A integração de segurança de email permite importar eventos de segurança de email no XOps, para que você possa investigar phishing e outras ameaças baseadas em email com mais contexto e de um único fluxo de trabalho. Isso ajuda a reduzir o tempo de investigação, melhorar a correlação de ameaças e facilitar a identificação de atividades relacionadas em todo o email, na rede e nas fontes de dados de pontos finais.
Os ataques de email muitas vezes fazem parte de um fluxo de ataque mais amplo. Um email de phishing, anexo malicioso ou atividade de envio suspeita pode levar ao acesso do usuário a domínios maliciosos, indicadores adicionais baseados em rede ou detecções relacionadas de endpoint. Com esta integração, o XOps pode incluir eventos de segurança de e-mail como parte do fluxo de investigação e fornecer uma visão mais ampla do ataque.
Quando um Incidente é criado no Microsoft Defender for Office 365, uma história é criada no XOps. Isso permite que você mantenha a lógica de detecção original no Cato e investigue o alerta como parte da atividade mais ampla em sua conta.
A empresa XYZ usa o Microsoft Defender for Office 365 para proteger os usuários de emails de phishing, links maliciosos e outras ameaças baseadas em email. No entanto, alertas de email sozinhos nem sempre fornecem o contexto completo do ataque. As equipes de segurança também precisam entender se os usuários interagiram com o conteúdo malicioso e se a atividade levou a detecções relacionadas na rede ou em endpoints.
A empresa integra o XOps com o Microsoft Defender for Office 365. Quando o Microsoft Defender for Office 365 gera um alerta, o XOps ingere automaticamente o alerta e cria uma história na Bancada de Trabalho de Histórias. Isso preserva a lógica de detecção original da Microsoft e adiciona o contexto de rede e segurança do Cato à investigação.
A partir da história do XOps, a empresa pode:
-
Investigar se os usuários clicaram em um link malicioso ou acessaram um domínio suspeito
-
Revisar atividades de rede e endpoint relacionadas ao alerta de email
-
Determinar se o alerta faz parte de um fluxo de ataque mais amplo que afeta usuários ou ativos adicionais
Ao combinar detecções de email do Microsoft Defender for Office 365 com as análises contextuais do Cato, a Empresa XYZ pode investigar phishing e outros ataques baseados em e-mail com maior visibilidade. Isso ajuda a reduzir o tempo de investigação, melhorar a correlação de ameaças e apoiar uma resposta mais rápida.
As histórias geradas a partir da integração são processadas pelo produtor de Incidente Genérico. A tabela abaixo explica os widgets nestas histórias.
|
Nome |
Descrição |
|---|---|
|
Widget de resumo |
Um resumo das informações básicas sobre a história, incluindo o:
|
|
Detalhes |
Uma explicação resumida da história e metadados. |
|
Linha do Tempo |
Uma linha do tempo de eventos ou ações tomadas na história. |
|
Entidades |
As entidades onde as histórias ocorreram. Estas podem ser Usuários, Locais, Armazenamentos de Dados, aplicações, etc. |
|
Evidência |
Evidência de suporte para explicar por que uma história XOps foi gerada. |
|
Dados Brutos |
Tabela dinâmica contendo os eventos brutos que geraram a história. |
Para configurar a integração de segurança de e-mail, você precisa:
-
Criar uma integração de inquilino MS como o conector pai
-
Criar o conector de API para o Microsoft Defender for Office 365
Primeiro, configure a integração do inquilino MS como o conector pai. Este conector pode ser usado para todas as integrações da Microsoft. Se você já criou o conector pai, vá para a etapa 2.
Para criar a integração de inquilino MS:
-
No menu de navegação, selecione Recursos > Integrações e clique na aba Aplicativos Integrados.
-
Clique em Novo. O painel de Novo Conector é aberto.
-
No painel de Novo Conector, selecione o app Inquilino MS (Configurar um novo inquilino MS).
-
Digite o Nome do Conector.
-
Clique em Autorizar e Salvar.
Uma nova aba do navegador é aberta no aplicativo Microsoft 365.
-
Na nova aba do navegador, autentique no aplicativo Microsoft 365:
-
Selecione a conta da Microsoft para o aplicativo Microsoft 365.
Caso contrário, pode haver um erro de autenticação da Microsoft.
-
Digite a senha do aplicativo e aprove-a.
-
Aceite as permissões para permitir que o Cato acesse o aplicativo Microsoft 365.
-
A tela mostra que você aplicou com sucesso as permissões para o aplicativo.
Você pode fechar a aba do navegador e retornar à Aplicação de Gerenciamento Cato.
-
-
O aplicativo SaaS do Microsoft 365 é adicionado à aba Aplicativos Integrados.
Após ter configurado o conector pai, adicione os detalhes da integração de Aplicativos Interconectados no CMA.
Para criar o conector de API no CMA:
-
No menu de navegação, clique em Recursos > Integrações.
-
Clique na aba Integrações Configuradas.
-
Clique em Novo.
O painel de Nova Integração é aberto.
-
Selecione Microsoft Defender for Office 365
-
No menu suspenso Autenticação, selecione o Inquilino Principal da Microsoft que foi criado na Etapa 1.
-
(Opcional) Adicione uma descrição.
-
Clique em Salvar.
O CMA se conecta ao fornecedor
-
Clique em Autorizar.
Uma tela de permissões da Microsoft aparecerá.
-
Revise as permissões solicitadas e clique em Aceitar.
-
O aplicativo é visível na tabela Aplicativos Integrados com status Conectado.
Uma vez que você criou o conector, as histórias ficarão visíveis na Bancada de Trabalho de Histórias.
Para visualizar a página da Bancada de Trabalho de Histórias:
-
No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.
Para mais informações sobre as colunas na Bancada de Trabalho de Histórias, consulte Understanding the Stories Columns
Para mais informações sobre revisão de histórias XOps, consulte Análise Detalhada e Investigação das Histórias de Segurança XOps
0 comentário
Artigo fechado para comentários.