Microsoft Defender для оповещений Endpoint: Настройка интеграции XOps

В этой статье обсуждается интеграция данных из Microsoft Defender для Endpoint для создания историй, которые вы можете просмотреть в Рабочей области Историй Cato.

Обзор историй Оповещений для конечных устройства

Используя Microsoft API, вы можете интегрировать данные оповещений из Microsoft Defender для Endpoint для создания историй для конечных устройств. Истории конечных точек помогают получить более полное представление о потенциальных угрозах в вашей сети.

Движок Оповещений Cato Endpoint создаёт историю, коррелируя данные из Оповещений Defender, связанных с тем же инцидентом в Defender. Истории Оповещений для конечных устройства включают все соответствующие доказательства для Оповещений, обнаруженных Defender. Рабочая область Историй показывает истории конечных точек вместе с другими типами историй, и вы можете сортировать и фильтровать истории, чтобы сосредоточиться на Историях Оповещений Endpoint.

Чтобы интегрировать данные оповещений Defender for Endpoint с Cato XOps, сначала необходимо настроить API-коннекторы для Microsoft 365 и Defender for Endpoint. После создания коннекторов, движок Оповещений Endpoint извлекает и анализирует данные оповещения из Defender для Endpoint.

Для получения дополнительной информации по обзору историй XOps, включая данные из Microsoft Defender, смотрите Углубленный анализ и анализ историй безопасности XOps

Высокоуровневый обзор интеграции Историй Оповещений для конечных устройства

Это высокоуровневое описание рабочего процесса для интеграции и обзора историй Defender для Endpoint в Рабочей области Историй:

  1. Создать родительский коннектор Microsoft 365.
  2. Создать коннектор Defender для конечного устройства.
  3. Просмотреть истории оповещений конечных устройств в рабочей области Историй.

Известные ограничения

  • Настройки в панели Действия по истории не настраиваются для историй оповещений конечных устройств. Все поля, связанные с действиями, отображаются как Н/Д. Для получения дополнительной информации о панели Действия по истории, см. ниже.
  • Истории оповещений конечных точек Microsoft для общих устройств включают в историю всех пользователей, вошедших в устройство, в то время как соответствующее оповещение Defender для конечного устройства может отображать только одного пользователя.
  • Чтобы добавить коннектор, вы должны иметь право редактора для Интеграции (в разделе Ресурсы). Для получения дополнительной информации см. Управление ролями администраторов с использованием RBAC.

Понимание Историй Оповещений Microsoft Конечной точки

Производитель оповещений Microsoft Конечной точки генерирует истории на основе интеграции. В этом разделе объясняется информация, доступная на вкладке обзора страницы подробностей истории.

История обновлена в Defender для конечного устройства.png

Это виджеты обзора истории:

Имя Описание
Виджет сводки

Полоса в верхней части страницы показывает сводку основной информации о истории, включая:

  • Критичность угрозы
  • Краткий обзор деталей истории
  • Серьезность угрозы, определенная аналитиком
  • Вердикт по угрозе, определенный аналитиком
Хронология Хронология событий или действий, предпринятых в истории.
Подробности

Основная информация о истории.

  • Нажмите ссылку Инцидент URL, чтобы просмотреть инцидент в Microsoft Defender.
Сущности Сущности, участвовавшие в инциденте. Это могут быть пользователи, устройства, сайты, хранилища данных, приложения и т. д. История может включать оповещения для нескольких пользователей и устройств.
Оповещения

Показывает подробности оповещений, связанных с инцидентом Defender.

  • Разверните оповещение, чтобы показать хронологическое древо процессов для доказательств, связанных с оповещением, включая процессы, файлы и значения реестра.
  • Щелкните элемент в древе процессов, чтобы перейти глубже и показать подробные данные о доказательстве.

Это столбцы в таблице:

  • Название оповещения, описывающее подозрительную активность
  • Критичность - Общий уровень риска оповещения, рассчитанный алгоритмом анализа риска машинного обучения Cato (значения от 1 до 10)
  • Локальный IP-адрес и Внешний IP-адрес устройства, участвующего в оповещении.
  • Имя пользователя поставщика - Учетная запись пользователя Microsoft Defender, связанная с оповещением
  • Имя устройства - Имя устройства, участвующего в оповещении
  • ОС - Операционная система устройства, участвующего в оповещении
  • Имя домена поставщика - Windows, AD или локальный домен, связанный с учетной записью пользователя в оповещении
  • Идентификатор оповещения - Номер идентификатора для оповещения

  • Техники MITRE - Техники MITRE ATT&CK®, идентифицированные для угрозы

    Для получения дополнительной информации о фреймворке MITRE ATT&CK® см. Использование панели управления MITRE ATT&CK®.

  • Статус - Показывает, является ли оповещение новым или уже решено
  • Дата первой активности - Дата первой обнаруженной подозрительной активности для оповещения
  • Дата последней активности - Дата последней обнаруженной подозрительной активности для оповещения
  • Имя угрозы - Имя обнаруженного вредоносного ПО. Например: Trojan:Win32/Startpage
  • Описание и Рекомендуемые Действия - Щелкните Просмотр для краткого описания оповещения и рекомендуемых шагов для его расследования и снижения угрозы
Доказательства

Агрегирует подробности для всех Процессов, Файлов, Регистра и параметров Сети, идентифицированных в доказательствах для различных оповещений истории.

Некоторые столбцы в таблице Доказательства общие для всех типов доказательств, а некоторые специфичны для каждого.

Это столбцы, которые появляются для всех типов доказательств:

  • Вердикт - Вердикт, сгенерированный Defender для доказательства (Назойливый, Подозрительный, или Угроз не обнаружено)
  • Статус устранения - Показывает, была ли угроза устранена
  • Создано - Дата и время записи события

Это специфические столбцы для каждого типа доказательства:

  • Процессы:

    • Имя процесса - Имя исполняемого файла для процесса
    • Идентификатор процесса - Назначенный Windows номер ID процесса
    • Командная строка процесса - Аргументы, переданные процессу в Windows. Это может раскрыть важный контекст исполнения подозрительного процесса.
    • Путь к файлу - Местоположение на конечном устройстве исполняемого файла для процесса

  • Файлы:

    • Путь к файлу - Местоположение файла на конечном устройстве
    • Имя файла - Имя файла, включая расширение
    • Размер файла - Размер файла в байтах, килобайтах или мегабайтах

  • Реестр:

    • Имя ключа реестра Имя
    • Тип значения реестра - Формат данных, хранимых в значении реестра
    • Значение реестра - Значение записи реестра

  • Сеть:

    • Показывает сетевые данные для потока, сгенерировавшего оповещение, такие как IP-адрес назначения, порт назначения, DNS и HTTP данные, и URL, к которому был доступ

Обзор Коннекторов Microsoft

Для настройки коннектора Microsoft Defender от Cato для получения данных оповещений сначала нужно настроить коннектор Microsoft 365 как родительское приложение, чтобы предоставить права на чтение для коннектора Defender. Родительское приложение имеет только права для управления коннекторами Microsoft. После настройки коннектора Microsoft 365 вы можете настроить коннектор Defender для получения данных оповещений.

Если вы хотите импортировать данные оповещений из различных суборганизаций внутри вашей организации, создайте отдельный коннектор Microsoft 365 для каждого соответствующего клиента Azure, а затем настройте коннектор Defender для каждого клиента.

Требования

  • Требуется лицензия Microsoft 365 E3 или выше
  • Коннектор Microsoft 365 требует администратора с глобальной ролью администратора для предоставления прав коннектору Defender от Cato

Необходимые Права для Коннектора Microsoft Defender

Чтобы позволить коннектору Defender извлекать данные оповещений из вашего аккаунта Microsoft 365, коннектор предоставляет Cato следующие права и действия с Microsoft 365:

  • Подключение к API Microsoft и чтение всех данных Defender для Endpoint для организации
  • Вход и чтение профиля пользователя

Настройка Коннекторов Microsoft

Настройте родительский коннектор Microsoft 365, а затем определите коннектор Defender для аккаунта Microsoft 365.

Если ваша организация уже настроила родительский коннектор Microsoft 365 для другой функции, такой как политика API Безопасности SaaS для приложений Microsoft или для импорта меток MIP в вашу политику DLP, вам нужно только настроить коннектор Defender.

Настройка Коннектора Microsoft 365

Используйте Приложение Управления Cato для создания коннектора приложения SaaS Microsoft 365 для соответствующего клиента Azure. У вас должны быть правильные учетные данные для аутентификации в Microsoft 365, чтобы добавить коннектор в ваш аккаунт Cato.

Endpoint_Connectors.png

Чтобы настроить родительский коннектор конечной точки Microsoft 365:

  1. Из меню навигации выберите Безопасность > Коннекторы и выберите вкладку Настройки коннекторов.
  2. Нажмите Новый. Открывается панель Новый Коннектор.

  3. Из выпадающего меню Приложение SaaS выберите приложение Microsoft 365.

    MIP_New_Connector_MS365.png
  4. Введите уникальное Имя Коннектора.

  5. Нажмите Авторизовать и Сохранить.

    Откроется новая вкладка браузера с приложением Microsoft 365.

  6. В новой вкладке браузера аутентифицируйтесь в приложении Microsoft 365:
    1. Выберите аккаунт Microsoft для приложения Microsoft 365.
    2. Введите пароль для приложения и утвердите его.

    3. Примите разрешения, чтобы позволить Cato получить доступ к приложению Microsoft 365.

      MIP_Labels_Parent_Connector_Permissions.png

    4. На экране отображается информация о том, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться к Приложению Управления Cato.

  7. Приложение SaaS Microsoft 365 добавлено на страницу Настройки коннекторов.

    Endpoint_Connectors_-_MS_365.png

    Microsoft Azure может занять несколько секунд на обработку запроса, поэтому, если Статус показывает В ожидании согласия пользователя, обновите браузер.

Настройка Коннектора Microsoft Defender для Endpoint

Используйте Приложение Управления Cato для создания коннектора приложения SaaS Microsoft Defender для конечной точки Azure с данными оповещений, которые вы хотите использовать. У вас должны быть правильные учетные данные для аутентификации в Microsoft 365, чтобы добавить коннектор в ваш аккаунт Cato.

Примечание

Примечание: Когда вы создаете API-коннектор для приложения Microsoft 365, он создает аутентификационный сертификат, который действителен в течение 3 месяцев, и продлевает сертификат за 7 дней до истечения срока действия.

Чтобы настроить коннектор Microsoft Defender:

  1. Из меню навигации выберите Безопасность > Коннекторы и выберите вкладку Настройки коннекторов.
  2. Нажмите Новый. Открывается панель Новый Коннектор.

  3. Из выпадающего меню Приложение SaaS выберите приложение Microsoft Defender.

    Defender_Connector.png
  4. Из выпадающего меню Коннектор Tenant выберите родительский коннектор Microsoft 365 для клиента с данными оповещений, которые вы хотите использовать.
  5. Введите уникальное Имя Коннектора для коннектора Defender.
  6. Нажмите Сохранить.

  7. После успешного создания коннектора нажмите Авторизовать.

    MIP_Labels_SuccessCreate_Authorize.png

    Откроется новая вкладка браузера с приложением Microsoft 365.

  8. В новой вкладке браузера аутентифицируйтесь в приложении Microsoft 365:
    1. Выберите аккаунт Microsoft для приложения Microsoft 365.
    2. Введите пароль для приложения и утвердите его.

    3. Примите разрешения, чтобы позволить Cato получить доступ к приложению Microsoft 365.

      Defender_connector_permissions.png

    4. На экране отображается информация о том, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться к Приложению Управления Cato.

  9. Приложение SaaS Microsoft Defender добавлено на страницу Настройки коннекторов.

    Endpoint_Connectors.png

    Microsoft Azure может занять несколько секунд на обработку запроса, поэтому, если Статус показывает В ожидании согласия пользователя, обновите браузер.

Понимание Статуса Коннектора

Столбец Статус на странице Настройки коннекторов показывает статус подключения между приложением Microsoft и вашим аккаунтом Cato. Это объяснения статусов:

  • Подключено - Ваш аккаунт подключен к приложению и работает корректно
  • В ожидании согласия пользователя - Разрешения не были выданы для предоставления доступа Cato к приложению Microsoft 365. Чтобы решить эту проблему, обновите браузер. Если Статус изменится на Подключено, проблема решена, если Статус не изменится, удалите и воссоздайте коннектор.
  • Ошибка - Имеется проблема с подключением, разрешениями или другая ошибка с коннектором Microsoft. Удалите и воссоздайте коннектор.

Просмотр Страницы Рабочей Области Историй

После того, как вы создали коннектор, истории будут видны в Рабочей области Историй.

Чтобы просмотреть страницу Рабочей области Историй:

  • Из меню навигации нажмите Главная > Рабочая область Историй.

Для получения информации о столбцах в Рабочей области Историй смотрите Понимание колонок историй

Для получения дополнительной информации по обзору историй XOps, включая данные из Microsoft Defender, смотрите Углубленный анализ и анализ историй безопасности XOps

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев