本文讨论了如何使用XDR发现事件来审查在Microsoft Entra ID Protection警报中检测到的登录异常的XOps事件。
Microsoft Entra ID Protection 帮助组织检测其Entra ID租户的基于身份的风险,例如可能表示恶意活动的异常登录。 使用 Microsoft API,您可以集成 Microsoft Entra ID 保护中的警报数据以生成 Cato XOps 事件。 这让分析师可以在XOps调查的更广泛背景中包含来自有风险登录的信息。 Cato Entra Identity Alert引擎通过关联在24小时内对同一用户发出的Entra ID Protection警报的数据来创建一个事件。 XDR发现事件将显示Entra Identity Alert事件与其他事件类型,并且您可以对事件进行排序和过滤,以专注于Entra Identity Alert事件。
您还可以通过整合Microsoft Entra ID的登录事件数据来丰富Entra Identity Alert事件。 这提供了用户通常登录行为的上下文,可以与Entra ID Protection提供的异常警报数据进行比较。
有关审查XOps事件的更多信息,包括Microsoft Entra ID的数据,请参见深入分析XOps安全事件。
-
Microsoft Entra ID Protection警报的XOps事件需要配置Microsoft Entra ID Protection连接器。 更多关于配置连接器的信息,包括所需的Microsoft许可证和权限,请参见配置Microsoft Entra ID Protection连接器获取登录异常数据。
-
对于登录事件小部件和用户登录事件小部件中的登录事件数据,必须配置Microsoft Entra ID连接器。 更多关于配置连接器的信息,包括所需的Microsoft许可证和权限,请参见配置Microsoft Entra ID(Azure AD)连接器。
-
要添加连接器,您必须在资源部分具有集成编辑者权限。 有关更多信息,请参阅使用RBAC管理管理员角色。
注意
注意:
-
如果您仅配置了Microsoft Entra ID Protection连接器,将生成Entra Identity事件,但是登录事件和用户登录事件小部件将不显示数据。
-
如果您仅配置了Microsoft Entra ID连接器,则不会生成Entra Identity事件。
连接器创建成功后,事件将显示在 XDR 发现事件中。
有关 XDR 发现事件中列的信息,请参见 理解故事列。
有关审查XOps事件的更多信息,包括来自Microsoft Defender的数据,请参见深入分析XOps安全事件。
0 条评论
文章评论已关闭。