Intégrer Reveal (x) 360 à Microsoft 365
En configurant l'intégration de Reveal (x) 360 avec Microsoft 365, les utilisateurs peuvent consulter les événements Microsoft 365 susceptibles d'indiquer des comptes ou des identités compromis.
Exigences du système
ExtraHop Reveal (x)
- Votre système Reveal (x) 360 doit être connecté à un ExtraHop sonde avec la version 8.6 ou ultérieure du firmware.
- La sonde ExtraHop doit disposer d'une licence et être configurée pour recevoir des paquets.
Microsoft
- Vous devez disposer de Microsoft 365 et de l'API Microsoft Graph. Seul le Microsoft Graph Global
Service disponible à l'adresse https://graph.microsoft.com/ est pris en charge pour l'intégration.
Remarque : Pour appeler Microsoft Graph, votre application doit acquérir un jeton d'accès auprès de la plateforme d'identité Microsoft. Le jeton d'accès contient des informations sur votre application et les autorisations dont elle dispose pour les ressources et les API disponibles via Microsoft Graph. Pour créer un jeton d'accès, votre application doit être enregistrée auprès de la plateforme d'identité Microsoft et être autorisée par un utilisateur ou un administrateur à accéder aux ressources Microsoft Graph. - Vous devez disposer d'une application enregistrée dans Azure avec les autorisations suivantes :
Nom de l'API/des autorisations Tapez AuditLog.Read.All Demande AuditLog.Read.All Délégué Répertoire.Tout lire Demande Répertoire.Tout lire Délégué IdentityRiskEvent.read.all Demande IdentityRiskEvent.read.all Délégué IdentityRiskyUser.read.all Demande IdentityRiskyUser.read.all Délégué Utilisateur.Read Délégué - Votre abonnement Azure doit disposer des fonctionnalités Microsoft Entra ID standard suivantes :
- Audit d'annuaire pour Microsoft Entra ID
- Points de terminaison de licence Microsoft Entra ID P1 ou P2
P1 vous fournit la liste des connexions aux comptes de service à partir du journal dproximatif d'audit. P2 inclut P1 et vous fournit également des détections de risques et des utilisateurs à risque.
Configuration de l'intégration
Before you begin
Vous devez disposer de l'ID de locataire Microsoft Entra ID, de l'ID de l'application (client) et de la valeur de la clé secrète de l'application.Que faire ensuite
- Vous pouvez désormais consulter les événements Microsoft 365 sur la version intégrée tableaux de bord, dans disques, et dans détections.
Fonctionnalités d'intégration
Une fois la procédure d'intégration de Microsoft 365 terminée, plusieurs fonctionnalités d'ExtraHop Reveal (x) incluent les événements Microsoft 365 et Microsoft Entra ID afin que vous puissiez consulter les mesures, les enregistrements et les détections de ces événements.
Tableaux de bord
Afficher les statistiques relatives aux événements Microsoft 365 sur les fonctionnalités intégrées suivantes tableaux de bord:
- Microsoft Entra ID, qui affiche des indicateurs d'événements tels que les tentatives de transaction, la gestion des identités et des mots de passe et l'activité des utilisateurs.
- Microsoft 365, qui affiche des indicateurs d'événements tels que l'activité risquée des utilisateurs, les tentatives de connexion et la détection des risques.
Types d'enregistrements
Afficher les événements Microsoft 365 dans disques en recherchant les types d'enregistrement suivants :
- Journal d'activité Azure
- Audit de l'annuaire Microsoft 365
- Événement risqué lié à Microsoft 365
- Utilisateur risqué de Microsoft 365
- Connexions à Microsoft 365
Détections
Afficher les événements à risque liés à Microsoft 365 qui sont récupérés via l'API Microsoft Graph et affichés dans le Reveal (x) suivant détections:
- Activités risquées des utilisateurs
- Connexions suspectes
Les exemples suivants décrivent certains des événements utilisateur à risque et des actions suspectes détectés via le service d'intégration.
- Un voyage impossible
- Un utilisateur se connecte depuis deux emplacements géographiquement différents. Les deux événements de connexion se sont produits dans un délai plus court que ce qu'il aurait fallu à l'utilisateur pour se déplacer d'un lieu à l'autre. Cette activité peut indiquer qu'un attaquant s'est connecté à l'aide d'informations dolocalisation de l'utilisateur.
- Spray pour mots de
- Une attaque par pulvérisation de mots de passe est un type d'attaque par force brute, au cours de laquelle de nombreuses tentatives de connexion utilisant plusieurs noms d'utilisateur et mots de passe courants sont tentées pour obtenir un accès non autorisé à un compte.
- Transfert de boîte de réception suspect
- Le service Microsoft Cloud App Security (MCAS) identifie les règles de transfert d'e-mails suspectes, telles qu'une règle de boîte de réception créée par l'utilisateur qui transfère une copie de tous les e-mails vers une adresse externe.
- L'administrateur a confirmé que l'utilisateur était compromis
- Un administrateur a été sélectionné Confirmer que l'utilisateur est compromis dans l'interface utilisateur Risky Users ou l'API RiskyUsers du service Identity Protection .
Consultez une liste complète des actions suspectes et des activités risquées des utilisateurs fournies par le Service de protection d'identité Microsoft Entra ID.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?