Microsoft Defender for Endpoint Alerts:配置XOps 集成

本文讨论了集成来自Microsoft Defender for Endpoint的数据,以生成您可以在Cato XDR 发现事件中查看的事件。

终端警报事件概览

通过使用Microsoft API,您可以集成来自Microsoft Defender for Endpoint的警报数据以生成终端设备的事件。 终端事件帮助您更全面地了解网络中的潜在威胁。

Cato 终端警报引擎通过关联与同一 Defender 事件相关的 Defender 警报数据来创建事件。 终端警报事件包括 Defender 检测到的警报的所有相关证据。 XDR 发现事件显示终端事件以及其他事件类型,您可以对事件进行排序和过滤以专注于终端警报事件。

要将 Defender for Endpoint 警报数据与 Cato XOps 整合,您首先需要为 Microsoft 365 和 Defender for Endpoint 设置 API 连接器。 创建连接器后,终端警报引擎从Defender for Endpoint检索并分析警报数据。

有关查看XOps事件(包括来自Microsoft Defender的数据)的更多信息,请参见深入分析 XOps 安全事件

集成终端警报事件的高级概览

这是在XDR 发现事件中集成和查看Defender for Endpoint事件的工作流的高级描述:

  1. 创建Microsoft 365父连接器。
  2. 创建Defender for Endpoint连接器。
  3. 在事件工作台中查看终端警报事件。

已知限制

  • 故事操作面板中的设置无法为终端警报事件配置。 与操作相关的所有字段显示为不适用。 有关故事操作面板的更多信息,请参阅下文。
  • 针对共享设备的Microsoft终端警报故事将在事件中包含登录到该设备的所有用户,而相关的Defender for Endpoint警报可能仅显示一个用户。
  • 要添加连接器,您必须具有集成(在资源部分中)的编辑者权限。 有关详细信息,请参阅使用RBAC管理管理员角色

了解Microsoft终端警报事件

Microsoft终端警报生产者根据集成生成事件。 本部分解释了故事深入页面概览标签中可用的信息。

Defender for Endpoint故事更新.png

这些是故事概览小部件:

名称 描述
摘要小部件

页面顶部的栏显示了有关事件的基本信息摘要,包括:

  • 威胁的严重性
  • 事件详情的摘要
  • 由分析师确定的威胁严重程度
  • 由分析师确定的威胁判定
时间线 事件或故事中执行的操作时间线。
详细信息

故事的基本信息。

  • 点击事件网址链接以查看Microsoft Defender中的事件。
实体 事件中涉及的实体。 这些可以是用户、设备、站点、数据存储、应用程序等。 一个事件可以包括针对多个用户和设备的警报。
警报

显示与Defender事件相关警报的详细信息。

  • 展开警报以显示相关证据的时间排序过程树,包括进程、文件和注册表值。
  • 在过程树中点击项目以进一步深入查看证据的详细数据。

这些是表格中的列:

  • 描述可疑活动的警报名称
  • 严重程度 - 由Cato的机器学习风险分析算法计算出的警报总体风险评分(得分范围从1到10)
  • 本地IP外部IP为涉及警报的设备的IP。
  • 供应商用户名 - 与警报关联的用户账户Microsoft Defender
  • 设备名称 - 涉及警报的设备名称
  • 操作系统 - 涉及警报的设备的操作系统
  • 供应商域名 -  与警报中的用户账户关联的Windows、AD或本地域
  • 警报ID - 警报的ID号码

  • Mitre 技术 - 针对威胁识别的MITRE ATT&CK®技术

    有关MITRE ATT&CK®框架的更多信息,请参阅使用MITRE ATT&CK®仪表板

  • 状态 - 显示警报是新建还是已解决
  • 首次活动日期 - 检测到警报的首次可疑活动日期
  • 最后活动日期 - 检测到警报的最近可疑活动日期
  • 威胁名称 - 检测到的恶意软件名称。 例如:特洛伊木马:Win32/Startpage
  • 描述与推荐操作 - 点击查看以获得简短的警报描述及调查和缓解威胁的推荐步骤
证据

汇集所有进程文件注册表值和证据中识别出的网络参数的详细信息,以供各种事件警报使用。

证据表格中有些列是所有证据类型共享的,而有些是每种类型特有的。

这些是所有类型证据的列:

  • 判定 - Defender为证据生成的判定(恶意可疑未发现威胁
  • 修复状态 - 显示威胁是否已修复
  • 创建时间 - 记录事件的日期和时间

这些是每种证据类型的特定列:

  • 进程:

    • 进程名称 - 进程可执行文件的名称
    • 进程ID - Windows分配的进程ID
    • 进程命令行 - 传递给Windows中进程的参数。 这可以揭示关于可疑进程执行的重要背景。
    • 文件路径 - 终端设备上进程可执行文件的位置

  • 文件:

    • 文件路径 - 文件在终端设备上的位置
    • 文件名称 - 包括扩展名的文件名称
    • 文件大小 - 文件的大小,单位为字节、千字节或兆字节

  • 注册表:

    • 注册表键名称
    • 注册表值类型 - 存储在注册表值中的数据格式
    • 注册表值 - 注册表项的值

  • 网络:

    • 显示生成该警报的流的网络数据,如目标IP目标端口、DNS和HTTP数据,以及访问的网址

Microsoft连接器概览

要配置Cato的Microsoft Defender连接器以提取警报数据,您首先需要配置Microsoft 365连接器作为父应用程序,为Defender连接器提供读取权限。 父应用程序仅有权限管理Microsoft连接器。 配置Microsoft 365连接器后,您可以配置Defender连接器以检索警报数据。

如果您希望从组织内的不同子组织中导入警报数据,请为每个相关Azure租户创建一个单独的Microsoft 365连接器,然后为每个租户配置一个Defender连接器。

前提条件

  • 需要Microsoft 365 E3或更高版本的许可证
  • Microsoft 365连接器需要具有全局管理员角色的管理员为Cato的Defender连接器授予权限

Microsoft Defender连接器的必需权限

要让Defender连接器从您的Microsoft 365帐户中检索警报数据,连接器为Cato提供以下权限和操作与Microsoft 365:

  • 连接到Microsoft API并读取一个组织的所有Defender for Endpoint数据
  • 登录并读取用户个人资料

配置Microsoft连接器

配置一个父级Microsoft 365连接器,然后为Microsoft 365帐户定义一个Defender连接器。

如果您的组织已经为其他功能配置了Microsoft 365父连接器,例如Microsoft应用的SaaS 安全 API策略,或用于将MIP标签导入您的DLP策略,则只需配置一个Defender连接器。

配置Microsoft 365连接器

使用Cato管理应用程序为相关Azure租户创建Microsoft 365 SaaS应用程序连接器。 您必须拥有正确的凭据来进行Microsoft 365认证,将连接器添加到您的Cato帐户。

Endpoint_Connectors.png

要配置Microsoft 365父端点连接器:

  1. 从导航菜单中选择安全性 > 连接器,然后选择连接器设置标签。
  2. 点击新建新连接器面板打开。

  3. SaaS应用程序下拉菜单中选择Microsoft 365应用。

    MIP_New_Connector_MS365.png
  4. 输入一个唯一的连接器名称

  5. 点击授权并保存

    一个新的浏览器标签页将打开Microsoft 365应用。

  6. 在新的浏览器标签页中,认证到Microsoft 365应用:
    1. 选择Microsoft 365应用的Microsoft帐户。
    2. 输入应用的密码并批准。

    3. 接受权限以允许Cato访问Microsoft 365应用。

      MIP_Labels_Parent_Connector_Permissions.png

    4. 屏幕显示您已成功应用该应用程序的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回到Cato管理应用程序。

  7. Microsoft 365 SaaS应用程序已添加到连接器设置页面。

    Endpoint_Connectors_-_MS_365.png

    Microsoft Azure需要几秒钟来处理请求,因此如果状态显示等待用户同意,请刷新浏览器。

配置Microsoft Defender for Endpoint连接器

使用Cato管理应用程序为带有您要使用的警报数据的Azure租户创建Microsoft Defender for Endpoint SaaS应用程序连接器。 您必须拥有正确的凭据来进行Microsoft 365认证,将连接器添加到您的Cato帐户。

注意

注意:当您为Microsoft 365应用创建API连接器时,连接器会创建一个有效期为3个月的认证证书,并在到期前7天更新证书。

要配置Microsoft Defender连接器:

  1. 从导航菜单中选择安全性 > 连接器,然后选择连接器设置标签。
  2. 点击新建新连接器面板打开。

  3. SaaS 应用下拉菜单中选择Microsoft Defender应用。

    Defender_Connector.png
  4. 连接器租户下拉菜单中选择用于您要使用的警报数据的租户的父Microsoft 365连接器。
  5. 输入一个唯一的Defender连接器的连接器名称
  6. 点击保存

  7. 创建连接器成功后,点击授权

    MIP_Labels_SuccessCreate_Authorize.png

    一个新的浏览器标签页将打开Microsoft 365应用。

  8. 在新的浏览器标签页中,认证到Microsoft 365应用:
    1. 选择Microsoft 365应用的Microsoft帐户。
    2. 输入应用的密码并批准。

    3. 接受权限以允许Cato访问Microsoft 365应用。

      Defender_connector_permissions.png

    4. 屏幕显示您已成功应用该应用程序的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回到Cato管理应用程序。

  9. Microsoft Defender SaaS应用程序已添加到连接器设置页面。

    Endpoint_Connectors.png

    Microsoft Azure需要几秒钟来处理请求,因此如果状态显示等待用户同意,请刷新浏览器。

理解连接器状态

状态列在连接器设置页面上显示Microsoft应用与您的Cato帐户之间连接的状态。 这些是状态的解释:

  • 已连接——您的帐户已连接到该应用并正常工作
  • 等待用户同意——尚未授予权限来让Cato访问Microsoft 365应用。 要解决此问题,请刷新浏览器。 如果状态变为已连接,问题已解决;如果状态未更改,请删除并重新创建连接器。
  • 错误——Microsoft连接器存在连接、权限或其他问题。 删除并重新创建连接器。

查看XDR 发现事件页面

创建连接器后,事件将显示在XDR 发现事件中。

要查看XDR 发现事件页面:

  • 从导航菜单中,点击主页 > XDR 发现事件

有关 XDR 发现事件中列的信息,请参见 理解事件列

有关查看XOps事件(包括来自Microsoft Defender的数据)的更多信息,请参见深入分析 XOps 安全事件

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论