Alertes Microsoft Defender pour Endpoints : Configuration de l'intégration XOps

Cet article traite de l'intégration des données de Microsoft Defender pour Endpoint pour générer des histoires que vous pouvez consulter dans l'Atelier des Histoires de Cato.

Vue d'ensemble des Histoires d'Alerte de Point de Terminaison

En utilisant l'API Microsoft, vous pouvez intégrer les données d'alerte de Microsoft Defender pour Endpoint pour générer des histoires pour les appareils de point de terminaison. Les histoires de point de terminaison vous aident à obtenir une vue d'ensemble plus complète des menaces potentielles dans votre réseau.

Le moteur d'Alertes des Points de Terminaison Cato crée une histoire en corrélant les données des Alertes de Defender liées au même incident Defender. Les histoires d'Alerte de Point de Terminaison incluent toutes les preuves pertinentes pour les Alertes détectées par Defender. L'Atelier des Histoires affiche les histoires d'endpoint avec les autres types d'histoires, et vous pouvez trier et filtrer les histoires pour vous concentrer sur les histoires d'alerte Endpoint.

Pour intégrer les données d'alerte de Définisseur pour les terminaux avec Cato XOps, vous devez d'abord configurer des connecteurs API pour Microsoft 365 et pour Défenseur pour les terminaux. Après la création des connecteurs, le moteur d'alerte Endpoint récupère et analyse les données d'alerte de Defender pour Endpoint.

Pour plus d'informations sur la revue des histoires XOps, y compris les données de Microsoft Defender, consultez Analyse approfondie des histoires de sécurité XOps

Vue d'ensemble Authentifié de l'Intégration des Histoires d'Alerte de Point de Terminaison

Ceci est une description de haut niveau du flux de travail pour l'intégration et la revue des histoires Defender pour Endpoint dans l'Atelier des Histoires :

Créer le connecteur parent Microsoft 365.
Créer le connecteur Dé...]}]}
Examiner les histoires d'alerte de point de terminaison dans l'Atelier des Histoires.

Limitations connues

Les paramètres du panneau Actions de l'histoire ne sont pas configurables pour les histoires d'alerte de point de terminaison. Tous les champs liés aux actions apparaissent comme N/A. Pour plus d'informations sur le panneau Actions de l'histoire, voir ci-dessous.
Les histoires d'alerte Microsoft Endpoint pour les appareils partagés incluent dans l'histoire tous les utilisateurs connectés à l'appareil, tandis que l'alerte pertinente de Defender pour Endpoint peut n'afficher qu'un utilisateur.
Pour ajouter un connecteur, vous devez avoir la permission d'éditeur pour Intégrations (dans la section Ressources). Pour plus d'informations, voir Gestion des rôles d'administration à l'aide de RBAC.

Comprendre les histoires de l'alerte Microsoft Endpoint

Le producteur d'alertes Microsoft Endpoint génère des histoires basées sur l'intégration. Cette section explique les informations disponibles dans l'onglet Vue d'ensemble de la page de détails de l'histoire.

Défenseur pour Endpoint Histoire mise à jour.png

Voici les widgets d'Aperçu d'histoire :

Nom	Description
Widget de résumé	La barre en haut de la page montre un résumé des informations de base sur l'histoire, y compris : Criticité de la menace Résumé des détails de l'histoire Gravité de la menace telle que déterminée par un analyste Verdict de la menace tel que déterminé par un analyste
Chronologie	Une chronologie des événements ou actions entreprises dans l'histoire.
Détails	Informations de base sur l'histoire. Cliquez sur le lien Incident URL pour voir l'Incident dans Microsoft Defender.
Entités	Les entités impliquées dans l'incident. Il peut s'agir d'Utilisateurs, Appareils, Sites, Stockages de données, applications, etc. Une histoire peut inclure des alertes pour plusieurs utilisateurs et appareils.
Alertes	Affiche les détails des alertes liées à l'incident Defender. Étendre une alerte pour montrer un arbre de processus chronologique pour les preuves liées à l'alerte, incluant les processus, les fichiers et les valeurs de registre Cliquez sur un élément dans l'arborescence de processus pour approfondir et montrer des données granulaires sur la Preuve Voici les colonnes qui apparaissent pour tous les types de Preuves : Un Nom de l'alerte qui décrit l'activité suspecte Criticité - Score de risque global pour l'alerte, tel que calculé par l'algorithme d'analyse de risque apprenant de Cato (les valeurs vont de 1 à 10) L'IP locale et l'IP externe de l'appareil impliqué dans l'alerte. Nom d'utilisateur fournisseur - Le compte utilisateur que Microsoft Defender a associé à l'alerte Nom de l'appareil - Nom de l'appareil impliqué dans l'alerte Système d'exploitation - Système d'exploitation de l'appareil impliqué dans l'alerte Nom de domaine fournisseur - Le domaine Windows, AD ou local associé au compte utilisateur dans l'alerte ID de l'alerte - Le numéro d'identification de l'alerte Techniques MITRE - Techniques MITRE ATT&CK® identifiées pour la menace Pour plus d'informations sur le cadre MITRE ATT&CK®, consultez Using the MITRE ATT&CK® Dashboard. Statut - Indique si l'alerte est Nouvelle ou déjà Résolue Date de la première activité - Date de l'activité suspecte initialement détectée pour l'alerte Date de la dernière activité - Date de l'activité suspecte la plus récente détectée pour l'alerte Nom de la menace - Nom du malware détecté. Par exemple : Trojan:Win32/Startpage Description et Actions Recommandées - Cliquez sur Voir pour une brève description de l'alerte et des étapes recommandées pour l'enquête et la réduction de la menace
Preuves	Agrège les détails pour tous les Processus, Fichiers, valeurs de Registre et paramètres de Réseau identifiés dans les preuves pour les différentes alertes de l'histoire. Certaines des colonnes de la table Preuves sont partagées par tous les types de Preuves, et certaines sont spécifiques à chaque type. Voici les colonnes qui apparaissent pour tous les types de Preuves : Verdict - Verdict généré par Defender pour la pièce de preuve (Malveillant, Suspect, ou Aucune menace trouvée) Statut de la réparation - Indique si la menace a été corrigée Créé - Date et heure où l’événement a été enregistré Ce sont les colonnes spécifiques pour chaque type de Preuve : Processus : Nom du processus - Nom du fichier exécutable pour le processus ID du processus - Numéro ID attribué par Windows pour le processus Ligne de commande du processus - Arguments qui ont été passés au processus dans Windows. Cela peut révéler un contexte important sur l'exécution d'un processus suspect Chemin du Fichier - Emplacement sur l'appareil de point de terminaison du fichier exécutable pour le processus Fichiers : Chemin du Fichier - Emplacement du fichier sur l'appareil de point de terminaison Nom du fichier - Nom du fichier y compris l'extension Taille du fichier - Taille du fichier en octets, kilooctets ou mégaoctets Registre : Clé de registre Nom Type de valeur de registre - Format des données stockées dans la valeur de registre Valeur du registre - La valeur de l'entrée de registre Réseau : Affiche les données réseau pour le flux qui a généré l'alerte, telles que l'IP de destination, le Port Destination, les données DNS et HTTP, et l'URL accédée

Vue d'ensemble des connecteurs Microsoft

Pour configurer le connecteur Microsoft Defender de Cato pour récupérer les données d'alerte, il faut d'abord configurer le connecteur Microsoft 365 en tant qu'application parent pour accorder les autorisations de lecture pour le connecteur Defender. L'application parent dispose uniquement des permissions pour gérer les connecteurs Microsoft. Après avoir configuré le connecteur Microsoft 365, vous pouvez configurer un connecteur Defender pour récupérer les données d'alerte.

Si vous souhaitez importer les données d'alerte de différentes sous-organisations au sein de votre organisation, créez un connecteur Microsoft 365 distinct pour chaque locataire Azure pertinent, puis configurez un connecteur Defender pour chaque locataire.

Prérequis

Une licence Microsoft 365 E3 ou supérieure est requise
Le connecteur Microsoft 365 nécessite un administrateur avec le rôle d'administrateur global pour accorder les permissions au connecteur Defender de Cato

Permissions Requises pour le Connecteur Microsoft Defender

Pour permettre au connecteur Defender de récupérer les données d'alerte de votre compte Microsoft 365, le connecteur octroie à Cato les permissions et actions suivantes avec Microsoft 365 :

Se connecter aux API Microsoft et lire toutes les données de Defender pour Endpoint pour une organisation
Se connecter et lire le profil utilisateur

Configuration des connecteurs Microsoft

Configurer un connecteur parent Microsoft 365 puis définir un connecteur Defender pour le compte Microsoft 365.

Si votre organisation a déjà configuré un connecteur parent Microsoft 365 pour une autre fonctionnalité, comme une politique API de sécurité SaaS pour les applications Microsoft, ou pour importer des étiquettes MIP dans votre politique DLP, vous n'avez besoin que de configurer un connecteur Defender.

Configuration du Connecteur Microsoft 365

Utilisez l'application de gestion Cato pour créer le connecteur d'application SaaS Microsoft 365 pour le locataire Azure pertinent. Vous devez avoir les bonnes informations d'identification pour vous authentifier sur Microsoft 365 afin d'ajouter le connecteur à votre compte Cato.

Pour configurer le connecteur parent Microsoft 365 pour point de terminaison :

Dans le menu de navigation, sélectionnez Sécurité > Connecteurs, puis sélectionnez l'onglet Paramètres des connecteurs.
Cliquez sur Nouveau. Le panneau Nouveau Connecteur s'ouvre.
Dans le menu déroulant Application SaaS, sélectionnez l'application Microsoft 365.
Entrez un Nom du Connecteur unique.
Cliquez sur Autoriser et Enregistrer.

Un nouvel onglet du navigateur s'ouvre sur l'application Microsoft 365.
Dans le nouvel onglet de navigateur, authentifiez-vous sur l'application Microsoft 365 :
1. Sélectionnez le compte Microsoft pour l'application Microsoft 365.
2. Entrez le mot de passe de l'application et validez-le.
3. Acceptez les permissions pour permettre à Cato d'accéder à l'application Microsoft 365.
4. L'écran indique que vous avez appliqué avec succès les permissions pour l'application.
  
  Vous pouvez fermer l'onglet du navigateur et revenir à l'application de gestion Cato.
L'application SaaS Microsoft 365 est ajoutée à la page Paramètres des connecteurs.

Il peut falloir plusieurs secondes pour que Microsoft Azure traite la demande, donc si le Statut indique Consentement utilisateur en attente, actualisez le navigateur.

Configuration du Connecteur Microsoft Defender pour Endpoint

Utilisez l'application de gestion Cato pour créer le connecteur d'application SaaS Microsoft Defender pour Endpoint pour le locataire Azure avec les données d'alerte que vous voulez utiliser. Vous devez avoir les bonnes informations d'identification pour vous authentifier sur Microsoft 365 afin d'ajouter le connecteur à votre compte Cato.

Remarque

Remarque : Lorsque vous créez un connecteur API pour une application Microsoft 365, le connecteur crée un certificat d'authentification valable pendant 3 mois et renouvelle le certificat 7 jours avant son expiration.

Pour configurer le connecteur Defender de Microsoft :

Dans le menu de navigation, sélectionnez Sécurité > Connecteurs, puis sélectionnez l'onglet Paramètres des connecteurs.
Cliquez sur Nouveau. Le panneau Nouveau Connecteur s'ouvre.
Dans le menu déroulant Application SaaS, sélectionnez l'application Microsoft Defender.
Dans le menu déroulant Connecteur Locataire, sélectionnez le connecteur parent Microsoft 365 pour le locataire avec les données d'alerte que vous voulez utiliser.
Entrez un Nom du Connecteur unique pour le connecteur Defender.
Cliquez sur Enregistrer.
Après la création réussie du connecteur, cliquez sur Autoriser.

Un nouvel onglet du navigateur s'ouvre sur l'application Microsoft 365.
Dans le nouvel onglet de navigateur, authentifiez-vous sur l'application Microsoft 365 :
1. Sélectionnez le compte Microsoft pour l'application Microsoft 365.
2. Entrez le mot de passe de l'application et validez-le.
3. Acceptez les permissions pour permettre à Cato d'accéder à l'application Microsoft 365.
4. L'écran indique que vous avez appliqué avec succès les permissions pour l'application.
  
  Vous pouvez fermer l'onglet du navigateur et revenir à l'application de gestion Cato.
L'application SaaS Microsoft Defender est ajoutée à la page Paramètres des connecteurs.

Il peut falloir plusieurs secondes pour que Microsoft Azure traite la demande, donc si le Statut indique Consentement utilisateur en attente, actualisez le navigateur.

Comprendre le Statut du Connecteur

La colonne Statut sur la page des Paramètres des Connecteurs montre le statut de la connexion entre l'application Microsoft et votre compte Cato. Voici les explications des statuts :

Connecté - Votre compte est connecté à l'application et fonctionne correctement
Consentement utilisateur en attente - Les permissions n'ont pas été accordées pour permettre à Cato d'accéder à l'application Microsoft 365. Pour résoudre ce problème, actualisez le navigateur. Si le Statut passe à Connecté, le problème est résolu, si le Statut ne change pas, supprimez et recréez le connecteur.
Erreur - Il y a un problème de connectivité, de permissions ou un autre problème avec le connecteur Microsoft. Supprimez et recréez le connecteur.

Affichage de la Page de l'Atelier des Histoires

Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'Atelier des Histoires.

Pour afficher la page de l'Atelier des Histoires :

Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.

Pour des informations sur les colonnes dans l'Atelier des Histoires, consultez Comprendre les colonnes des histoires