Microsoft Defender for Endpoint アラート: XOps インテグレーションの設定

この記事では、Microsoft Defender for Endpoint からデータを統合して、Cato Stories Workbench でレビューできるストーリーを生成する方法について説明します。

エンドポイントアラートストーリーの概要

Microsoft APIを使用して、Microsoft Defender for Endpoint からアラートデータを統合し、エンドポイントデバイス用のストーリーを生成できます。 エンドポイントストーリーは、ネットワーク内の潜在的な脅威のより完全な画像を得るのに役立ちます。

Catoエンドポイントアラートエンジンは、同じDefenderインシデントに関連するDefender アラートのデータを相関させることでストーリーを作成します。 エンドポイントアラートストーリーには、Defenderによって検出されたアラートに関するすべての関連証拠が含まれています。 Stories Workbench はエンドポイントストーリーを他のストーリータイプと共に表示し、エンドポイントアラートストーリーに集中するためにストーリーを並べ替えおよびフィルターすることができます。

Defender for EndpointアラートデータをCato XOpsと統合するには、まずMicrosoft 365およびDefender for EndpointのAPIコネクタを設定する必要があります。 コネクタを作成した後、エンドポイントアラートエンジンはDefender for Endpointからアラートデータを取得して分析します。

Microsoft Defender からのデータを含むXOpsストーリーのレビューに関する詳細は XOps セキュリティストーリーの掘り下げと分析を参照してください

エンドポイントアラートストーリー統合の高レベル概要

これは、Stories Workbench で Defender for Endpoint ストーリーを統合およびレビューするためのワークフローの概要です:

  1. Microsoft 365 親コネクタを作成します。
  2. Defender for Endpointコネクタを作成します。
  3. ストーリー作業台でエンドポイントアラートストーリーを確認します。

既知の制約

  • ストーリーアクション パネルの設定はエンドポイントアラートのストーリーに対して構成できません。 アクションに関連するすべてのフィールドは「該当なし」と表示されます。 ストーリーアクション パネルの詳細については、以下を参照してください。
  • 共有デバイス用のMicrosoftエンドポイントアラートストーリーには、デバイスにログインしているすべてのユーザーが含まれていますが、関連するDefender for Endpointアラートには1人のユーザーのみが表示される場合があります。
  • コネクタを追加するには、リソースセクションで統合の編集者権限が必要です。 詳細については、RBACで管理者ロールを管理を参照してください。

Microsoft エンドポイントアラートストーリーの理解

Microsoft エンドポイントアラートプロデューサーは統合に基づいてストーリーを生成します。 このセクションでは、ストーリードリルダウンページの概要タブにある情報を説明します。

Defender for Endpointのストーリーが更新されました.png

これらはストーリー概要ウィジェットです。

名前 説明
概要ウィジェット

ページ上部のバーには、ストーリーに関する基本的な情報の概要が表示されます。

  • 脅威の重大度
  • ストーリーの詳細の概要
  • アナリストが判断した脅威の重要度
  • アナリストが決定した脅威の判決
タイムライン ストーリー内のイベントやアクションのタイムライン。
詳細

ストーリーの基本情報。

  • インシデントURLリンクをクリックして、Microsoft Defenderでインシデントを表示します。
エンティティ インシデントに関与するエンティティ。 ユーザー、デバイス、サイト、データストア、アプリケーションなどが含まれます。 ストーリーには、複数のユーザーとデバイスのアラートが含まれる場合があります。
アラート

Defenderインシデントに関連するアラートの詳細を表示します。

  • アラートを展開して、アラートに関連する証拠の時間順のプロセスツリーを表示し、プロセス、ファイル、レジストリ値を含みます。
  • プロセスツリーのアイテムをクリックすると、証拠の詳細データをさらに掘り下げて表示できます。

テーブルの列は次のとおりです。

  • 不審な活動を説明する アラート名
  • 重大度 - Catoの機械学習リスク分析アルゴリズムによって計算されたアラートの全体的なリスクスコア(1 - 10の値)
  • ローカルIPおよび外部IP:アラートに関与したデバイスのIP。
  • ベンダーユーザー名 - アラートに関連付けられたユーザーアカウント
  • デバイス名 - アラートに関与したデバイスの名前
  • OS - アラートに関与したデバイスのオペレーティングシステム
  • ベンダードメイン名 - アラート内のユーザーアカウントに関連付けられたWindows、AD、またはローカルドメイン
  • アラートID - アラートのID番号

  • MITRE攻撃手法 - 脅威に対して特定されたMITRE ATT&CK®技術

    MITRE ATT&CK®フレームワークの詳細については、MITRE ATT&CK® ダッシュボードの操作をご覧ください。

  • ステータス - アラートが新規解決済みかを表示
  • 初回活動日 - アラートとして検出された最初の疑わしい活動の日付
  • 最終活動日付 - アラートとして検出された最新の疑わしい活動の日付
  • 脅威名 - 検出されたマルウェアの名前。 例: Trojan:Win32/Startpage
  • 説明 & 推奨アクション - アラートの簡潔な説明と、脅威の調査および緩和ステップを表示するには表示をクリック
証拠

各ストーリーアラートの証拠に特定されたプロセスファイルレジストリ値、およびネットワークパラメータのすべての詳細を集約します。

証拠テーブルのいくつかの列は、すべての証拠タイプで共有されており、一部は特定のタイプ専用です。

これらはすべてのタイプの証拠に表示される列です。

  • 判定 - Defender により生成された証拠の判定 (悪意のある疑わしい、または 脅威なし)
  • 修復ステータス - 脅威が修復されたかどうかを表示
  • 作成 - イベントが記録された日時

これらは、それぞれの証拠タイプに固有の列です。

  • プロセス

    • プロセス名 - プロセスの実行ファイルの名前
    • プロセスID - Windowsが割り当てたプロセスのID番号
    • プロセスコマンドライン - Windowsでプロセスに渡された引数。 これは、不審なプロセスの実行についての重要なコンテキストを明らかにすることができます。
    • ファイルパス - エンドポイントデバイス上のプロセスの実行ファイルの場所

  • ファイル

    • ファイルパス - エンドポイントデバイス上のファイルの場所
    • ファイル名 - 拡張子を含むファイルの名前
    • ファイルサイズ - バイト、キロバイト、またはメガバイトでのファイルのサイズ

  • レジストリ

    • レジストリキー 名前
    • レジストリ値の種類 - レジストリ値に格納されたデータの形式
    • レジストリ値 - レジストリエントリの値

  • ネットワーク

    • アラートを生成したフローのネットワークデータを表示します。これには、宛先IP宛先ポート、DNSとHTTPデータ、およびアクセスされたURLなどが含まれます。

Microsoft コネクタの概要

CatoのMicrosoft Defenderコネクタをアラートデータを取得するために設定するには、最初にMicrosoft 365コネクタを親アプリとして設定し、Defenderコネクタに読み取り権限を与える必要があります。 親アプリはMicrosoftコネクタの管理権限のみを持っています。 Microsoft 365コネクタを設定した後、アラートデータを取得するためのDefenderコネクタを設定できます。

組織内の異なるサブ組織からアラートデータをインポートする場合は、各関連 Azure テナントごとに別の Microsoft 365 コネクタを作成し、各テナントに対して Defender コネクタを設定します。

前提条件

  • Microsoft 365 E3 ライセンス以上が必要です
  • Microsoft 365 コネクタでは、Cato の Defender コネクタにアクセス権を与えるために、全体管理者ロールを持つ管理者が必要です

Microsoft Defender コネクタに必要なアクセス権

DefenderコネクタがMicrosoft 365アカウントからアラートデータを取得できるようにするために、コネクタはCatoに以下のアクセス権とアクションをMicrosoft 365に対して提供します。

  • Microsoft APIに接続し、組織のためのすべてのDefender for Endpointデータを読み取ります
  • サインインしてユーザープロファイルを読み取ります

Microsoft コネクタの設定

親Microsoft 365コネクタを設定し、Microsoft 365アカウントのためのDefenderコネクタを定義します。

組織がすでに別の機能のためにMicrosoft 365親コネクタを設定している場合、そのコネクタを使用してDefenderコネクタのみを設定する必要があります。

Microsoft 365 コネクタの設定

Cato 管理画面を使用して、関連する Azure テナントのために Microsoft 365 SaaS アプリケーションコネクタを作成します。 Catoアカウントにコネクタを追加するには、Microsoft 365に認証するための正しい資格情報を持っている必要があります。

Endpoint_Connectors.png

Microsoft 365 親エンドポイントコネクタを設定するには:

  1. ナビゲーションメニューから、セキュリティ > コネクタ を選択し、コネクタ設定 タブを選択します。
  2. 新規 をクリックします。 新規コネクタ パネルが開きます。

  3. SaaS アプリケーション ドロップダウンメニューから、Microsoft 365 アプリを選択します。

    MIP_New_Connector_MS365.png
  4. 一意の コネクタ名 を入力します。

  5. 承認して保存 をクリックします。

    新しいブラウザタブがMicrosoft 365アプリを開きます。

  6. 新しいブラウザタブで、Microsoft 365アプリに認証します:
    1. Microsoft 365 アプリ用の Microsoft アカウントを選択します。
    2. アプリのパスワードを入力し、承認します。

    3. CatoがMicrosoft 365アプリにアクセスできるように、アクセス許可を承認してください。

      MIP_Labels_Parent_Connector_Permissions.png

    4. アプリのアクセス許可が正常に適用されたことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じて、Cato 管理アプリケーションに戻ることができます。

  7. Microsoft 365 SaaS アプリケーションがコネクタ設定ページに追加されます。

    Endpoint_Connectors_-_MS_365.png

    Microsoft Azure がリクエストを処理するのに数秒かかることがあるため、状況ユーザーの同意待ちと表示される場合は、ブラウザを更新してください。

Microsoft Defender for Endpoint コネクタの設定

Cato 管理アプリケーションを使用して、使用したいアラートデータを含む Azure テナントのために Microsoft Defender for Endpoint SaaS アプリケーションコネクタを作成します。 Catoアカウントにコネクタを追加するには、Microsoft 365に認証するための正しい資格情報を持っている必要があります。

注: Microsoft 365 アプリのために API コネクタを作成すると、コネクタは3ヶ月間有効な認証証明書を作成し、有効期限の7日前に証明書を更新します。

Microsoft Defender コネクタを設定するには:

  1. ナビゲーションメニューから、セキュリティ > コネクタ を選択し、コネクタ設定 タブを選択します。
  2. 新規 をクリックします。 新規コネクタ パネルが開きます。

  3. Saas アプリケーション ドロップダウンメニューから、Microsoft Defender アプリを選択します。

    Defender_Connector.png
  4. コネクタテナント ドロップダウンメニューから、使用したいアラートデータのテナントのための親Microsoft 365 コネクタを選択します。
  5. Defender コネクタのための一意の コネクタ名 を入力します。
  6. 保存 をクリックします。

  7. コネクタが正常に作成された後、承認 をクリックします。

    MIP_Labels_SuccessCreate_Authorize.png

    新しいブラウザタブが Microsoft 365 アプリを開きます。

  8. 新しいブラウザタブで、Microsoft 365 アプリに認証します:
    1. Microsoft 365 アプリ用の Microsoft アカウントを選択します。
    2. アプリのパスワードを入力し、承認します。

    3. Cato が Microsoft 365 アプリにアクセスできるように、アクセス許可を承認してください。

      Defender_connector_permissions.png

    4. アプリのアクセス許可が正常に適用されたことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じて、Cato 管理アプリケーションに戻ることができます。

  9. Microsoft Defender SaaS アプリケーションがコネクタ設定ページに追加されます。

    Endpoint_Connectors.png

    Microsoft Azure がリクエストを処理するのに数秒かかることがあるため、状況ユーザーの同意待ちと表示される場合は、ブラウザを更新してください。

コネクタの状況の理解

状況列は、MicrosoftアプリとCatoアカウントの間の接続状況を表示します。 これらは状況の説明です:

  • 接続済み - アカウントはアプリと接続されており、正常に機能しています
  • ユーザーの同意待ち - Catoが Microsoft 365 アプリにアクセスできるように、アクセス権が付与されていません。 この問題を解決するには、ブラウザを更新してください。 状況接続済みに変わった場合、問題は解決されます。変わらない場合は、コネクタを削除して再作成してください。
  • エラー - Microsoft コネクタに接続性、アクセス権、またはその他の問題があります。 コネクタを削除して再作成してください。

Stories Workbench ページの閲覧

コネクタを作成すると、ストーリーがStories Workbenchに表示されます。

Stories Workbench ページを表示するには:

  • ナビゲーションメニューから、ホーム > Stories Workbench をクリックします。

XDR インシデント検出内の列に関する情報は、ストーリー列の理解を参照してください。

Microsoft Defender からのデータを含む XOps ストーリーのレビューに関する詳細は XOps セキュリティストーリーの掘り下げと分析を参照してください

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント