В этой статье обсуждается, как вы можете использовать Рабочую Панель Историй для обзора историй XOps о аномалиях входа, обнаруженных в оповещениях Microsoft Entra ID Protection.
Примечание
Примечание: XOps — это единый аналитический слой Cato для безопасности и операций, предлагающий полезные рекомендации и направленные исправления. XOps заменил XDR, для получения дополнительной информации, см. Часто задаваемые вопросы о XOps.
Microsoft Entra ID Protection помогает организациям выявлять риски, основанные на идентичности, для их арендатора Entra ID, такие как аномальные входы, которые могут указывать на вредоносные действия. С помощью API Microsoft вы можете интегрировать данные оповещений из Microsoft Entra ID Protection для создания историй Cato XOps (ранее XDR). Это позволяет аналитикам включать данные о рискованных входах в более широкий контекст расследований XOps. Движок Оповещений об Идентификации Cato Entra создает историю, коррелируя данные из Оповещений Entra ID Protection, которые произошли для одного и того же Пользователя в течение 24 часов. Рабочая область Историй показывает истории Оповещений о Идентификации Entra вместе с другими типами историй, и вы можете сортировать и фильтровать истории, чтобы сосредоточиться на историях Оповещений о Идентификации Entra.
Вы также можете обогащать истории Оповещений о Идентификации Entra, интегрируя данные о событиях входа из Microsoft Entra ID. Это предоставляет контекст обычного поведения входа пользователя, который можно сравнить с аномальными данными оповещений, предоставленными Entra ID Protection.
Для получения дополнительной информации о проверке историй XOps, включая данные из Microsoft Entra ID, см. Drilling-Down and Analyzing XOps Security Stories
-
Истории XOps для оповещений Microsoft Entra ID Protection требуют настройки соединителя Microsoft Entra ID Protection. Для получения более подробной информации о настройке соединителя, включая необходимые лицензии и разрешения Microsoft, см. Настройка соединителя Entra ID для данных о аномалии входа.
-
Для данных о событиях входа в виджеты События входа в систему и События входа пользователя требуется конфигурация соединителя Microsoft Entra ID. Для получения более подробной информации о настройке соединителя, включая необходимые лицензии и разрешения Microsoft, см. Настройка соединителя Microsoft Entra ID (Azure AD).
Примечание
Примечания:
-
Если вы настроите только соединитель Microsoft Entra ID Protection, истории о идентификации Entra будут созданы, однако виджеты События входа в систему и События входа на пользователя не показывают данные.
-
Если вы настроите только соединитель Microsoft Entra ID, истории о идентификации Entra не генерируются.
Столбец Статус на странице Настройки коннекторов показывает состояние соединения между приложением CrowdStrike и вашим аккаунтом Кейто. Это объяснения статусов:
-
Connected - Ваш аккаунт подключен к приложению и работает правильно
-
Pending user consent - Разрешения не были предоставлены для доступа Кейто к приложению CrowdStrike. Для решения этой проблемы обновите браузер. Если Статус изменится на Connected, проблема решена; если Статус не изменится, удалите и создайте коннектор заново.
-
Error - Существует проблема подключения, разрешений, лицензии или другая проблема с коннектором. Удалите и создайте коннектор заново.
После того, как вы создали коннектор, истории будут видны в Рабочей области Историй.
Чтобы просмотреть страницу Рабочая область Историй:
-
В меню навигации нажмите Домашняя > Рабочая область Историй.
Для получения информации о колонках в Рабочей области Историй, см. Понимание колонок Историй
Для получения дополнительной информации о проверке историй XOps, включая данные из Microsoft Defender, см. Drilling-Down and Analyzing XOps Security Stories
0 комментариев
Статья закрыта для комментариев.