Microsoft Defender for Office 365: 電子メールセキュリティ統合の設定

概要

電子メールセキュリティ統合により、XOpsに電子メールセキュリティイベントをインポートして、フィッシングや他の電子メールベースの脅威をより多くのコンテキストと単一のワークフローから調査できます。 これにより、調査時間を短縮し、脅威の相関を改善し、電子メール、ネットワーク、エンドポイントのデータソース全体で関連する活動を特定しやすくなります。

電子メール攻撃は、しばしば広範な攻撃フローの一部となっています。 フィッシングメール、悪意のある添付ファイル、疑わしい送信活動は、ユーザーによる悪意のあるドメインへのアクセスや、追加のネットワークベースの指標、または関連するエンドポイント検出につながる可能性があります。 この統合により、XOpsは電子メールセキュリティイベントを調査フローの一部として含め、攻撃に対する広範な可視性を提供できます。

Microsoft Defender for Office 365でインシデントが作成されると、XOpsでストーリーが作成されます。 これにより、Catoで元の検出ロジックを保持し、アカウント内での広範な活動の一部としてアラートを調査できます。

ユースケース

Company XYZは、Microsoft Defender for Office 365を使用して、フィッシングメール、悪意のあるリンク、およびその他の電子メールベースの脅威からユーザーを保護します。 しかし、電子メールアラートだけでは、必ずしも完全な攻撃コンテキストを提供できません。 セキュリティチームはまた、ユーザーが悪意のあるコンテンツとどのように関わり、活動がネットワークやエンドポイントで関連する検出につながったかを理解する必要があります。

企業は、XOpsをMicrosoft Defender for Office 365と統合します。 Microsoft Defender for Office 365がアラートを生成すると、XOpsは自動的にアラートを取り込み、ストーリーをストーリー作業台で作成します。 これにより、Microsoftの元の検出ロジックを保ちつつ、Catoのネットワークおよびセキュリティのコンテキストを調査に追加します。

XOpsのストーリーから、会社は以下を行うことができます:

  • 悪意のあるリンクをクリックしたり、疑わしいドメインにアクセスしたかどうかを調査

  • メールアラートに接続された関連するネットワークおよびエンドポイントの活動を確認

  • アラートが別のユーザーや資産に影響を与える広範な攻撃フローの一部であるかどうかを判断

Microsoft Defender for Office 365のメール検出をCatoのコンテキスト分析と融合することにより、Company XYZはフィッシングや他の電子メールベースの攻撃をより高い可視性で調査できます。 これにより、調査時間を短縮し、脅威の相関を改善し、迅速な対応をサポートします。

統合によって作成されたストーリーの理解

統合から生成されたストーリーは、Generic Incidentプロデューサーによって処理されます。 以下のテーブルでは、これらのストーリー内のウィジェットを説明します。

Cyera.png

名前

説明

概要ウィジェット

ストーリーの基本情報の概要、含まれるのは:

  • 脅威の重大性

  • ストーリーの詳細の概要

  • アナリストによって決定された脅威の深刻度

  • アナリストによって決定された脅威の判定

詳細

ストーリーとメタデータの概要説明。

タイムライン

ストーリー内のイベントまたは実行されたアクションのタイムライン。

エンティティ

ストーリーが発生したエンティティ。 これらはユーザー、サイト、データストア、アプリケーションなどが含まれる可能性があります。

証拠

XOpsストーリーが生成された理由を説明するためのサポート証拠。

生データ

ストーリーを生成した生のイベントを含むダイナミックテーブル。

Microsoft Defender for Office 365の統合設定

電子メールセキュリティ統合を設定するには、以下を行う必要があります:

  1. 親コネクタとしてMSテナント統合を作成

  2. Microsoft Defender for Office 365のためにAPIコネクタを作成

前提条件

  • Microsoft 365 E3ライセンス

ステップ1:MSテナント統合を作成

まず、MSテナント統合を親コネクタとして設定します。 このコネクタはすべてのMicrosoft統合に使用できます。 既に親コネクタを作成済みの場合は、ステップ2に進んでください。

MSテナント統合を作成するには:

  1. ナビゲーションメニューから、リソース > 統合を選択し、統合されたアプリタブをクリックします。

  2. 新規作成をクリック。 新規コネクタパネルが開きます。

  3. 新規コネクタパネルで、MSテナント(新しいMSテナントを設定)アプリを選択します。

    New_Microsoft_365_Connector.png

  4. コネクタ名を入力します。

  5. 承認して保存をクリック。

    新しいブラウザタブが開き、Microsoft 365アプリが表示されます。

  6. 新しいブラウザタブで、Microsoft 365アプリに認証を行います。

    1. Microsoft 365アプリ用のMicrosoftアカウントを選択します。

      そうしないと、Microsoft認証エラーが発生する可能性があります。

    2. アプリのパスワードを入力し、承認します。

    3. 承諾して、CatoがMicrosoft 365アプリにアクセスできるように権限を承認します。

    4. 画面には、アプリの権限が正常に適用されたことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じて、Cato管理アプリケーションに戻ることができます。

  7. Microsoft 365 SaaSアプリケーションが統合されたアプリタブに追加されます。

ステップ2:電子メールセキュリティのためのAPIコネクタを作成

親コネクタを設定した後、CMAで相互接続アプリ統合の詳細を追加してください。

CMAでAPIコネクタを作成するには:

  1. ナビゲーションメニューから、リソース > 統合をクリックします。

  2. 設定済みの統合タブをクリックします。

  3. 新規作成をクリック。

    新しい統合パネルが開きます。

  4. Microsoft Defender for Office 365を選択

  5. 認証ドロップダウンで、ステップ1で作成したMicrosoftプライマリテナントを選択します。

  6. (任意)説明を追加します。

  7. 保存をクリック。

    CMAがベンダーに接続します。

  8. 承認をクリック。

    image-20250826-133358.png

    Microsoftの権限画面が表示されます。

  9. 要求された権限を確認し、承諾をクリック。

  10. アプリは統合されたアプリテーブルで接続済みステータスで表示されます。

ストーリー作業台ページの表示

コネクタを作成すると、ストーリーはストーリー作業台で表示可能になります。

ストーリー作業台ページを表示するには:

  • ナビゲーションメニューから、ホーム > ストーリー作業台をクリックします。

ストーリー作業台内の列に関する情報については、ストーリー列の理解を参照してください。

XOpsストーリーの確認方法の詳細については、XOpsセキュリティストーリーの深掘りと分析を参照してください。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント