Настройка соединителя Microsoft Entra ID Protection для данных аномалий входа

Защита Microsoft Entra ID помогает организациям обнаруживать риски, связанные с идентификацией, для их арендаторов Entra ID. Эта статья объясняет, как настроить соединитель для Microsoft Entra ID Protection для интеграции данных о аномалиях входа с событиями Cato и Панелью управления облачной активностью.

Для получения дополнительной информации о просмотре аномалий входа на панели управления облачной активностью, см. Использование панели управления облачной активностью.

Примечание

Примечание: Microsoft недавно изменила название Azure AD на Entra ID. Все упоминания Azure AD в документации Cato относятся к Entra ID.

Обзор коннекторов Microsoft

Чтобы настроить соединитель Microsoft Entra ID Protection от Cato для получения данных об аномалиях входа, сначала вам нужно настроить соединитель Microsoft 365 в качестве родительского приложения, чтобы дать разрешения на чтение для соединителя Entra ID Protection. Родительское приложение имеет разрешения только на управление соединителями Microsoft. После настройки соединителя Microsoft 365 вы можете настроить соединитель Entra ID Protection для извлечения данных входа.

Если вы хотите импортировать данные входа из различных подорганизаций вашей организации, создайте отдельный соединитель Microsoft 365 для каждого соответствующего арендатора Entra ID, а затем настройте соединитель Entra ID Protection для каждого арендатора.

Требования

  • Требуется лицензия Microsoft 365 E3 или выше, или автономный план Entra ID P1 или P2.

  • Соединитель Microsoft 365 требует администратора с ролью глобального администратора для предоставления разрешений соединителю Entra ID Protection от Cato.

Требуемые разрешения для коннектора Microsoft Entra ID Protection

Чтобы разрешить соединителю Entra ID Protection извлекать данные входа для вашей учетной записи, соединитель предоставляет Cato следующие разрешения и действия с Microsoft 365:

  • Подключиться к API Microsoft и читать все данные защиты Microsoft Entra ID для организации.

  • Войти и прочитать профиль пользователя.

Настройка коннекторов Microsoft

Настройте родительский соединитель Microsoft 365, а затем определите соединитель Entra ID Protection для учетной записи Microsoft 365.

Если ваша организация уже настроила родительский соединитель Microsoft 365 для другой функции, такой как политика API безопасности SaaS для приложений Microsoft, или для импорта меток конфиденциальности в вашу политику предотвращения утечки данных, вам нужно только настроить соединитель Entra ID Protection.

Настройка коннектора Microsoft 365

Используйте Приложение Управления Cato для создания соединителя приложения SaaS Microsoft 365 для соответствующего арендатора Azure. Вы должны иметь правильные учетные данные для аутентификации в Microsoft 365, чтобы добавить соединитель в ваш аккаунт Cato.

Чтобы создать родительский соединитель Microsoft 365:

  1. В меню навигации выберите Ресурсы > Интеграции и нажмите Защита Данных API SaaS.

  2. Нажмите Новый. Откроется панель Редактировать коннектор.

  3. В панели Редактировать коннектор выберите приложение Microsoft 365 (Новый арендатор).

    New_Microsoft_365_Connector.png

  4. Нажмите Авторизовать и сохранить.

    Откроется новая вкладка браузера с приложением Microsoft 365.

  5. В новой вкладке браузера, аутентифицируйтесь с приложением Microsoft 365:

    1. Выберите учетную запись Microsoft для приложения Microsoft 365.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения, чтобы позволить Cato доступ к приложению Microsoft 365.

    4. Экран показывает, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться к Приложению Управления Cato.

  6. Приложение Microsoft 365 SaaS добавлено на страницу SaaS API Защита данных.

Настройка коннектора Microsoft Entra ID Protection

Используйте Приложение Управления Cato, чтобы создать коннектор приложения Microsoft Entra ID Protection для арендатора Entra ID с данными входа, которые вы хотите использовать. Вы должны иметь правильные учетные данные для аутентификации в Microsoft 365, чтобы добавить коннектор в ваш аккаунт Cato.

Примечание

Примечание: Когда вы создаёте API коннектор для приложения Microsoft 365, коннектор создаёт сертификат аутентификации, который действителен в течение 3 месяцев, и обновляет этот сертификат за 7 дней до истечения срока.

Чтобы настроить коннектор Защиты Entra ID:

  1. В меню навигации выберите Ресурсы > Интеграции и нажмите SaaS API Защита данных.

  2. Нажмите Новый. Откроется панель Редактировать коннектор.

  3. В выпадающем меню Saas Приложение выберите приложение Microsoft Entra ID Protection.

    Entra_ID_Protection_Connector_New_Panel.png

  4. В выпадающем меню Тенант коннектора выберите родительский коннектор Microsoft 365 для арендатора с данными входа, которые вы хотите использовать.

  5. Введите уникальное Имя коннектора для коннектора Защиты Entra ID.

  6. Установите Разрешения на Чтение.

  7. Нажмите Сохранить.

  8. После успешного создания коннектора нажмите Авторизовать.

    MIP_Labels_SuccessCreate_Authorize.png

    Откроется новая вкладка браузера с приложением Microsoft 365.

  9. На новой вкладке браузера выполните аутентификацию в приложении Microsoft 365:

    1. Выберите учетную запись Microsoft для приложения Microsoft 365.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения, чтобы позволить Cato доступ к приложению Microsoft 365.

      Entra_ID_Protection_Permissions.png

    4. Экран показывает, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться в Приложение Управления Cato.

  10. Приложение Microsoft Entra ID Protection добавлено на страницу Установленные SaaS приложения.

    Защита Entra ID может занять несколько секунд для обработки запроса, поэтому, если Статус показывает Ожидание согласия пользователя, обновите браузер.

Понимание статуса коннектора

Столбец Статус на странице Настройки соединителей показывает статус соединения между приложением Microsoft и вашим аккаунтом Cato. Вот объяснения статусов:

  • Подключено - Ваш аккаунт подключен к приложению и работает правильно.

  • Ожидание согласия пользователя - Разрешения не предоставлены, чтобы позволить Cato доступ к приложению Microsoft 365. Чтобы решить эту проблему, обновите браузер. Если Статус изменится на Подключено, проблема решена; если Статус не изменится, удалите и воссоздайте коннектор.

  • Ошибка - Существует проблема с соединением, разрешениями или другая проблема с коннектором Microsoft. Удалите и воссоздайте коннектор.

Поля событий Cato для аномалий входа Entra ID Protection

Это соответствующие поля для событий аномалий входа Entra ID Protection подтипа Оповещение об идентификации:

  • ID Оповещения: Индивидуальный номер для оповещения в системе защиты Entra ID

  • Классификация: Классификация оповещения согласно Entra ID Protection

  • Статус: Статус оповещения в Entra ID Protection

  • Сообщение о событии: Подробное описание аномалии

  • Заголовок: Имя аномалии

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев