Este artículo discute cómo puede usar el Workbench de historias para revisar historias de XOps para anomalías de inicio de sesión detectadas en alertas de Microsoft Entra ID Protection.
Nota
Nota: XOps es la capa de análisis unificada de Cato para seguridad y operaciones, ofreciendo insights y remediación guiada. XOps ha reemplazado a XDR, para más información, vea XOps FAQ.
Protección de Microsoft Entra ID ayuda a las organizaciones a detectar riesgos basados en identidad para su inquilino de Entra ID, como inicios de sesión anómalos que pueden indicar actividad maliciosa. Usando la API de Microsoft, puede integrar datos de alertas de Microsoft Entra ID Protection para generar historias de XOps (anteriormente XDR) de Cato. Esto permite a los analistas incluir datos de inicios de sesión riesgosos dentro del contexto más amplio de las investigaciones de XOps. El motor de Alertas de Identidad Cato Entra crea una historia correlacionando datos de alertas de Protección de Entra ID que ocurrieron para el mismo usuario dentro de un período de 24 horas. El Workbench de Historias muestra las historias de Alertas de Identidad Entra junto con los otros tipos de historias, y puedes ordenar y filtrar las historias para enfocarte en las historias de Alertas de Identidad Entra.
También puedes enriquecer las historias de Alertas de Identidad Entra integrando datos de eventos de inicio de sesión de Microsoft Entra ID. Esto proporciona contexto del comportamiento habitual de inicio de sesión del usuario que puede compararse con los datos de alerta anómalos proporcionados por Protección de Entra ID.
Para más información sobre la revisión de historias XOps, incluyendo datos de Microsoft Entra ID, consulte Profundizando y Analizando las Historias de Seguridad XOps
-
Las historias de XOps para alertas de Microsoft Entra ID Protection requieren configurar el conector de Microsoft Entra ID Protection. Para más sobre la configuración del conector incluyendo las licencias y permisos de Microsoft requeridos, vea Configuración del conector de Protección de Microsoft Entra ID para Datos de Anomalías de Inicio de Sesión.
-
Para datos de eventos de inicio de sesión en los widgets de Eventos de Inicio de Sesión y Eventos de Inicio de Sesión en el Usuario, se requiere configurar el conector de Microsoft Entra ID. Para más sobre la configuración del conector incluyendo la licencia requerida de Microsoft y los permisos, vea Configuración del conector de Microsoft Entra ID (Azure AD).
Nota
Notas:
-
Si configuras solo el conector de Protección de Microsoft Entra ID, se generan historias de Identidad Entra, sin embargo, los widgets de Eventos de Inicio de Sesión y Eventos de Inicio de Sesión en el Usuario no muestran datos.
-
Si configuras solo el conector de Microsoft Entra ID, no se generan historias de Identidad Entra.
La columna de Estado en la página de Configuraciones de Conectores muestra el estado de la conexión entre la aplicación CrowdStrike y su cuenta de Cato. Estas son las explicaciones de los estados:
-
Conectado - Su cuenta está conectada a la aplicación y funciona correctamente
-
Consentimiento del usuario pendiente - No se han otorgado permisos para que Cato acceda a la aplicación CrowdStrike. Para resolver este problema, actualice el navegador. Si el Estado cambia a Conectado, el problema está resuelto; si el Estado no cambia, elimine y recree el conector.
-
Error - Hay un problema de conectividad, permisos, licencia o algún otro problema con el conector. Elimine y recree el conector.
Una vez que haya creado el conector, las historias serán visibles en el Banco de Trabajo de Historias.
Para ver la página del Banco de Trabajo de Historias:
-
Desde el menú de navegación, haz clic en Home > Stories Workbench.
Para información sobre las columnas en el Workbench de Historias, vea Comprender las Columnas de Historias
Para más información sobre la revisión de historias XOps, incluyendo datos de Microsoft Defender, consulte Profundizando y Analizando las Historias de Seguridad XOps
0 comentarios
El artículo está cerrado para comentarios.