W tym artykule opiszemy jak skonfigurować sensor XDR Azure AD
Sensor Azure AD zbiera i wstępnie przetwarza dane związane z aktywnością dotyczącą logowania użytkowników, a także zmianami w konfiguracji związanymi z użytkownikami i grupami.
Wymagania Sensora Azure AD
1. Zarejestruj aplikację w Azure AD.
2. W sekcji API Permissions > Microsoft Graph przyznaj następujące uprawnienia.
a) Jeżeli chcesz otrzymywać zdarzenia i móc podejmować działania bezpośrednio z GravityZone.
AuditLog.Read.All
Directory.Read.all
Mail.ReadWrite
User.ReadWrite.All
Aby wymusić resetowanie hasła na kontach O365 bezpośrednio z incydentów GravityZone XDR, należy przypisać rolę administratora do aplikacji Azure.
Dodatkowo, aby móc podejmować działania na administratorach musisz przypisać aplikacji uprawnienia Globalnego Administratora.
W Azure AD admin center przejdź do Roles and administrators > User administrator role > Add assignments, wyszukaj nazwę aplikacji używanej do integracji Azure AD z GravityZone i przypisz ją. To samo zrób dla roli Global Administrator.
IdentityRiskyUser.Read.All
IdentityRiskyUser.ReadWrite.All
Uwaga!
IdentityRiskyUser.ReadWrite.All
i IdentityRiskyUser.Read.All
wymagają licencji Azure Premium P2. Pozostałe uprawnienia wymagają licencji P1.
b) Jeżeli chcesz tylko otrzymywać zdarzenia:
-
AuditLog.Read.All
-
Directory.ReadAll
3. Przyznaj Admin consent.
4. Wygeneruj Client secret.
Konfiguracja Sensora Azure AD
1. Przejdź do Konfiguracja > Zarządzanie sensorami.
2. Kliknij Integruj obok Sensora Azure AD.
3. Sprawdź czy spełniasz wszystkie wymagania.
4. Nazwij swoją integrację i podaj poświadczenia Azure AD.
5. Kliknij Testuj łączność.
6. Kliknij Dodaj Sensor .
Źródło: https://www.bitdefender.com/business/support/en/77209-151141-edr-configuration.html#UUID-8e63f1e2-e1b2-9ad7-9f74-d5fb8fe1b1a6