コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=ms-graph-v2-overview

Microsoft Graph セキュリティ API V2 統合

Microsoft Graph セキュリティ API は Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。

このページでは、統合の概要を説明します。

Microsoft Graph セキュリティ

Microsoft Graph セキュリティは、さまざまなマイクロソフト製品やサービスのセキュリティインサイトを、アラートとインシデント API とも呼ばれるバージョン 2 を介して統合する統合ゲートウェイです。これは、Microsoft が提供する以前の Alerts(レガシー) エンドポイントに代わるものです。

お客様の基盤となる Microsoft ライセンス (E5 など) に応じて、Graph API を介して、次のセキュリティ テレメトリ ソースからグラフ API セキュリティ アラートにエスカレーションされたリッチ警告を取り込みます。

  • Microsoft Entra ID Protection
  • Microsoft 365 Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Purview Data Loss Prevention
  • Microsoft Purview Insider Risk Management

Note

危険なユーザー、危険なサービスプリンシパル、またはサービスプリンシパルのリスクイベントに関する Entra ID データは取り込まれません。これには Entra ID イベントログの取り込みが必要ですが、Sophos XDR および MDR は現在それをサポートしていません。Entra ID イベントログの取り込みについては、ITDR の統合ガイドを参照してください。

ソフォス製品ドキュメント

取り込まれる内容

表示される警告の例:

  • 隠れたファイルの実行の検出
  • Windows アプリケーションサービスでの Linux コマンドの実行試行
  • 疑わしいパスワードアクセス
  • Web サイトが脅威インテリジェンスフィードで悪意のあるものとしてタグ付けされていること
  • useradd コマンドの疑わしい使用が検出された場合
  • 攻撃ツールである可能性のある内容の検出
  • 認証情報アクセスツールの可能性のある内容の検出

完全に取り込まれる警告

MS Graph セキュリティからのアラートは、microsoft.graph.security 名前空間に取り込みます。詳しい説明については、alert リソースの種類を参照してください。

フィルタリング

API から返された形式が正常であることを確認する以外は、フィルタは適用されません。

脅威マッピングの例

警告のマッピングは、警告で返されるタイトルフィールドから行われます。

{"alertType":"Access from an unusual location to a storage blob container", "threatId":"T1530", "threatName":"Data from Cloud Storage Object"}
{"alertType":"Detected Petya ransomware indicators", "threatId":"T1486", "threatName":"Data Encrypted for Impact"}
{"alertType":"Suspicious WordPress theme invocation detected", "threatId":"T1102", "threatName":"Web Service"}
{"alertType":"Suspicious PHP execution detected", "threatId":"T1203", "threatName":"Exploitation for Client Execution"}
{"alertType":"Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId":"T1105", "threatName":"Ingress Tool Transfer"}
{"alertType":"Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId":"T1105", "threatName":"Ingress Tool Transfer"}
{"alertType":"Executable found running from a suspicious location", "threatId":"T1203", "threatName":"Exploitation for Client Execution"}
{"alertType":"Access from a TOR exit node to a Key Vault", "threatId":"T1090.003", "threatName":"Multi-hop Proxy"}
{"alertType":"Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId":"TA0001", "threatName":"Initial Access"}
{"alertType":"Access from a suspicious IP to a storage file share", "threatId":"T1526", "threatName":"Cloud Service Discovery"}
{"alertType":"Unusual number of files extracted from a storage file share", "threatId":"TA0010", "threatName":"Exfiltration"}
{"alertType":"Unusual application accessed a storage file share", "threatId":"TA0001", "threatName":"Initial Access"}
{"alertType":"Unusual amount of data extracted from a storage blob container", "threatId":"TA0010", "threatName":"Exfiltration"}
{"alertType":"Access from an unusual location", "threatId":"TA0005", "threatName":"Defense Evasion"}

ベンダーのドキュメント