为登录异常数据配置 Microsoft Entra ID 保护连接器

Microsoft Entra ID 保护帮助组织检测其 Entra ID 租户的基于身份的风险。 本文解释了如何配置 Microsoft Entra ID 保护连接器,以将登录异常数据与 Cato 事件和云活动仪表板集成。

有关在云活动仪表板中查看登录异常的更多信息,请参见 使用云活动仪表板

注意

注意: Microsoft 最近将 Azure AD 的名称更改为 Entra ID。 Cato 文档中提到的所有 Azure AD 均指 Entra ID。

Microsoft连接器概述

要配置 Cato 的 Microsoft Entra ID 保护连接器以获取登录异常数据,首先需要配置 Microsoft 365 连接器作为父应用,授予 Entra ID 保护连接器读取权限。 父应用仅有权限管理 Microsoft 连接器。 在配置 Microsoft 365 连接器后,您可以配置一个 Entra ID 保护连接器来检索登录数据。

如果您想从组织内不同的子组织导入登录数据,为每个相关的 Entra ID 租户创建一个单独的 Microsoft 365 连接器,然后为每个租户配置 Entra ID 保护连接器。

前提条件

  • 需要Microsoft 365 E5许可证或更高级版本,或独立的Entra ID P2计划。

  • Microsoft 365 连接器需要具有全局管理员角色的管理员为 Cato 的 Entra ID 保护连接器授予权限。

Microsoft Entra ID 保护连接器的必填权限

为了让 Entra ID 保护连接器检索您帐户的登录数据,连接器向 Cato 授予以下权限和 Microsoft 365 操作:

  • 连接至 Microsoft API 并读取整个组织的 Microsoft Entra ID 保护数据。

  • 登录并读取用户个人资料。

配置 Microsoft连接器

配置一个 Microsoft 365 父连接器,然后为 Microsoft 365 帐户定义 Entra ID 保护连接器。

如果您的组织已为其他功能配置了 Microsoft 365 父连接器,例如 Microsoft 应用程序的 Saas 安全 API 策略,或者用于将 MIP 标签导入到您的 DLP 策略中,您只需配置一个 Entra ID 保护连接器。

配置 Microsoft 365连接器

使用 Cato 管理应用程序为相关的 Azure 租户创建 Microsoft 365 SaaS 应用程序连接器。 您必须拥有正确的凭据才能认证到 Microsoft 365,以便将连接器添加到您的 Cato 帐户。

要创建 Microsoft 365 父连接器:

  1. 从导航菜单中选择 资源 > 集成,然后点击集成 API 标签页。

  2. 点击 新建新建连接器 面板打开。

  3. 新建连接器 面板中,选择Microsoft 365 (新租户) 应用程序。

    New_Microsoft_365_Connector.png

  4. 点击 授权并保存

    一个新的浏览器标签打开到 Microsoft 365 应用。

  5. 在新的浏览器标签中,认证到 Microsoft 365 应用:

    1. 选择 Microsoft 365 应用的 Microsoft 账户。

    2. 输入应用程序的密码并批准。

    3. 接受 权限以允许 Cato 访问 Microsoft 365 应用。

    4. 屏幕显示您已成功应用应用程序的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签并返回 Cato 管理应用程序。

  6. Microsoft 365 SaaS 应用程序已添加到 集成应用 标签页。

配置 Microsoft Entra ID 保护连接器

使用 Cato 管理应用程序为带有您想要使用的登录数据的 Entra ID 租户创建 Microsoft Entra ID 保护应用程序连接器。 您必须拥有正确的凭据才能认证到 Microsoft 365,以便将连接器添加到您的 Cato 帐户。

注意

注意: 当您为 Microsoft 365 应用程序创建 API 连接器时,连接器会创建一个认证证书,该证书有效期为 3 个月,并在到期前 7 天更新证书。

要配置 Entra ID 保护连接器:

  1. 从导航菜单中选择 资源 > 集成,然后点击集成 API 标签页。

  2. 点击 新建新建连接器 面板打开。

  3. SaaS 应用程序 下拉菜单中,选择 Microsoft Entra ID 保护 应用。

    Entra_ID_Protection_Connector_New_Panel.png

  4. 连接器租户 下拉菜单中,选择包含您想要使用的登录数据的租户的父 Microsoft 365 连接器。

  5. 为 Entra ID 保护连接器输入唯一的 连接器名称

  6. 设置 权限读取

  7. 点击 保存

  8. 连接器成功创建后,点击 授权

    MIP_Labels_SuccessCreate_Authorize.png

    一个新的浏览器标签打开到 Microsoft 365 应用。

  9. 在新的浏览器标签页中,认证 Microsoft 365 应用程序:

    1. 选择 Microsoft 365 应用程序的 Microsoft 账户。

    2. 输入应用程序的密码并批准。

    3. 接受权限以允许 Cato 访问 Microsoft 365 应用程序。

      Entra_ID_Protection_Permissions.png

    4. 屏幕显示您已成功应用程序的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回到 Cato 管理应用程序。

  10. Microsoft Entra ID 保护 SaaS 应用程序已添加到已安装的 SaaS 应用程序页面。

    Entra ID 保护可能需要几秒钟来处理请求,因此如果状态显示等待用户同意,请刷新浏览器。

理解连接器状态

连接器设置页面上的状态列显示 Microsoft 应用程序和您的 Cato 账户之间连接的状态。 这些是状态的解释:

  • 已连接 - 您的账户已连接到应用程序,并正常运行。

  • 等待用户同意 - 尚未授予让 Cato 访问 Microsoft 365 应用程序的权限。 为解决这个问题,请刷新浏览器。 如果状态变为已连接,问题已解决;如果状态没有变化,删除并重新创建连接器。

  • 错误 - Microsoft 连接器存在连接性、权限或其他问题。 删除并重新创建连接器。

Cato 事件字段用于 Entra ID 保护登录异常

这些是子类型为身份警报的 Entra ID 保护登录异常事件的相关字段:

  • Alert ID: Identification number for the alert in Entra ID Protection

  • 分类: 按照 Entra ID 保护的警报分类

  • 状态: Entra ID 保护中的警报状态

  • 事件描述: 异常的详细描述

  • 标题: 异常的名称

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论