Integrieren Sie Reveal (x) 360 mit Microsoft 365
Durch die Konfiguration der Reveal (x) 360-Integration mit Microsoft 365 können Benutzer Microsoft 365-Ereignisse überprüfen, die auf kompromittierte Konten oder Identitäten hinweisen könnten.
Anforderungen an das System
ExtraHop Enthüllen (x)
- Sie müssen Ihr Reveal (x) 360-System an einen ExtraHop angeschlossen haben Sensor mit Firmware-Version 8.6 oder höher.
- Der ExtraHop-Sensor muss für den Empfang von Paketen lizenziert und konfiguriert sein.
Microsoft
- Sie müssen über Microsoft 365 und Microsoft Graph API verfügen. Nur der Microsoft Graph Global
Service unter https://graph.microsoft.com/ wird für die Integration unterstützt.
Hinweis: Um Microsoft Graph aufrufen zu können, muss Ihre App ein Zugriffstoken von der Microsoft Identity Platform erwerben. Das Zugriffstoken enthält Informationen über Ihre App und die Berechtigungen, die sie für die über Microsoft Graph verfügbaren Ressourcen und APIs hat. Um ein Zugriffstoken zu erstellen, muss Ihre App bei der Microsoft Identity Platform registriert sein und entweder von einem Benutzer oder einem Administrator für den Zugriff auf die Microsoft Graph-Ressourcen autorisiert werden. - Sie müssen eine registrierte Anwendung in Azure mit den folgenden Berechtigungen haben:
API//Name der Berechtigungen Typ AuditLog.Read.All Bewerbung AuditLog.Read.All Delegiert Verzeichnis.Alles lesen Bewerbung Verzeichnis.Alles lesen Delegiert IdentityRiskEvent.Read.All Bewerbung IdentityRiskEvent.Read.All Delegiert IdentityRiskyUser.Read.All Bewerbung IdentityRiskyUser.Read.All Delegiert Benutzer.Lesen Delegiert - Ihr Azure-Abonnement muss über die folgenden Standardfunktionen von Microsoft Entra ID verfügen:
- Verzeichnisaudit für Microsoft Entra ID
- Microsoft Entra ID P1- oder P2-Lizenzendpunkte
P1 stellt Ihnen die Liste der Dienstkonto-Anmeldungen aus dem Audit-Log zur Verfügung. P2 beinhaltet P1 und bietet Ihnen zusätzlich Risikoerkennungen und riskante Benutzer.
Konfiguration der Integration
Before you begin
Sie benötigen Ihre Microsoft Entra ID, Mandanten-ID, Anwendungs-ID (Client) und den Wert des geheimen Anwendungsschlüssels.Nächste Maßnahme
- Sie können jetzt Microsoft 365-Ereignisse auf der integrierten Dashboards, in Aufzeichnungen, und in Erkennungen.
Funktionen zur Integration
Nach Abschluss des Microsoft 365-Integrationsvorgangs umfassen mehrere Funktionen von ExtraHop Reveal (x) Microsoft 365- und Microsoft Entra ID-Ereignisse, sodass Sie Metriken, Datensätze und Erkennungen für diese Ereignisse anzeigen können.
Dashboards
Zeigen Sie Metriken für Microsoft 365-Ereignisse auf den folgenden integrierten Geräten an Dashboards:
- Microsoft Entra ID, die Ereignismetriken wie Transaktionsversuche, Identitäts- und Kennwortverwaltung sowie Benutzeraktivität anzeigt.
- Microsoft 365, das Ereignismetriken wie riskante Benutzeraktivitäten, Anmeldeversuche und Risikoerkennung anzeigt.
Arten von Datensätzen
Microsoft 365-Ereignisse anzeigen in Aufzeichnungen indem Sie nach den folgenden Datensatztypen suchen:
- Azure-Aktivitätsprotokoll
- Microsoft 365-Verzeichnisaudit
- Riskantes Microsoft 365-Ereignis
- Riskanter Microsoft 365-Benutzer
- Microsoft 365-Anmeldungen
Erkennungen
Microsoft 365-Risikoereignisse anzeigen, die über die Microsoft Graph-API abgerufen und im folgenden Reveal (x) angezeigt werden Erkennungen:
- Riskante Benutzeraktivitäten
- Verdächtige Anmeldungen
Die folgenden Beispiele beschreiben einige der riskanten Benutzerereignisse und verdächtigen Aktionen , die vom Integrationsdienst erkannt werden.
- Unmögliches Reisen
- Ein Benutzer meldet sich von zwei geografisch unterschiedlichen Orten aus an. Die beiden Anmeldeereignisse ereigneten sich innerhalb einer kürzeren Zeit, als der Benutzer benötigen würde, um zwischen Standorten zu reisen. Diese Aktivität könnte darauf hindeuten, dass sich ein Angreifer mit Benutzeranmeldedaten angemeldet hat.
- Passwort-Spray
- Ein Passwort-Spray-Angriff ist eine Art Brute-Force-Angriff, bei dem zahlreiche Anmeldungen mit mehreren Benutzernamen und gängigen Passwörtern versucht werden, sich unbefugten Zugriff auf ein Konto zu verschaffen.
- Weiterleitung verdächtiger Posteingänge
- Der Microsoft Cloud App Security (MCAS) -Service identifiziert verdächtige E-Mail-Weiterleitungsregeln, z. B. eine vom Benutzer erstellte Posteingangsregel, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet.
- Administrator hat bestätigt, dass Benutzer kompromittiert wurde
- Ein Administrator wurde ausgewählt Bestätigen Sie, dass der Benutzer gefährdet ist in der Risky Users UI oder RiskyUsers API des Identity Protection-Dienstes.
Sehen Sie sich eine vollständige Liste verdächtiger Aktionen und riskanter Benutzeraktivitätsereignisse an, die vom integrierten Microsoft Entra ID-Identitätsschutzdienst .
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?