Cet article explique comment utiliser l'Atelier des Histoires pour examiner les histoires XOps pour les anomalies de connexion détectées dans les alertes de Protection Microsoft Entra ID.
La Protection Microsoft Entra ID aide les organisations à détecter les risques liés aux identités pour leur locataire Entra ID, tels que les connexions anormales pouvant indiquer une activité malveillante. Utilisation de l'API Microsoft, vous pouvez intégrer les données d'Alerte de Microsoft Entra ID Protection pour générer des histoires Cato XOps. Cela permet aux analystes d'inclure des données de connexions à risque dans le contexte plus large des investigations XOps. Le moteur d'alerte d'identité Cato Entra crée une histoire en corrélant les données des alertes de Protection Entra ID qui se sont produites pour le même utilisateur sur une période de 24 heures. L'Atelier des Histoires affiche les histoires d'alerte d'identité Entra avec les autres types d'histoires, et vous pouvez trier et filtrer les histoires pour vous concentrer sur les histoires d'alerte d'identité Entra.
Vous pouvez également enrichir les histoires d'alerte d'identité Entra en intégrant les données d'événements de connexion de Microsoft Entra ID. Cela fournit le contexte du comportement habituel de connexion de l'utilisateur qui peut être comparé avec les données d'alerte anormales fournies par la Protection Entra ID.
Pour plus d'informations sur la révision des histoires XOps, y compris les données de Microsoft Entra ID, voir Drilling-Down and Analyzing XOps Security Stories
-
Les histoires XOps pour les alertes de Protection Microsoft Entra ID nécessitent la configuration du connecteur de Protection Microsoft Entra ID. Pour plus d'informations sur la configuration du connecteur, y compris les licences Microsoft requises et les autorisations, voir Configuring the Microsoft Entra ID Protection Connector for Sign-In Anomaly Data.
-
Pour les données d'événements de connexion dans les widgets Événements de connexion et Événements de connexion sur l'utilisateur, la configuration du connecteur Microsoft Entra ID est requise. Pour plus d'informations sur la configuration du connecteur, y compris la licence Microsoft requise et les autorisations, voir Configuring the Microsoft Entra ID (Azure AD) Connector.
-
Pour ajouter un connecteur, vous devez avoir la permission d'Éditeur pour Intégrations (dans la Ressources section). Pour plus d'informations, voir Gestion des rôles d'admin à l'aide de RBAC.
Remarque
Remarques :
-
Si vous configurez uniquement le connecteur de Protection Microsoft Entra ID, les histoires d'identité Entra sont générées, cependant les widgets Événements de connexion et Événements de connexion sur l'utilisateur n'affichent aucune donnée.
-
Si vous configurez uniquement le connecteur Microsoft Entra ID, aucune histoire d'identité Entra n'est générée.
La colonne Statut sur la page des Paramètres des Connecteurs montre le statut de la connexion entre l'application CrowdStrike et votre compte Cato. Voici les explications des statuts :
-
Connecté - Votre compte est connecté à l'application et fonctionne correctement
-
En attente du consentement de l'utilisateur - Les autorisations n'ont pas été accordées pour permettre à Cato d'accéder à l'application CrowdStrike. Pour résoudre ce problème, actualisez le navigateur. Si le Statut passe à Connecté, le problème est résolu, si le Statut ne change pas, supprimez et recréez le connecteur.
-
Erreur - Il y a un problème de connectivité, d'autorisations, de licence, ou autre avec le connecteur. Supprimez et recréez le connecteur.
Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'Atelier des Histoires.
Pour afficher la page de l'Atelier des Histoires :
-
Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.
Pour plus d'informations sur les colonnes de l'Atelier des Histoires voir Comprendre les Colonnes des Histoires
Pour plus d'informations sur la révision des histoires XOps, y compris les données de Microsoft Defender, voir Drilling-Down and Analyzing XOps Security Stories
0 commentaire
Cet article n'accepte pas de commentaires.