堆棧內存溢出
  簡體   English   中英

如何獲取有關通過 Microsoft Security Graph API 收到的安全警報的更多詳細信息?

[英]how can I get more details about security alert received vie Microsoft Security Graph API?

 原文  2022-01-07 11:46:13       security/ microsoft-graph-api/ azure-ad-graph-api/ msgraph

問題描述

我正在使用 Security Graph API 將警報發送到 SIEM。 我收到的一些警報的細節很少。 這是示例,編輯了一些信息,但所有字段都存在:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#security/alerts/$entity",
    "id": "df59a25b7179858f9d891672dee4e4a48b718fe9271e6867b20a998463b1a703",
    "azureTenantId": "a2c874c8-XXXX-XXXX-XXXX-fXXX56f81134",
    "azureSubscriptionId": null,
    "riskScore": null,
    "tags": [],
    "activityGroupName": null,
    "assignedTo": null,
    "category": "AnomalousToken",
    "closedDateTime": null,
    "comments": [],
    "confidence": null,
    "createdDateTime": "2022-01-05T20:52:18Z",
    "description": "Anomalous token indicates that there are abnormal characteristics in the token such as token duration and authentication from unfamiliar IP address",
    "detectionIds": [],
    "eventDateTime": "2022-01-04T12:26:36.1726686Z",
    "feedback": null,
    "incidentIds": [],
    "lastEventDateTime": null,
    "lastModifiedDateTime": "2022-01-05T22:47:28.909877Z",
    "recommendedActions": [],
    "severity": "medium",
    "sourceMaterials": [],
    "status": "newAlert",
    "title": "Anomalous Token",
    "vendorInformation": {
        "provider": "IPC",
        "providerVersion": null,
        "subProvider": null,
        "vendor": "Microsoft"
    },
    "alertDetections": [],
    "cloudAppStates": [],
    "fileStates": [],
    "hostStates": [],
    "historyStates": [],
    "investigationSecurityStates": [],
    "malwareStates": [],
    "messageSecurityStates": [],
    "networkConnections": [],
    "processes": [],
    "registryKeyStates": [],
    "securityResources": [],
    "triggers": [],
    "userStates": [
        {
            "aadUserId": "7b9b7027-XXXX-XXXX-bXXX-1XXXXXXX9e7",
            "accountName": "NicXXX.XXXXX",
            "domainName": "XXX.co.uk",
            "emailRole": "unknown",
            "isVpn": null,
            "logonDateTime": "2022-01-04T12:26:36.1726686Z",
            "logonId": null,
            "logonIp": "102.11.1.15",
            "logonLocation": "Accra, Greater Accra, GH",
            "logonType": null,
            "onPremisesSecurityIdentifier": null,
            "riskScore": null,
            "userAccountType": null,
            "userPrincipalName": "NicXXX.XXXXX@XXX.co.uk"
        }
    ],
    "uriClickSecurityStates": [],
    "vulnerabilityStates": []
}

簡而言之,我能看到的唯一信息是用戶從某些特定的 IP 生成了一些“異常令牌”。 但我想查看使用的主機名、令牌詳細信息、異常原因等。
我可以看到關於失敗的身份驗證嘗試 (azure AD)、可疑郵件轉發規則創建 (Exchange) 等的類似警報幾乎是空的 - 所有這些都沒有重要的細節。 我怎樣才能得到它們? 或者也許 - 我應該如何重新配置 Graph 或數據源,以允許 Graph 訪問詳細信息?

1 個解決方案

解決方案1
 0  2022-01-12 07:20:50

我試圖重現您的問題,但我也沒有獲得有關令牌和主機名的詳細信息。 希望您也獲得部分內容: 206 error

如果成功,此方法會在響應正文中返回200 OK響應代碼和警報object。 206 錯誤代碼表示一個或多個批量操作在聯合到其提供者時失敗。 響應將包含來自各個提供商的每個威脅情報指標的成功/錯誤數據。 有關更多信息,您可以關注此Microsoft 文檔。

在此處輸入圖像描述

我閱讀了幾份 Microsoft 文檔,發現異常令牌屬於風險檢測標志。 登錄風險表示給定身份驗證請求未經身份所有者授權的概率。

可以使用Microsoft 的內部和外部威脅情報來源(包括安全研究人員執法專業人員、Microsoft 的安全團隊和其他受信任的來源)實時或離線計算這些風險。

異常令牌檢測類型為離線。此檢測表明令牌中存在異常特征,例如令牌生命周期異常或從不熟悉的位置播放令牌。 此檢測涵蓋 Session 令牌和刷新令牌。

Microsoft 於 2021 年 7 月傳達了異常令牌檢測計划

Azure AD 身份保護現在提供異常令牌檢測。 此功能可以檢測到令牌中存在異常特征,例如時間激活和來自不熟悉的 IP 地址的身份驗證。

因此,從上述結論建議您提出Microsoft 支持請求,我認為他們可以幫助路由到 Microsoft 的安全團隊。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Microsoft Graph - 如何獲取帶有安全警報“文件刪除量異常”的關聯文件 如何獲取有關Symfony2安全系統的更多調試信息? 如何修復此GitHub安全警報? Cakephp獲取有關安全組件錯誤的詳細信息 Microsoft Graph - 如何測試 /Security/Alerts webhook 安全警報-如何解決? 有關應用程序和API的安全性問題 Microsoft Graph 安全警報。 狀態問題 MISP 到 Microsoft Graph 安全腳本 - 不工作 API安全性問題:SSL或更多?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM