この記事では、ストーリーワークベンチを使用して Microsoft Entra ID 保護アラートで検出されたサインイン異常の XOps ストーリーをレビューする方法について説明します。
注意
注: XOps は Cato の統合分析レイヤであり、セキュリティとオペレーションのためのインサイトとガイド付きの是正策を提供します。 XOps は XDR に代わるもので、詳細については XOps FAQ を参照してください。
Microsoft Entra ID 保護は、エントラ ID テナントのためのアイデンティティに基づくリスクを特定するのに役立ち、悪意のある活動を示す可能性がある異常なサインインが含まれます。 Microsoft API を使用して、Microsoft Entra ID 保護からのアラートデータを統合し、Cato の XOps(以前は XDR) ストーリーを生成することができます。 これにより、アナリストはリスクのあるサインインに関するデータを XOps 調査の広範な文脈の中に含めることができます。 Cato Entra アイデンティティアラートエンジンは、24時間以内に同一ユーザーに発生したEntra ID 保護アラートデータを相関させることにより、ストーリーを作成します。 Stories Workbench は、Entra Identity Alert のストーリーを他のタイプのストーリーと一緒に示し、ストーリーを並べ替えてフィルタリングして、Entra Identity Alert のストーリーに焦点を合わせることができます。
また、Microsoft Entra ID からのサインインイベントデータを統合することで、Entra Identity Alert のストーリーを充実させることも可能です。 これにより、ユーザーの通常のサインイン活動の背景が提供され、Entra ID 保護によって提供された異常なアラートデータと比較することができます。
Microsoft Entra IDのデータを含むXOpsストーリーのレビューの詳細については、XOpsセキュリティストーリーの詳細分析を参照してください。
-
Microsoft Entra ID 保護アラートのための XOps ストーリーは、Microsoft Entra ID 保護コネクタの設定が必要です。 必要な Microsoft ライセンスおよび権限を含むコネクタの設定の詳細については、Sign-In Anomaly Data 用の Microsoft Entra ID 保護コネクタの設定を参照してください。
-
サインインイベント ウィジェットおよび ユーザーのサインインイベント ウィジェットのサインイン イベント データには、Microsoft Entra ID コネクタの設定が必要です。 必要な Microsoft ライセンスおよび権限を含むコネクタの設定の詳細については、Microsoft Entra ID (Azure AD) コネクタの設定を参照してください。
注
注意:
-
Microsoft Entra ID 保護コネクタだけを設定した場合、Entra Identity ストーリーが生成されますが、サインインイベント および ユーザーのサインインイベント ウィジェットにはデータが表示されません。
-
Microsoft Entra ID コネクタのみを構成する場合、Entra アイデンティティ ストーリーは生成されません。
コネクタ設定ページのステータス列には、CrowdStrikeアプリとカトアカウント間の接続状況が表示されます。 これらはステータスの説明です:
-
接続済み - アカウントはアプリに接続され、正常に動作しています。
-
ユーザー同意待ち - CatoがCrowdStrikeアプリにアクセスするための権限が付与されていません。 この問題を解決するには、ブラウザを更新してください。 ステータス が 接続済み に変更された場合、問題は解決されています。変更されない場合、コネクタを削除して再作成してください。
-
エラー - コネクタに接続、権限、ライセンス、またはその他の問題があります。 コネクタを削除して再作成してください。
コネクタを作成すると、ストーリーはXDR インシデント検出に表示されます。
For information about the columns in the Stories Workbench see Understanding the Stories Columns
Microsoft Defenderのデータを含むXOpsストーリーのレビューの詳細については、XOpsセキュリティストーリーの詳細分析を参照してください。
0件のコメント
記事コメントは受け付けていません。