Este artículo discute cómo puedes usar el Banco de Trabajo de Historias para revisar historias de XOps para anomalías de inicio de sesión detectadas en alertas de Protección de Microsoft Entra ID.
La Protección de Microsoft Entra ID ayuda a las organizaciones a detectar riesgos basados en identidad para su inquilino de Entra ID, como inicios de sesión anómalos que pueden indicar actividad maliciosa. Usando la API de Microsoft, puede integrar datos de alerta de Microsoft Entra ID Protección para generar historias de Cato XOps. Esto permite a los analistas incluir datos de inicios de sesión riesgosos dentro del contexto más amplio de investigaciones de XOps. El motor de Alertas de Identidad de Cato Entra crea una historia correlacionando datos de alertas de Protección de Entra ID que ocurrieron para el mismo usuario dentro de un período de 24 horas. El Banco de Trabajo de Historias muestra las historias de Alertas de Identidad de Entra junto con otros tipos de historias, y puedes ordenar y filtrar las historias para enfocarte en las historias de Alertas de Identidad de Entra.
También puedes enriquecer las historias de Alertas de Identidad de Entra integrando datos de eventos de inicio de sesión de Microsoft Entra ID. Esto proporciona el contexto del comportamiento usual de inicio de sesión del usuario, que puede compararse con los datos de alerta anómalos proporcionados por la Protección de Entra ID.
Para más información sobre cómo revisar historias de XOps, incluyendo datos de Microsoft Entra ID, consulta Profundizando y Analizando Historias de Seguridad de XOps
-
Las historias de XOps para alertas de Protección de Microsoft Entra ID requieren configurar el conector de Protección de Microsoft Entra ID. Para más información sobre la configuración del conector, incluyendo las licencias y permisos de Microsoft requeridos, consulta Configuración del Conector de Protección de Microsoft Entra ID para Datos de Anomalías de Inicio de Sesión.
-
Para datos de eventos de inicio de sesión en los widgets Eventos de Inicio de Sesión y Eventos de Inicio de Sesión del Usuario, se requiere configurar el conector de Microsoft Entra ID. Para más información sobre la configuración del conector, incluyendo la licencia y permisos de Microsoft requeridos, consulta Configuración del Conector de Microsoft Entra ID (Azure AD).
-
Para agregar un conector, debe tener permiso de editor para Integraciones (en la sección Recursos). Para más información, consulte Gestionar Roles de Administrador Usando RBAC.
Nota
Notas:
-
Si solo configuras el conector de Protección de Microsoft Entra ID, se generan historias de Identidad de Entra, sin embargo, los widgets Eventos de Inicio de Sesión y Eventos de Inicio de Sesión del Usuario no muestran datos.
-
Si solo configuras el conector de Microsoft Entra ID, no se generan historias de Identidad de Entra.
La columna Estado en la página de Configuración de Conectores muestra el estado de la conexión entre la aplicación CrowdStrike y tu cuenta de Cato. Estas son las explicaciones de los estados:
-
Conectado - Tu cuenta está conectada a la aplicación y funciona correctamente
-
Pendiente de consentimiento del usuario - No se han otorgado permisos para permitir que Cato acceda a la aplicación CrowdStrike. Para resolver este problema, actualiza el navegador. Si el Estado cambia a Conectado, el problema está resuelto, si el Estado no cambia, elimina y recrea el conector.
-
Error - Hay un problema de conectividad, permisos, licencia u otro problema con el conector. Elimina y recrea el conector.
Una vez que hayas creado el conector, las historias serán visibles en el Banco de Trabajo de Historias.
Para ver la página del Banco de Trabajo de Historias:
-
Desde el menú de navegación, haz clic en Monitoreo > Banco de Trabajo de Historias.
Para información sobre las columnas en el Banco de Trabajo de Historias, consulta Comprendiendo las Columnas de Historias
Para más información sobre cómo revisar historias de XOps, incluyendo datos de Microsoft Defender, consulta Profundizando y Analizando Historias de Seguridad de XOps
0 comentarios
El artículo está cerrado para comentarios.