Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integrar la API de seguridad de MS Graph V2

Puede integrar la API de seguridad de Microsoft Graph con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Microsoft Graph Security

Microsoft Graph Security es una puerta de enlace unificada que consolida la información sobre seguridad de varios productos y servicios de Microsoft a través de la versión 2 de la API, también denominada API de alertas e incidentes. Esto sustituye al anterior punto de conexión de alertas (heredado) proporcionado por Microsoft.

Le recomendamos que configure las integraciones de Sophos para la Integración de la API de seguridad de MS Graph V2 y la API de seguridad de MS Graph (heredada), y las ejecute juntas, hasta que Microsoft confirme los planes para el fin de vida útil de la versión heredada.

Dependiendo de la licencia de Microsoft subyacente del cliente (por ejemplo, E5), ingeriremos datos a través de la API de Graph desde las siguientes fuentes de telemetría de seguridad:

  • Microsoft Entra ID Protection
  • Microsoft 365 Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender para Office 365
  • Prevención de pérdida de datos de Microsoft Purview

Documentos de Sophos

Datos que ingerimos

Ejemplos de alertas que vemos:

  • Detectada la ejecución de archivos ocultos
  • Intento de ejecutar comandos de Linux en un servicio de app de Windows
  • Acceso con contraseña sospechoso
  • Sitio web etiquetado como malicioso en el feed de información sobre amenazas
  • Detectado un uso sospechoso del comando useradd
  • Detectada posible herramienta de ataque
  • Detectada posible herramienta de acceso a credenciales

Alertas ingeridas en su totalidad

Ingerimos alertas de la API de seguridad de MS Graph en el espacio de nombres microsoft.graph.security. Para acceder a toda la documentación, consulte Tipo de recurso de alerta.

Filtrado

No se aplica ningún filtro, salvo para confirmar que el formato devuelto por la API es el esperado.

Muestra de asignaciones de amenazas

La asignación de alertas se realiza a partir del campo de título devuelto en la alerta.

{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentación del proveedor