Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=MSGraph2

Intégrer l’API de sécurité MS Graph V2

  • Recommandation :

    Ces instructions concernent l’API de sécurité MS Graph V2, qui utilise le service Alerts V2 (alertes et incidents). Voir Alertes et incidents. Nous vous recommandons d’intégrer cette version.

    Nous vous recommandons de remplacer une intégration de la version héritée de l’API de sécurité MS Graph par une intégration de l’API de sécurité MS Graph V2.

    Les alertes spécifiques renvoyées et les produits disponibles dépendent de votre niveau de licence Microsoft. Retrouvez plus de renseignements auprès de votre représentant Microsoft.

Vous pouvez intégrer la sécurité Microsoft Graph pour ajouter des alertes au Sophos Data Lake. Vous pouvez ainsi interroger les données Microsoft Graph avec Sophos Live Discover.

Conditions requises

Vous devez être un administrateur de Microsoft 365.

Vous devez avoir accès aux fonctions de Microsoft Defender XDR. Pour les licences qui vous donnent cet accès, consultez Prérequis pour Microsoft Defender XDR.

Nous vous recommandons de vérifier votre niveau de licence Microsoft. Les détections générées dépendent de la licence :

  • Microsoft génère le plus grand nombre de détections avec une licence Microsoft 365 E5 et le module complémentaire E5 Security.
  • Avec les licences de niveau inférieur, telles que Business Premium ou E3, les détections sont de moins en moins susceptibles de déclencher des dossiers d’investigation.

Configurer une intégration

Pour intégrer la sécurité Microsoft Graph à Sophos Central, procédez comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.

  2. Cliquez sur Microsoft - Graph Security API V2.

    La page Microsoft - Graph Security API s’ouvre. Vous pouvez configurer les intégrations et voir une liste de celles que vous avez déjà configurées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.

  4. Dans Étapes d’intégration, procédez comme suit :

    1. Saisissez le Nom de l’intégration et la Description de l’intégration.
    2. Cliquez sur Enregistrer et continuer.

  5. Lisez le texte dans Connecter à Microsoft 365, puis cliquez sur Continuer.

    Vous êtes connecté à Microsoft 365 pour créer une application qui s’intègre à Sophos Central.

  6. Saisissez ou sélectionnez votre compte Microsoft et connectez-vous.

    Choisissez un compte.

  7. Vous êtes invité à accorder des autorisations à une appli. Ces autorisations nous permettent de créer un appli Microsoft à intégrer à Sophos Central. Cliquez sur Accepter.

    Demande d’autorisations.

  8. Si vous y êtes invité, sélectionnez le compte Microsoft à utiliser.

  9. Vous êtes invité à accorder des autorisations relatives à la nouvelle appli Sophos XDR - Alertes de sécurité afin qu’elle puisse s’exécuter et transmettre des données MS Graph à Sophos. Cliquez sur Accepter.

    Demande d’autorisations.

  10. Vous voyez la confirmation que l’appli est configurée. Cliquez sur Fermer.

    Message Connexion réussie.

  11. S’il s’agit de votre première intégration à l’aide d’alertes et d’incidents MS Graph, vous devrez peut-être provisionner le service d’alertes avec Microsoft Defender pour éviter les problèmes d’autorisation.

    Dans le portail Web Microsoft Defender, allez dans Investigation et réponse > Incidents et alertes > Alertes. Vous verrez peut-être s’afficher le message ci-dessous. Le provisionnement peut prendre environ une heure. Vous pourrez alors afficher les nouvelles alertes et le service d’alertes fonctionnera.

    Voir Je peux exécuter l’API d’alerte héritée (/v1.0/Security/Alerts) et peut obtenir des résultats. mais quand j’exécute une nouvelle API d’alerte (/v1.0/Security/Alerts_v2), elle est renvoyée comme nulle.

La nouvelle intégration s’affiche dans Sophos Central, dans Intégrations > Microsoft - API Graph Security V2.

Après environ cinq minutes, les données apparaissent comme disponibles dans le Centre de sécurité Microsoft Defender, et l’appli Microsoft synchronise Sophos Data Lake avec Microsoft Graph.

Sophos Data Lake reçoit désormais des alertes de sécurité Microsoft Graph.