Skip to content

Latest commit

 

History

History
52 lines (44 loc) · 4.06 KB

README.md

File metadata and controls

52 lines (44 loc) · 4.06 KB

Notify-MDE-AdvancedHunting-Email

このレポジトリは MDE Advanced Hunting を定期的に実行し、結果をメールで通知するサンプルです。
image

通知イメージ

image

設定

以下の Deploy To Azure ボタンでテンプレートを展開して下さい。
Deploy to Azure

設定後必要なアクション

本テンプレートは Office 365 コネクタと Defender ATP コネクタを利用しています。API 接続のため、以下設定を実施して下さい。
(注意) Defender ATP の Powershell スクリプト実施後、反映までに 10 分ほど余裕を見てください。
※ Azure Portal 側で Entra ID でロール付与されても、実反映に時間がかかるようです。

  • Office 365 コネクタ / ユーザー認証

  • テンプレート展開後、ロジックアプリの API 接続から、Office 365 コネクタを選択する

  • image

  • 「API 接続の編集」より、承認するを押して、送信元の Office 365 ユーザーで認証する

  • image

  • Defender ATP コネクタ / マネージド ID

    • テンプレートの展開後、Powershell を用いて以下を実施して下さい。(CloudShell でも可能)
    • Connect-AzureAD で認証
PS /home/hisashi> Connect-AzureAD
  • Entra ID アプリケーション (ロジックアプリのマネージド ID) に対して、Ip.Read.All, Url.Read.All, File.Read.All, AdvancedQuery.Read.All の権限を付与する
$MIGuid = "<Enter your managed identity guid here>"
$MI = Get-AzureADServicePrincipal -ObjectId $MIGuid

$MDEAppId = "fc780465-2017-40d4-a0c5-307022471b92"
$MDEServicePrincipal = Get-AzureADServicePrincipal -Filter "appId eq '$MDEAppId'"

$PermissionName = "Ip.Read.All" 
$AppRole = $MDEServicePrincipal.AppRoles | Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
New-AzureAdServiceAppRoleAssignment -ObjectId $MI.ObjectId -PrincipalId $MI.ObjectId -ResourceId $MDEServicePrincipal.ObjectId -Id $AppRole.Id
$PermissionName = "Url.Read.All" 
$AppRole = $MDEServicePrincipal.AppRoles | Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
New-AzureAdServiceAppRoleAssignment -ObjectId $MI.ObjectId -PrincipalId $MI.ObjectId -ResourceId $MDEServicePrincipal.ObjectId -Id $AppRole.Id
$PermissionName = "File.Read.All" 
$AppRole = $MDEServicePrincipal.AppRoles | Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
New-AzureAdServiceAppRoleAssignment -ObjectId $MI.ObjectId -PrincipalId $MI.ObjectId -ResourceId $MDEServicePrincipal.ObjectId -Id $AppRole.Id
$PermissionName = "AdvancedQuery.Read.All" 
$AppRole = $MDEServicePrincipal.AppRoles | Where-Object {$_.Value -eq $PermissionName -and $_.AllowedMemberTypes -contains "Application"}
New-AzureAdServiceAppRoleAssignment -ObjectId $MI.ObjectId -PrincipalId $MI.ObjectId -ResourceId $MDEServicePrincipal.ObjectId -Id $AppRole.Id
  • Entra ID のエンタープライズアプリケーションより、マネージド ID に対して権限が付与されているかを確認する
  • image