この記事では、Microsoft Defender for Endpoint からのデータ統合に関して説明し、Cato ストーリーワークベンチでレビューできるストーリーの生成方法について述べています。
注意
注意: XOpsはセキュリティと運用のためのCatoの統一された分析レイヤーであり、インサイトとガイド付き対策を提供します。 XOpsはXDRに代わりました。詳細はXOps FAQをご覧ください。
Microsoft API を使用することで、Microsoft Defender for Endpoint からのアラートデータを統合し、エンドポイントデバイス用のストーリーを生成できます。 エンドポイントストーリーは、ネットワーク内の潜在的脅威に対するより完全なイメージを得るのに役立ちます。
Catoエンドポイントアラートエンジンは、24時間以内に同一デバイスで発生したDefender アラートデータを相関させることでストーリーを生成します。 エンドポイントアラートストーリーには、Defender が検出したアラートのすべての関連証拠が含まれています。 XDR インシデント検出は、エンドポイントストーリーを他のストーリータイプと一緒に表示し、ストーリーを並べ替えたりフィルタリングしたりしてエンドポイントアラートストーリーにフォーカスできます。
Defender for EndpointのアラートデータをCato XOps (以前のXDR)と統合するには、Microsoft 365とDefender for EndpointのためのAPIコネクタをまずセットアップする必要があります。 コネクタを作成した後、エンドポイントアラートエンジンは Defender for Endpoint からのアラートデータを取得して分析します。
Microsoft Defenderのデータを含むXOpsストーリーのレビューについての詳細は、XOpsセキュリティストーリーの掘り下げと分析を参照してください。
これは、XDR インシデント検出で Defender for Endpoint ストーリーを統合しレビューするためのワークフローの高レベルな説明です:
-
Microsoft 365 の親コネクタを作成します。
-
Defender for Endpoint のコネクタを作成します。
-
XDR インシデント検出でエンドポイントアラートストーリーをレビューします。
Cato の Microsoft Defender コネクタを構成してアラートデータを取得するには、まず親アプリとして Microsoft 365 コネクタを設定し、Defender コネクタに読み取り権限を付与する必要があります。 親アプリには Microsoft コネクタを管理する権限のみがあります。 Microsoft 365 コネクタを設定した後、Defender コネクタを設定してアラートデータを取得できます。
組織内の異なるサブ組織からアラートデータをインポートしたい場合は、それぞれの Azure テナントに対して個別の Microsoft 365 コネクタを作成し、それぞれのテナントの Defender コネクタを設定してください。
-
Microsoft 365 E3 ライセンス以上が必要です
-
Microsoft 365 コネクタは、Cato の Defender コネクタに権限を付与するために、グローバル管理者ロールを持つ管理者を必要とします
親 Microsoft 365 コネクタを設定し、その後に Microsoft 365 アカウントの Defender コネクタを定義します。
ご組織がMicrosoftアプリのSaasセキュリティAPIポリシー、あるいはDLPポリシーにMIPラベルをインポートするためのMIPラベルのためにMicrosoft 365親コネクタをすでに設定している場合、Defenderコネクタのみを設定し直す必要があります。
関連する Azure テナントのための Microsoft 365 SaaS アプリケーションコネクタを作成するには、Cato 管理アプリケーションを使用してください。 Cato アカウントにコネクタを追加するには、Microsoft 365 に認証するための正しい資格情報が必要です。
Microsoft 365 親エンドポイントコネクタを設定するには:
-
ナビゲーションメニューから セキュリティ > コネクタ を選択し、コネクタ設定 タブを選択します。
-
新規作成 をクリックします。 新しいコネクタ パネルが開きます。
-
SaaS アプリケーション ドロップダウンメニューから、Microsoft 365 アプリを選択します。
-
一意なコネクタ名を入力します。
-
認証して保存をクリックします。
新しいブラウザタブが開き、Microsoft 365 アプリが表示されます。
-
新しいブラウザ タブで、Microsoft 365 アプリに認証します:
-
Microsoft 365アプリのMicrosoftアカウントを選択します。
-
アプリのパスワードを入力し、承認します。
-
CatoがMicrosoft 365アプリにアクセスできるように承認します。
-
画面は、アプリの権限が正常に適用されたことを示しています。
ブラウザのタブを閉じ、Cato管理画面に戻ることができます。
-
-
Microsoft 365 SaaSアプリケーションがコネクター設定ページに追加されます。
Microsoft Azureがリクエストを処理するのに数秒かかる場合がありますので、ステータスがユーザ承諾の保留と表示された場合は、ブラウザを更新してください。
Cato管理画面を使用して、使用したいアラートデータを持つAzureテナントのためにMicrosoft Defender for Endpoint SaaSアプリケーションコネクタを作成します。 Catoアカウントにコネクタを追加するには、Microsoft 365で認証するための正しい資格情報が必要です。
注意
注意: Microsoft 365アプリのAPIコネクタを作成すると、コネクタは3ヶ月間有効な認証証明書を作成し、期限切れの7日前に証明書を更新します。
Microsoft Defenderコネクタを構成するには:
-
ナビゲーションメニューからセキュリティ > コネクタを選択し、コネクター設定タブを選択します。
-
新規をクリックします。 新規コネクタパネルが表示されます。
-
SaaS アプリケーションドロップダウンメニューからMicrosoft Defenderアプリを選択します。
-
親コネクタドロップダウンメニューから、使用したいアラートデータを持つテナントの親Microsoft 365コネクタを選択します。
-
Defenderコネクタのために一意のコネクタ名を入力します。
-
保存をクリックしてください。
-
コネクタが正常に作成されたら、承認するをクリックします。
新しいブラウザタブが開き、Microsoft 365 アプリケーションに移動します。
-
新しいブラウザタブで、Microsoft 365 アプリケーションに認証します:
-
Microsoft 365 アプリケーションのための Microsoft アカウントを選択します。
-
アプリケーションのパスワードを入力し、それを承認します。
-
承認して、Cato が Microsoft 365 アプリケーションにアクセスできるようにします。
-
画面には、アプリケーション用の権限が正常に適用されたことが表示されます。
ブラウザタブを閉じて、Cato 管理アプリケーションに戻ることができます。
-
-
Microsoft Defender SaaS アプリケーションが コネクター設定 ページに追加されます。
Microsoft Azure がリクエストを処理するのに数秒かかることがあります。したがって、ステータス が ユーザ承諾の保留 と表示されている場合は、ブラウザをリフレッシュしてください。
ステータス列は、コネクター設定ページ上にあり、Microsoft アプリケーションと Cato アカウント間の接続状態を表示します。 これらはステータスの説明です:
-
接続済み - アカウントがアプリケーションに接続されており、正しく動作しています
-
ユーザ承諾の保留 - Cato が Microsoft 365 アプリケーションにアクセスできるようにする権限が与えられていません。 この問題を解決するには、ブラウザをリフレッシュしてください。 もしステータスが接続済みに変わったら、問題は解決されます。変わらない場合は、コネクタを削除して再作成してください。
-
エラー - Microsoft コネクタに接続性、権限、またはその他の問題があります。 コネクタを削除して再作成してください。
一度コネクタを作成すると、ストーリーはストーリー ワークベンチで表示されるようになります。
ストーリーワークベンチの列に関する情報についてはストーリーの列を理解するを参照してください。
Microsoft Defenderのデータを含むXOpsストーリーのレビューについての詳細は、XOpsセキュリティストーリーの掘り下げと分析を参照してください。
0件のコメント
サインインしてコメントを残してください。