この記事は、Microsoft Entra ID Protectionのアラートで検出されたサインインの異常に関するXOpsストーリーを確認するために、ストーリーの作業台をどのように使用できるかについて説明します。
Microsoft Entra ID Protectionは、Entra IDテナント向けのアイデンティティベースのリスクを検出するのに役立ち、悪意のある活動を示す可能性がある異常なサインインを特定します。 Microsoft APIを使用中、Microsoft Entra ID保護からのアラートデータを統合してCato XOpsストーリーを生成することができます。 これにより、アナリストはXOps調査の広範なコンテキスト内にリスクの高いサインインからのデータを含めることができます。 Cato Entra Identity Alertエンジンは、同じユーザーに対して24時間以内に発生したEntra ID Protectionアラートのデータを相関させてストーリーを作成します。 ストーリーの作業台は、Entra Identity Alertストーリーを他のストーリータイプと共に表示し、Entra Identity Alertストーリーに集中するためにストーリーをソートおよびフィルタリングすることができます。
また、Microsoft Entra IDからのサインインイベントデータを統合することにより、Entra Identity Alertストーリーを強化することもできます。 これにより、ユーザーの通常のサインイン行動のコンテキストが提供され、Entra ID Protectionが提供する異常アラートデータと比較することができます。
Microsoft Entra IDを含むXOpsストーリーの確認と分析に関する詳細は、XOpsセキュリティストーリーの詳細分析と調査をご覧ください。
-
XOpsストーリーのためのMicrosoft Entra ID Protectionアラートは、Microsoft Entra ID Protectionコネクタの設定が必要です。 コネクタの設定、必要なMicrosoftライセンスと権限に関する詳細は、サインイン異常データのためのMicrosoft Entra ID Protectionコネクタの設定を参照してください。
-
サインインイベントおよびユーザーのサインインイベントウィジェットのサインインイベントデータのために、Microsoft Entra IDコネクタの設定が必要です。 コネクタの設定、必要なMicrosoftライセンスと権限に関する詳細は、Microsoft Entra ID (Azure AD) コネクタの設定を参照してください。
-
エンドポイントコネクタを追加するには、リソース セクションの 統合 に関する編集者権限が必要です。 詳細情報は、管理者の役割の管理(RBACを使用)を参照してください。
注意
注意:
-
Microsoft Entra ID Protectionコネクタのみを設定すると、Entra Identityストーリーが生成されますが、サインインイベントとユーザーのサインインイベントウィジェットにはデータが表示されません。
-
Microsoft Entra IDコネクタのみを設定すると、Entra Identityストーリーは生成されません。
コネクタ設定ページのステータス欄には、CrowdStrikeアプリとCatoアカウント間の接続状況が表示されます。 これらはステータスの説明です:
-
接続済み - アカウントはアプリに接続されており、正常に動作しています
-
ユーザーの同意待ち - CatoがCrowdStrikeアプリにアクセスするための権限が付与されていません。 この問題を解決するには、ブラウザをリフレッシュしてください。 ステータスが接続済みに変わった場合、問題は解決されます。変わらない場合は、コネクタを削除して再作成してください。
-
エラー - コネクタに接続、権限、ライセンス、またはその他の問題があります。 コネクタを削除して再作成してください。
コネクタを作成すると、ストーリーはストーリーの作業台に表示されるようになります。
ストーリーの作業台のカラムに関する情報については、ストーリーのカラムの理解を参照してください。
Microsoft Defenderを含むXOpsストーリーの確認と分析に関する詳細は、XOpsセキュリティストーリーの詳細分析と調査をご覧ください。
0件のコメント
記事コメントは受け付けていません。