Microsoft 365 Management Activity
Puede integrar Microsoft 365 Management Activity con Sophos Central. Así se añaden a Data Lake los datos de registro de auditoría de Microsoft y puede consultarlos con Sophos Live Discover.
Nota
Microsoft no garantiza que los eventos se recojan en los registros de auditoría dentro en un tiempo determinado. Por ello, Sophos experimenta ocasionalmente retrasos en la obtención de los registros de auditoría de los clientes MDR y XDR. Más información.
Requisitos previos
Debe ser un administrador de Microsoft 365.
Debe tener activada la auditoría en Microsoft 365. Si no lo hace, se le pedirá que la active durante la instalación.
En las propiedades de las API de administración de Microsoft Office 365, la opción ¿Habilitado para que los usuarios inicien sesión? debe estar establecida en Sí. Para comprobar y cambiar esto, consulte Administrar API de Microsoft Office 365.
Configurar una integración
Para integrar datos de Microsoft 365 en Sophos Central, haga lo siguiente:
- En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
-
Haga clic en Microsoft - API de Actividad de administración de Office 365.
Se abre la página Microsoft - API de Actividad de administración de Office 365. Puede configurar integraciones aquí y ver una lista de cualquiera que ya haya configurado.
-
En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.
Nota
Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Proporcionar los detalles de su dominio y dirección IP.
-
En Pasos de integración, si la auditoría de Microsoft 365 aún no está activada, puede hacer clic en Activar la auditoría de Microsoft 365.
Esto le lleva a Microsoft 365. Active la auditoría y, a continuación, vuelva a Sophos Central. Consulte Activar o desactivar la auditoría.
Es posible que Microsoft le pida autenticarse para activar la auditoría.
Nota
Los datos del registro de auditoría de Microsoft 365 pueden tardar hasta 12 horas en aparecer después de activar la auditoría.
-
Haga clic en Guardar y continuar.
-
Lea el texto de Conectar con Microsoft 365 y luego haga clic en Continuar.
Está conectado a Microsoft 365 para crear una aplicación que se integre con Sophos Central.
-
Introduzca o seleccione su cuenta Microsoft e inicie sesión.
-
Se le pedirá que dé permisos a una aplicación. Estos permisos nos permiten crear una aplicación de Microsoft para integrarla con Sophos Central. Haga clic en Aceptar.
Es posible que se le pida que autorice de nuevo, dependiendo de su entorno de Microsoft 365.
La conexión puede tardar varios minutos.
-
Verá la confirmación de que la aplicación se ha configurado. Haga clic en Cerrar.
En Sophos Central, en Integraciones > Microsoft - Actividad de administración de Office 365, verá la nueva integración.
En Live Discover > Consulta, aparece la categoría nueva Datos de auditoría de Microsoft 365. Puede ejecutar las consultas de esta categoría en sus datos de Microsoft 365.
Administrar API de Microsoft Office 365
En las propiedades de esta API, la opción ¿Habilitado para que los usuarios inicien sesión? debe estar establecida en Sí. Para comprobar y cambiar esto, haga lo siguiente.
- En Microsoft Azure Portal, vaya a Azure Active Directory > Aplicaciones empresariales > Todas las aplicaciones.
-
En Todas las aplicaciones, filtre por tipo de aplicación == Aplicaciones de Microsoft.
-
Haga clic en API de administración de Office 365.
-
En API de administración de Office 365 | Propiedades, establezca ¿Habilitado para que los usuarios inicien sesión? en Sí.
-
Haga clic en Guardar.