Интеграция безопасности электронной почты позволяет импортировать события безопасности электронной почты в XOps, чтобы вы могли расследовать фишинг и другие угрозы на основе электронной почты с дополнительным контекстом и из единого рабочего процесса. Это помогает сократить время расследования, улучшить корреляцию угроз и упростить идентификацию связанных активностей в данных по электронной почте, сети и конечным точкам.
Атаки по электронной почте часто являются частью более широкого потока атак. Фишинговый электронный адрес, вредоносное вложение или подозрительная активность отправки могут привести к доступу пользователя к вредоносным доменам, дополнительным индикаторам на основе сети или связанным обнаружениям конечных точек. С этой интеграцией, XOps может включать события безопасности электронной почты в поток расследования и обеспечивать более широкую видимость атаки.
Когда в Microsoft Defender для Office 365 создается инцидент, в XOps создается история. Это позволяет сохранить оригинальную логику обнаружения в Cato и исследовать оповещение, как часть более широкой активности в вашей учетной записи.
Компания XYZ использует Microsoft Defender для Office 365, чтобы защитить пользователей от фишинговых писем, вредоносных ссылок и других угроз, основанных на электронной почте. Однако, оповещения по электронной почте сами по себе не всегда предоставляют полный контекст атаки. Команды безопасности также должны понимать, взаимодействовали ли пользователи с вредоносным содержимым и привела ли активность к связанным обнаружениям в сети или на конечных точках.
Компания интегрирует XOps с Microsoft Defender для Office 365. Когда Microsoft Defender для Office 365 создает оповещение, XOps автоматически принимает оповещение и создает историю в Рабочей области Историй. Это сохраняет исходную логику обнаружения от Microsoft и добавляет контекст сети и безопасности Cato к расследованию.
Из истории XOps, компания может:
-
Исследовать, нажимали ли пользователи на вредоносные ссылки или получали доступ к подозрительным доменам
-
Просмотреть связанную сетевую и конечную активность, подключенную к оповещению электронной почты
-
Определить, является ли оповещение частью более широкого потока атаки, затрагивающего дополнительных пользователей или активы
Объединяя обнаружения электронной почты Microsoft Defender для Office 365 с контекстной аналитикой Cato, компания XYZ может расследовать фишинг и другие атаки, основанные на электронной почте, с большей видимостью. Это помогает сократить время расследования, улучшить корреляцию угроз и поддержать более быструю реакцию.
Истории, создаваемые интеграцией, обрабатываются Производителем Инцидентов Общего Типа. Таблица ниже объясняет виджеты в этих историях.
|
Имя |
Описание |
|---|---|
|
Виджет сводки |
Сводка базовой информации об истории, включая:
|
|
Подробности |
Суммарное объяснение истории и метаданных. |
|
Хронология |
Хронология событий или действий, предпринятых в истории. |
|
Сущности |
Сущности, в которых происходили истории. Это могут быть Пользователи, Площадки, Хранилища данных, приложения и т.д. |
|
Доказательства |
Поддерживающие доказательства, объясняющие, почему была создана история XOps. |
|
Сырые Данные |
Динамическая таблица, содержащая сырые события, которые сгенерировали историю. |
Чтобы настроить интеграцию безопасности электронной почты, вам нужно:
-
Создать интеграцию MS Tenant в качестве родительского коннектора
-
Создать API коннектор для Microsoft Defender для Office 365
Сначала, настройте интеграцию MS Tenant в качестве родительского коннектора. Этот коннектор может быть использован для всех интеграций Microsoft. Если вы уже создали родительский коннектор, перейдите к шагу 2.
Чтобы создать интеграцию MS Tenant:
-
В меню навигации выберите Ресурсы > Интеграции и нажмите вкладку Интегрированные Приложения.
-
Нажмите Новый. Открывается панель Новый Коннектор.
-
В панели Новый Коннектор, выберите приложение MS Tenant (Настроить новый MS Tenant).
-
Введите Имя Коннектора.
-
Нажмите Авторизовать и сохранить.
Открывается новая вкладка браузера с приложением Microsoft 365.
-
В новой вкладке браузера выполните аутентификацию в приложении Microsoft 365:
-
Выберите учетную запись Microsoft для приложения Microsoft 365.
В противном случае может возникнуть ошибка аутентификации Microsoft.
-
Введите пароль для приложения и подтвердите его.
-
Принять разрешения, чтобы позволить Cato доступ к приложению Microsoft 365.
-
Экран показывает, что вы успешно применили разрешения для приложения.
Вы можете закрыть вкладку браузера и вернуться к Приложению Управления Cato.
-
-
Приложение Microsoft 365 SaaS добавлено на вкладку Интегрированные Приложения.
После того как вы настроили родительский коннектор, добавьте детали интеграции Взаимосвязанных Приложений в CMA.
Чтобы создать API коннектор в CMA:
-
В меню навигации нажмите Ресурсы > Интеграции.
-
Нажмите вкладку Настроенные Интеграции.
-
Нажмите Новый.
Открывается панель Новая Интеграция.
-
Выберите Microsoft Defender для Office 365
-
В выпадающем меню Auth выберите Основной Тенант Microsoft, который был создан на Шаге 1.
-
(Дополнительно) Добавьте описание.
-
Нажмите Сохранить.
CMA подключается к поставщику
-
Нажмите Авторизовать.
Появится экран разрешений Microsoft.
-
Просмотрите запрашиваемые разрешения и нажмите Принять.
-
Приложение отображается в таблице Интегрированные Приложения со статусом Подключено.
Как только вы создали коннектор, истории будут видны в Рабочей области Историй.
Чтобы просмотреть страницу Рабочей области Историй:
-
В меню навигации нажмите Домашняя > Рабочая область Историй.
Информацию о столбцах в Рабочей области Историй смотрите Понимание колонок историй
Более подробно об изучении историй XOps смотрите Углубление и анализ XOps историй безопасности
0 комментариев
Статья закрыта для комментариев.