В этой статье обсуждается, как вы можете использовать Рабочую область Историй для обзора XOps историй для аномалий входа, обнаруженных в оповещениях Microsoft Entra ID Protection.
Microsoft Entra ID Protection помогает организациям выявлять риски, связанные с идентификацией, для их Microsoft Entra ID клиента, такие как аномальные входы, которые могут указывать на вредоносную активность. Используя API Microsoft, вы можете интегрировать данные оповещения из Microsoft Entra ID Protection и создать Cato XOps истории. Это позволяет аналитикам включать данные из подозрительных входов в более широкий контекст расследований XOps. Движок Cato Entra Identity Alert создает историю, сопоставляя данные из оповещений Entra ID Protection, которые возникли для того же пользователя в течение 24-часового периода. Рабочая область Историй показывает истории Entra Identity Alert вместе с другими типами историй, и вы можете сортировать и фильтровать истории, чтобы сосредоточиться на историях Entra Identity Alert.
Вы также можете обогащать истории Entra Identity Alert, интегрируя данные о событиях входа из Microsoft Entra ID. Это предоставляет контекст обычного поведения пользователя при входе, который можно сравнить с данными аномальных оповещений, предоставляемыми Entra ID Protection.
Для получения дополнительной информации о просмотре XOps историй, включая данные из Microsoft Entra ID, см. Drilling-Down and Analyzing XOps Security Stories
-
XOps истории для оповещений Microsoft Entra ID Protection требуют настройки соединителя Microsoft Entra ID Protection. Для получения дополнительной информации о настройке соединителя, включая требования к лицензии Microsoft и разрешениям, см. Configuring the Microsoft Entra ID Protection Connector for Sign-In Anomaly Data.
-
Для данных о событиях входа в виджетах События входа в систему и События входа в систему для пользователя требуется настройка соединителя Microsoft Entra ID. Для получения дополнительной информации о настройке соединителя, включая требуемую лицензию Microsoft и разрешения, см. Configuring the Microsoft Entra ID (Azure AD) Connector.
-
Чтобы добавить коннектор, у вас должны быть разрешения редактора для Интеграции (в разделе Ресурсы). Для получения дополнительной информации см. Managing Admin Roles Using RBAC.
Примечание
Примечания:
-
Если вы настроите только соединитель Microsoft Entra ID Protection, будут сгенерированы истории Entra Identity, однако в виджетах События входа в систему и События входа в систему для пользователя не будет отображаться данных.
-
Если вы настроите только соединитель Microsoft Entra ID, истории Entra Identity не будут созданы.
Столбец Статус на странице Настройки показывает статус подключения между приложением CrowdStrike и вашим аккаунтом Cato. Вот объяснения статусов:
-
Подключено - Ваш аккаунт подключен к приложению и работает правильно
-
Ожидается согласие пользователя - Разрешения не были предоставлены для доступа Cato к приложению CrowdStrike. Чтобы решить эту проблему, обновите браузер. Если Статус меняется на Подключено, то проблема решена, если Статус не меняется, удалите и создайте соединитель заново.
-
Ошибка - Возникла проблема с подключением, разрешениями, лицензией или другими аспектами соединителя. Удалите и создайте соединитель заново.
После создания соединителя истории будут видны в Рабочей области Историй.
Чтобы посмотреть страницу Рабочей области Историй:
-
В навигационном меню, нажмите Главная > Рабочая область Историй.
Для информации о столбцах в Рабочей области Историй см. Understanding the Stories Columns
Для получения дополнительной информации о просмотре XOps историй, включая данные из Microsoft Defender, см. Drilling-Down and Analyzing XOps Security Stories
0 комментариев
Статья закрыта для комментариев.