Microsoft Defender para Office 365: Configuración de la Integración de Seguridad de Correo Electrónico XOps

Visión general

La integración de seguridad de correo electrónico te permite importar eventos de seguridad de correo electrónico a XOps, para investigar el phishing y otras amenazas basadas en correo electrónico con más contexto y desde un flujo de trabajo único. Esto ayuda a reducir el tiempo de investigación, mejorar la correlación de amenazas y facilitar la identificación de actividad relacionada en fuentes de datos de correo electrónico, red y de puntos de conexión.

Los ataques por correo electrónico suelen formar parte de un flujo de ataque más amplio. Un correo de phishing, un archivo adjunto malicioso o una actividad de envío sospechosa puede conducir al acceso del usuario a dominios maliciosos, indicadores adicionales basados en red o detecciones de punto de conexión relacionadas. Con esta integración, XOps puede incluir eventos de seguridad de correo electrónico como parte del flujo de investigación y proporcionar una visión más amplia del ataque.

Cuando se crea un incidente en Microsoft Defender para Office 365, se crea una historia en XOps. Esto permite mantener la lógica original de detección en Cato e investigar la alerta como parte de la actividad más amplia en tu cuenta.

Use Case

La empresa XYZ usa Microsoft Defender para Office 365 para proteger a los usuarios contra correos electrónicos de phishing, enlaces maliciosos y otras amenazas basadas en correo electrónico. Sin embargo, las alertas de correo electrónico por sí solas no siempre proporcionan el contexto completo del ataque. Los equipos de seguridad también necesitan entender si los usuarios interactuaron con el contenido malicioso y si la actividad condujo a detecciones relacionadas en la red o en los puntos de conexión.

La empresa integra XOps con Microsoft Defender para Office 365. Cuando Microsoft Defender para Office 365 genera una alerta, XOps ingiere automáticamente la alerta y crea una historia en el Banco de Trabajo de Historias. Esto preserva la lógica original de detección de Microsoft y añade el contexto de red y seguridad de Cato a la investigación.

Desde la historia XOps, la empresa puede:

  • Investigar si los usuarios hicieron clic en un enlace malicioso o accedieron a un dominio sospechoso

  • Revisar la actividad de red y de punto de conexión relacionada, conectada a la alerta de correo electrónico

  • Determinar si la alerta es parte de un flujo de ataque más amplio que afecta a usuarios o activos adicionales

Al combinar las detecciones de correo electrónico de Microsoft Defender para Office 365 con las analíticas contextuales de Cato, la Empresa XYZ puede investigar ataques de phishing y otros ataques basados en correo electrónico con mayor visibilidad. Esto ayuda a reducir el tiempo de investigación, mejorar la correlación de amenazas y apoyar una respuesta más rápida.

Entender las Historias Creadas por la Integración

Las historias generadas a partir de la integración son procesadas por el productor de Incidentes Genéricos. La tabla a continuación explica los widgets en estas historias.

Cyera.png

Nombre

Descripción

Widget de resumen

Un resumen de la información básica sobre la historia, incluyendo:

  • Gravedad de la amenaza

  • Resumen de los detalles de la historia

  • Severidad de la amenaza según lo determinado por un analista

  • Veredicto para la amenaza según lo determinado por un analista

Detalles

Una explicación resumida de la historia y los metadatos.

Cronología

Una cronología de eventos o acciones tomadas en la historia.

Entidades

Las entidades donde ocurrieron las historias. Estas podrían ser Usuarios, Sitios, Almacenes de datos, aplicaciones, etc.

Evidencia

Evidencia de soporte para explicar por qué se generó una historia XOps.

Datos Brutos

Tabla dinámica que contiene los eventos crudos que generaron la historia.

Configuración de la Integración de Microsoft Defender para Office 365

Para configurar la integración de Seguridad de Correo Electrónico, necesitas:

  1. Crear una integración de MS Tenant como el conector principal

  2. Crear el conector API para Microsoft Defender para Office 365

Requisitos Previos

  • Licencia Microsoft 365 E3

Paso 1: Crear la Integración de MS Tenant

Primero, configura la integración de MS Tenant como el conector principal. Este conector se puede usar para todas las integraciones de Microsoft. Si ya has creado el conector principal, ve al paso 2.

Para crear la integración de MS Tenant:

  1. Desde el menú de navegación, selecciona Recursos > Integraciones y haz clic en la pestaña Aplicaciones integradas.

  2. Haz clic en Nuevo. Se abre el panel Nuevo Conector.

  3. En el panel Nuevo Conector, selecciona la aplicación MS Tenant (Configurar un nuevo MS Tenant).

    New_Microsoft_365_Connector.png

  4. Ingresa el Nombre del Conector.

  5. Haz clic en Autorizar y Guardar.

    Se abre una nueva pestaña del navegador a la aplicación Microsoft 365.

  6. En la nueva pestaña del navegador, autentica la aplicación Microsoft 365:

    1. Selecciona la cuenta de Microsoft para la aplicación Microsoft 365.

      De lo contrario, puede haber un error de autenticación de Microsoft.

    2. Ingresa la contraseña de la aplicación y apruébala.

    3. Aceptar los permisos para permitir que Cato acceda a la aplicación Microsoft 365.

    4. La pantalla muestra que has aplicado con éxito los permisos para la aplicación.

      Success_Connector_Permissions.png

      Puedes cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato.

  7. La aplicación SaaS de Microsoft 365 se agrega a la pestaña Aplicaciones integradas.

Paso 2: Crear el Conector de API para Seguridad de Correo Electrónico

Después de haber configurado el conector principal, agrega los detalles de la integración de las Aplicaciones Interconectadas en el CMA.

Para crear el conector API en el CMA:

  1. Desde el menú de navegación, haz clic en Recursos > Integraciones.

  2. Haz clic en la pestaña Integraciones Configuradas.

  3. Haz clic en Nuevo.

    Se abre el panel Nueva Integración.

  4. Selecciona Microsoft Defender para Office 365

  5. En el desplegable Auth, selecciona el Tenant Primario de Microsoft que se creó en el Paso 1.

  6. (Opcional) Agrega una descripción.

  7. Haz clic en Guardar.

    El CMA se conecta al proveedor

  8. Haz clic en Autorizar.

    image-20250826-133358.png

    Aparecerá una pantalla de permisos de Microsoft.

  9. Revisa los permisos solicitados y haz clic en Aceptar.

  10. La aplicación es visible en la tabla Aplicaciones Integradas con un estado de Conectado.

Visualización de la Página Banco de Trabajo de Historias

Once you have created the connector, stories will be visible in the Stories Workbench.

To view the Stories Workbench page:

  • Desde el menú de navegación, haz clic en Inicio > Banco de Trabajo de Historias.

Para obtener información sobre las columnas en el Stories Workbench, consulta Entendiendo las Columnas de Historias

Para obtener más información sobre la revisión de historias de XOps, consulta Perforación y Análisis de Historias de Seguridad XOps

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios