تنبيهات Microsoft Defender لنقطة النهاية: تكوين تكامل XOps

تتناول هذه المقالة دمج البيانات من Microsoft Defender for Endpoint لإنشاء حكايات يمكنك مراجعتها في ورشة عمل حكايات كاتو.

ملحوظة

ملاحظة: XOps هو الطبقة التحليلية الموحدة الخاصة بـ Cato للأمن والعمليات، التي تقدم رؤى وإرشادات للمعالجة. لقد حلت XOps محل XDR، لمزيد من المعلومات، انظر الأسئلة الشائعة عن XOps.

نظرة عامة على قصص تنبيهات نقاط النهاية

باستخدام واجهة برمجة التطبيقات من Microsoft، يمكنك دمج بيانات التنبيه من Microsoft Defender for Endpoint لإنشاء حكايات لأجهزة النقطة النهائية. تساعدك حكايات النقطة النهائية في الحصول على صورة أكثر اكتمالاً عن التهديدات المحتملة في شبكتك.

تنشئ محرك تنبيهات النقطة النهائية من كاتو حكاية من خلال ربط البيانات من التنبيهات التي حدثت على نفس الجهاز خلال فترة 24 ساعة. تتضمن حكايات تنبيه النقطة النهائية جميع الأدلة ذات الصلة للتنبيه المكتشف بواسطة Defender. تظهر ورشة عمل الحكايات حكايات النقطة النهائية مع الأنواع الأخرى من الحكايات، ويمكنك فرز وتصنيف الحكايات للتركيز على حكايات تنبيه النقطة النهائية.

لدمج بيانات تنبيهات Defender for Endpoint مع Cato XOps (سابقًا XDR)، عليك أولاً إعداد موصلات API لـ Microsoft 365 و Defender for Endpoint. بعد إنشاء الموصلات، يسترجع محرك تنبيه النقطة النهائية بيانات التنبيه من Defender for Endpoint ويفحصها.

لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من Microsoft Defender، انظر الحفر والتحليل لقصص XOps الأمنية

نظرة عامة عالية المستوى على دمج قصص تنبيهات نقاط النهاية

هذه وصف عالي المستوى لسير العمل لدمج ومراجعة حكايات Defender for Endpoint في ورشة عمل الحكايات:

  1. أنشئ موصل Microsoft 365 الرئيسي.

  2. أنشئ موصل Defender للنقطة النهائية.

  3. راجع حكايات تنبيه النقطة النهائية في ورشة عمل الحكايات.

القيود المعروفة

  • الإعدادات في لوحة أعمال القصة غير قابلة للتكوين لقصص تنبيهات نقاط النهاية. تظهر جميع الحقول المتعلقة بالإجراءات كـ N/A. للمزيد حول لوحة إجراءات القصة، انظر أدناه.

  • تشمل قصص تنبيهات نقاط النهاية لـ Microsoft أجهزة مشتركة في القصة جميع المستخدمين الذين قاموا بتسجيل الدخول إلى الجهاز، بينما قد تعرض المدافع ذات الصلة لنقاط النهاية للتنبيه مستخدمًا واحدًا فقط.

نظرة عامة على موصلات Microsoft

لتكوين موصل Microsoft Defender لـ Cato لجلب بيانات التنبيه، عليك أولاً تكوين موصل Microsoft 365 كتطبيق رئيسي لمنح أذونات القراءة لموصل Defender. التطبيق الرئيسي لديه أذونات فقط لإدارة موصلات Microsoft. بعد تكوين موصل Microsoft 365، يمكنك تكوين موصل Defender لاسترجاع بيانات التنبيه.

إذا كنت ترغب في استيراد بيانات التنبيه من المنظمات الفرعية المختلفة داخل منظمتك، أنشئ موصل Microsoft 365 منفصل لكل مستأجر Azure ذات صلة، ثم قم بتكوين موصل Defender لكل مستأجر.

المتطلبات المسبقة

  • مطلوب رخصة Microsoft 365 E3 أو أعلى

  • يتطلب موصل Microsoft 365 مسؤولًا يمتلك دور المسؤول العالمي لمنح الأذونات لموصل Defender من كاتو

الأذونات المطلوبة لموصل Microsoft Defender

للسماح لموصل Defender باسترجاع بيانات التنبيه من حساب Microsoft 365 الخاص بك، يوفر الموصل لكاتو الأذونات والإجراءات التالية مع Microsoft 365:

  • الاتصال بواجهات برمجة التطبيقات من Microsoft وقراءة جميع بيانات Defender for Endpoint لمنظمة

  • تسجيل الدخول وقراءة الملف الشخصي للمستخدم

تكوين موصلات Microsoft

قم بتكوين موصل Microsoft 365 الرئيسي ثم عرف موصل Defender من أجل حساب Microsoft 365.

إذا كانت مؤسستك قد كونت بالفعل موصل الأب لـ Microsoft 365 لميزة أخرى، مثل سياسة Saas Security API لتطبيقات Microsoft، أو لاستيراد تسميات MIP إلى سياستك DLP، فأنت بحاجة فقط إلى تكوين موصل Defender.

تكوين موصل Microsoft 365

استخدم تطبيق إدارة كاتو لإنشاء موصل تطبيق SaaS لـ Microsoft 365 للمستأجر Azure ذات الصلة. يجب أن يكون لديك أوراق الاعتماد الصحيحة للتوثيق إلى Microsoft 365 لإضافة الموصل إلى حساب كاتو الخاص بك.

Endpoint_Connectors.png

لتكوين موصل النقطة النهاية الرئيسي لـ Microsoft 365:

  1. من قائمة التنقل، اختر الأمان > الموصلات، وحدد علامة التبويب إعدادات الموصلات.

  2. انقر على جديد. تفتح لوحة الموصل الجديد.

  3. من قائمة السحب المنسدلة تطبيق SaaS، حدد تطبيق Microsoft 365.

    MIP_New_Connector_MS365.png

  4. أدخل اسم الموصل فريدًا.

  5. انقر على الترخيص والحفظ.

    تفتح علامة تبويب جديدة للمتصفح إلى تطبيق Microsoft 365.

  6. في علامة التبويب الجديدة للمتصفح، قم بالتوثيق إلى تطبيق Microsoft 365:

    1. حدد حساب Microsoft لتطبيق Microsoft 365.

    2. أدخل كلمة المرور للتطبيق ووافق عليها.

    3. اقبل الأذونات للسماح لكاتو بالوصول إلى تطبيق Microsoft 365.

      MIP_Labels_Parent_Connector_Permissions.png

    4. تظهر الشاشة أنك قد قمت بتطبيق الأذونات للتطبيق بنجاح.

      Success_Connector_Permissions.png

      يمكنك إغلاق علامة التبويب للمتصفح والعودة إلى تطبيق إدارة كاتو.

  7. تمت إضافة تطبيق Microsoft 365 SaaS إلى صفحة إعدادات الموصلات.

    Endpoint_Connectors_-_MS_365.png

    قد يستغرق الأمر عدة ثوانٍ من Azure Microsoft لمعالجة الطلب، لذا إذا أظهر الحالة في انتظار موافقة المستخدم، قم بتحديث المتصفح.

تكوين موصل Microsoft Defender for Endpoint

استخدم تطبيق إدارة كاتو لإنشاء موصل تطبيق SaaS لـ Microsoft Defender for Endpoint لمستأجر Azure مع بيانات التنبيه التي تريد استخدامها. يجب أن يكون لديك أوراق الاعتماد الصحيحة للتوثيق إلى Microsoft 365 لإضافة الموصل إلى حساب كاتو الخاص بك.

ملحوظة

ملحوظة: عندما تقوم بإنشاء موصل API لتطبيق Microsoft 365، يقوم الموصل بإنشاء شهادة توثيق صالحة لمدة ٣ أشهر، وتُجدد الشهادة قبل ٧ أيام من انتهاء صلاحيتها.

لتكوين موصل Microsoft Defender:

  1. من قائمة التنقل، اختر الأمان > الموصلات، وحدد علامة التبويب إعدادات الموصلات.

  2. انقر على جديد. تفتح لوحة الموصل الجديد.

  3. من قائمة السحب المنسدلة تطبيق Saas، حدد تطبيق Microsoft Defender.

    Defender_Connector.png

  4. من قائمة السحب المنسدلة Connector Tenant، حدد موصل Microsoft 365 الرئيسي للمستأجر مع بيانات التنبيه التي تريد استخدامها.

  5. أدخل اسم الموصل فريدًا لموصل Defender.

  6. انقر على حفظ.

  7. بعد إنشاء الموصل بنجاح، انقر على الترخيص.

    MIP_Labels_SuccessCreate_Authorize.png

    تفتح علامة تبويب جديدة للمتصفح إلى تطبيق Microsoft 365.

  8. في علامة التبويب الجديدة للمتصفح، قم بالتوثيق إلى تطبيق Microsoft 365:

    1. حدد حساب Microsoft لتطبيق Microsoft 365.

    2. أدخل كلمة المرور للتطبيق ووافق عليها.

    3. اقبل الأذونات للسماح لكاتو بالوصول إلى تطبيق Microsoft 365.

      Defender_connector_permissions.png

    4. تظهر الشاشة أنك قد قمت بتطبيق الأذونات للتطبيق بنجاح.

      Success_Connector_Permissions.png

      يمكنك إغلاق علامة التبويب للمتصفح والعودة إلى تطبيق إدارة كاتو.

  9. تمت إضافة تطبيق Microsoft Defender SaaS إلى صفحة إعدادات الموصلات.

    Endpoint_Connectors.png

    قد يستغرق الأمر عدة ثوانٍ من Azure Microsoft لمعالجة الطلب، لذا إذا أظهر الحالة في انتظار موافقة المستخدم، قم بتحديث المتصفح.

فهم حالة الموصل

تُظهر العمود الحالة في صفحة إعدادات الموصلات حالة الاتصال بين تطبيق Microsoft وحساب كاتو الخاص بك. هذه هي تفسيرات الحالات:

  • متصل - حسابك متصل بالتطبيق ويعمل بشكل صحيح

  • في انتظار موافقة المستخدم - لم يتم منح الأذونات للسماح لكاتو بالوصول إلى تطبيق Microsoft 365. لحل هذه المشكلة، قم بتحديث المتصفح. إذا تغيرت الحالة إلى متصل، فالمشكلة قد تم حلها، إذا لم تتغير الحالة، احذف وأعد إنشاء الموصل.

  • خطأ - توجد مشكلة في اتصال أو بالأذونات أو مشكلة أخرى مع الموصل من Microsoft. احذف وأعد إنشاء الموصل.

عرض صفحة منصة العمل للقصص

بمجرد إنشاء الموصل، ستصبح القصص مرئية في منصة العمل للقصص.

لعرض صفحة منصة العمل للقصص:

  • من قائمة التنقل، انقر على الرئيسية > ورشة عمل الحكايات.

للحصول على معلومات حول الأعمدة في منصة قصص العمل، انظر فهم أعمدة القصص

لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من Microsoft Defender، انظر الحفر والتحليل لقصص XOps الأمنية

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات