Gli IT Pro possono connettersi a Microsoft Graph Security utilizzando il PowerShell Module

Oggi vi annunciamo che è disponibile un nuovo modulo PowerShell per il Microsoft Graph Security API che semplifica la possibilità degli IT Pro di connettersi alle API dalla console PowerShell.
Questo modulo è disponibile nella gallery PowerShell, grazie al contributo della community del team di Microsoft Cloud Security’s Customer Experience Engineering.

Il Microsoft Graph Security API connette diverse soluzioni di sicurezza per abilitare una più semplice correlazione di alert, fornisce accesso ad informazioni contestuali ricche, semplifica le automazioni e l’investigazione.
Questo potenzia le aziende e le rende in grado di ottenere velocemente risultati e prendere provvedimenti su tutti i prodotti di sicurezza mentre riduce il costo e la complessità di creare e mantenere molteplici integrazioni.

Per ulteriori dettagli sull’integrazione con Microsoft Graph Security API:
– Microsoft Graph Security API overview;
– Use the Microsoft Graph Security API.

Per iniziare

Utilizzate questo modulo per avere accesso ai security alerts ed alle informazioni di Secure Score nel vostro tenant Azure Active Directory (Azure AD) per diversi prodotti di sicurezza.
Per ulteriori dettagli: documentazione.

1. Assicuratevi di avere PowerShell v5 o successivi (standard su Windows 10).
2. Registrate la vostra applicazione per questo modulo PowerShell in Azure AD in modalità user-delegated. Come parte di questo secondo punto:

• selezionate la voce ‘Add Platform’ (alla sezione Platforms);
• scegliete ‘Native Application’;
• Conservate il redirect URI come ‘urn:ietf:wg:oauth:2.0:oob’: questo è necessario perchè funzioni il redirect delle applicazioni desktop.

3. Configurate i permessi ed assicuratevi di aggiungere il permesso SecurityEvents.ReadWrite.All alla vostra applicazione. Recuperate il vostro Azure AD tenant administrator per garantire il consenso del tenant administrator alla vostra applicazione. Questa è un attività che dovrete fare una sola volta a meno che non cambino i permessi per l’applicazione.
4. Aprite il vostro terminal PowerShell come amministratore ed installate il modulo eseguendo il comando Install-Module MicrosoftGraphSecurity come mostrato nel diagramma qui sotto.

Attenzione: se è la prima volta che installate un modulo, vi verrà chiesto di installare il Nuget Package Provider.

Autenticazione

Dovrete autenticarvi prima di poter iniziare a recuperare ed aggiornare i dati provenienti dal Microsoft Graph Security API.
L’autenticazione sarà richiesta a seguito dell’iniziale accesso ai dati o quando l’authentication scade.
1. Inserite Get-GraphSecurityAlert;
2. Digitate il vostro username e l’ID dell’applicazione quando richiesto(dal processo di registrazione dell’app nella sezione getting started), come illustrato qui sotto.

3. Inserite la vostra password quando vi viene richiesto. A seguito di un’autenticazione di successo, verrà stabilita la connessione con Microsoft Graph Security API e vedrete subito la lista degli alert.

Scenari utenti
In questo paragrafo, andiamo a vedere un set di scenari rappresentativi.
Fate riferimento alla documentazione (link) per la lista completa delle istruzioni della riga di comando PowerShell supportate ed associate con ogni comando per adattarlo al vostro scenario.

Ottieni gli ultimi alert per la Security Management

Potete ottenere visibilità sui top alert utilizzando questo modulo dal comando Get-GraphSecurityAlert -top 1.
Eseguendolo, vi verranno restituiti gli alert più recenti ricevuti da ognuno dei prodotti di sicurezza eseguiti nel tenant di Azure AD supportato dal Microsoft Graph Security API.
Questo vi permette di correlare recenti comportamenti sospetti provenienti dai diversi prodotti.

Analizzare gli alerts associati ad un utente

Potete aggiungere diverse istruzioni della riga di comando per recuperare gli alert provenienti da diversi security products filtrati per nome principale dell’utente.
Ad esempio:
Get-GraphSecurityAlert -userPrincipalName -severity medium -Verbose | select title, status, description, assignedTo, severity, userStates
come illistrato nell’immagine seguente.
Questo abilita un’analisi iniziale in cui le attività sospette dell’utente, segnalate da diversi prodotti di sicurezza, possono essere tracciate per capire dove pianificare il prossimo livello di analisi.

Personalizzate il recupero degli alert sulla base del vostro scenario

Eseguite il comando Get-GraphSecurityAlert – per recuperare una lista di tutte le proprietà che potete poi filtrare per recuperare gli alert, come illustrato nel diagramma seguente. Fatevi un giro all’interno per scoprire le tipologie supportate per ognuno degli switch che utilizzano i vostri tasti direzionali.
Per esempio, nel diagramma seguente, possiamo vedere che il cambio di versione richiede un valore di tipo string type.
Potete costruire il vostro comando, utilizzando diversi valori di proprietà disponibili per ottenere gli alert basati sul vostro scenario per una gestione di sicurezza ed un’analisi customizzata.

Aggiornare gli alert per una gestione della sicurezza migliore

Potete aggiornare gli alert dal comando Set-GraphSecurityAlert -id .
Potete aggiornare lo stato dell’alert in resolved come mostrato nell’esempio seguente o assegnare un alert per un’analisi o dei tag alert per filtrare quelli necessari ad una gestione della sicurezza migliore.

Eseguite il comando Set-GraphSecurityAlert – per ottenere una lista di tutte le proprietà che potete usare per creare il vostro comando di aggiornamento dell’alert.

Ottenere il Secure Score per avere visibilità sul livello di sicurezza

Potete ottenere l’informazione relativa al vostro punteggio di sicurezza eseguendo il comando Get-GraphSecuritySecureScore come illustrato nell’immagine seguente per avere informazioni sul livello della sicurezza della vostra azienda e determinare quali sono le azioni da intraprendere per migliorare il punteggio nel corso del tempo.

Eseguite il comando Get-GraphSecuritySecureScore – per ottenere una lista di tutti gli switch che potete usare per creare il vostro comando secure score.

Per concludere

Provate il nuovo modulo PowerShell per Microsoft Graph Security API e fornite il vostro feedback, compilando il PowerShell module repo.

Le informazioni presenti in questo post, sono prese dall’articolo: IT Pros can now easily connect to Microsoft Graph Security with the PowerShell Module!.