تنبيهات Microsoft Defender للنقطة النهائية: إعداد تكامل XOps

تتناول هذه المقالة دمج البيانات من Microsoft Defender للنقطة النهائية لإنشاء قصص يمكنك مراجعتها في ورشة عمل قصص Cato.

نظرة عامة على قصص تنبيهات النقطة النهائية

باستخدام واجهة Microsoft API، يمكنك دمج بيانات التنبيه من Microsoft Defender للنقطة النهائية لإنشاء قصص لأجهزة النقطة النهائية. تساعدك قصص النقطة النهائية في الحصول على صورة أكثر اكتمالاً للتهديدات المحتملة في شبكتك.

يقوم محرك تنبيهات النقطة النهائية من Cato بإنشاء حكاية من خلال ربط البيانات من التنبيهات المتعلقة بنفس حادثة Defender. تتضمن قصص تنبيهات النقطة النهائية جميع الأدلة ذات الصلة للتنبيهات التي اكتشفها Defender. تُظهر ورشة عمل القصص قصص النقطة النهائية مع الأنواع الأخرى من القصص، ويمكنك فرز القصص لتوجيه التركيز على قصص تنبيه النقطة النهائية.

لدمج بيانات تنبيهات Defender for Endpoint مع Cato XOps، يجب عليك أولاً إعداد موصلات API لـ Microsoft 365 و Defender for Endpoint. بعد إنشاء الموصلات، يقوم محرك تنبيه النقطة النهائية باسترداد وتحليل بيانات التنبيه من الدفاع للنقطة النهائية.

لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من مدافعة Microsoft، انظر التعمق وتحليل قصص XOps الأمنية

نظرة عامة على مستوى عالٍ لدمج قصص تنبيهات النقطة النهائية

هذه وصف عالي المستوى لسير العمل لدمج ومراجعة قصص الدفاع للنقطة النهائية في ورشة عمل القصص:

  1. إنشاء موصل الأصل الخاص بـMicrosoft 365.
  2. إنشاء موصل Defender الخاص بنقاط النهاية.
  3. مراجعة قصص تنبيه نقطة النهاية في ورشة عمل القصص.

القيود المعروفة

  • الإعدادات في لوحة إجراءات القصص غير قابلة للتكوين لقصص تنبيه نقاط النهاية. تظهر جميع الحقول المتعلقة بالإجراءات كمعدل N/A. للمزيد عن لوحة إجراءات القصص، انظر إلى الأسفل.
  • تتضمن قصص تنبيه نقطة النهاية من Microsoft للأجهزة المشتركة في القصة جميع المستخدمين الذين سجلوا الدخول إلى الجهاز، بينما قد يعرض "Defender for Endpoint" ذات الصلة مستخدمًا واحدًا فقط.
  • لإضافة موصل، يجب أن يكون لديك إذن محرر لـالتكاملات (في قسم الموارد). لمزيد من المعلومات، انظر إدارة أدوار المسؤول باستخدام RBAC.

فهم قصص تنبيه نقطة النهاية من Microsoft

ينشئ منتج تنبيه نقطة النهاية من Microsoft قصصًا بناءً على التكامل. يشرح هذا القسم المعلومات المتوفرة في علامة التبويب النظرة العامة لصفحة التوجيه إلى القصة.

قصة تحديث المدافع لنقطة النهاية.png

هذه هي أدوات واجهة نظر عامة للقصة:

الاسم الوصف
ملخص الأداة

يظهر الشريط في أعلى الصفحة ملخصًا للمعلومات الأساسية عن القصة، &المتضمنة.

  • حرجية التهديد
  • ملخص لتفاصيل القصة
  • حدة التهديد كما حددها المحلل
  • حكم للتهديد كما حددها المحلل
الجدول الزمني الجدول الزمني للأحداث أو الإجراءات المتخذة في القصة.
التفاصيل

المعلومات الأساسية للقصة.

  • انقر على رابط عنوان الحادث لعرض الحادث في Microsoft Defender.
الكيانات الكيانات المشاركة في الحادث. يمكن أن تكون هذه المستخدمين، الأجهزة، المواقع، مستودعات البيانات، التطبيقات، إلخ. يمكن أن تتضمن القصة إخطارات لمستخدمين وأجهزة متعددة.
التنبيهات

يظهر تفاصيل للتنبيهات المتعلقة بالحادث المُدافع.

  • قم بتوسيع التنبيه لعرض شجرة العملية الزمنية للأدلة المتعلقة بالتنبيه، بما في ذلك العمليات، الملفات، وقيم التسجيل
  • انقر على عنصر في شجرة العمليات للمتابعة بشكل أعمق وعرض بيانات قياسية حول الدليل

هذه هي الأعمدة الموجودة في الجدول:

  • اسم التنبيه الذي يصف النشاط المشبوه
  • - الدرجة الكلية للمخاطر للتنبيه كما تم حسابها بواسطة خوارزمية تحليل المخاطر الآلية من Cato (القيم من 1 - 10)
  • IP المحلي وIP الخارجي للجهاز المتورط في التنبيه.
  • اسم حساب المستخدم الذي جمعه Microsoft Defender مع التنبيه
  • - اسم الجهاز المتورط في التنبيه
  • - نظام التشغيل للجهاز المتورط في التنبيه
  • اسم المجال المحلي أو الخاص بـ Windows أو AD المرتبط بحساب المستخدم في التنبيه
  • - رقم المعرف الخاص بالتنبيه

  • - تقنيات MITRE ATT&CK® المحددة للتهديد

    لمعلومات أكثر عن إطار عمل MITRE ATT&CK®، انظراستخدام لوحة معلومات MITRE ATT&CK®.

  • - يوضح ما إذا كان التنبيه جديد أو قد تم حله
  • - تاريخ النشاط المشبوه الأول الذي تم اكتشافه للتنبيه
  • - تاريخ النشاط المشبوه الأحدث الذي تم اكتشافه للتنبيه
  • - اسم التهديد وحسب البرامج الضارة المكتشفة. على سبيل المثال: Trojan:Win32/Startpage
  • - اضغط عرض للحصول على وصف موجز للتنبيه والخطوات الموصى بها للتحقيق والحد من التهديد
الأدلة

تجمع التفاصيل لكل العمليات، الملفات، التسجيلات وقيم الشبكة المحددة في الدليل من تنبيهات القصة المختلفة.

بعض الأعمدة في جدول الأدلة مشتركة بين جميع أنواع الأدلة، وبعضها خاص لكل نوع.

هذه هي الأعمدة التي تظهر لكل أنواع الأدلة:

  • الحكم - الحكم الذي أنشأته "Defender" للقطعة من الأدلة (ضار، مشبوه، أو لا تهديدات وجدت)
  • حالة العلاج - يوضح ما إذا تم معالجة التهديد
  • تم الإنشاء - تاريخ ووقت تسجيل الحدث

هذه هي الأعمدة المحددة لنوع كل دليل:

  • العمليات:

    • - اسم الملف القابل للتنفيذ للمعالجة
    • - رقم المعرف التي عينتها Windows للمعالجة
    • تنسيق المعلمات التي تم تمريرها إلى العملية في Windows. يمكن أن يكشف هذا عن سياق مهم حول تنفيذ عملية مشبوهة
    • - موقع على جهاز النهاية للملف القابل للتنفيذ للعملية

  • الملفات:

    • - موقع الملف على جهاز النهاية
    • - اسم الملف متضمنًا الامتداد
    • - حجم الملف بالبايت، الكيلوبايت، أو الميجابايت

  • التسجيل:

    • مفتاح التسجيل الاسم
    • نوع قيمة السجل - تنسيق البيانات المخزنة في قيمة التسجيل
    • قيمة السجل - قيمة الإدخال في السجل

  • الشبكة:

    • يوضح بيانات الشبكة للتدفق الذي أنشأ التنبيه، مثل الوجهة IP، منفذ الوجهة، بيانات DNS وHTTP، وعنوان URL الذي تم الوصول إليه

نظرة عامة على موصلات Microsoft

لتكوين موصل Cato لـ Microsoft Defender لجلب بيانات التنبيه، يجب عليك أولاً تهيئة موصل Microsoft 365 كتطبيق الأب لإعطاء تصاريح القراءة لموصل الدفاع. يتمتع التطبيق الأب فقط بصلاحيات إدارة موصلات Microsoft. بعد تكوين موصل Microsoft 365، يمكنك إعداد موصل الدفاع لاسترجاع بيانات التنبيه.

إذا كنت تريد استيراد بيانات تنبيه من مختلف الفروع داخل مؤسستك، قم بإنشاء موصل Microsoft 365 منفصل لكل مستأجر مايكروسوفت أزور ذو علاقة، ثم قم بإعداد موصل دفاع لكل مستأجر.

المتطلبات المسبقة

  • يتطلب ترخيص Microsoft 365 E3 أو أعلى
  • يتطلب موصل Microsoft 365 مشرفًا بدور المشرف العالمي لمنح الأذونات لموصل الدفاع Cato

الأذونات المطلوبة لموصل Microsoft Defender

للسماح لموصل الدفاع باسترجاع بيانات التنبيه من حساب Microsoft 365 الخاص بك، يعطي الموصل Cato الأذونات والإجراءات التالية باستخدام Microsoft 365:

  • الاتصال بواجهات برمجة التطبيقات لـ Microsoft وقراءة جميع بيانات الدفاع للنقطة النهائية الخاصة بالمؤسسة
  • التسجيل وقراءة ملف تعريف المستخدم

تهيئة موصلات مايكروسوفت

تكوين موصل Microsoft 365 الأم ثم إعداد موصل الدفاع لحساب Microsoft 365.

إذا كانت مؤسستك قد قامت بالفعل بتكوين موصل Microsoft 365 الأم لميزة أخرى، مثل سياسة واجهة برمجة تطبيقات الأمان السحابي لتطبيقات Microsoft، أو لاستيراد تسميات سرية المعلومات MIP إلى سياسة DLP الخاصة بك، فإنك تحتاج فقط لإعداد موصل دفاع.

تكوين موصل Microsoft 365

استخدم تطبيق إدارة Cato لإنشاء موصل تطبيقات Microsoft 365 SaaS للمستأجر مايكروسوفت أزور ذو علاقة. يجب أن تكون لديك بيانات اعتماد صحيحة للمصادقة مع Microsoft 365 لإضافة الموصل إلى حساب Cato الخاص بك.

Endpoint_Connectors.png

لتهيئة موصل النقطة النهائية الأب لـ Microsoft 365:

  1. من قائمة التنقل، اختر الأمن > الموصلات، واختار علامة تبويب إعدادات الموصلات.
  2. انقر على جديد. تفتح لوحة موصل جديد.

  3. من قائمة التطبيقات SaaS اختر تطبيق Microsoft 365.

    MIP_New_Connector_MS365.png
  4. أدخل اسم الموصل الفريد.

  5. انقر على تفويض وحفظ.

    يفتح علامة تبويب جديدة في المتصفح لتطبيق Microsoft 365.

  6. في علامة تبويب المتصفح الجديدة، قم بالمصادقة مع تطبيق Microsoft 365:
    1. اختر الحساب الخاص بـ Microsoft لتطبيق Microsoft 365.
    2. أدخل كلمة المرور للتطبيق وقم بختمها.

    3. اقبل الأذونات للسماح لـ Cato بالوصول إلى تطبيق Microsoft 365.

      MIP_Labels_Parent_Connector_Permissions.png

    4. تُظهر الشاشة أنك قد قمت بتطبيق الأذونات بنجاح للتطبيق.

      Success_Connector_Permissions.png

      يمكنك إغلاق علامة تبويب المتصفح والعودة إلى تطبيق إدارة Cato.

  7. يتم إضافة تطبيق Microsoft 365 SaaS إلى صفحة إعدادات الموصلات.

    Endpoint_Connectors_-_MS_365.png

    قد يستغرق نظام مايكروسوفت أزور عدة ثوان لمعالجة الطلب، لذا إذا كان الحالة يظهر في انتظار موافقة المستخدم، فيرجى تحديث المتصفح.

تهيئة موصل الدفاع لـ Microsoft للنقطة النهائية

استخدم تطبيق إدارة Cato لإنشاء موصل تطبيقات SaaS لـ Microsoft Defender للنقطة النهائية لمستأجر أزور الذي يحتوي على بيانات التنبيه التي تريد استخدامها. يجب أن تكون لديك بيانات اعتماد صحيحة للمصادقة مع Microsoft 365 لإضافة الموصل إلى حساب Cato الخاص بك.

ملاحظة

ملاحظة: عندما تقوم بإنشاء موصل API لتطبيق Microsoft 365، فإنه يقوم بإنشاء شهادة مصادقة صالحة لمدة 3 أشهر، ويقوم بتجديد الشهادة قبل 7 أيام من الانتهاء.

لتهيئة موصل الدفاع لـ Microsoft:

  1. من قائمة التنقل، اختر الأمن > الموصلات، واختار علامة تبويب إعدادات الموصلات.
  2. انقر على جديد. تفتح لوحة موصل جديد.

  3. من قائمة التطبيقات Saas اختر تطبيق Microsoft Defender.

    Defender_Connector.png
  4. من قائمة التطبيقات Connector Tenant اختر موصل Microsoft 365 الأب للمستأجر ذو بيانات التنبيه التي ترغب في استخدامها.
  5. أدخل اسم الموصل الفريد لموصل الدفاع.
  6. انقر على حفظ.

  7. بعد إنشاء الموصل بنجاح، انقر على تفويض.

    MIP_Labels_SuccessCreate_Authorize.png

    يفتح علامة تبويب جديدة في المتصفح لتطبيق Microsoft 365.

  8. في علامة تبويب المتصفح الجديدة، قم بالمصادقة مع تطبيق Microsoft 365:
    1. اختر الحساب الخاص بـ Microsoft لتطبيق Microsoft 365.
    2. أدخل كلمة المرور للتطبيق وقم بختمها.

    3. اقبل الأذونات للسماح لـ Cato بالوصول إلى تطبيق Microsoft 365.

      Defender_connector_permissions.png

    4. تُظهر الشاشة أنك قد قمت بتطبيق الأذونات بنجاح للتطبيق.

      Success_Connector_Permissions.png

      يمكنك إغلاق علامة تبويب المتصفح والعودة إلى تطبيق إدارة Cato.

  9. يتم إضافة تطبيق Microsoft Defender SaaS إلى صفحة إعدادات الموصلات.

    Endpoint_Connectors.png

    قد يستغرق نظام مايكروسوفت أزور عدة ثوان لمعالجة الطلب، لذا إذا كان الحالة يظهر في انتظار موافقة المستخدم، فيرجى تحديث المتصفح.

فهم حالة الموصل

تعرض عمود الحالة في صفحة إعدادات الموصلات حالة الاتصال بين تطبيق Microsoft وحساب Cato الخاص بك. هذه هي تفسيرات الحالات:

  • متصل - حسابك متصل بالتطبيق ويعمل بشكل صحيح
  • في انتظار موافقة المستخدم - لم تُمنح الأذونات للسماح لـ Cato بالوصول إلى تطبيق Microsoft 365. لحل هذه المشكلة، قم بتحديث المتصفح. إذا تغيرت الحالة إلى متصل، فالمشكلة مُحلَّة، وإذا لم تتغير الحالة، قم بحذف وإعادة إنشاء الموصل.
  • خطأ - هناك مشكلة في الاتصال أو الأذونات أو غيرها مع موصل Microsoft. قم بحذف وإعادة إنشاء الموصل.

عرض صفحة ورشة عمل القصص

بمجرد إنشاء الموصل، ستكون القصص مرئية في ورشة عمل القصص.

لعرض صفحة ورشة عمل القصص:

  • من قائمة التنقل، انقر على الرئيسية > ورشة عمل القصص.

لمعرفة المزيد عن الأعمدة في Stories Workbench، انظر فهم أعمدة القصص

لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من مدافعة Microsoft، انظر التعمق وتحليل قصص XOps الأمنية

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات