Срабатывания Microsoft Defender для конечных точек: Настройка интеграции XOps

Эта статья обсуждает интеграцию данных из Microsoft Defender for Endpoint для создания историй, которые вы можете просмотреть в Рабочей области Историй Cato.

Примечание

Примечание: XOps — это единый аналитический слой Cato для безопасности и операций, предлагающий идеи и направляемые исправления. XOps заменил XDR, подробнее см. в Часто задаваемых вопросах о XOps.

Обзор историй оповещений конечных точек

С помощью API Microsoft, вы можете интегрировать данные оповещений из Microsoft Defender for Endpoint для создания историй для устройств конечных точек. Истории конечных точек помогают получить более полную картину потенциальных угроз в вашей сети.

Движок Оповещений Cato Endpoint создает историю, коррелируя данные из Оповещений Defender, которые возникли на одном устройстве в течение 24-часового периода. Истории Оповещений для Конечных Точек включают все связанные доказательства для Оповещения, обнаруженного Defender. Рабочая Область Историй показывает истории конечных точек вместе с другими типами историй, и вы можете сортировать и фильтровать истории, чтобы сосредоточиться на Историях Оповещений для Конечных Точек.

Чтобы интегрировать данные оповещений Defender для конечной точки с Cato XOps (ранее XDR), вам сначала необходимо настроить API-коннекторы для Microsoft 365 и для Defender для конечной точки. После создания коннекторов, движок Оповещений Cato Endpoint извлекает и анализирует данные оповещений из Defender for Endpoint.

Для получения дополнительной информации по обзору историй XOps, включая данные из Microsoft Defender, см. Drilling-Down and Analyzing XOps Security Stories

Общий обзор интеграции историй оповещений конечных точек

Это высокоуровневое описание рабочего процесса для интеграции и обзора историй Defender for Endpoint в Рабочей области Историй:

  1. Создайте основной коннектор Microsoft 365.

  2. Создайте коннектор для Defender for Endpoint.

  3. Просмотрите Истории Оповещений для Конечных Точек в Рабочей области Историй.

Известные ограничения

  • Настройки в панеле Действия по истории не конфигурируются для историй оповещений конечных точек. Все поля, связанные с действиями, появляются как Н/Д. Дополнительную информацию о панели Действия по истории см. ниже.

  • Истории оповещений конечных точек Microsoft для общих устройств включают в историю всех пользователей, вошедших в систему на устройстве, в то время как соответствующее оповещение Defender для конечных точек может показывать только одного пользователя.

Обзор Коннекторов Microsoft

Чтобы настроить коннектор Microsoft Defender от Cato для извлечения данных оповещений, сначала вам нужно настроить коннектор Microsoft 365 в качестве основного приложения, чтобы предоставить разрешения на чтение для коннектора Defender. Основное приложение имеет только разрешения на управление коннекторами Microsoft. После настройки коннектора Microsoft 365, вы можете настроить коннектор Defender для извлечения данных оповещений.

Если вы хотите импортировать данные оповещений из различных подорганизаций в вашей организации, создайте отдельный коннектор Microsoft 365 для каждого соответствующего арендатора Azure, а затем настройте коннектор Defender для каждого арендатора.

Предварительные Требования

  • Требуется лицензия Microsoft 365 E3 или выше

  • Коннектор Microsoft 365 требует админа с ролью глобального админа для предоставления разрешений коннектору Defender от Cato

Требуемые Разрешения для Коннектора Microsoft Defender

Чтобы позволить коннектору Defender извлекать данные оповещений из вашей учетной записи Microsoft 365, коннектор предоставляет Cato следующие разрешения и действия с Microsoft 365:

  • Подключиться к API Microsoft и читать все данные Defender for Endpoint для организации

  • Войти и читать профиль пользователя

Настройка Коннекторов Microsoft

Настройте основной коннектор Microsoft 365, а затем определите коннектор Defender для учетной записи Microsoft 365.

Если в вашей организации уже настроен родительский коннектор Microsoft 365 для другой функции, такой как политика Saas Security API для приложений Microsoft или для импорта меток MIP в вашу политику DLP, вам нужно только настроить коннектор Defender.

Настройка Коннектора Microsoft 365

Используйте Приложение Управления Cato для создания коннектора для SaaS-приложения Microsoft 365 для соответствующего арендатора Azure. Вы должны иметь правильные учетные данные для аутентификации в Microsoft 365, чтобы добавить коннектор в вашу учетную запись Cato.

Endpoint_Connectors.png

Чтобы настроить основной коннектор конечной точки Microsoft 365:

  1. В меню навигации выберите Безопасность > Коннекторы, и выберите вкладку Настройки соединителей.

  2. Нажмите Новый. Панель Новый коннектор открывается.

  3. Из раскрывающегося меню SaaS Приложение выберите приложение Microsoft 365.

    MIP_New_Connector_MS365.png

  4. Введите уникальное Имя коннектора.

  5. Нажмите Авторизовать и сохранить.

    Открывается новая вкладка браузера с приложением Microsoft 365.

  6. На новой вкладке браузера аутентифицируйтесь в приложении Microsoft 365:

    1. Выберите учетную запись Microsoft для приложения Microsoft 365.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения, чтобы позволить Cato получить доступ к приложению Microsoft 365.

      MIP_Labels_Parent_Connector_Permissions.png

    4. На экране показывается, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться в Приложение Управления Cato.

  7. SaaS-приложение Microsoft 365 добавлено на страницу Настройки соединителей.

    Endpoint_Connectors_-_MS_365.png

    Microsoft Azure может потребоваться несколько секунд для обработки запроса, поэтому если Статус показывает Ожидание согласия пользователя, обновите браузер.

Настройка коннектора Microsoft Defender for Endpoint

Используйте Приложение Управления Cato для создания коннектора SaaS-приложения Microsoft Defender for Endpoint для тенанта Azure с данными оповещений, которые вы хотите использовать. У вас должны быть правильные учетные данные для аутентификации в Microsoft 365, чтобы добавить коннектор в вашу учетную запись Cato.

Примечание

Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.

Чтобы настроить коннектор Microsoft Defender:

  1. В меню навигации выберите Безопасность > Коннекторы и выберите вкладку Настройки соединителей.

  2. Нажмите Новый. Панель Новый коннектор открывается.

  3. Из раскрывающегося меню SaaS-приложение выберите приложение Microsoft Defender.

    Defender_Connector.png

  4. Из раскрывающегося меню Тенант коннектора выберите родительский коннектор Microsoft 365 для тенанта с данными оповещений, которые вы хотите использовать.

  5. Введите уникальное Имя коннектора для коннектора Defender.

  6. Нажмите Сохранить.

  7. После успешного создания коннектора нажмите Авторизовать.

    MIP_Labels_SuccessCreate_Authorize.png

    Открывается новая вкладка браузера с приложением Microsoft 365.

  8. На новой вкладке браузера аутентифицируйтесь в приложении Microsoft 365:

    1. Выберите учетную запись Microsoft для приложения Microsoft 365.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения, чтобы позволить Cato получить доступ к приложению Microsoft 365.

      Defender_connector_permissions.png

    4. На экране показывается, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться в Приложение Управления Cato.

  9. SaaS-приложение Microsoft Defender добавлено на страницу Настройки соединителей.

    Endpoint_Connectors.png

    Microsoft Azure может потребоваться несколько секунд для обработки запроса, поэтому если Статус показывает Ожидание согласия пользователя, обновите браузер.

Понимание статуса коннектора

Столбец Статус на странице Настройки соединителей показывает статус соединения между приложением Microsoft и вашим аккаунтом Cato. Вот объяснения статусов:

  • Подключено - Ваш аккаунт подключен к приложению и работает корректно

  • Ожидание согласия пользователя - Не предоставлены разрешения для доступа Cato к приложению Microsoft 365. Чтобы решить эту проблему, обновите браузер. Если Статус изменяется на Подключено, проблема решена, если Статус не изменяется, удалите и воссоздайте соединитель.

  • Ошибка - Имеется проблема с подключением, разрешениями или другая проблема с коннектором Microsoft. Удалите и воссоздайте соединитель.

Просмотр страницы Рабочая область Историй

После создания коннектора истории будут отображаться в Рабочей области Историй.

Чтобы посмотреть страницу Рабочей области Историй:

  • В меню навигации щелкните Главная > Рабочая область Историй.

Для получения информации о столбцах в рабочем столе историй см. Понимание столбцов историй

Для получения дополнительной информации по обзору историй XOps, включая данные из Microsoft Defender, см. Drilling-Down and Analyzing XOps Security Stories

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев