本文讨论如何使用事件工作台来审核在 Microsoft Entra ID 保护警报中检测到的登录异常的XOps事件。
注意
注意: XOps 是 Cato 的安全和操作的统一分析层,提供洞察和引导的补救措施。 XOps 已取代 XDR,更多信息,请参见 XOps FAQ。
Microsoft Entra ID 保护帮助组织为其 Entra ID 租户检测基于身份的风险,如可能表明恶意活动的异常登录。 使用 Microsoft API,您可以集成来自 Microsoft Entra ID 保护的警报数据以生成 Cato XOps (formerly XDR) 事件。 这让分析师可以在更广泛的 XOps 调查背景下包含有风险登录的数据。 Cato Entra 身份警报引擎通过关联同一用户在 24 小时内发生的 Entra ID 保护警报数据创建一个故事。 故事工作台将 Entra 身份警报故事与其他类型的故事一起显示,您可以排序和过滤故事以专注于 Entra 身份警报故事。
您还可以通过集成来自 Microsoft Entra ID 的登录事件数据来丰富 Entra 身份警报故事。 这提供了用户常规登录行为的背景,可以与 Entra ID 保护提供的异常警报数据进行比较。
有关审阅 XOps 故事(包括来自 Microsoft Entra ID 的数据)的更多信息,请参见深入分析 XOps 安全故事
-
Microsoft Entra ID 保护警报的 XOps 事件需要配置 Microsoft Entra ID 保护连接器。 有关配置连接器的更多信息,包括所需的 Microsoft 许可证和权限,请参阅配置 Microsoft Entra ID 保护连接器以获取登录异常数据。
-
在登录事件和用户登录事件小部件中显示登录事件数据,需配置 Microsoft Entra ID 连接器。 有关配置连接器的更多信息,包括所需的 Microsoft 许可证和权限,请参阅配置 Microsoft Entra ID (Azure AD) 连接器。
注意
注意:
-
如果您仅配置 Microsoft Entra ID 保护连接器,会生成 Entra 身份故事,但登录事件和用户登录事件小部件不显示数据。
-
如果您仅配置 Microsoft Entra ID 连接器,不会生成 Entra 身份故事。
创建连接器后,故事将在 XDR 发现事件中可见。
有关故事工作台中各栏的信息,请参阅了解故事列。
有关审阅 XOps 故事(包括来自 Microsoft Defender 的数据)的更多信息,请参见深入分析 XOps 安全故事
0 条评论
文章评论已关闭。