PDF

Voir la table des matières

Exigences relatives aux produits

Révéler(x) 360 seulement

Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.

Ce sujet a-t-il été utile ?

Oui Non

Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?

Comment pouvons-nous nous améliorer ?

Need more help?

Ask the Community

Intégrer Reveal (x) 360 à Microsoft 365

En configurant l'intégration de Reveal (x) 360 avec Microsoft 365, les utilisateurs peuvent consulter les événements Microsoft 365 susceptibles d'indiquer des comptes ou des identités compromis.

Exigences du système

ExtraHop Reveal (x)

Votre système Reveal (x) 360 doit être connecté à un ExtraHop sonde avec la version 8.6 ou ultérieure du firmware.
La sonde ExtraHop doit disposer d'une licence et être configurée pour recevoir des paquets.

Microsoft

Vous devez disposer de Microsoft 365 et de l'API Microsoft Graph. Seul le Microsoft Graph Global Service disponible à l'adresse https://graph.microsoft.com/ est pris en charge pour l'intégration.

Remarque :

Pour appeler Microsoft Graph, votre application doit acquérir un jeton d'accès auprès de la plateforme d'identité Microsoft. Le jeton d'accès contient des informations sur votre application et les autorisations dont elle dispose pour les ressources et les API disponibles via Microsoft Graph. Pour créer un jeton d'accès, votre application doit être enregistrée auprès de la plateforme d'identité Microsoft et être autorisée par un utilisateur ou un administrateur à accéder aux ressources Microsoft Graph.

Vous devez disposer d'une application enregistrée dans Azure avec les autorisations suivantes :

Nom de l'API/des autorisations	Tapez
AuditLog.Read.All	Demande
AuditLog.Read.All	Délégué
Répertoire.Tout lire	Demande
Répertoire.Tout lire	Délégué
IdentityRiskEvent.read.all	Demande
IdentityRiskEvent.read.all	Délégué
IdentityRiskyUser.read.all	Demande
IdentityRiskyUser.read.all	Délégué
Utilisateur.Read	Délégué

Votre abonnement Azure doit disposer des fonctionnalités Microsoft Entra ID standard suivantes :
- Audit d'annuaire pour Microsoft Entra ID
- Points de terminaison de licence Microsoft Entra ID P1 ou P2
  P1 vous fournit la liste des connexions aux comptes de service à partir du journal dproximatif d'audit. P2 inclut P1 et vous fournit également des détections de risques et des utilisateurs à risque.

Configuration de l'intégration

Before you begin

Vous devez disposer de l'ID de locataire Microsoft Entra ID, de l'ID de l'application (client) et de la valeur de la clé secrète de l'application.

Connectez-vous au système Reveal (x) 360 à l'aide d'un compte doté de privilèges d' administration du système et des accès.
Cliquez sur l'icône Paramètres système puis cliquez sur Toute l'administration.
Cliquez Intégrations.
Cliquez sur Microsoft 365 tuile.
Ajoutez vos informations d'identification Microsoft 365.

Identifiant du locataire: Entrez votre identifiant de locataire. Votre identifiant de locataire Microsoft 365 se trouve dans le centre d'administration Microsoft Entra ID.

Clé d'accès: Entrez l'ID de votre application Microsoft (client). Vous pouvez consulter et copier les clés d'accès de votre compte via le portail Azure, PowerShell ou Azure CLI.

Clé secrète: Entrez la valeur secrète du client pour l'application. Vous pouvez consulter et copier la valeur du secret client sur la page Certificats et secrets du portail Azure.

Capteur ExtraHop: Dans la liste déroulante, sélectionnez la sonde à laquelle vous souhaitez transférer les données.
Cliquez Connexion de test pour s'assurer que le système ExtraHop peut communiquer avec Microsoft 365.
Cliquez Connecter.

Que faire ensuite

Vous pouvez désormais consulter les événements Microsoft 365 sur la version intégrée tableaux de bord, dans disques, et dans détections.

Fonctionnalités d'intégration

Une fois la procédure d'intégration de Microsoft 365 terminée, plusieurs fonctionnalités d'ExtraHop Reveal (x) incluent les événements Microsoft 365 et Microsoft Entra ID afin que vous puissiez consulter les mesures, les enregistrements et les détections de ces événements.

Tableaux de bord

Afficher les statistiques relatives aux événements Microsoft 365 sur les fonctionnalités intégrées suivantes tableaux de bord:

Microsoft Entra ID, qui affiche des indicateurs d'événements tels que les tentatives de transaction, la gestion des identités et des mots de passe et l'activité des utilisateurs.
Microsoft 365, qui affiche des indicateurs d'événements tels que l'activité risquée des utilisateurs, les tentatives de connexion et la détection des risques.

Types d'enregistrements

Afficher les événements Microsoft 365 dans disques en recherchant les types d'enregistrement suivants :

Journal d'activité Azure
Audit de l'annuaire Microsoft 365
Événement risqué lié à Microsoft 365
Utilisateur risqué de Microsoft 365
Connexions à Microsoft 365

Détections

Afficher les événements à risque liés à Microsoft 365 qui sont récupérés via l'API Microsoft Graph et affichés dans le Reveal (x) suivant détections:

Activités risquées des utilisateurs
Connexions suspectes

Les exemples suivants décrivent certains des événements utilisateur à risque et des actions suspectes détectés via le service d'intégration.

Un voyage impossible: Un utilisateur se connecte depuis deux emplacements géographiquement différents. Les deux événements de connexion se sont produits dans un délai plus court que ce qu'il aurait fallu à l'utilisateur pour se déplacer d'un lieu à l'autre. Cette activité peut indiquer qu'un attaquant s'est connecté à l'aide d'informations dolocalisation de l'utilisateur.
Spray pour mots de: Une attaque par pulvérisation de mots de passe est un type d'attaque par force brute, au cours de laquelle de nombreuses tentatives de connexion utilisant plusieurs noms d'utilisateur et mots de passe courants sont tentées pour obtenir un accès non autorisé à un compte.
Transfert de boîte de réception suspect: Le service Microsoft Cloud App Security (MCAS) identifie les règles de transfert d'e-mails suspectes, telles qu'une règle de boîte de réception créée par l'utilisateur qui transfère une copie de tous les e-mails vers une adresse externe.
L'administrateur a confirmé que l'utilisateur était compromis: Un administrateur a été sélectionné Confirmer que l'utilisateur est compromis dans l'interface utilisateur Risky Users ou l'API RiskyUsers du service Identity Protection .

Consultez une liste complète des actions suspectes et des activités risquées des utilisateurs fournies par le Service de protection d'identité Microsoft Entra ID.

Last modified 2024-06-04

Documentation

Products

Differentiation

Solutions

Security Operations

Cloud-Native Security

Application Analytics

Network Performance

Customers

Community

Partners

Support

Training

Resources

More Resources

Company

Events and Information