Microsoft Defender para Alertas de Endpoint: Configurando la Integración XOps

Este artículo discute la integración de datos de Microsoft Defender para Endpoint para generar historias que puede revisar en el Banco de Trabajo de Historias de Cato.

Resumen de historias de Alerta de Puntos de conexión

Usando la API de Microsoft, puede integrar los datos de alerta de Microsoft Defender para Endpoint para generar historias para los dispositivos de punto final. Las historias de punto final le ayudan a obtener una imagen más completa de las amenazas potenciales en su red.

El motor de "Alertas de Endpoint de Cato" crea una historia al correlacionar datos de "Alertas" relacionadas con el mismo "Incidente de Defender". Las historias de Alerta de Puntos de conexión incluyen toda la evidencia relevante para las Alertas detectadas por Defender. El Banco de Trabajo de Historias muestra las historias de punto final junto con otros tipos de historias, y puede ordenar y filtrar las historias para centrarse en las historias de Alerta de Endpoint.

Para integrar los datos de alerta de Defender para Endpoint con Cato XOps, primero debe configurar conectores API para Microsoft 365 y para Defender para Endpoint. Después de crear los conectores, el motor de Alerta de Endpoint recupera y analiza los datos de alerta de Defender para Endpoint.

Para más información sobre cómo revisar las historias XOps, incluyendo datos de Microsoft Defender, consulte Profundizando y Analizando Historias de Seguridad XOps

Resumen de Nivel Alto de Integración de Historias de Alerta de Puntos de conexión

Esta es una descripción de alto nivel del flujo de trabajo para integrar y revisar historias de Defender para Endpoint en el Banco de Trabajo de Historias:

Crear el conector principal de Microsoft 365.
Crear el conector de Defender Para Endpoint.
Revisar las historias de Alerta de punto final en el Banco de Trabajo de Historias.

Limitaciones conocidas

La configuración en el panel de Acciones de la historia no es configurable para las historias de Alerta de punto final. Todos los campos relacionados con las acciones aparecen como N/D. Para más sobre el panel de Acciones de la historia, ver más abajo.
Las historias de Alertas de Microsoft Endpoint para dispositivos compartidos incluyen en la historia a todos los usuarios que iniciaron sesión en el dispositivo, mientras que la Alerta relevante de Defender para Endpoint puede mostrar solo un usuario.
Para agregar un conector, debe tener permiso de editor para Integraciones (en la sección de Recursos). Para más información, consulte Gestión de Roles de Administrador Usando RBAC.

Comprendiendo las Historias de Alerta de Microsoft Endpoint

El productor de Alertas de Microsoft Endpoint genera historias basadas en la integración. Esta sección explica la información disponible en la pestaña de Resumen de la página de desglose de historias.

Historia actualizada de Defender Para Endpoint.png

Estos son los widgets de Resumen de las historias:

Nombre	Descripción
Widget de resumen	La barra en la parte superior de la página muestra un resumen de la información básica sobre la historia, incluyendo el: Gravedad de la amenaza Resumen de los detalles de la historia Severidad de la amenaza según lo determinado por un analista Veredicto de la amenaza según lo determinado por un analista
Cronología	Una cronología de eventos o acciones realizadas en la historia.
Detalles	Información básica de la historia. Haga clic en el enlace URL del Incidente para ver el Incidente en Microsoft Defender.
Entidades	Las entidades involucradas en el incidente. Estas podrían ser Usuarios, Dispositivos, Sitios, Almacenes de datos, aplicaciones, etc. Una historia puede incluir alertas para múltiples usuarios y dispositivos.
Alertas	Muestra detalles de las Alertas relacionadas con el Incidente de Defender. Expanda una Alerta para mostrar un árbol de procesos cronológico para las Evidencias relacionadas con la Alerta, incluyendo procesos, archivos y valores de registro. Haga clic en un elemento en el árbol de procesos para profundizar y mostrar datos granulares sobre la Evidencia. Estas son las columnas que aparecen en la tabla: Un Nombre de Alerta que describe la actividad sospechosa. Gravedad - Puntuación de riesgo global para la Alerta calculada por el algoritmo de análisis de riesgo de aprendizaje automático de Cato (los valores son de 1 - 10). La IP Local y IP Externa del dispositivo involucrado en la Alerta. Nombre de Usuario del Proveedor - La cuenta de usuario que Microsoft Defender ha asociado con la alerta. Nombre del Dispositivo - Nombre del dispositivo involucrado en la Alerta. Sistema Operativo - Sistema operativo del dispositivo involucrado en la Alerta. Nombre de Dominio del Proveedor - El dominio local, AD o de Windows asociado con la cuenta de usuario en la alerta. ID de Alerta - El número de ID para la Alerta. Técnicas MITRE - Técnicas MITRE ATT&CK® identificadas para la amenaza. Para más información sobre el marco de MITRE ATT&CK®, consulte Usando el Dashboard MITRE ATT&CK®. Estado - Muestra si la Alerta es Nueva o ya fue Resuelta. Fecha de Primera Actividad - Fecha de la actividad sospechosa inicial detectada para la Alerta. Fecha de Última Actividad - Fecha de la actividad sospechosa más reciente detectada para la Alerta. Nombre de la Amenaza - Nombre del malware detectado. Por ejemplo: Trojan:Win32/Startpage Descripción y Acciones Recomendadas - Haga clic en Ver para una breve descripción de la Alerta y los pasos recomendados para investigar y mitigar la amenaza.
Evidencias	Agrega detalles para todos los Procesos, Archivos, valores de Registro y parámetros de Red identificados en la evidencia de las diversas Alertas de historias. Algunas de las columnas en la tabla de Evidencias son compartidas por todos los tipos de Evidencias, y algunas son específicas por tipo. Estas son las columnas que aparecen para todos los tipos de Evidencias: Veredicto - Veredicto generado por Defender para la pieza de evidencia (Malicioso, Sospechoso, o No se encontraron amenazas). Estado de remediación - Muestra si la amenaza fue remediada. Creado - Fecha y hora cuando el evento fue registrado. Estas son las columnas específicas para cada tipo de Evidencia: Procesos: Nombre del proceso - Nombre del archivo ejecutable para el proceso. ID de proceso - Número de ID asignado por Windows para el proceso. Línea de comandos del proceso - Argumentos que se pasaron al proceso en Windows. Esto puede revelar un contexto importante sobre la ejecución de un proceso sospechoso. Ruta del Archivo - Ubicación en el dispositivo endpoint del archivo ejecutable para el proceso. Archivos: Ruta del Archivo - Ubicación del archivo en el dispositivo endpoint. Nombre de Archivo - Nombre del archivo incluyendo la extensión. Tamaño de Archivo - Tamaño del archivo en bytes, kilobytes, o megabytes. Registro: Clave de Registro Nombre Tipo de valor del registro - Formato de los datos almacenados en el valor del registro. Valor del Registro - El valor de la entrada del registro. Red: Muestra datos de red para el flujo que generó la alerta, como la IP de Destino, Puerto Destino, datos DNS y HTTP, y el URL accedido.

Visión General de los Conectores de Microsoft

Para configurar el conector de Microsoft Defender de Cato para obtener datos de alerta, primero necesita configurar el conector de Microsoft 365 como la aplicación principal para otorgar permisos de lectura al conector de Defender. La aplicación principal solo tiene permisos para gestionar los conectores de Microsoft. Después de configurar el conector de Microsoft 365, puede configurar un conector de Defender para recuperar los datos de alerta.

Si desea importar datos de alerta de diferentes sub-organizaciones dentro de su organización, cree un conector de Microsoft 365 separado para cada inquilino de Azure relevante, y luego configure un conector de Defender para cada inquilino.

Requisitos Previos

Se requiere una licencia de Microsoft 365 E3 o superior
El conector de Microsoft 365 requiere un administrador con el rol de administrador global para otorgar permisos al conector de Defender de Cato

Permisos Requeridos para el Conector de Microsoft Defender

Para permitir que el conector de Defender recupere los datos de alerta de su cuenta de Microsoft 365, el conector otorga a Cato los siguientes permisos y acciones con Microsoft 365:

Conectarse a las APIs de Microsoft y leer todos los datos de Defender para Endpoint para una organización
Iniciar sesión y leer el perfil de usuario

Configuración de los Conectores de Microsoft

Configure un conector principal de Microsoft 365 y luego defina un conector de Defender para la cuenta de Microsoft 365.

Si su organización ya configuró un conector principal de Microsoft 365 para otra funcionalidad, como una política de API de Seguridad SaaS para aplicaciones de Microsoft, o para importar etiquetas MIP a su política DLP, solo necesita configurar un conector de Defender.

Configuración del Conector de Microsoft 365

Use la Aplicación de Gestión de Cato para crear el conector de aplicación SaaS de Microsoft 365 para el inquilino de Azure relevante. Debe tener las credenciales correctas para autenticarse en Microsoft 365 para agregar el conector a su cuenta de Cato.

Para configurar el conector de punto final padre de Microsoft 365:

Desde el menú de navegación, seleccione Seguridad > Conectores, y seleccione la pestaña Configuración de Conectores.
Haz clic en Nuevo. Se abre el panel de Nuevo Conector.
Desde el menú desplegable de Aplicación SaaS, seleccione la aplicación Microsoft 365.
Ingrese un Nombre de Conector único.
Haz clic en Autorizar y Guardar.

Se abre una nueva pestaña del navegador para la aplicación Microsoft 365.
En la nueva pestaña del navegador, autentíquese en la aplicación Microsoft 365:
1. Seleccione la cuenta de Microsoft para la aplicación Microsoft 365.
2. Ingrese la contraseña de la aplicación y apruébela.
3. Aceptar los permisos para permitir que Cato acceda a la aplicación Microsoft 365.
4. La pantalla muestra que ha aplicado con éxito los permisos para la aplicación.
  
  Puede cerrar la pestaña del navegador y volver a la Aplicación de Gestión de Cato.
La aplicación SaaS de Microsoft 365 se ha añadido a la página de Configuración de Conectores.

Microsoft Azure puede tardar varios segundos en procesar la solicitud, por lo que si el Estado muestra Pendiente de consentimiento del usuario, actualice el navegador.

Configuración del Conector de Microsoft Defender para Endpoint

Use la Aplicación de Gestión de Cato para crear el conector de aplicación SaaS de Microsoft Defender para Endpoint para el inquilino de Azure con los datos de alerta que desea utilizar. Debe tener las credenciales correctas para autenticarse en Microsoft 365 para agregar el conector a su cuenta de Cato.

Nota

Nota: Cuando crea un conector API para una aplicación de Microsoft 365, el conector crea un certificado de autenticación que es válido por 3 meses, y renueva el certificado 7 días antes de la expiración.

Para configurar el conector de Microsoft Defender:

Desde el menú de navegación, seleccione Seguridad > Conectores, y seleccione la pestaña Configuración de Conectores.
Haz clic en Nuevo. Se abre el panel de Nuevo Conector.
Desde el menú desplegable de Aplicación SaaS, seleccione la aplicación Microsoft Defender.
Desde el menú desplegable de Inquilino del Conector, seleccione el conector padre de Microsoft 365 para el inquilino con los datos de alerta que desea utilizar.
Ingrese un Nombre de Conector único para el conector de Defender.
Haz clic en Guardar.
Después de que el conector sea creado con éxito, haga clic en Autorizar.

Se abre una nueva pestaña del navegador para la aplicación Microsoft 365.
En la nueva pestaña del navegador, autentíquese en la aplicación Microsoft 365:
1. Seleccione la cuenta de Microsoft para la aplicación Microsoft 365.
2. Ingrese la contraseña de la aplicación y apruébela.
3. Aceptar los permisos para permitir que Cato acceda a la aplicación Microsoft 365.
4. La pantalla muestra que ha aplicado con éxito los permisos para la aplicación.
  
  Puede cerrar la pestaña del navegador y volver a la Aplicación de Gestión de Cato.
La aplicación SaaS de Microsoft Defender se ha añadido a la página de Configuración de Conectores.

Microsoft Azure puede tardar varios segundos en procesar la solicitud, por lo que si el Estado muestra Pendiente de consentimiento del usuario, actualice el navegador.

Entendiendo el Estado del Conector

La columna de Estado en la página de Configuración de Conectores muestra el estado de la conexión entre la aplicación de Microsoft y su cuenta de Cato. Estas son las explicaciones de los estados:

Conectado - Su cuenta está conectada a la aplicación y está funcionando correctamente
Pendiente de consentimiento del usuario - No se han otorgado permisos para permitir que Cato acceda a la aplicación de Microsoft 365. Para resolver este problema, actualice el navegador. Si el Estado cambia a Conectado, el problema está resuelto; si el Estado no cambia, elimine y recree el conector.
Error - Hay un problema de conectividad, permisos u otro problema con el conector de Microsoft. Elimine y recree el conector.

Viendo la Página del Banco de Trabajo de Historias

Una vez que haya creado el conector, las historias serán visibles en el Banco de Trabajo de Historias.

Para ver la página del Banco de Trabajo de Historias:

Desde el menú de navegación, haga clic en Inicio > Banco de Trabajo de Historias.

Para obtener información sobre las columnas en el Banco de Trabajo de Historias vea Entendiendo las Columnas de Historias