Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de la API de seguridad de MS Graph V2

  • Recomendación


    Estas instrucciones son para la API de seguridad de MS Graph V2, que utiliza el servicio de alertas V2 (alertas e incidentes). Consulte Alertas e incidentes.

    La API de seguridad de MS Graph V2 sustituirá con el tiempo a la API de seguridad de MS Graph heredada, que utiliza el servicio de alertas heredado.

    Las alertas específicas devueltas y los productos disponibles pueden depender de su nivel de licencia de Microsoft. Si desea asesoramiento, póngase en contacto con su representante de Microsoft.

    Le recomendamos que configure integraciones tanto para la API de seguridad de MS Graph V2 como para la API de seguridad de MS Graph heredada, y que las ejecute juntas, hasta que Microsoft confirme los planes para el fin de vida útil de la versión heredada.

Puede integrar la API de seguridad de MS Graph para añadir alertas a Sophos Data Lake. Esto le permite consultar datos de Microsoft Graph con Sophos Live Discover.

Requisitos

Debe ser un administrador de Microsoft 365.

Debe tener acceso a las funciones de Microsoft Defender XDR. Para las licencias que le dan este acceso, consulte Requisitos previos de Microsoft Defender XDR.

Configurar una integración

Para integrar la API de seguridad de MS Graph con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
  2. Haga clic en API de seguridad de Microsoft Graph V2.

    Se abre la página API de seguridad de Microsoft Graph V2. Puede configurar integraciones aquí y ver una lista de cualquiera que ya haya configurado.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Proporcionar los detalles de su dominio y dirección IP.

  4. En Pasos de integración, haga lo siguiente:

    1. Introduzca el Nombre de la integración y la Descripción de la integración.
    2. Haga clic en Guardar y continuar.
  5. Lea el texto de Conectar con Microsoft 365 y haga clic en Continuar.

    Está conectado a Microsoft 365 para crear una aplicación que se integre con Sophos Central.

  6. Introduzca o seleccione su cuenta Microsoft e inicie sesión.

    Elegir una cuenta.

  7. Se le pedirá que dé permisos a una aplicación. Estos permisos nos permiten crear una aplicación de Microsoft para integrarla con Sophos Central. Haga clic en Aceptar.

    Solicitud de permisos.

  8. Si se le solicita, seleccione la cuenta Microsoft que desea utilizar.

  9. Se le pedirá que dé permisos a la aplicación Sophos XDR - Alertas de seguridad recién creada para que pueda ejecutarse y pasar datos de MS Graph a Sophos. Haga clic en Aceptar.

    Solicitud de permisos.

  10. Verá la confirmación de que la aplicación se ha configurado. Haga clic en Cerrar.

    Mensaje Conectado correctamente.

  11. Si se trata de su primera integración utilizando las alertas e incidentes de MS Graph, es posible que tenga que aprovisionar el servicio de alertas con Microsoft Defender para evitar problemas de autorización.

    Vaya a https://security.microsoft.com/alerts. Es posible que aparezca el siguiente mensaje. El aprovisionamiento puede tardar una hora. A continuación, podrá ver las nuevas alertas y el servicio de alertas funcionará.

    Consulte Puedo ejecutar la API de alertas heredadas (/v1.0/security/alerts) correctamente y obtengo resultados. Pero cuando ejecuto la nueva API de alertas (/v1.0/security/alerts_v2), devuelve null.

En Sophos Central, en Integraciones > API de seguridad de Microsoft Graph V2, verá la nueva integración.

Unos cinco minutos después de que los datos aparezcan como disponibles en el centro de seguridad de Microsoft Defender, la app de Microsoft sincroniza por primera vez Sophos Data Lake con Microsoft Graph.

Ahora, Sophos Data Lake recibirá las alertas de seguridad de Microsoft Graph.