Microsoft Defender एंडपॉइंट अलर्ट्स के लिए: XOps इंटीग्रेशन स्थापित करना

यह आलेख Microsoft Defender for Endpoint से डेटा को एकीकृत करने और Cato स्टोरी वर्कबेंच में समीक्षा के लिए कहानियाँ उत्पन्न करने पर चर्चा करता है।

नोट

नोट: XOps Cato का एकीकृत विश्लेषण स्तर है जो सुरक्षा और संचालन के लिए अंतर्दृष्टि और निर्देशित सुधार प्रदान करता है। XOps ने XDR को बदल दिया है, अधिक जानकारी के लिए देखें XOps FAQ.

एंडपॉइंट अलर्ट कहानियों का अवलोकन

Microsoft API का उपयोग करके, आप Microsoft Defender for Endpoint से अलर्ट डेटा को एकीकृत करके एंडपॉइंट उपकरणों के लिए कहानियाँ उत्पन्न कर सकते हैं। एंडपॉइंट कहानियाँ आपको आपके नेटवर्क में संभावित खतरों की एक अधिक पूरी तस्वीर प्राप्त करने में मदद करती हैं।

Cato एंडपॉइंट अलर्ट इंजन एक कहानी बनाता है जो Defender अलर्ट के डेटा को 24 घंटे की अवधि के भीतर एक ही डिवाइस पर हुई घटनाओं से संयोजित करता है। एंडपॉइंट अलर्ट कहानियों में Defender द्वारा पता लगाए गए अलर्ट के सभी प्रासंगिक सबूत शामिल होते हैं। XDR स्टोरीज़ वर्कबेंच में एंडपॉइंट कहानियाँ अन्य कहानी प्रकारों के साथ प्रदर्शित होती हैं, और आप कहानियों को क्रमबद्ध और फ़िल्टर करके एंडपॉइंट अलर्ट कहानियों पर ध्यान केंद्रित कर सकते हैं।

Cato XOps (पूर्व में XDR) के साथ Defender for Endpoint अलर्ट डेटा एकीकृत करने के लिए, आपको पहले Microsoft 365 और Defender for Endpoint के लिए API कनेक्टर सेट अप करने की आवश्यकता होती है। कनेक्टर्स बनाने के बाद, एंडपॉइंट अलर्ट इंजन Defender for Endpoint से अलर्ट डेटा को पुनः प्राप्त करता है और उसका विश्लेषण करता है।

Microsoft Defender से डेटा सहित XOps कहानियों की समीक्षा करने के बारे में अधिक जानकारी के लिए, देखें Drilling-Down और Analyzing XOps Security Stories

एंडपॉइंट अलर्ट कहानियों के एकीकृत करने का उच्च स्तरीय अवलोकन

यह XDR स्टोरीज़ वर्कबेंच में Defender for Endpoint कहानियों को एकीकृत और समीक्षा के लिए वर्कफ़्लो का एक उच्च स्तर का विवरण है:

Microsoft 365 पेरेंट कनेक्टर बनाएँ।
Defender for Endpoint कनेक्टर बनाएँ।
XDR स्टोरीज़ वर्कबेंच में एंडपॉइंट अलर्ट कहानियों की समीक्षा करें।

ज्ञात कमिया

कहानी क्रियाएँ पैनल में सेटिंग्स एंडपॉइंट अलर्ट कहानियों के लिए विन्यास योग्य नहीं हैं। क्रियाओं से संबंधित सभी क्षेत्र लागू नहीं के रूप में दिखाई देते हैं। कहानी कार्रवाइयाँ पैनल के बारे में अधिक जानकारी के लिए, नीचे देखें।
साझा उपकरणों के लिए Microsoft एंडपॉइंट अलर्ट कहानियाँ उपकरण में लॉगिन किए सभी उपयोगकर्ताओं को कहानी में शामिल करती हैं, जबकि संबंधित एंडपॉइंट अलर्ट केवल एक उपयोगकर्ता दिखा सकता है।

Microsoft कनेक्टर्स का अवलोकन

Cato के Microsoft Defender कनेक्टर को अलर्ट डेटा प्राप्त करने के लिए कॉन्फ़िगर करने के लिए, पहले आपको Microsoft 365 कनेक्टर को पेरेंट अनुप्रयोग के रूप में कॉन्फ़िगर करना होगा ताकि Defender कनेक्टर को पढ़ने की अनुमति मिल सके। पेरेंट ऐप के पास केवल Microsoft कनेक्टर्स का प्रबंधन करने की अनुमति होती है। Microsoft 365 कनेक्टर को कॉन्फ़िगर करने के बाद, आप अलर्ट डेटा को पुनः प्राप्त करने के लिए एक Defender कनेक्टर को कॉन्फ़िगर कर सकते हैं।

यदि आप अपने संगठन के भीतर विभिन्न उप-संगठनों से अलर्ट डेटा आयात करना चाहते हैं, तो प्रत्येक संबंधित Azure टेनेंट के लिए एक अलग Microsoft 365 कनेक्टर बनाएँ, और फिर प्रत्येक टेनेंट के लिए एक Defender कनेक्टर कॉन्फ़िगर करें।

न्यूनतम जरूरत

Microsoft 365 E3 लाइसेंस या उच्चतर आवश्यक है
Microsoft 365 कनेक्टर को Cato के Defender कनेक्टर के लिए अनुमति देने के लिए एक वैश्विक प्रशासनिक भूमिका वाले प्रशासन की आवश्यकता होती है

Microsoft Defender कनेक्टर के लिए आवश्यक अनुमतियाँ

Defender कनेक्टर को आपके Microsoft 365 खाते से अलर्ट डेटा पुनः प्राप्त करने की अनुमति देने के लिए, कनेक्टर Cato को Microsoft 365 के साथ निम्नलिखित अनुमतियाँ और क्रियाएँ देता है:

Microsoft APIs से कनेक्ट करें और संगठन के लिए सभी Defender for Endpoint डेटा पढ़ें
लॉगिन करें और उपयोगकर्ता प्रोफ़ाइल पढ़ें

Microsoft कनेक्टर्स का कॉन्फ़िगरेशन

एक पेरेंट Microsoft 365 कनेक्टर कॉन्फ़िगर करें और फिर Microsoft 365 खाता के लिए एक Defender कनेक्टर परिभाषित करें।

यदि आपकी संस्था ने पहले ही Microsoft 365 के लिए एक पेरेंट कनेक्टर को किसी अन्य फीचर के लिए कॉन्फ़िगर कर लिया है, जैसे कि Microsoft ऐप्स के लिए Saas Security API नीति, या आपके DLP नीति में MIP लेबल आयात करना चाहते हैं, तो आपको केवल एक Defender कनेक्टर कॉन्फिगर करने की आवश्यकता है।

Microsoft 365 कनेक्टर कॉन्फ़िगर करना

संबंधित Azure टेनेंट के लिए Microsoft 365 SaaS एप्लिकेशन कनेक्टर बनाने के लिए Cato प्रबंधन अनुप्रयोग का उपयोग करें। अपने Cato खाते में कनेक्टर जोड़ने के लिए Microsoft 365 में प्रमाणीकरण के लिए आपके पास सही प्रमाणपत्र होने चाहिए।

Microsoft 365 पैरेंट एंडपॉइंट कनेक्टर को कॉन्फ़िगर करने के लिए:

नेविगेशन मेनू से सुरक्षा > कनेक्टर्स चुनें, और कनेक्टर सेटिंग्स टैब का चयन करें।
नया क्लिक करें। नया कनेक्टर पैनल खुलता है।
SaaS एप्लिकेशन ड्रॉप-डाउन मेनू से Microsoft 365 ऐप का चयन करें।
एक अद्वितीय कनेक्टर नाम दर्ज करें।
अधिकृत करें और सेव करें क्लिक करें।

एक नया ब्राउज़र टैब Microsoft 365 ऐप पर खुलता है।
नए ब्राउज़र टैब में, Microsoft 365 ऐप में प्रमाणीकरण करें:
1. Microsoft 365 ऐप के लिए Microsoft खाता चुनें।
2. ऐप के लिए पासवर्ड दर्ज करें और इसे स्वीकृत करें।
3. Cato को Microsoft 365 ऐप का एक्सेस करने देने के लिए स्वीकार करें अनुमतियाँ।
4. स्क्रीन दिखाता है कि आपने ऐप के लिए अनुमतियाँ सफलतापूर्वक लागू की हैं।
  
  आप ब्राउज़र टैब को बंद कर सकते हैं और Cato प्रबंधन अनुप्रयोग पर लौट सकते हैं।
कनेक्टर सेटिंग्स पृष्ठ में Microsoft 365 SaaS एप्लिकेशन जोड़ा गया है।

Microsoft Azure को अनुरोध को संसाधित करने में कुछ सेकंड लग सकते हैं, इसलिए यदि स्थिति उपयोगकर्ता सहमति लंबित दिखाए, तो ब्राउज़र को ताज़ा करें।

Microsoft Defender for Endpoint कनेक्टर कॉन्फ़िगर करना

उस अलर्ट डेटा के साथ Azure टेनेंट के लिए Microsoft Defender for Endpoint SaaS एप्लिकेशन कनेक्टर बनाने के लिए Cato प्रबंधन अनुप्रयोग का उपयोग करें जिसे आप उपयोग करना चाहते हैं। अपने Cato खाते में कनेक्टर जोड़ने के लिए Microsoft 365 में प्रमाणीकरण के लिए आपके पास सही प्रमाणपत्र होना चाहिए।

नोट

Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.

Microsoft Defender कनेक्टर को कॉन्फ़िगर करने के लिए:

नेविगेशन मेनू से सुरक्षा > कनेक्टर्स चुनें, और कनेक्टर सेटिंग्स टैब चुनें।
नया पर क्लिक करें। नया कनेक्टर पैनल खुलता है।
SaaS एप्लिकेशन ड्रॉप-डाउन मेनू से Microsoft Defender ऐप चुनें।
कनेक्टर टेनेंट ड्रॉप-डाउन मेनू से उस टेनेंट के लिए पैरेंट Microsoft 365 कनेक्टर चुनें जिसके लिए आप अलर्ट डेटा उपयोग करना चाहते हैं।
Defender कनेक्टर के लिए एक अद्वितीय कनेक्टर नाम दर्ज करें।
सहेजें पर क्लिक करें।
कनेक्टर को सफलतापूर्वक बनाए जाने के बाद, कनेक्टर को अधिकृत करें पर क्लिक करें।

एक नया ब्राउज़र टैब Microsoft 365 ऐप के लिए खुलता है।
नए ब्राउज़र टैब में, Microsoft 365 ऐप को प्रमाणीकरण करें:
1. Microsoft 365 ऐप के लिए Microsoft खाता चुनें।
2. ऐप के लिए पासवर्ड दर्ज करें और स्वीकृत करें।
3. स्वीकार करें कि Cato Microsoft 365 ऐप को एक्सेस कर सकता है।
4. स्क्रीन दिखाती है कि आपने ऐप के लिए अनुमतियों को सफलतापूर्वक लागू किया है।
  
  आप ब्राउज़र टैब को बंद कर सकते हैं और Cato प्रबंधन अनुप्रयोग पर लौट सकते हैं।
Microsoft Defender SaaS एप्लिकेशन कनेक्टर सेटिंग्स पृष्ठ पर जोड़ा गया है।

Microsoft Azure को अनुरोध संसाधित करने में कुछ सेकंड लग सकते हैं, इसलिए अगर स्थिति उपयोगकर्ता सहमति लंबित दिखाती है, तो ब्राउज़र रीफ्रेश करें।

कनेक्टर स्थिति को समझें

स्थिति कॉलम कनेक्टर सेटिंग्स पृष्ठ पर Microsoft ऐप और आपके Cato खाते के बीच की कनेक्शन स्थिति दिखाता है। ये स्थिति के स्पष्टीकरण हैं:

Connected - Your account is connected to the app and it is working correctly
उपयोगकर्ता सहमति लंबित - Microsoft 365 ऐप को Cato की पहुँच देने के लिए अनुमतियाँ नहीं दी गई हैं। इस समस्या को हल करने के लिए, ब्राउज़र को रीफ्रेश करें। यदि स्थिति जुड़ा हुआ में बदल जाती है, तो समस्या हल हो चुकी है, यदि स्थिति नहीं बदलती, तो कनेक्टर को हटाएं और फिर से बनाएँ।
त्रुटि - Microsoft कनेक्टर के साथ कनेक्टिविटी, अनुमतियों या अन्य समस्या है। कनेक्टर को हटाएं और फिर से बनाएँ।

कहानियों वर्कबेंच पृष्ठ देखें

एक बार जब आप कनेक्टर बना लेते हैं, तो कहानियाँ स्टोरीज़ वर्कबेंच में दिखाई देंगी।

स्टोरीज़ वर्कबेंच पृष्ठ देखने के लिए:

नेविगेशन मेनू से, Home > Stories Workbench पर क्लिक करें।

Stories Workbench में कॉलम के बारे में जानकारी के लिए Understanding the Stories Columns देखें