Microsoft Defender pour Office 365 : Configuration de l'intégration de la sécurité des emails XOps

Vue d'ensemble

L'intégration de la sécurité des emails vous permet d'importer des événements de sécurité des emails dans XOps, afin que vous puissiez enquêter sur le hameçonnage et d'autres menaces basées sur les emails avec plus de contexte et depuis un flux de travail unique. Cela aide à réduire le temps d'investigation, à améliorer la corrélation des menaces et à faciliter l'identification des activités connexes à travers les sources de données email, réseau et points de terminaison.

Les attaques par email font souvent partie d'un flux d'attaques plus large. Un email de hameçonnage, une pièce jointe malveillante ou une activité d'envoi suspecte peut mener à un accès utilisateur à des domaines malveillants, à des indicateurs supplémentaires basés sur le réseau, ou à des détections de points de terminaison associés. Grâce à cette intégration, XOps peut inclure des événements de sécurité des emails dans le flux d'investigation et fournir une visibilité plus large sur l'attaque.

Lorsque un incident est créé dans Microsoft Defender pour Office 365, une histoire est créée dans XOps. Cela vous permet de conserver la logique de détection originale dans Cato et de mener l'enquête sur l'alerte en tant que partie intégrante de l'activité générale de votre compte.

Cas d'utilisation

La société XYZ utilise Microsoft Defender pour Office 365 pour protéger les utilisateurs contre les emails de hameçonnage, les liens malveillants et autres menaces basées sur les emails. Cependant, les alertes par email seules ne fournissent pas toujours le contexte complet de l'attaque. Les équipes de sécurité doivent également comprendre si les utilisateurs ont interagi avec le contenu malveillant et si l'activité a conduit à des détections connexes dans le réseau ou sur les points d'extrémité.

L'entreprise intègre XOps avec Microsoft Defender pour Office 365. Lorsque Microsoft Defender pour Office 365 génère une alerte, XOps ingère automatiquement l'alerte et crée une histoire dans l'Atelier des Histoires. Cela préserve la logique de détection originale de Microsoft et ajoute le contexte de réseau et de sécurité de Cato à l'investigation.

À partir de l'histoire XOps, l'entreprise peut :

  • Enquêter pour savoir si des utilisateurs ont cliqué sur un lien malveillant ou ont accédé à un domaine suspect.

  • Examiner l'activité réseau et au niveau des points d'extrémité liée à l'alerte email.

  • Déterminer si l'alerte fait partie d'un flux d'attaques plus large affectant d'autres utilisateurs ou ressources.

En combinant les détections par email de Microsoft Defender pour Office 365 avec les analyses contextuelles de Cato, la société XYZ peut enquêter sur le hameçonnage et autres attaques basées sur les emails avec une meilleure visibilité. Cela permet de réduire le temps d'investigation, d'améliorer la corrélation des menaces et de soutenir une réponse plus rapide.

Comprendre les histoires créées par l'Intégration

Les histoires générées par l'intégration sont traitées par le producteur d'incidents génériques. Le tableau ci-dessous explique les widgets dans ces histoires.

Cyera.png

Nom

Description

Widget résumé

Un résumé des informations de base sur l'histoire, incluant :

  • Gravité de la menace

  • Résumé des détails de l'histoire

  • Gravité de la menace telle que déterminée par un analyste

  • Verdict pour la menace tel que déterminé par un analyste

Détails

Une explication sommaire de l'histoire et des métadonnées.

Chronologie

Une chronologie des événements ou des actions prises dans l'histoire.

Entités

Les entités où les histoires se sont produites. Celles-ci peuvent être des utilisateurs, des sites, des magasins de données, des applications, etc.

Preuves

Preuves à l'appui expliquant pourquoi une histoire XOps a été générée.

Données Brutes

Tableau dynamique contenant les événements bruts qui ont généré l'histoire.

Configuration de l'intégration Microsoft Defender pour Office 365

Pour configurer l'intégration de la sécurité des emails, vous devez :

  1. Créer une intégration MS Tenant en tant que connecteur principal.

  2. Créer le connecteur API pour Microsoft Defender pour Office 365.

Prérequis

  • Licence Microsoft 365 E3

Étape 1 : Créer l'Intégration MS Tenant

Tout d’abord, configurez l’intégration MS Tenant en tant que connecteur principal. Ce connecteur peut être utilisé pour toutes les intégrations Microsoft. Si vous avez déjà créé le connecteur principal, passez à l'étape 2.

Pour créer l'intégration MS Tenant :

  1. Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l’onglet Applications intégrées.

  2. Cliquez sur Nouveau. Le panneau Nouveau Connecteur s'ouvre.

  3. Dans le panneau Nouveau Connecteur, sélectionnez l'application MS Tenant (Configurer un nouveau MS Tenant).

    New_Microsoft_365_Connector.png

  4. Entrez le Nom du Connecteur.

  5. Cliquez sur Autoriser et enregistrer.

    Un nouvel onglet du navigateur s'ouvre sur l'application Microsoft 365.

  6. Dans le nouvel onglet du navigateur, authentifiez-vous à l'application Microsoft 365 :

    1. Sélectionnez le compte Microsoft pour l'application Microsoft 365.

      Sinon, une erreur d'authentification Microsoft peut se produire.

    2. Entrez le mot de passe de l'application et l'approuvez.

    3. Accepter les autorisations pour permettre à Cato d'accéder à l'application Microsoft 365.

    4. L'écran montre que vous avez appliqué avec succès les autorisations pour l'application.

      Success_Connector_Permissions.png

      Vous pouvez fermer l'onglet du navigateur et revenir à l'application de gestion Cato.

  7. L'application SaaS Microsoft 365 est ajoutée à l'onglet Applications intégrées.

Étape 2 : Créer le Connecteur API pour la Sécurité des Emails

Après avoir configuré le connecteur principal, ajoutez les détails de l'intégration des applications interconnectées dans le CMA.

Pour créer le connecteur API dans le CMA :

  1. Dans le menu de navigation, cliquez sur Ressources > Intégrations.

  2. Cliquez sur l'onglet Intégrations activées.

  3. Cliquez sur Nouveau.

    Le panneau Nouvelle Intégration s'ouvre.

  4. Sélectionnez Microsoft Defender pour Office 365

  5. Dans le menu déroulant Auth, sélectionnez le Tenant Principal Microsoft qui a été créé à l'étape 1.

  6. (Facultatif) Ajoutez une description.

  7. Cliquez sur Sauvegarder.

    Le CMA se connecte au fournisseur.

  8. Cliquez sur Autoriser.

    image-20250826-133358.png

    Un écran d'autorisations Microsoft apparaîtra.

  9. Vérifiez les autorisations demandées et cliquez sur Accepter.

  10. L'application est visible dans le tableau Applications intégrées avec un statut Connecté.

Affichage de la Page de l'Atelier des Histoires

Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'Atelier des Histoires.

Pour afficher la page de l'Atelier des Histoires :

  • Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.

Pour en savoir plus sur les colonnes de l'Atelier des Histoires, consultez Comprendre les colonnes des histoires.

Pour plus d'informations sur l'examen des histoires XOps, consultez Exploration et analyse des histoires de sécurité XOps.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire