电子邮件安全集成允许您将电子邮件安全事件导入XOps,以便您可以通过更多的上下文来调查网络钓鱼和其他基于电子邮件的威胁,并从单一工作流中进行操作。 这有助于减少调查时间,改进威胁关联,并使在电子邮件、网络和端点数据源中识别相关活动更加容易。
电子邮件攻击通常是更广泛攻击流程的一部分。 钓鱼电子邮件、恶意附件或可疑的发送活动可能导致用户访问恶意域名、额外的基于网络的指针或相关端点检测。 通过这个集成,XOps可以将电子邮件安全事件纳入调查流程,并提供更全面的攻击可见性。
当Microsoft Defender for Office 365中创建事件时,会在XOps中创建一个故事。 这样可以让您保留Cato中的原始检测逻辑,并将警报作为更广泛活动的一部分进行调查。
公司XYZ使用Microsoft Defender for Office 365保护用户免受钓鱼电子邮件、恶意链接和其他基于电子邮件的威胁。 然而,仅凭电子邮件警报并不总能提供完整的攻击上下文。 安全团队还需要了解用户是否与恶意内容进行了交互以及这些活动是否导致了网络或端点上的相关检测。
公司将XOps与Microsoft Defender for Office 365集成。 当Microsoft Defender for Office 365生成警报时,XOps会自动接收警报并在故事工作台中创建一个事件。 这保留了Microsoft的原始检测逻辑并为调查增加了Cato的网络和安全上下文。
从XOps故事中,公司可以:
-
调查是否有用户点击恶意链接或访问可疑域名
-
查看与电子邮件警报相关联的网络和端点活动
-
确定警报是否属于影响其他用户或资产的更广泛攻击流程的一部分
通过将Microsoft Defender for Office 365的电子邮件检测与Cato的上下文分析相结合,公司XYZ可以更清晰地调查钓鱼和其他基于电子邮件的攻击。 这有助于缩短调查时间,提高威胁关联,并支持更快速的响应。
要配置电子邮件安全集成,您需要:
-
创建MS租户集成作为父连接器
-
为Microsoft Defender for Office 365创建API连接器
首先,将MS租户集成配置为父连接器。 此连接器可用于所有Microsoft集成。 如果您已经创建了父连接器,请进入步骤2。
要创建MS租户集成:
-
从导航菜单中,选择资源 > 集成并单击集成应用选项卡。
-
单击新建。 新连接器面板打开。
-
在新连接器面板中,选择MS租户(配置新MS租户)应用。
-
输入连接器名称。
-
单击授权并保存。
将打开一个新的浏览器标签到Microsoft 365应用。
-
在新的浏览器标签中,验证Microsoft 365应用:
-
选择用于Microsoft 365应用的Microsoft帐户。
否则,可能会出现Microsoft验证错误。
-
输入应用的密码并批准。
-
接受权限以让Cato访问Microsoft 365应用。
-
屏幕显示您已成功应用应用的权限。
您可以关闭浏览器标签并返回到Cato管理应用程序。
-
-
Microsoft 365 SaaS应用已添加到集成应用选项卡。
0 条评论
文章评论已关闭。