Cet article explique comment utiliser l'établi Stories pour examiner les histoires XOps pour les anomalies de connexion détectées dans les alertes de protection Microsoft Entra ID.
Remarque
Remarque : XOps est la couche analytique unifiée de Cato pour la sécurité et les opérations, offrant des insights et une remédiation guidée. XOps a remplacé XDR, pour plus d'informations, consultez la FAQ XOps.
Microsoft Entra ID Protection aide les organisations à détecter les risques liés à l'identité pour leur locataire Entra ID, comme des connexions anormales qui peuvent indiquer une activité malveillante. En utilisant l'API Microsoft, vous pouvez intégrer les données d'alerte de la protection Microsoft Entra ID pour générer des histoires Cato XOps (anciennement XDR). Cela permet aux analystes d'inclure des données de connexions à risque dans le contexte plus large des enquêtes XOps. Le moteur d'alerte d'identité Cato Entra crée une histoire en corrélant les données des alertes de protection Entra ID qui se sont produites pour le même utilisateur sur une période de 24 heures. Le Stories Workbench montre les histoires d'alerte d'identité Entra avec les autres types d'histoires, et vous pouvez trier et filtrer les histoires pour vous concentrer sur les histoires d'alerte d'identité Entra.
Vous pouvez également enrichir les histoires d'alerte d'identité Entra en intégrant des données d'événements de connexion de Microsoft Entra ID. Cela fournit un contexte du comportement habituel de connexion de l'utilisateur qui peut être comparé aux données d'alerte anormales fournies par Entra ID Protection.
Pour plus d'informations sur la révision des histoires XOps, y compris les données de Microsoft Entra ID, voir Analyse approfondie des histoires de sécurité XOps
-
Les histoires XOps pour les alertes de protection Microsoft Entra ID nécessitent la configuration du connecteur de protection Microsoft Entra ID. Pour plus d'informations sur la configuration du connecteur, y compris les licences Microsoft requises et les permissions, consultez Configuration du connecteur de protection Entra ID pour les données d'anomalie de connexion.
-
Pour les données d'événements de connexion dans les widgets Événements de connexion et Événements de connexion de l'utilisateur, la configuration du connecteur Microsoft Entra ID est requise. Pour plus d'informations sur la configuration du connecteur, y compris les licences Microsoft requises et les permissions, consultez Configuration du connecteur Microsoft Entra ID (Azure AD).
Remarque
Remarque :
-
Si vous configurez uniquement le connecteur de protection Microsoft Entra ID, des histoires d'identité Entra sont générées, cependant les widgets Événements de connexion et Événements de connexion de l'utilisateur ne montrent aucune donnée.
-
Si vous configurez uniquement le connecteur Microsoft Entra ID, aucune histoire d'identité Entra n'est générée.
La colonne de statut sur la page des paramètres des connecteurs montre le statut de la connexion entre l'application CrowdStrike et votre compte Cato. Voici les explications des statuts :
-
Connecté - Votre compte est connecté à l'application et fonctionne correctement
-
Consentement de l'utilisateur en attente - Les permissions n'ont pas été accordées pour permettre à Cato d'accéder à l'application CrowdStrike. Pour résoudre ce problème, actualisez le navigateur. Si le statut passe à Connecté, le problème est résolu, si le statut ne change pas, supprimez et recréez le connecteur.
-
Erreur - Il y a un problème de connectivité, de permissions, de licence ou autre avec le connecteur. Supprimez et recréez le connecteur.
Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'Atelier des Histoires.
Pour voir la page Atelier des Histoires :
-
Dans le menu de navigation, cliquez sur Accueil > Stories Workbench.
Pour plus d'informations sur les colonnes dans le Stories Workbench, consultez Comprendre les colonnes des histoires
Pour plus d'informations sur la révision des histoires XOps, y compris les données de Microsoft Defender, voir Analyse approfondie des histoires de sécurité XOps
0 commentaire
Cet article n'accepte pas de commentaires.