Cet article discute de l'intégration des données de Microsoft Defender pour Endpoint pour générer des histoires que vous pouvez examiner dans le Stories Workbench de Cato.
Remarque
Remarque : XOps est la couche analytique unifiée de Cato pour la sécurité et les opérations, offrant des insights et des remédiations guidées. XOps a remplacé XDR, pour plus d'informations, voir XOps FAQ.
En utilisant l'API de Microsoft, vous pouvez intégrer des données d'alertes de Microsoft Defender pour Endpoint pour générer des histoires pour les appareils endpoint. Les histoires d'endpoint vous aident à obtenir une image plus complète des menaces potentielles dans votre réseau.
Le moteur d'Alertes Endpoint de Cato crée une histoire en corrélant les données des Alertes de Defender qui se sont produites sur le même appareil en l'espace de 24 heures. Les histoires d'Alertes Endpoint incluent toutes les preuves pertinentes pour l'Alerte détectée par Defender. Le Stories Workbench affiche les histoires d'endpoint ainsi que les autres types d'histoires, et vous pouvez trier et filtrer les histoires pour vous concentrer sur les histoires d'Alertes Endpoint.
Pour intégrer les données d'alerte Defender pour Endpoint avec Cato XOps (anciennement XDR), vous devez d'abord configurer des connecteurs API pour Microsoft 365 et pour Defender pour Endpoint. Après avoir créé les connecteurs, le moteur d'Alertes Endpoint récupère et analyse les données d'alerte de Defender pour Endpoint.
Pour plus d'informations sur l'examen des histoires XOps, incluant les données de Microsoft Defender, voir Drilling-Down et Analyse des Histoires de Sécurité XOps
Voici une description de haut niveau du flux de travail pour intégrer et réviser les histoires de Defender pour Endpoint dans le Stories Workbench :
-
Créer le connecteur parent Microsoft 365.
-
Créer le connecteur Defender pour Endpoint.
-
Réviser les histoires d'Alertes Endpoint dans le Stories Workbench.
-
Les paramètres dans le panneau Actions de l'histoire ne sont pas configurables pour les histoires d'alertes de point de terminaison. Tous les champs liés aux actions apparaissent comme N/A. Pour plus d'informations sur le panneau Actions de l'histoire, voir ci-dessous.
-
Les histoires d'alertes des points de terminaison Microsoft pour les appareils partagés incluent dans l'histoire tous les utilisateurs connectés à l'appareil, tandis que l'alerte pertinente de Défenseur pour les points de terminaison peut n'afficher qu'un utilisateur.
Pour configurer le connecteur Microsoft Defender de Cato pour récupérer des données d'alerte, vous devez d'abord configurer le connecteur Microsoft 365 en tant qu'application parente pour donner des autorisations de lecture au connecteur Defender. L'application parente n'a que des autorisations pour gérer les connecteurs Microsoft. Après avoir configuré le connecteur Microsoft 365, vous pouvez configurer un connecteur Defender pour récupérer les données d'alerte.
Si vous souhaitez importer des données d'alerte de différentes sous-organisations au sein de votre organisation, créez un connecteur Microsoft 365 distinct pour chaque client Azure pertinent, puis configurez un connecteur Defender pour chaque client.
-
Une licence Microsoft 365 E3 ou supérieure est nécessaire
-
Le connecteur Microsoft 365 nécessite un administrateur avec le rôle d'administrateur global pour donner des autorisations au connecteur Defender de Cato
Pour permettre au connecteur Defender de récupérer les données d'alerte de votre compte Microsoft 365, le connecteur donne à Cato les autorisations et actions suivantes avec Microsoft 365 :
-
Se connecter aux API de Microsoft et lire toutes les données de Defender pour Endpoint d'une organisation
-
Se connecter et lire le profil utilisateur
Configurez un connecteur parent Microsoft 365 et définissez ensuite un connecteur Defender pour le compte Microsoft 365.
Si votre organisation a déjà configuré un connecteur parent Microsoft 365 pour une autre fonctionnalité, telle qu'une politique Saas Security API pour les applications Microsoft, ou pour importer des étiquettes MIP dans votre politique DLP, vous devez simplement configurer un connecteur Defender.
Utilisez l'Application de Gestion Cato pour créer le connecteur d'application SaaS Microsoft 365 pour le client Azure pertinent. Vous devez avoir les bonnes informations d'identification pour vous authentifier auprès de Microsoft 365 afin d'ajouter le connecteur à votre compte Cato.
Pour configurer le connecteur endpoint parent de Microsoft 365 :
-
Depuis le menu de navigation, sélectionnez Sécurité > Connecteurs, et sélectionnez l'onglet Paramètres des Connecteurs.
-
Cliquez sur Nouveau. Le panneau Nouveau Conector s'ouvre.
-
Dans le menu déroulant Application SaaS, sélectionnez l'application Microsoft 365.
-
Entrez un Nom de Conecteur unique.
-
Cliquez sur Autoriser et Enregistrer.
Un nouvel onglet du navigateur s'ouvre sur l'application Microsoft 365.
-
Dans le nouvel onglet du navigateur, authentifiez-vous sur l'application Microsoft 365 :
-
Sélectionnez le compte Microsoft pour l'application Microsoft 365.
-
Entrez le mot de passe pour l'application et approuvez-le.
-
Acceptez les autorisations pour permettre à Cato d'accéder à l'application Microsoft 365.
-
L'écran affiche que vous avez appliqué avec succès les autorisations pour l'application.
Vous pouvez fermer l'onglet du navigateur et revenir à l'Application de Gestion Cato.
-
-
L'application SaaS Microsoft 365 est ajoutée à la page Paramètres des Connecteurs.
Microsoft Azure peut prendre plusieurs secondes pour traiter la demande, donc si le Statut affiche Consentement de l'utilisateur en attente, actualisez le navigateur.
Utilisez l'Application de Gestion Cato pour créer le connecteur d'application SaaS Microsoft Defender pour Endpoint pour le client Azure contenant les données d'alerte que vous souhaitez utiliser. Vous devez avoir les bonnes informations d'identification pour vous authentifier auprès de Microsoft 365 afin d'ajouter le connecteur à votre compte Cato.
Remarque
Remarque : Lorsque vous créez un connecteur d'API pour une application Microsoft 365, le connecteur crée un certificat d'authentification valable pour 3 mois et renouvelle le certificat 7 jours avant son expiration.
Pour configurer le connecteur Microsoft Defender :
-
Depuis le menu de navigation, sélectionnez Sécurité > Connecteurs, et sélectionnez l'onglet Paramètres des Connecteurs.
-
Cliquez sur Nouveau. Le panneau Nouveau Connecteur s'ouvre.
-
Dans le menu déroulant Application Saas, sélectionnez l'application Microsoft Defender.
-
Dans le menu déroulant Affectation du Connecteur, sélectionnez le connecteur parent Microsoft 365 pour le client avec les données d'alerte que vous souhaitez utiliser.
-
Entrez un Nom de Conecteur unique pour le connecteur Defender.
-
Cliquez sur Sauvegarder.
-
Après la création réussie du connecteur, cliquez sur Autoriser.
Un nouvel onglet du navigateur s'ouvre sur l'application Microsoft 365.
-
Dans le nouvel onglet du navigateur, authentifiez-vous sur l'application Microsoft 365 :
-
Sélectionnez le compte Microsoft pour l'application Microsoft 365.
-
Entrez le mot de passe pour l'application et approuvez-le.
-
Acceptez les autorisations pour permettre à Cato d'accéder à l'application Microsoft 365.
-
L'écran indique que vous avez appliqué avec succès les permissions pour l'application.
Vous pouvez fermer l'onglet du navigateur et revenir à l'application de gestion de Cato.
-
-
L'application SaaS Microsoft Defender est ajoutée à la page Paramètres de Connecteurs.
Il peut prendre plusieurs secondes à Microsoft Azure pour traiter la demande, donc si le Statut indique Consentement utilisateur en attente, actualisez le navigateur.
La colonne Statut sur la page des Paramètres de Connecteurs montre le statut de la connexion entre l'application Microsoft et votre compte Cato. Voici les explications des statuts :
-
Connected - Your account is connected to the app and it is working correctly
-
Consentement utilisateur en attente - Les permissions n'ont pas été accordées pour permettre à Cato d'accéder à l'application Microsoft 365. Pour résoudre ce problème, actualisez le navigateur. Si le Statut change à Connecté, le problème est résolu, si le Statut ne change pas, supprimez et recréez le connecteur.
-
Erreur - Il y a un problème de connectivité, de permissions, ou un autre problème avec le connecteur Microsoft. Supprimez et recréez le connecteur.
Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'Atelier des Histoires.
Pour afficher la page Atelier des Histoires :
-
Dans le menu de navigation, cliquez sur Accueil > Stories Workbench.
Pour obtenir des informations sur les colonnes dans l'Établi des Histoires, voir Understanding the Stories Columns
Pour plus d'informations sur l'examen des histoires XOps, incluant les données de Microsoft Defender, voir Drilling-Down et Analyse des Histoires de Sécurité XOps
0 commentaire
Vous devez vous connecter pour laisser un commentaire.