Microsoft Defender para Alertas de Endpoint: Configurando a Integração XOps

Este artigo discute a integração de dados do Microsoft Defender para Endpoint para gerar histórias que você pode revisar na Bancada de Trabalho de Histórias da Cato.

Visão geral de histórias de Alertas de Endpoint

Usando a API da Microsoft, você pode integrar dados de alerta do Microsoft Defender para Endpoint para gerar histórias para dispositivos de endpoint. As histórias de endpoint ajudam você a obter uma imagem mais completa de ameaças potenciais em sua rede.

O Motor de Alertas do Endpoint Cato cria uma história correlacionando dados de Alertas do Defender relacionados ao mesmo Incidente do Defender. Histórias de Alerta de Endpoint incluem todas as evidências relevantes para os Alertas detectados pelo Defender. A Bancada de Trabalho de Histórias mostra as histórias de endpoint junto com os outros tipos de histórias, e você pode classificar e filtrar as histórias para se concentrar nas histórias de Alerta de Endpoint.

Para integrar os dados de alerta do Defender para Endpoint com o Cato XOps, você precisa primeiro configurar os conectores de API para Microsoft 365 e para Defender para Endpoint. Após criar os conectores, o motor de Alerta de Endpoint recupera e analisa os dados de alerta do Defender para Endpoint.

Para mais informações sobre a revisão de histórias XOps, incluindo dados do Microsoft Defender, veja Drilling-Down and Analyzing XOps Security Stories

Visão geral de alto nível de Integração de Histórias de Alerta de Endpoint

Esta é uma descrição de alto nível do fluxo de trabalho para integrar e revisar histórias do Defender para Endpoint na Bancada de Trabalho de Histórias:

  1. Criar o conector pai do Microsoft 365.
  2. Criar o conector do Defender para Endpoint.
  3. Revisar as histórias de Alerta de Endpoint na Bancada de Trabalho de Histórias.

Limitações Conhecidas

  • As configurações no painel Ações da História não são configuráveis para histórias de Alerta de Endpoint. Todos os campos relacionados às ações aparecem como N/A. Para mais informações sobre o painel Ações da História, veja abaixo.
  • Histórias de Alerta de Endpoint da Microsoft para dispositivos compartilhados incluem na história todos os usuários conectados ao dispositivo, enquanto o Alerta relevante de Defender para Endpoint pode mostrar apenas um usuário.
  • Para adicionar um conector, é necessário ter permissão de editor para Integrações (na seção Recursos). Para mais informações, veja Gerenciamento de Funções de Admin Usando RBAC.

Entendendo as Histórias de Alerta de Endpoint da Microsoft

O produtor de Alerta de Endpoint da Microsoft gera histórias com base na integração. Esta seção explica as informações disponíveis na aba de Visão Geral da página de detalhamento de histórias.

História de Defender para Endpoint atualizada.png

Estes são os widgets de Visão Geral da história:

Nome Descrição
Widget de resumo

A barra no topo da página mostra um resumo das informações básicas sobre a história, incluindo:

  • Criticidade da ameaça
  • Resumo dos detalhes da história
  • Gravidade da ameaça conforme determinado por um analista
  • Veredito para a ameaça conforme determinado por um analista
Linha do tempo Uma linha do tempo de eventos ou ações tomadas na história.
Detalhes

Informações básicas para a história.

  • Clique no link URL do Incidente para visualizar o Incidente no Microsoft Defender.
Entidades As entidades envolvidas no incidente. Estas podem ser Usuários, Dispositivos, Locais, Armazenamento de dados, aplicativos, etc. Uma história pode incluir alertas para múltiplos usuários e dispositivos.
Alertas

Mostra detalhes dos Alertas relacionados ao Incidente no Defender.

  • Expanda um Alerta para mostrar uma árvore de processos cronológica para as Evidências relacionadas ao Alerta, incluindo processos, arquivos e valores de registro.
  • Clique em um item na árvore de processos para detalhar ainda mais e mostrar dados granulares sobre a Evidência.

Estas são as colunas na tabela:

  • Um Nome do Alerta que descreve a atividade suspeita
  • Criticidade - Pontuação geral de risco para o Alerta calculada pelo algoritmo de análise de risco de aprendizado de máquina da Cato (valores de 1 a 10)
  • O IP Local e o IP Externo do dispositivo envolvido no Alerta.
  • Nome de Usuário do Fornecedor - A conta de usuário associada ao alerta pelo Microsoft Defender.
  • Nome do Dispositivo - Nome do dispositivo envolvido no Alerta.
  • SO - Sistema operacional do dispositivo envolvido no Alerta.
  • Nome do Domínio do Fornecedor - O domínio do Windows, AD ou domínio local associado à conta do usuário no alerta.
  • ID do Alerta - O número de ID para o Alerta.

  • Técnicas MITRE - Técnicas MITRE ATT&CK® identificadas para a ameaça.

    Para mais informações sobre o framework MITRE ATT&CK®, veja Usando o Painel de Controle MITRE ATT&CK®.

  • Status - Mostra se o Alerta é Novo ou já foi Resolvido.
  • Data da Primeira Atividade - Data da atividade suspeita inicial detectada para o Alerta.
  • Data da Última Atividade - Data da atividade suspeita mais recente detectada para o Alerta.
  • Nome da Ameaça - Nome do malware detectado. Por exemplo: Trojan:Win32/Startpage
  • Descrição & Ações Recomendadas - Clique em Visualizar para uma breve descrição do Alerta e passos recomendados para investigar e mitigar a ameaça.
Evidências

Agrega detalhes para todos os Processos, Arquivos, valores de Registro e parâmetros de Rede identificados na evidência para os vários Alertas da história.

Algumas colunas na tabela Evidências são compartilhadas por todos os tipos de Evidências, e algumas são específicas por tipo.

Estas são as colunas que aparecem para todos os tipos de Evidências:

  • Veredito - Veredito gerado pelo Defender para a peça de evidência (Malicioso, Suspeito ou Nenhuma ameaça encontrada)
  • Status de Remediação - Mostra se a ameaça foi remediada.
  • Criado - Data e hora em que o evento foi registrado.

Estas são as colunas específicas para cada tipo de Evidência:

  • Processos:

    • Nome do Processo - Nome do arquivo executável para o processo
    • ID do Processo - Número de ID atribuído pelo Windows para o processo
    • Linha de Comando do Processo - Argumentos que foram passados para o processo no Windows. Isso pode revelar um contexto importante sobre a execução de um processo suspeito.
    • Caminho do Arquivo - Localização no dispositivo endpoint do arquivo executável para o processo

  • Arquivos:

    • Caminho do Arquivo - Localização do arquivo no dispositivo endpoint
    • Nome do Arquivo - Nome do arquivo incluindo extensão
    • Tamanho do Arquivo - Tamanho do arquivo em bytes, kilobytes, ou megabytes

  • Registro:

    • Chave de Registro Nome
    • Tipo de Valor do Registro - Formato dos dados armazenados no valor do registro
    • Valor do Registro - O valor da entrada de registro

  • Rede:

    • Mostra dados de rede para o fluxo que gerou o alerta, como o IP de Destino, Porta de Destino, dados de DNS e HTTP, e o URL acessado

Visão Geral dos Conectores Microsoft

Para configurar o conector do Microsoft Defender da Cato para buscar dados de alerta, primeiro você precisa configurar o conector Microsoft 365 como o aplicativo pai para dar permissões de leitura para o conector Defender. O aplicativo pai só tem permissões para gerenciar os conectores Microsoft. Após configurar o conector Microsoft 365, você pode configurar um conector Defender para recuperar os dados de alerta.

Se você quiser importar dados de alerta de diferentes suborganizações dentro de sua organização, crie um conector Microsoft 365 separado para cada locatário do Azure relevante, e então configure um conector Defender para cada locatário.

Pré-requisitos

  • É necessário uma licença Microsoft 365 E3 ou superior
  • O conector Microsoft 365 requer um admin com a função de admin global para dar permissões ao conector Defender da Cato

Permissões Necessárias para o Conector Microsoft Defender

Para permitir que o conector Defender recupere os dados de alerta de sua conta Microsoft 365, o conector dá à Cato as seguintes permissões e ações com o Microsoft 365:

  • Conectar à APIs da Microsoft e ler todos os dados do Defender para Endpoint de uma organização
  • Entrar e ler perfil de usuário

Configurando os Conectores Microsoft

Configure um conector pai Microsoft 365 e então defina um conector Defender para a conta Microsoft 365.

Se sua organização já configurou um conector pai Microsoft 365 para outro recurso, como uma API de Segurança SaaS para aplicativos Microsoft, ou para importar rótulos MIP para sua política DLP, você só precisa configurar um conector Defender.

Configurando o Conector Microsoft 365

Use o Aplicativo de Gestão da Cato para criar o conector do aplicativo SaaS Microsoft 365 para o locatário Azure relevante. Você deve ter as credenciais corretas para autenticar no Microsoft 365 para adicionar o conector à sua conta Cato.

Endpoint_Connectors.png

Para configurar o conector pai de endpoint Microsoft 365:

  1. No menu de navegação, selecione Segurança > Conectores, e selecione a aba Configurações.
  2. Clique em Novo. O painel Novo Conector é aberto.

  3. No menu suspenso Aplicativo SaaS, selecione o aplicativo Microsoft 365.

    MIP_New_Connector_MS365.png
  4. Insira um Nome do Conector único.

  5. Clique em Autorizar e Salvar.

    Uma nova aba do navegador é aberta para o aplicativo Microsoft 365.

  6. Na nova aba do navegador, autentique-se no aplicativo Microsoft 365:
    1. Selecione a conta Microsoft para o aplicativo Microsoft 365.
    2. Insira a senha para o aplicativo e aprove.

    3. Aceitar as permissões para permitir que a Cato acesse o aplicativo Microsoft 365.

      MIP_Labels_Parent_Connector_Permissions.png

    4. A tela mostra que você aplicou as permissões para o aplicativo com sucesso.

      Success_Connector_Permissions.png

      Você pode fechar a aba do navegador e voltar para o Aplicativo de Gestão da Cato.

  7. O aplicativo SaaS Microsoft 365 é adicionado à página de Configurações de Conectores.

    Endpoint_Connectors_-_MS_365.png

    Pode levar vários segundos para o Microsoft Azure processar a solicitação, então se o Status mostrar Pendente consentimento de usuário, atualize o navegador.

Configurando o Conector Microsoft Defender para Endpoint

Use o Aplicativo de Gestão da Cato para criar o conector do aplicativo SaaS Microsoft Defender para Endpoint para o locatário Azure com os dados de alerta que você quer usar. Você deve ter as credenciais corretas para autenticar no Microsoft 365 para adicionar o conector à sua conta Cato.

Nota

Nota: Quando você cria um conector de API para um aplicativo Microsoft 365, o conector cria um certificado de autenticação que é válido por 3 meses, e renova o certificado 7 dias antes da expiração.

Para configurar o conector Microsoft Defender:

  1. No menu de navegação, selecione Segurança > Conectores, e selecione a aba Configurações de Conectores.
  2. Clique em Novo. O painel Novo Conector é aberto.

  3. No menu suspenso Aplicativo SaaS, selecione o aplicativo Microsoft Defender.

    Defender_Connector.png
  4. No menu suspenso Conector de Locatário, selecione o conector pai Microsoft 365 para o locatário com os dados de alerta que você quer usar.
  5. Insira um Nome do Conector único para o conector Defender.
  6. Clique em Salvar.

  7. Após o conector ser criado com sucesso, clique em Autorizar.

    MIP_Labels_SuccessCreate_Authorize.png

    Uma nova aba do navegador é aberta para o aplicativo Microsoft 365.

  8. Na nova aba do navegador, autentique-se no aplicativo Microsoft 365:
    1. Selecione a conta Microsoft para o aplicativo Microsoft 365.
    2. Insira a senha para o aplicativo e aprove.

    3. Aceitar as permissões para permitir que a Cato acesse o aplicativo Microsoft 365.

      Defender_connector_permissions.png

    4. A tela mostra que você aplicou as permissões para o aplicativo com sucesso.

      Success_Connector_Permissions.png

      Você pode fechar a aba do navegador e voltar para o Aplicativo de Gestão da Cato.

  9. O aplicativo SaaS Microsoft Defender é adicionado à página de Configurações de Conectores.

    Endpoint_Connectors.png

    Pode levar vários segundos para o Microsoft Azure processar a solicitação, então se o Status mostrar Pendente consentimento de usuário, atualize o navegador.

Entendendo o Status do Conector

A coluna Status na página de Configurações de Conectores mostra o status da conexão entre o aplicativo Microsoft e sua conta Cato. Estas são as explicações dos status:

  • Conectado - Sua conta está conectada ao aplicativo e está funcionando corretamente
  • Pendente consentimento de usuário - As permissões não foram concedidas para permitir que a Cato acesse o aplicativo Microsoft 365. Para resolver este problema, atualize o navegador. Se o Status mudar para Conectado, o problema está resolvido, se o Status não mudar, exclua e recrie o conector.
  • Erro - Há um problema de conectividade, permissões, ou outro com o conector Microsoft. Exclua e recrie o conector.

Visualizando a Página Bancada de Trabalho de Histórias

Depois de criar o conector, as histórias estarão visíveis na Bancada de Trabalho de Histórias.

Para visualizar a página Bancada de Trabalho de Histórias:

  • No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.

Para informações sobre as colunas na Bancada de Trabalho de Histórias, consulte Understanding the Stories Columns

Para mais informações sobre a revisão de histórias XOps, incluindo dados do Microsoft Defender, veja Drilling-Down and Analyzing XOps Security Stories

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário