تتناول هذه المقالة كيفية استخدام مجموعة قصص العمل لمراجعة قصص XOps الخاصة بشذوذات تسجيل الدخول المكتشفة في تنبيهات حماية Microsoft Entra ID.
ملاحظة
ملاحظة: XOps هي طبقة التحليلات الموحدة للأمن والعمليات المقدمة من Cato، وتقدم رؤى وإصلاحات موجهة. تم استبدال XDR بـ XOps، لمزيد من المعلومات، قم بزيارة الأسئلة الشائعة حول XOps.
تساعد Microsoft Entra ID Protection المؤسسات على كشف المخاطر القائمة على الهوية لمستأجر Entra ID الخاص بها، مثل تسجيل الدخول غير المعتاد الذي قد يشير إلى نشاط خبيث. باستخدام واجهة API الخاصة بـ Microsoft، يمكنك دمج بيانات التنبيهات من حماية Microsoft Entra ID لإنشاء قصص Cato XOps (سابقًا XDR). يتيح ذلك للمحللين تضمين بيانات من عمليات تسجيل الدخول الخطيرة ضمن السياق الأوسع لتحقيقات XOps. يقوم محرك إنذار هوية Cato Entra بإنشاء قصة عن طريق ربط البيانات من تنبيهات حماية Entra ID التي حدثت لنفس المستخدم خلال فترة 24 ساعة. يعرض Workbench القصص قصص تنبيه هوية Entra مع أنواع القصص الأخرى، ويمكنك فرز وتصفية القصص للتركيز على قصص تنبيه هوية Entra.
يمكنك أيضًا إثراء قصص تنبيه هوية Entra من خلال دمج بيانات أحداث تسجيل الدخول من Microsoft Entra ID. يوفر هذا سياقًا لسلوك المستخدم المعتاد عند تسجيل الدخول والذي يمكن مقارنته مع بيانات التنبيه غير المعتادة التي تقدمها Entra ID Protection.
لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من معرف Microsoft Entra، انظر الحفر والتحليل لقصص أمان XOps
-
تتطلب قصص XOps لتنبيهات حماية Microsoft Entra ID تكوين موصل حماية Microsoft Entra ID. لمعرفة المزيد عن تكوين الموصل بما في ذلك تراخيص Microsoft المطلوبة والأذونات، انظر تكوين موصل Microsoft Entra ID Protection لبيانات انحراف تسجيل الدخول.
-
لبيانات أحداث تسجيل الدخول في ويدجات Sign-In Events و Sign-In Events on the User، يتطلب تكوين موصل Microsoft Entra ID. لمعرفة المزيد عن تكوين الموصل بما في ذلك ترخيص Microsoft المطلوب والأذونات، انظر تكوين موصل Microsoft Entra ID (Azure AD).
ملاحظة
ملاحظات:
-
إذا قمت بتكوين موصل Microsoft Entra ID Protection فقط، يتم إنشاء قصص هوية Entra، ومع ذلك فإن ويدجات Sign-In Events و Sign-In Events on the User لا تعرض بيانات.
-
إذا قمت بتكوين موصل Microsoft Entra ID فقط، لا يتم إنشاء قصص هوية Entra.
تُظهر عمود الحالة في صفحة إعدادات الموصلات حالة الاتصال بين تطبيق CrowdStrike وحسابك في Cato. هذه هي تفسيرات الحالات:
-
متصل - حسابك متصل بالتطبيق ويعمل بشكل صحيح
-
بانتظار موافقة المستخدم - لم تُمنح الأذونات للسماح لـ Cato بالوصول إلى تطبيق CrowdStrike. لحل هذه المشكلة، قم بتحديث المتصفح. إذا تغيرت الحالة إلى متصل، فإن المشكلة قد حُلت، وإذا لم تتغير الحالة، احذف وأعد إنشاء الموصل.
-
خطأ - هناك مشكلة في الاتصال أو الأذونات أو الترخيص أو مشكلة أخرى بالموصل. احذف وأعد إنشاء الموصل.
بمجرد إنشاء الموصل، ستكون القصص مرئية في Workbench للقصص.
لمعرفة المزيد عن الأعمدة في Workbench القصص، انظر فهم أعمدة القصص
لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من Microsoft Defender، انظر الحفر والتحليل لقصص أمان XOps
لا توجد تعليقات
المقال مغلق أمام التعليقات.