Microsoft Defender para las Alertas de Endpoint: Configurando la integración de XOps

Este artículo discute la integración de datos de Microsoft Defender for Endpoint para generar historias que se pueden revisar en el Stories Workbench de Cato.

Nota

Nota: XOps es la capa de análisis unificada de Cato para seguridad y operaciones, que ofrece insights y orientación para la remediación. XOps ha reemplazado a XDR, para más información, consulte XOps FAQ.

Resumen de las Historias de Alerta de Endpoint

Usando la API de Microsoft, puede integrar datos de alertas de Microsoft Defender for Endpoint para generar historias para dispositivos de endpoint. Las historias de endpoints le ayudan a obtener una imagen más completa de las amenazas potenciales en su network.

El motor de Alertas de Endpoint de Cato crea una historia al correlacionar datos de Alertas de Defender que ocurrieron en el mismo dispositivo dentro de un período de 24 horas. Las historias de Alertas de Endpoint incluyen toda la evidencia relevante para la Alerta detectada por Defender. El Stories Workbench muestra las historias de endpoint junto con otros tipos de historias, y puede ordenarlas y filtrarlas para enfocarse en historias de Alertas de Endpoint.

Para integrar los datos de alerta de Defender para Endpoint con Cato XOps (anteriormente XDR), primero debe configurar los conectores API para Microsoft 365 y para Defender para Endpoint. Después de crear los conectores, el motor de Alertas de Endpoint recupera y analiza los datos de alerta de Defender for Endpoint.

Para más información sobre la revisión de historias de XOps, incluyendo datos de Microsoft Defender, consulte Profundizando y Analizando Historias de Seguridad de XOps

Visión General de Alto Nivel Integrando Historias de Alerta de Endpoint

Esta es una descripción de alto nivel del flujo de trabajo para integrar y revisar historias de Defender for Endpoint en el Stories Workbench:

  1. Crear el conector padre de Microsoft 365.

  2. Crear el conector de Defender for Endpoint.

  3. Revisar las historias de Alertas de Endpoint en el Stories Workbench.

Limitaciones conocidas

  • La configuración en el panel Acciones de la Historia no es configurable para las historias de Alerta de Endpoint. Todos los campos relacionados con las acciones aparecen como N/D. Para más información sobre el panel de Acciones de la Historia, ver a continuación.

  • Las historias de Alerta de Microsoft Endpoint para dispositivos compartidos incluyen en la historia todos los usuarios que iniciaron sesión en el dispositivo, mientras que la Alerta relevante de Defender Para Endpoint puede mostrar solo un usuario.

Descripción general de los Conectores de Microsoft

Para configurar el conector de Microsoft Defender de Cato para obtener datos de alerta, primero necesita configurar el conector de Microsoft 365 como la aplicación padre para otorgar permisos de lectura para el conector de Defender. La aplicación padre solo tiene permisos para gestionar los conectores de Microsoft. Después de configurar el conector de Microsoft 365, puede configurar un conector de Defender para recuperar los datos de alerta.

Si desea importar datos de alerta de diferentes sub-organizaciones dentro de su organización, cree un conector de Microsoft 365 separado para cada inquilino de Azure relevante, y luego configure un conector de Defender para cada inquilino.

Requisitos Previos

  • Se requiere una licencia de Microsoft 365 E3 o superior

  • El conector de Microsoft 365 requiere un admin con el rol de admin global para otorgar permisos al conector de Defender de Cato

Permisos requeridos para el Conector de Microsoft Defender

Para permitir que el conector de Defender recupere los datos de alerta de su cuenta de Microsoft 365, el conector otorga a Cato los siguientes permisos y acciones con Microsoft 365:

  • Conéctese a las API de Microsoft y lea todos los datos de Defender for Endpoint de una organización

  • Inicie sesión y lea el perfil de usuario

Configuración de los Conectores de Microsoft

Configure un conector padre de Microsoft 365 y luego defina un conector de Defender para la cuenta de Microsoft 365.

Si su organización ya configuró un conector principal de Microsoft 365 para otra característica, como una política de API de Seguridad de Saas para aplicaciones de Microsoft, o para importar etiquetas de sensibilidad MIP a su política de DLP, solo necesita configurar un conector de Defender.

Configuración del Conector de Microsoft 365

Use la Aplicación de Administración de Cato para crear el conector de la aplicación SaaS de Microsoft 365 para el inquilino Azure relevante. Debe tener las credenciales correctas para autenticar en Microsoft 365 para agregar el conector a su cuenta de Cato.

Endpoint_Connectors.png

Para configurar el conector de endpoint padre de Microsoft 365:

  1. Desde el menú de navegación, seleccione Seguridad > Conectores, y seleccione la pestaña Configuración de Conectores.

  2. Haga clic en Nuevo. Se abre el panel Nuevo Conector.

  3. Del menú desplegable Aplicación SaaS, seleccione la aplicación Microsoft 365.

    MIP_New_Connector_MS365.png

  4. Ingrese un Nombre de Conector único.

  5. Haga clic en Autorizar y Guardar.

    Se abre una nueva pestaña del navegador en la aplicación de Microsoft 365.

  6. En la nueva pestaña del navegador, autentíquese en la aplicación de Microsoft 365:

    1. Seleccione la cuenta de Microsoft para la aplicación de Microsoft 365.

    2. Ingrese la contraseña para la aplicación y apruébela.

    3. Aceptar los permisos para permitir que Cato acceda a la aplicación de Microsoft 365.

      MIP_Labels_Parent_Connector_Permissions.png

    4. La pantalla muestra que ha aplicado con éxito los permisos para la aplicación.

      Success_Connector_Permissions.png

      Puede cerrar la pestaña del navegador y volver a la Aplicación de Administración de Cato.

  7. La aplicación SaaS de Microsoft 365 se agrega a la página Configuración de Conectores.

    Endpoint_Connectors_-_MS_365.png

    A Microsoft Azure le puede tomar varios segundos procesar la solicitud, así que si el Estado muestra Pendiente de consentimiento del usuario, actualice el navegador.

Configuración del Conector de Microsoft Defender for Endpoint

Use la Aplicación de Administración de Cato para crear el conector de la aplicación SaaS de Microsoft Defender for Endpoint para el inquilino Azure con los datos de alerta que desea usar. Debe tener las credenciales correctas para autenticar en Microsoft 365 para agregar el conector a su cuenta de Cato.

Nota

Nota: Cuando crea un conector de API para una aplicación de Microsoft 365, el conector crea un certificado de autenticación que es válido por 3 meses, y renueva el certificado 7 días antes de la expiración.

Para configurar el conector de Microsoft Defender:

  1. Desde el menú de navegación, seleccione Seguridad > Conectores, y seleccione la pestaña Configuración de Conectores.

  2. Haga clic en Nuevo. Se abre el panel Nuevo Conector.

  3. Del menú desplegable Aplicación Saas, seleccione la aplicación Microsoft Defender.

    Defender_Connector.png

  4. Del menú desplegable Inquilino de Conector, seleccione el conector padre de Microsoft 365 para el inquilino con los datos de alerta que desea usar.

  5. Ingrese un Nombre de Conector único para el conector de Defender.

  6. Haz clic en Guardar.

  7. Después de crear correctamente el conector, haga clic en Autorizar.

    MIP_Labels_SuccessCreate_Authorize.png

    Se abre una nueva pestaña del navegador en la aplicación de Microsoft 365.

  8. En la nueva pestaña del navegador, autentíquese en la aplicación de Microsoft 365:

    1. Seleccione la cuenta de Microsoft para la aplicación de Microsoft 365.

    2. Ingrese la contraseña para la aplicación y apruébela.

    3. Aceptar los permisos para permitir que Cato acceda a la aplicación de Microsoft 365.

      Defender_connector_permissions.png

    4. La pantalla muestra que ha aplicado con éxito los permisos para la aplicación.

      Success_Connector_Permissions.png

      Puede cerrar la pestaña del navegador y volver a la Aplicación de Administración de Cato.

  9. La aplicación SaaS de Microsoft Defender se agrega a la página Configuración de Conectores.

    Endpoint_Connectors.png

    A Microsoft Azure le puede tomar varios segundos procesar la solicitud, así que si el Estado muestra Pendiente de consentimiento del usuario, actualice el navegador.

Entendiendo el Estado del Conector

La columna Estado en la página de Configuración de Conectores muestra el estado de la conexión entre la aplicación de Microsoft y su cuenta de Cato. Estas son las explicaciones de los estados:

  • Conectado - Su cuenta está conectada a la aplicación y está funcionando correctamente

  • Pendiente de consentimiento del usuario - No se han otorgado permisos para permitir que Cato acceda a la aplicación de Microsoft 365. Para resolver este problema, actualice el navegador. Si el Estado cambia a Conectado, el problema está resuelto, si el Estado no cambia, elimine y recree el conector.

  • Error - Hay un problema de conectividad, permisos u otro problema con el conector de Microsoft. Elimine y recree el conector.

Visualizando la página del Banco de Trabajo de Historias

Una vez que haya creado el conector, las historias serán visibles en el Banco de Trabajo de Historias.

Para ver la página del Banco de Trabajo de Historias:

  • Desde el menú de navegación, haga clic en Inicio > Stories Workbench.

Para obtener información sobre las columnas en el Banco de Trabajo de Historias, consulte Comprender las Columnas de Historias

Para más información sobre la revisión de historias de XOps, incluyendo datos de Microsoft Defender, consulte Profundizando y Analizando Historias de Seguridad de XOps

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios