Este artigo discute como você pode usar a Bancada de Trabalho de Histórias para revisar histórias de XOps para anomalias de entrada detectadas em alertas de Proteção de Microsoft Entra ID.
Proteção de Microsoft Entra ID ajuda as organizações a detectar riscos baseados em identidade para seu locatário Entra ID, como entradas anômalas que podem indicar atividade maliciosa. Usando a API da Microsoft, você pode integrar dados de Alerta da Microsoft Entra ID Proteção para gerar histórias Cato XOps. Isso permite que os analistas incluam dados de entradas arriscadas dentro do contexto mais amplo de investigações XOps. O motor de alerta de identidade da Cato Entra cria uma história correlacionando dados de alertas de proteção de ID Entra que ocorreram para o mesmo usuário dentro de um período de 24 horas. A Bancada de Trabalho de Histórias mostra as histórias de alerta de identidade Entra junto com outros tipos de histórias, e você pode classificar e filtrar as histórias para focar nas histórias de alerta de identidade Entra.
Você também pode enriquecer histórias de alerta de identidade Entra integrando dados de eventos de entrada do Microsoft Entra ID. Isso fornece o contexto do comportamento usual de entrada do usuário que pode ser comparado com os dados de alertas anômalos fornecidos pela Proteção de Entra ID.
Para mais informações sobre a revisão de histórias de XOps, incluindo dados do Microsoft Entra ID, veja Drilling-Down and Analyzing XOps Security Stories
-
Histórias de XOps para alertas de Proteção de Microsoft Entra ID requerem a configuração do conector de Proteção de Microsoft Entra ID. Para mais sobre a configuração do conector, incluindo as licenças e permissões Microsoft necessárias, veja Configuring the Microsoft Entra ID Protection Connector for Sign-In Anomaly Data.
-
Para dados de eventos de entrada nos widgets Eventos de Entrada e Eventos de Entrada no Usuário, a configuração do conector Microsoft Entra ID é necessária. Para mais sobre a configuração do conector, incluindo a licença Microsoft necessária e as permissões, veja Configuring the Microsoft Entra ID (Azure AD) Connector.
-
Para adicionar um conector, você deve ter permissão de editor para Integrações (na seção Recursos). Para mais informações, veja Gerenciamento de Funções de Admin Usando RBAC.
Nota
Notas:
-
Se você configurar apenas o conector de Proteção de Microsoft Entra ID, histórias de identidade Entra são geradas, entretanto os widgets Eventos de Entrada e Eventos de Entrada no Usuário não mostram dados.
-
Se você configurar apenas o conector de Microsoft Entra ID, nenhuma história de identidade Entra é gerada.
A coluna de Status na página de Configurações de Conectores mostra o estado da conexão entre o aplicativo CrowdStrike e sua conta Cato. Estas são as explicações dos status:
-
Conectado - Sua conta está conectada ao aplicativo e funcionando corretamente
-
Permissão do usuário pendente - Permissões não foram concedidas para permitir que Cato acesse o aplicativo CrowdStrike. Para resolver este problema, atualize o navegador. Se o Status mudar para Conectado, o problema está resolvido, se o Status não mudar, exclua e recrie o conector.
-
Erro - Há um problema de conectividade, permissões, licença ou outro com o conector. Exclua e recrie o conector.
Depois de criar o conector, as histórias serão visíveis na Bancada de Trabalho de Histórias.
Para visualizar a página Bancada de Trabalho de Histórias:
-
No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.
Para informações sobre as colunas na Bancada de Trabalho de Histórias, veja Understanding the Stories Columns
Para mais informações sobre a revisão de histórias de XOps, incluindo dados do Microsoft Defender, veja Drilling-Down and Analyzing XOps Security Stories
0 comentário
Artigo fechado para comentários.