تناقش هذه المقالة كيفية استخدام ورشة العمل القصصية لمراجعة قصص XOps لحالات تسجيل الدخول غير الطبيعية التي يتم اكتشافها في إنذارات حماية معرف Microsoft Entra.
تساعد حماية معرف Microsoft Entra المؤسسات في اكتشاف المخاطر المستندة إلى الهوية لمستأجر معرف Entra الخاص بهم، مثل تسجيلات الدخول غير الطبيعية التي قد تشير إلى نشاط ضار. باستخدام واجهة برمجة التطبيقات Microsoft، يمكنك دمج بيانات التنبيه من حماية Microsoft Entra ID لإنشاء قصص Cato XOps. يسمح هذا للمحللين بتضمين بيانات من تسجيلات الدخول الخطرة في سياق أوسع لتحقيقات XOps. يقوم محرك إنذار هوية Cato Entra بإنشاء قصة عن طريق ربط بيانات من إنذارات حماية معرف Entra التي حدثت لنفس المستخدم خلال فترة 24 ساعة. تُظهر ورشة العمل القصصية قصص التنبيه الخاصة بمعرف Entra جنبًا إلى جنب مع أنواع القصص الأخرى، ويمكنك فرز القصص وتصفية التركيز على قصص تنبيه الهوية الخاصة بمعرف Entra.
يمكنك أيضًا إثراء قصص تنبيه الهوية الخاصة بمعرف Entra من خلال دمج بيانات حدث تسجيل الدخول من معرف Microsoft Entra. يوفر هذا سياقًا لسلوك تسجيل الدخول المعتاد للمستخدم الذي يمكن مقارنته مع بيانات الإنذار غير الطبيعية التي تقدمها حماية معرف Entra.
لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك بيانات من معرف Microsoft Entra، انظر التنقيب وتحليل قصص أمان XOps
-
تتطلب قصص XOps الخاصة بإنذارات حماية معرف Microsoft Entra تكوين موصل حماية معرف Entra الخاص بـ Microsoft. لمزيد من المعلومات حول تكوين الموصل بما في ذلك التراخيص والأذونات المطلوبة من Microsoft، انظر تكوين موصل حماية معرف Entra الخاص بـ Microsoft لبيانات تسجيل الدخول الغير العادية.
-
لبيانات حدث تسجيل الدخول في عناصر أحداث تسجيل الدخول و أحداث تسجيل الدخول على المستخدم، يتطلب تكوين موصل معرف Microsoft Entra. لمزيد من المعلومات حول تكوين الموصل بما في ذلك التراخيص والأذونات المطلوبة من Microsoft، انظر تكوين موصل معرف Entra الخاص بـ Microsoft (Azure AD).
-
لإضافة موصل، يجب أن يكون لديك إذن محرر لـ التكاملات (في قسم الموارد). لمزيد من المعلومات، انظر إدارة أدوار المسؤول باستخدام RBAC.
ملاحظة
ملاحظات:
-
إذا قمت بتكوين موصل حماية معرف Entra الخاص بـ Microsoft فقط، سيتم إنشاء قصص هوية Entra، ومع ذلك، تظهر عناصر أحداث تسجيل الدخول و أحداث تسجيل الدخول على المستخدم بدون بيانات.
-
إذا قمت بتكوين موصل معرف Entra الخاص بـ Microsoft فقط، لن يتم إنشاء أي قصص هوية Entra.
يعرض عمود الحالة على صفحة إعدادات الموصلات حالة الاتصال بين تطبيق CrowdStrike وحسابك على Cato. هذه هي تفسيرات الحالات:
-
متصل - حسابك متصل بالتطبيق ويعمل بشكل صحيح
-
انتظار موافقة المستخدم - لم يتم منح الأذونات لـ Cato للوصول إلى تطبيق CrowdStrike. لحل هذه المشكلة، قم بتحديث المتصفح. إذا تغير الحالة إلى متصل، فهذه المسألة قد تم حلها، إذا لم تتغير حالة الحالة، قم بحذف وإعادة إنشاء الموصل.
-
خطأ - هناك مشكلة في الاتصال أو الأذونات أو الترخيص أو غيرها في الموصل. قم بحذف وإعادة إنشاء الموصل.
بمجرد إنشاء الموصل، ستظهر القصص في ورشة عمل القصص.
لمزيد من المعلومات حول الأعمدة في ورشة عمل القصص انظر فهم الأعمدة في القصص
لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك بيانات من Microsoft Defender، انظر التنقيب وتحليل قصص أمان XOps
لا توجد تعليقات
المقال مغلق أمام التعليقات.