliegue?

El motivo para alejarse de las cuentas de organización es que el identificador de inquilino no se especifica en la llamada a la API. Por lo tanto, si uso mi cuenta que tiene acceso B2B a un inquilino de Defender de clientes, cuando me autentique en Power Bi a través de la cuenta de la organización, extraerá los datos de mi inquilino nativo y no de un inquilino B2B, por lo que me cuesta encontrar una manera de extraer los datos correctos.

Syndicate_Admin · ‎01-17-2024

Hola @ZedSec ,

Pruebe los siguientes pasos:

1. Registre una aplicación en Azure AD:
- Vaya a Azure Portal y vaya a Azure Active Directory.
- Selecciona "Registros de aplicaciones" y luego "Nuevo registro".
- Ingrese los detalles de la solicitud y registre la aplicación.

2. Conceder permisos de API:
- Una vez registrada la aplicación, vaya a "Permisos de API" dentro del registro de la aplicación en Azure AD.
- Haga clic en "Agregar un permiso", elija "API que usa mi organización" y busque "Microsoft Defender para punto de conexión".
- Agregue los permisos necesarios para las llamadas a la API que realizará.

3. Generar secreto de cliente:
- En el mismo registro de la aplicación, vaya a "Certificados y secretos".
- Cree un nuevo secreto de cliente y tome nota del valor; Lo necesitará para la autenticación.

4. Obtenga el ID de inquilino y el ID de cliente:
- El identificador de inquilino y el identificador de cliente se pueden encontrar en la información general del directorio de Azure AD y en la información general sobre el registro de aplicaciones, respectivamente.

5. Autenticarse usando OAuth y recuperar token:
- Deberá autenticarse mediante OAuth para obtener un token de acceso. Normalmente, esto implicará el envío de una solicitud POST al punto de conexión del token de la plataforma de identidad de Microsoft con las credenciales necesarias (identificador de inquilino, identificador de cliente, secreto de cliente).

6. Extracción de datos de Defender para punto de conexión:
- Use el token de acceso para autenticar las llamadas API a Defender para punto de conexión. Asegúrese de especificar el identificador de inquilino correcto en las solicitudes de API para acceder a los datos del cliente.

7. Conéctese a Power BI:
- En Power BI Desktop, seleccione "Obtener datos".
- Elija "Web" como origen de datos y dé formato a la dirección URL de la API para recuperar los datos de Defender para punto de conexión.
- Utilice las opciones avanzadas para incluir el encabezado de solicitud HTTP necesario para la autorización con el token de portador que obtuvo.

8. Programar la actualización en el servicio Power BI:
- Una vez publicado el informe en Power BI Service, deberá configurar el conjunto de datos para que se actualice proporcionando los detalles de conexión de API necesarios y configurando una programación de actualización.

Saludos
Apoyo de la comunidad Team_Binbin Yu
Si esta publicación Ayuda, entonces por favor considere Acéptalo como la solución para ayudar a los demás miembros a encontrarlo más rápidamente.

Defender para punto de conexión: informes de MSSP sin cuentas de organización

Helpful resources

Microsoft Fabric Learn Together

Power BI Monthly Update - April 2024

Fabric Community Update - April 2024