Este artigo discute como você pode usar a Bancada de Histórias para revisar histórias de XOps para anomalias de login detectadas em alertas do Microsoft Entra ID Protection.
Nota
Nota: XOps é a camada unificada de análise de segurança e operações da Cato, oferecendo insights e remediação guiada. XOps substituiu o XDR, para mais informações, consulte FAQ do XOps.
A Proteção do Microsoft Entra ID ajuda as organizações a detectar riscos baseados em identidade para seu inquilino de Entra ID, como logins anômalos que podem indicar atividade maliciosa. Usando a API da Microsoft, você pode integrar os dados de alerta do Microsoft Entra ID Protection para gerar histórias de XOps (anteriormente XDR) da Cato. Isso permite que os analistas incluam dados de logins arriscados dentro do contexto mais amplo de investigações de XOps. O motor de Alerta de Identidade Cato Entra cria uma história correlacionando dados de alertas de Proteção do Entra ID que ocorreram para o mesmo Usuário dentro de um período de 24 horas. A Bancada de Trabalho de Histórias mostra as histórias de Alerta de Identidade do Entra junto com os outros tipos de história, e você pode ordenar e filtrar as histórias para se concentrar nas histórias de Alerta de Identidade do Entra.
Você também pode enriquecer as histórias de Alerta de Identidade do Entra integrando dados de eventos de login do Microsoft Entra ID. Isso fornece o contexto do comportamento usual de login do usuário, que pode ser comparado com os dados de alerta anômalos fornecidos pela Proteção do Entra ID.
Para mais informações sobre a revisão de histórias XOps, incluindo dados do Microsoft Entra ID, consulte Drilling-Down and Analyzing XOps Security Stories
-
Histórias de XOps para alertas do Microsoft Entra ID Protection exigem a configuração do conector Microsoft Entra ID Protection. Para mais informações sobre como configurar o conector, incluindo as licenças Microsoft necessárias e permissões, consulte Configuring the Microsoft Entra ID Protection Connector for Sign-In Anomaly Data.
-
Para dados de eventos de login nos widgets Eventos de Login e Eventos de Login do Usuário, é necessário configurar o conector de Microsoft Entra ID. Para mais informações sobre como configurar o conector, incluindo a licença Microsoft necessária e permissões, consulte Configuring the Microsoft Entra ID (Azure AD) Connector.
Nota
Nota:
-
Se você configurar apenas o conector de Proteção do Microsoft Entra ID, as histórias de Identidade Entra são geradas, no entanto os widgets Eventos de Login e Eventos de Login do Usuário não mostram dados.
-
Se você configurar apenas o conector do Microsoft Entra ID, nenhuma história de Identidade Entra é gerada.
A coluna Estado na página Configurações de Conectores mostra o status da conexão entre o aplicativo CrowdStrike e sua conta Cato. Estas são as explicações dos estados:
-
Conectado - Sua conta está conectada ao aplicativo e funcionando corretamente
-
Consentimento do usuário pendente - As permissões não foram concedidas para permitir que a Cato acesse o aplicativo CrowdStrike. Para resolver este problema, atualize o navegador. Se o Status mudar para Conectado, o problema está resolvido; se o Status não mudar, exclua e recrie o conector.
-
Erro - Há um problema de conectividade, permissões, licença ou outro com o conector. Exclua e recrie o conector.
Uma vez criado o conector, as histórias serão visíveis na Bancada de Trabalho de Histórias.
Para visualizar a página da Bancada de Trabalho de Histórias:
-
No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.
Para mais informações sobre as colunas na Bancada de Trabalho de Histórias, consulte Understanding the Stories Columns
Para mais informações sobre a revisão de histórias XOps, incluindo dados do Microsoft Defender, consulte Drilling-Down and Analyzing XOps Security Stories
0 comentário
Artigo fechado para comentários.