Connettore Microsoft Defender for Endpoint

Questo connettore può essere eseguito nel cloud o utilizzando un server connettore in loco.

Il connettore Microsoft Defender for Endpoint (MDE) raccoglie dati su dispositivi, software, vulnerabilità e informazioni sulla sicurezza da MDE.

Al fine di connettere MDE alla Neurons Platform, creare per prima cosa un'app in Entra ID (in precedenza Azure AD). L'app deve avere le autorizzazioni Machine.Read.All e Vulnerability.Read.All, che devono essere approvate anche con Concedi consenso amministratore. Per informazioni sulla creazione dell'app, vedere Creazione di app API in Entra ID per i connettori cloud Microsoft.

Per informazioni su quali dati vengono importati e come vengono mappati, vedere Mapping (in basso).

Opzioni

Un connettore MDE presenta le seguenti opzioni:

  • Nome connettore: un nome per il connettore.

  • Nome server connettore: Il nome del server connettore a cui è associato questo connettore. Quando si esegue il connettore nel cloud, questo server deve essere l'opzione Cloud nell'elenco.

    Ciascun connettore può essere associato a un unico server connettore. Se questo connettore è stato aggiunto a un server connettore specifico (nella pagina Connettori > Server connettori), questo campo verrà popolato per l'utente. Altrimenti, è possibile selezionare il server dall'elenco.

  • ID (tenant) directory: l'ID del tenant creato in Entra ID.

  • ID applicazione (client): l'ID dell'applicazione creata in Entra ID.

  • Segreto client: il segreto client associato all'applicazione creata in Entra ID.

  • Soglia stallo dispositivo: per limitare la quantità di dati raccolti per Neurons, impostare una soglia per un numero specifico di giorni. Il connettore importerà solo i dispositivi che hanno effettuato il check-in o che sono stati modificati durante questo periodo.

  • Tag dei dispositivi: i filtri dei tag limitano i dati raccolti a dispositivi specifici. I tag vengono creati e gestiti all'interno di Entra ID e classificano i dispositivi che si desidera recuperare. Aggiungere un valore di tag digitandolo nell'area Tag e premendo Invio.

  • Ripetizioni: con che frequenza il connettore deve raccogliere i dati.

  • Ora di inizio: l'ora del giorno in cui il connettore deve iniziare a funzionare. Per ridurre al minimo l'impatto sulla propria rete e sulle applicazioni, consigliamo di far funzionare generalmente i connettori di notte o nei fine settimana.

  • Attivo: se il connettore è attivo o meno. Con il connettore attivo, il relativo funzionamento avviene in base al programma creato. Se si toglie il segno di spunta dalla casella di controllo, il connettore risulta inattivo e non raccoglierà dati fino a quando non verrà nuovamente selezionata la casella di controllo e salvato il connettore.

Per i dettagli sulla configurazione o sull'utilizzo di connettori, vedere Impostazione dei connettori.

Mapping

I dati importati da questo connettore sono mappati ad attributi di destinazione nel database Neurons Platform.

  • ID computer

  • Unito all'ID computer

  • È una potenziale duplicazione

  • È escluso

  • Nome visualizzato

  • Nome del dispositivo, valore del dispositivo e ID del dispositivo

  • Nome host TCPIP e indirizzo TCPIP

  • Date prima e ultima visualizzazione

  • Nome, versione, build e architettura del sistema operativo

  • Versione agente

  • Stato di integrità

  • Punteggio di rischio del computer

  • Livello di esposizione

  • Nomi dei tag

  • Stato di av e stato di onboarding

  • Gestito da e gestito dallo stato

  • Indirizzo IP pubblico e indirizzo IP

  • Indirizzo NIC

  • Indirizzo fisico

  • ID CVE, nome, descrizione, gravità e punteggio di gravità

  • Data di pubblicazione, data di modifica e data di aggiunta di CVE

  • Exploit pubblico, exploit verificato ed exploit in kit

Per una panoramica di come i dati importati da questo connettore vengono mappati agli attributi target Neurons, scaricare il CSV utilizzando il pulsante sottostante.

Scarica mapping

Per una panoramica degli attributi target Neurons per tipo di dati e degli attributi di origine del connettore mappati a essi, vedere Mapping dati connettore.