Microsoft डिफेंडर फॉर एंडपॉइंट अलर्ट्स: XOps एकीकरण को कॉन्फ़िगर करना

यह लेख Microsoft डिफेंडर फॉर एंडपॉइंट से डेटा एकीकृत करने पर चर्चा करता है ताकि कहानियाँ उत्पन्न की जा सकें जिन्हें आप Cato कहानियाँ वर्कबेंच में समीक्षा कर सकते हैं।

एंडपॉइंट अलर्ट कहानियों का अवलोकन

Microsoft API का उपयोग करके, आप Microsoft Defender for Endpoint से अलर्ट डेटा को एकीकृत कर सकते हैं ताकि एंडपॉइंट उपकरणों के लिए कहानियाँ उत्पन्न की जा सकें। एंडपॉइंट कहानियाँ आपको अपने नेटवर्क में संभावित खतरों की अधिक संपूर्ण तस्वीर प्राप्त करने में मदद करती हैं।

Cato एंडपॉइंट अलर्ट इंजन एक कहानी बनाता है जो एक ही Defender घटना से संबंधित अलर्ट्स के डेटा से संयोजन करके बनाता है। एंडपॉइंट अलर्ट कहानियों में Defender द्वारा पता लगाई गयी अलर्ट्स के सभी प्रासंगिक सबूत शामिल होते हैं। कहानी वर्कबेंच अन्य कहानी प्रकारों के साथ एंडपॉइंट कहानियों को दिखाता है, और आप एंडपॉइंट अलर्ट कहानियों पर ध्यान केंद्रित करने के लिए कहानियों को क्रमबद्ध और फ़िल्टर कर सकते हैं।

Defender for Endpoint अलर्ट डेटा को Cato XOps के साथ एकीकृत करने के लिए, आपको पहले Microsoft 365 और Defender for Endpoint के लिए API कनेक्टर्स सेट करना होगा। कनेक्टर्स बनाने के बाद, एंडपॉइंट अलर्ट इंजन Defender for Endpoint से अलर्ट डेटा प्राप्त और विश्लेषण करता है।

XOps कहानियों की समीक्षा करने के लिए अधिक जानकारी के लिए, Microsoft डिफेंडर से डेटा सहित, देखें Drilling-Down and Analyzing XOps Security Stories

एंडपॉइंट अलर्ट कहानियों के एकीकरण का उच्च स्तरीय अवलोकन

यह कहानी वर्कबेंच में Defender for Endpoint की कहानियों को एकीकृत करने और समीक्षा करने के लिए वर्कफ़्लो का उच्च-स्तरीय विवरण है:

Microsoft 365 पैरेंट कनेक्टर बनाएँ।
Defender For Endpoint कनेक्टर बनाएँ।
कहानियों वर्कबेंच में एंडपॉइंट अलर्ट कहानियों की समीक्षा करें।

ज्ञात सीमाएँ

कहानी क्रियाएँ पैनल में एंडपॉइंट अलर्ट कहानियों के लिए सेटिंग्स विन्यास योग्य नहीं हैं। क्रियाओं से संबंधित सभी क्षेत्र N/A के रूप में दिखाई देते हैं। कहानी क्रियाएँ पैनल के बारे में अधिक जानकारी के लिए नीचे देखें।
Microsoft एंडपॉइंट अलर्ट कहानियाँ साझा उपकरणों के लिए कहानी में सभी उपयोगकर्ताओं को शामिल करती हैं जो उपकरण में लॉग इन हुए हैं, जबकि संबंधित Defender for Endpoint अलर्ट केवल एक उपयोगकर्ता दिखा सकता है।
कनेक्टर जोड़ने के लिए, आपको संसाधनों अनुभाग में एकीकरण के लिए संपादक अनुमति होनी चाहिए। अधिक जानकारी के लिए, देखें रोल आधारित एक्सेस कंट्रोल का उपयोग करके व्यवस्थापक भूमिकाएँ प्रबंधित करें।

Microsoft एंडपॉइंट अलर्ट कहानियों को समझना

Microsoft एंडपॉइंट अलर्ट उत्पादक के द्वारा एकीकरण के आधार पर कहानियाँ उत्पन्न की जाती हैं। यह अनुभाग कहानी ड्रिल-डाउन पृष्ठ के अवलोकन टैब में उपलब्ध जानकारी को समझाता है।

ये हैं कहानी अवलोकन के विजेट्स:

नाम	विवरण
सारांश विजेट	पृष्ठ के शीर्ष पर बार कहानी के बारे में बुनियादी जानकारी का सारांश दिखाता है, जिसमें शामिल हैं: खतरे की गंभीरता कहानी विवरण का सारांश एक विश्लेषक द्वारा निर्धारित खतरे की गंभीरता एक विश्लेषक द्वारा निर्धारित खतरे के लिए निर्णय
समयरेखा	कहानी में किए गए घटनाओं या क्रियाओं की समयरेखा।
विवरण	कहानी के लिए बुनियादी जानकारी। Microsoft Defender में घटना देखने के लिए घटना URL लिंक पर क्लिक करें।
इकाइयाँ	इस घटना में शामिल इकाइयाँ। ये हो सकते हैं उपयोगकर्ता, उपकरण, साइट्स, डेटा स्टोर, अनुप्रयोग, आदि। एक कहानी में कई उपयोगकर्ताओं और उपकरणों के लिए अलर्ट शामिल हो सकते हैं।
अलर्ट्स	Defender घटना से संबंधित अलर्ट्स के विवरण दिखाना। अलर्ट का विस्तार करें ताकि अलर्ट से संबंधित साक्ष्यों के लिए क्रमवार प्रक्रिया वृक्ष दिखें, जिसमें प्रक्रियाएँ, फाइलें और रजिस्ट्री मान शामिल हैं। प्रक्रिया वृक्ष में एक वस्तु पर क्लिक करें ताकि आगे ड्रिल-डाउन कर सकें और साक्ष्य के बारे में स्पष्ट डेटा दिखा सकें। ये तालिका में कॉलम हैं: अलर्ट नाम जो संदिग्ध गतिविधि का वर्णन करता है गंभीरता - अलर्ट के लिए समग्र जोखिम स्कोर, Cato की मशीन लर्निंग जोखिम विश्लेषण एल्गोरिथ्म द्वारा गणना की गई (मान 1 - 10 हैं) अलर्ट में शामिल उपकरण का स्थानीय IP और बाहरी IP। विक्रेता उपयोगकर्ता नाम - उपयोगकर्ता खाता जो अलर्ट के साथ Microsoft Defender द्वारा संबंधित है उपकरण का नाम - अलर्ट में शामिल उपकरण का नाम ऑपरेटिंग सिस्टम - अलर्ट में शामिल उपकरण का ऑपरेटिंग सिस्टम विक्रेता डोमेन नाम - विंडोज, AD, या स्थानीय डोमेन जो अलर्ट में उपयोगकर्ता खाता से संबंधित है अलर्ट आईडी - अलर्ट के लिए आईडी संख्या MITRE तकनीकें - खतरे के लिए पहचानी गई MITRE ATT&CK® तकनीकें MITRE ATT&CK® ढांचे के बारे में अधिक जानने के लिए, MITRE ATT&CK® डैशबोर्ड का उपयोग करना देखें। स्थिति - दिखाता है कि अलर्ट नया है या पहले ही सुलझाया गया है पहली गतिविधि की तिथि - अलर्ट के लिए मिली पहली संदिग्ध गतिविधि की तिथि अंतिम गतिविधि की तिथि - अलर्ट के लिए मिली सबसे नई संदिग्ध गतिविधि की तिथि खतरे का नाम - पहचान की गई मैलवेयर का नाम। उदाहरण के लिए: Trojan:Win32/Startpage विवरण और अनुशंसित क्रियाएँ - अलर्ट विवरण और खतरे की जाँच और निवारण के लिए अनुशंसित कदमों के लिए देखें पर क्लिक करें
साक्ष्य	सभी प्रक्रियाओं, फाइलों, रजिस्ट्री मान और नेटवर्क मापदंडों के लिए साक्ष्यों में पहचाने गए विवरणों का समवेशन करें जो विभिन्न कहानी अलर्ट्स में शामिल हैं। Evidences तालिका में कुछ कॉलम सभी प्रकार के साक्ष्यों द्वारा साझा किए जाते हैं, और कुछ प्रत्येक प्रकार के लिए विशिष्ट होते हैं। ये सभी प्रकार की साक्ष्यों के लिए दिखाई देने वाले कॉलम हैं: निर्णय - साक्ष्यों के टुकड़े के लिए Defender द्वारा उत्पन्न निर्णय (हानिकारक, संदिग्ध, या कोई खतरा नहीं पाया गया) उपचार स्थिति - दिखाता है कि खतरा निवारण किया गया था निर्मित - तारीख और समय जब घटना दर्ज की गई थी ये प्रत्येक प्रकार के साक्ष्य के लिए विशिष्ट कॉलम हैं: प्रक्रियाएँ: प्रक्रिया का नाम - प्रक्रिया के लिए निष्पादन योग्य फाइल का नाम प्रक्रिया आईडी - विंडोज द्वारा निर्दिष्ट आईडी संख्या प्रक्रिया के लिए प्रक्रिया कमांड लाइन - विंडोज में प्रक्रिया में पास किए गए तर्क। यह संदिग्ध प्रक्रिया के निष्पादन के बारे में महत्वपूर्ण संदर्भ को प्रकट कर सकता है फाइल पथ - एंडपॉइंट डिवाइस पर प्रक्रिया के लिए निष्पादन योग्य फाइल का स्थान फाइलें: फाइल पथ - फाइल का स्थान एंडपॉइंट डिवाइस पर फाइल का नाम - फाइल का नाम जिसमें एक्सटेंशन शामिल है फाइल का आकार - बाइट्स, किलोबाइट्स या मेगाबाइट्स में फाइल का आकार रजिस्ट्री: रजिस्ट्री कुंजी नाम रजिस्ट्री मान प्रकार - रजिस्ट्री मान में संग्रहीत डेटा का प्रारूप रजिस्ट्री मान - रजिस्ट्री प्रविष्टि का मान नेटवर्क: अलर्ट उत्पन्न करने वाले प्रवाह के लिए नेटवर्क डेटा दिखाता है, जैसे गंतव्य IP, गंतव्य पोर्ट, DNS और HTTP डेटा, और एक्सेस किया गया URL

Microsoft कनेक्टर्स का अवलोकन

Cato के Microsoft Defender कनेक्टर को अलर्ट डेटा प्राप्त करने के लिए कॉन्फ़िगर करने के लिए, पहले आपको Microsoft 365 कनेक्टर को पेरेंट एप्लिकेशन के रूप में कॉन्फ़िगर करना होगा ताकि Defender कनेक्टर को पढ़ने की अनुमतियाँ मिल सकें। मूल एप्लिकेशन को केवल Microsoft कनेक्टर्स को प्रबंधित करने की अनुमतियाँ होती हैं। Microsoft 365 कनेक्टर को कॉन्फ़िगर करने के बाद, आप अलर्ट डेटा को पुनः प्राप्त करने के लिए Defender कनेक्टर को कॉन्फ़िगर कर सकते हैं।

यदि आप अपने संगठन के भीतर विभिन्न उप-संगठनों से अलर्ट डेटा आयात करना चाहते हैं, तो प्रत्येक संबंधित Azure टेनेंट के लिए एक अलग Microsoft 365 कनेक्टर बनाएँ, और फिर प्रत्येक टेनेंट के लिए एक Defender कनेक्टर कॉन्फ़िगर करें।

न्यूनतम जरूरत

Microsoft 365 E3 लाइसेंस या उच्चतर की आवश्यकता है
Microsoft 365 कनेक्टर को Cato के Defender कनेक्टर को अनुमतियाँ देने के लिए वैश्विक व्यवस्थापक भूमिका के साथ एक व्यवस्थापक की आवश्यकता होती है

Microsoft Defender कनेक्टर के लिए आवश्यक अनुमतियाँ

Defender कनेक्टर को आपके Microsoft 365 खाते से अलर्ट डेटा प्राप्त करने देने के लिए, कनेक्टर Microsoft 365 के साथ Cato को निम्नलिखित अनुमतियाँ और क्रियाएं देता है:

Microsoft APIs से कनेक्ट करें और संगठन के लिए सभी Defender for Endpoint डेटा पढ़ें
साइन इन करें और उपयोगकर्ता प्रोफ़ाइल पढ़ें

Microsoft कनेक्टरों को कॉन्फ़िगर करना

मूल Microsoft 365 कनेक्टर कॉन्फ़िगर करें और फिर Microsoft 365 खाते के लिए एक Defender कनेक्टर परिभाषित करें।

यदि आपके संगठन ने पहले से किसी अन्य सुविधा, जैसे की Saas Security API पॉलिसी के लिए Microsoft 365 पेरेंट कनेक्टर को कॉन्फ़िगर किया है, तो आपको केवल Defender कनेक्टर कॉन्फ़िगर करना होगा।

Microsoft 365 कनेक्टर को कॉन्फ़िगर करना

संबंधित Azure टेनेंट के लिए Microsoft 365 SaaS एप्लिकेशन कनेक्टर बनाने के लिए Cato प्रबंधन अनुप्रयोग का उपयोग करें। अपने Cato खाते में कनेक्टर जोड़ने के लिए आपको Microsoft 365 के लिए सही प्रमाण-पत्र होना चाहिए।

Microsoft 365 पेरेंट एंडपॉइंट कनेक्टर को कॉन्फ़िगर करने के लिए:

नेविगेशन मेनू से, सुरक्षा > कनेक्टर्स चुनें, और कनेक्टर सेटिंग्स टैब चुनें।
नया क्लिक करें। नई कनेक्टर पैनल खुलता है।
SaaS एप्लिकेशन ड्रॉप-डाउन मेनू से, Microsoft 365 एप्लिकेशन चुनें।
एक अद्वितीय कनेक्टर नाम डालें।
अधिकृत करें और सहेजें क्लिक करें।

एक नया ब्राउज़र टैब Microsoft 365 एप्लिकेशन पर खुलता है।
नए ब्राउज़र टैब में, Microsoft 365 एप्लिकेशन में प्रमाणीकरण करें:
1. Microsoft 365 एप्लिकेशन के लिए Microsoft खाता चुनें।
2. एप्लिकेशन के लिए पासवर्ड डालें और इसे अनुमोदित करें।
3. Microsoft 365 एप्लिकेशन तक पहुँच की अनुमति देने के लिए स्वीकार करें।
4. स्क्रीन दिखाती है कि आपने एप्लिकेशन के लिए सफलतापूर्वक अनुमतियाँ लागू कर दी हैं।
  
  आप ब्राउज़र टैब को बंद कर सकते हैं और Cato प्रबंधन एप्लिकेशन पर लौट सकते हैं।
Microsoft 365 SaaS एप्लिकेशन कनेक्टर सेटिंग्स पृष्ठ में जोड़ा गया है।

Microsoft Azure को अनुरोध को संसाधित करने में कुछ सेकंड लग सकते हैं, इसलिए यदि स्थिति उपयोगकर्ता सहमति लंबित दिखाती है, तो ब्राउज़र को ताज़ा करें।

Microsoft Defender for Endpoint कनेक्टर कॉन्फ़िगर करना

जिस Azure टेनेंट के लिए आप अलर्ट डेटा का उपयोग करना चाहते हैं, उसके लिए Microsoft Defender for Endpoint SaaS एप्लिकेशन कनेक्टर बनाने के लिए Cato प्रबंधन एप्लिकेशन का उपयोग करें। अपने Cato खाते में कनेक्टर जोड़ने के लिए आपको Microsoft 365 के लिए सही प्रमाण-पत्र होना चाहिए।

नोट

नोट: जब आप Microsoft 365 एप्लिकेशन के लिए एक एपीआई कनेक्टर बनाते हैं, तो कनेक्टर एक प्रमाणीकरण प्रमाणपत्र बनाता है जो 3 महीने तक वैध होता है, और समाप्ति से 7 दिन पहले प्रमाणपत्र को नवीनीकृत करता है।

Microsoft Defender कनेक्टर कॉन्फ़िगर करने के लिए:

नेविगेशन मेनू से, सुरक्षा > कनेक्टर्स चुनें, और कनेक्टर सेटिंग्स टैब चुनें।
नया क्लिक करें। नई कनेक्टर पैनल खुलता है।
Saas एप्लिकेशन ड्रॉप-डाउन मेनू से, Microsoft Defender ऐप चुनें।
कनेक्टर टेनेंट ड्रॉप-डाउन मेनू से, उस टेनेंट के लिए मूल Microsoft 365 कनेक्टर चुनें जिसके पास आप अलर्ट डेटा का उपयोग करना चाहते हैं।
Defender कनेक्टर के लिए एक अद्वितीय कनेक्टर नाम दर्ज करें।
सहेजें क्लिक करें।
कनेक्टर सफलतापूर्वक बनाने के बाद, अधिकृत करें क्लिक करें।

एक नया ब्राउज़र टैब Microsoft 365 ऐप पर खुलता है।
नए ब्राउज़र टैब में, Microsoft 365 ऐप में प्रमाणीकरण करें:
1. Microsoft 365 ऐप के लिए Microsoft खाता चुनें।
2. ऐप के लिए पासवर्ड डालें और इसे अनुमोदित करें।
3. Cato को Microsoft 365 ऐप तक पहुंचने की अनुमति देने के लिए स्वीकार करें।
4. स्क्रीन दिखाती है कि आपने ऐप के लिए सफलतापूर्वक अनुमतियाँ लागू कर दी हैं।
  
  आप ब्राउज़र टैब को बंद कर सकते हैं और Cato प्रबंधन एप्लिकेशन पर लौट सकते हैं।
Microsoft Defender SaaS एप्लिकेशन कनेक्टर सेटिंग्स पृष्ठ में जोड़ा गया है।

Microsoft Azure को अनुरोध को संसाधित करने में कुछ सेकंड लग सकते हैं, इसलिए यदि स्थिति उपयोगकर्ता सहमति लंबित दिखाती है, तो ब्राउज़र को ताज़ा करें।

कनेक्टर स्थिति को समझना

कनेक्टर सेटिंग्स पृष्ठ पर स्थिति कॉलम Microsoft ऐप और आपके Cato खाते के बीच कनेक्शन की स्थिति दिखाता है। ये स्थितियों की व्याख्याएँ हैं:

जुड़ा हुआ - आपका खाता ऐप से जुड़ा हुआ है और यह सही ढंग से काम कर रहा है
उपयोगकर्ता सहमति लंबित - Cato को Microsoft 365 ऐप तक पहुँचने की अनुमति नहीं दी गई है। इस समस्या को हल करने के लिए, ब्राउज़र को ताज़ा करें। यदि स्थिति जुड़ा हुआ में बदल जाती है, तो समस्या हल हो गई है, यदि स्थिति नहीं बदलती, तो कनेक्टर को हटाएँ और पुनः बनाएं।
त्रुटि - Microsoft कनेक्टर के साथ कनेक्टिविटी, अनुमतियाँ या अन्य मुद्दा है। कनेक्टर को हटाएँ और पुनः बनाएं।

कहानी वर्कबेंच पृष्ठ देखना

एक बार जब आपने कनेक्टर बनाया तो कहानियाँ कहानी वर्कबेंच में दिखाई देंगी।

कहानी वर्कबेंच पृष्ठ देखने के लिए:

नेविगेशन मेनू से, होम > कहानी वर्कबेंच क्लिक करें।

Stories Workbench में कॉलम के बारे में जानकारी के लिए कहानियों के कॉलम को समझना देखें

XOps कहानियों की समीक्षा के लिए अधिक जानकारी के लिए, Microsoft डिफेंडर से डेटा सहित, देखें Drilling-Down and Analyzing XOps Security Stories