Microsoft Defender 用于端点警报：配置 XOps 集成

本文讨论了如何从Microsoft Defender for Endpoint集成数据，以生成可以在Cato故事工作台中审核的故事。

注意

注意: XOps 是 Cato 的统一分析层，为安全和运营提供洞察力和指导性修正。 XOps 已取代 XDR，欲了解更多信息，请参见 XOps FAQ。

终端警报事件概览

使用Microsoft API，可以从Microsoft Defender for Endpoint集成警报数据，以生成终端设备的故事。 Endpoint故事帮助您获得有关网络中潜在威胁的更完整视图。

Cato Endpoint Alerts引擎通过关联在同一设备上24小时内发生的Defender警报数据来创建一个故事。 Endpoint警报故事包括Defender检测到的警报的所有相关证据。故事工作台将Endpoint故事与其他故事类型展示在一起，您可以对故事进行排序和筛选以聚焦于Endpoint警报故事。

若要将 Defender for Endpoint 警报数据与 Cato XOps (formerly XDR) 集成，首先需要设置 Microsoft 365 和 Defender for Endpoint 的 API 连接器。创建连接器后，Endpoint Alerts引擎会从Defender for Endpoint中检索和分析警报数据。

有关审查 XOps 事件的更多信息，包括 Microsoft Defender 的数据，请参见深入研究和分析XOps 安全事件

集成终端警报事件的高层次概览

这是在故事工作台中集成和审查Defender for Endpoint故事的工作流程的高级描述：

创建Microsoft 365父连接器。
创建Defender for Endpoint连接器。
在故事工作台中审查Endpoint警报故事。

已知限制

故事操作面板中的设置无法针对终端警报事件进行配置。所有与操作相关的字段显示为不适用。有关 事件操作 面板的更多信息，请参见下文。
Microsoft端点警报事件针对于共享设备会在事件中包括所有用户登录到设备，而相关的Defender for Endpoint警报可能会仅显示一个用户。

Microsoft连接器概述

要配置Cato的Microsoft Defender连接器以提取警报数据，首先需要将Microsoft 365连接器配置为父应用，以便为Defender连接器授予读取权限。父应用程序仅具有管理Microsoft连接器的权限。配置Microsoft 365连接器后，您可以配置Defender连接器以检索警报数据。

如果您希望从组织内的不同子组织导入警报数据，请为每个相关的Azure租户创建一个单独的Microsoft 365连接器，然后为每个租户配置一个Defender连接器。

先决条件

需要Microsoft 365 E3或更高版本的许可证
Microsoft 365连接器需要具有全局管理员角色的管理员授予Cato的Defender连接器权限

Microsoft Defender连接器所需的权限

为了让Defender连接器从您的Microsoft 365帐户检索警报数据，连接器为Cato提供与Microsoft 365的以下权限和操作：

连接到Microsoft API并读取组织的所有Defender for Endpoint数据
登录并读取用户档案

配置Microsoft连接器

配置一个Microsoft 365父连接器，然后为Microsoft 365帐户定义一个Defender连接器。

如果您的组织已为其他功能（例如 Microsoft 应用的 Saas 安全性 API 策略或导入 MIP 标签到你的 DLP 策略）配置了 Microsoft 365 父连接器，只需配置 Defender 连接器即可。

配置Microsoft 365连接器

使用Cato管理应用程序为相关的Azure租户创建Microsoft 365 SaaS应用程序连接器。您必须拥有正确的凭证才能对Microsoft 365进行身份验证，以便将连接器添加到您的Cato帐户。

要配置Microsoft 365父端点连接器：

从导航菜单中选择安全>连接器，并选择连接器设置选项卡。
点击新建。 新建连接器面板打开。
从SaaS应用下拉菜单中选择Microsoft 365应用。
输入一个唯一的连接器名称。
点击授权并保存。

一个新浏览器标签页将打开Microsoft 365应用程序。
在新浏览器标签页中，登录Microsoft 365应用程序：
1. 选择Microsoft 365应用程序的Microsoft帐户。
2. 输入应用程序密码并批准。
3. 接受权限以允许Cato访问Microsoft 365应用程序。
4. 屏幕显示您已成功应用该应用程序的权限。
  
  您可以关闭浏览器标签页并返回Cato管理应用程序。
Microsoft 365 SaaS应用程序已添加到连接器设置页面。

Microsoft Azure可能需要几秒钟来处理请求，因此如果状态显示为待用户同意，请刷新浏览器。

配置Microsoft Defender for Endpoint连接器

使用Cato管理应用程序为Azure租户创建Microsoft Defender for Endpoint SaaS应用程序连接器，包含您要使用的警报数据。您必须拥有正确的凭证才能对Microsoft 365进行身份验证，以便将连接器添加到您的Cato帐户。

注意

注意： 当您为 Microsoft 365 应用创建 API 连接器时，连接器会创建一个有效期为 3 个月的身份验证证书，并在到期前 7 天自动更新证书。

要配置 Microsoft Defender 连接器：

从导航菜单中，选择 Security > Connectors，并选择 Connectors Settings 选项卡。
点击 New。 New Connector 面板打开。
从 Saas Application 下拉菜单中，选择 Microsoft Defender 应用。
从 Connector Tenant 下拉菜单中，选择你需要使用的警报数据的租户的父 Microsoft 365 连接器。
为 Defender 连接器输入一个唯一的 Connector Name。
点击 Save。
连接器创建成功后，点击 Authorize。

一个新的浏览器标签页打开到 Microsoft 365 应用。
在新的浏览器标签页中，验证 Microsoft 365 应用的身份：
1. 选择 Microsoft 365 应用的微软账户。
2. 输入应用的密码并批准。
3. 接受权限，以允许 Cato 访问 Microsoft 365 应用。
4. 屏幕显示您已成功应用应用程序的权限。
  
  您可以关闭浏览器标签页并返回到 Cato Management Application。
Microsoft Defender SaaS 应用已添加到 Connectors Settings 页面。

Microsoft Azure 处理请求可能需要几秒钟时间，因此如果 Status 显示 Pending user consent，请刷新浏览器。

了解连接器状态

Status 列在 Connectors Settings 页面上显示 Microsoft 应用与您的 Cato 帐户之间的连接状态。以下是状态的解释：

Connected - 您的帐户已连接到应用，并且运行正常
Pending user consent - 尚未授予权限，以允许 Cato 访问 Microsoft 365 应用。要解决此问题，请刷新浏览器。如果 Status 变为 Connected，则问题已解决；如果 Status 没有变化，请删除并重新创建连接器。
Error - Microsoft 连接器存在连接、权限或其他问题。删除并重新创建连接器。

查看 XDR 发现事件页面

一旦您创建了连接器，事件将会在 XDR 发现事件中可见。

查看 XDR 发现事件页面：

从导航菜单中，点击 Home > Stories Workbench。

有关 Stories 工作台中的列信息，请参见理解事件列