PDF

Voir la table des matières

Exigences relatives aux produits

Révéler(x) 360 seulement

Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.

Ce sujet a-t-il été utile ?

Oui Non

Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?

Comment pouvons-nous nous améliorer ?

Need more help?

Ask the Community

Intégrer Reveal (x) 360 à Microsoft 365

En configurant l'intégration de Reveal (x) 360 avec Microsoft 365, les utilisateurs peuvent consulter les événements Microsoft 365 susceptibles d'indiquer des comptes ou des identités compromis.

Exigences du système

ExtraHop Reveal (x)

Votre système Reveal (x) 360 doit être connecté à un ExtraHop sonde avec la version 8.6 ou ultérieure du firmware.
La sonde ExtraHop doit être sous licence et configurée pour recevoir des paquets.

Microsoft

Vous devez disposer de Microsoft 365 et de l'API Microsoft Graph. Seul le Microsoft Graph Global Service disponible à l'adresse https://graph.microsoft.com/ est pris en charge pour l'intégration.

Remarque :

Pour appeler Microsoft Graph, votre application doit acquérir un jeton d'accès auprès de la plateforme d'identité Microsoft. Le jeton d'accès contient des informations sur votre application et les autorisations dont elle dispose pour les ressources et les API disponibles via Microsoft Graph. Pour créer un jeton d'accès, votre application doit être enregistrée auprès de la plateforme d'identité Microsoft et être autorisée par un utilisateur ou un administrateur à accéder aux ressources Microsoft Graph.

Vous devez disposer d'une application enregistrée dans Azure avec les autorisations suivantes :

API/Nom des autorisations	Type
AuditLog.Tout lire	Demande
AuditLog.Tout lire	Délégué
Répertoriaire.Tout lire	Demande
Répertoriaire.Tout lire	Délégué
IdentityRiskEvent.Tout lire	Demande
IdentityRiskEvent.Tout lire	Délégué
IdentityRiskyUser.Read.All	Demande
IdentityRiskyUser.Read.All	Délégué
Utilisateur.Read	Délégué

Votre abonnement Azure doit disposer des fonctionnalités Azure AD standard suivantes :
- Audit d'annuaire pour Azure AD
- Points de terminaison de licence Azure AD P1 ou P2
  P1 vous fournit la liste des connexions aux comptes de service à partir du journal dlicensaudit. P2 inclut le P1 et vous fournit en outre des détections de risques et des utilisateurs à risque.

Configuration de l'intégration

Before you begin

Vous devez disposer de votre identifiant de locataire Microsoft Azure AD, de votre identifiant d'application (client) et de la valeur de la clé secrète de l'application.

Connectez-vous au système Reveal (x) 360 avec un compte doté de privilèges d' administration du système et des accès.
Cliquez sur l'icône des paramètres système puis cliquez sur Toute l'administration.
Cliquez Intégrations.
Cliquez sur Microsoft 365 tuile.
Ajoutez vos informations d'identification Microsoft 365.

ID du locataire: Entrez votre identifiant de locataire. Votre identifiant de client Microsoft 365 se trouve dans le centre d'administration Azure AD.

Clé d'accès: Entrez votre ID d'application Microsoft (client). Vous pouvez consulter et copier les clés d'accès à votre compte via le portail Azure, PowerShell ou Azure CLI.

Clé secrète: Entrez la valeur secrète du client pour l'application. Vous pouvez consulter et copier la valeur secrète du client sur la page Certificats et secrets du portail Azure.

Capteur ExtraHop: Dans la liste déroulante, sélectionnez la sonde vers laquelle vous souhaitez transférer les données.
Cliquez Tester la connexion pour garantir que le système ExtraHop peut communiquer avec Microsoft 365.
Cliquez Connectez.

Que faire ensuite

Vous pouvez désormais consulter les événements Microsoft 365 sur le système intégré tableaux de bord, dans disques, et dans détections.

Fonctionnalités d'intégration

Une fois la procédure d'intégration de Microsoft 365 terminée, plusieurs fonctionnalités d'ExtraHop Reveal (x) incluent les événements Microsoft 365 et Azure Active Directory afin que vous puissiez consulter les métriques, les enregistrements et les détections relatifs à ces événements.

Tableaux de bord

Consultez les statistiques des événements Microsoft 365 sur les fonctionnalités intégrées suivantes tableaux de bord:

Azure Active Directory, qui affiche des indicateurs d'événements tels que les tentatives de transaction, la gestion des identités et des mots de passe, ainsi que l'activité des utilisateurs.
Microsoft 365, qui affiche des indicateurs d'événements tels que les activités risquées des utilisateurs, les tentatives de connexion et la détection des risques.

Types d'enregistrements

Afficher les événements Microsoft 365 dans disques en recherchant les types d'enregistrement suivants :

Journal d'activité Azure
Audit de l'annuaire Microsoft 365
Événement risqué lié à Microsoft 365
Utilisateur risqué de Microsoft 365
Inscriptions à Microsoft 365

Détections

Afficher les événements liés aux risques liés à Microsoft 365 qui sont récupérés via l'API Microsoft Graph et affichés dans le Reveal (x) suivant détections:

Activités risquées des utilisateurs
Connexions suspectes

Les exemples suivants décrivent certains des événements utilisateur risqués et des actions suspectes détectés par le biais du service d'intégration.

Voyage impossible: Un utilisateur se connecte à partir de deux emplacements géographiques différents. Les deux événements de connexion se sont produits dans un délai plus court que celui qu'il aurait fallu à l'utilisateur pour se déplacer d'un site à l'autre. Cette activité peut indiquer qu'un attaquant s'est connecté avec les informations dac.identification de lac.user.
Spray pour les mots: Une attaque par pulvérisation de mots de passe est un type d'attaque par force brute, dans le cadre de laquelle de nombreuses tentatives de connexion avec plusieurs noms d'utilisateur et mots de passe courants sont tentées pour obtenir un accès non autorisé à un compte.
Transfert de boîte de réception suspect: Le service Microsoft Cloud App Security (MCAS) identifie les règles de transfert d'e-mails suspectes, telles qu'une règle de boîte de réception créée par l'utilisateur qui transmet une copie de tous les e-mails à une adresse externe.
Utilisateur confirmé par l'administrateur compromis: Un administrateur sélectionné Confirmez que l'utilisateur est compromis dans l'interface utilisateur Risky Users ou dans l'API RiskyUsers du service Identity Protection .

Consultez la liste complète des actions suspectes et des événements risqués liés à l'activité des utilisateurs fournie par le Service de protection de l'identité Microsoft Azure AD.

Last modified 2023-11-07

Documentation

Products

Differentiation

Solutions

Security Operations

Cloud-Native Security

Application Analytics

Network Performance

Customers

Community

Partners

Support

Training

Resources

More Resources

Company

Events and Information