주요 콘텐츠로 건너뛰기
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=MicrosoftIntegrations

Microsoft 365 통합

Microsoft 소프트웨어 및 서비스를 Sophos Central과 통합할 수 있습니다.

통합 구성

통합을 구성하려면 위협 분석 센터> 통합 > 마켓플레이스를 클릭하고 통합 이름을 클릭합니다.

각 통합을 구성하는 방법에 대한 자세한 내용은 다음 페이지를 참조하십시오.

이 비디오는 모든 Microsoft 통합을 구성하는 방법을 안내합니다.

통합 작동 방식

Sophos XDR 플랫폼은 Microsoft Management Activity API 및 Microsoft Graph Security API를 사용하여 Microsoft와 통합됩니다. Sophos Microsoft 365 환경에서 위협을 탐지하기 위해 두 API를 각각 독립적으로 사용합니다.

M365 관리 활동

Sophos XDR 플랫폼은 관리 활동 API를 사용하여 Microsoft 365 환경에서 감사 로그를 수집합니다. Sophos 이러한 감사 로그를 위협 감지 및 조사 중 분석가를 위한 추가 지원 정보 수집에 사용합니다. 이러한 감사 로그는 사용 환경에서 사용하는 라이선스 유형과 관계없이 모든 Microsoft 365 고객이 사용할 수 있습니다.

관리 활동 API는 다음과 같은 활동에 대한 로그를 포함하여 M365 감사 로그에 대한 액세스를 제공합니다.

  • 파일 및 폴더 접근, 다운로드, 편집 및 삭제
  • 공유 활동
  • 설정 변경
  • 사용자 로그인
  • 테넌트 구성 설정 변경과 같은 관리 작업

Sophos 감지 엔지니어링 팀은 Microsoft의 이러한 감사 로그를 기반으로 정기적으로 감지 규칙을 생성합니다. 이러한 감지 규칙을 통해 분석가는 계정 침해 또는 비즈니스 이메일 침해 (BEC)를 나타낼 수 있는 시나리오를 조사할 수 있습니다. 예시 지표로는 받은 편지함 규칙 조작, 세션 토큰 도용, 중간자 공격, 악성 애플리케이션 동의 등이 있습니다.

Sophos 기반 M365 탐지 결과는 위협 분석 센터탐지 페이지에서 확인할 수 있습니다. 해당 탐지 항목은 SAAS-M365-xxxxx로 표시되며 "플랫폼" 범주에 포함됩니다. 아래 예시와 같이 해당 카테고리를 기준으로 필터링할 수 있습니다.

SAAS-M365 유형 감지.

Sophos Data Lake 에 저장된 Microsoft Management Activity API 감사 로그를 통해 분석가는 환경 내 사고를 조사할 때 이를 활용할 수 있습니다. 예를 들어, 사용자의 로그인 기록을 검토하여 의심스러운 로그인 이벤트를 확인하거나 식별하거나, 계정이 손상된 동안 Microsoft 365 환경에서의 계정 활동을 조사할 수 있습니다.

Microsoft가 관리 활동 API를 통해 제공하는 데이터에 대한 자세한 내용은 감사 로그 활동을 참조하세요.

M365 대응 조치

Microsoft 365 대응 작업을 Sophos Central 과 통합할 수 있습니다. 이를 통해 M365 관리 활동 통합을 통해 Sophos 로 전송된 데이터에서 감지된 문제를 해결하기 위한 조치를 취할 수 있습니다.

Sophos Central의 위협 분석 센터사례 섹션에서 감지 확인하고 다음과 같은 조치를 취할 수 있습니다.

  • 사용자 로그인을 차단하거나 허용합니다. 이는 시스템에 대한 무단 접근을 차단하는 데 도움이 됩니다.
  • 현재 진행 중인 모든 세션을 연결 해제하거나 취소합니다.. 이는 해킹당한 계정을 격리하고 위협의 내부망 이동 막는 데 도움이 됩니다.
  • 해당 사용자에 대한 받은편지함 규칙을 비활성화하세요. 이는 민감한 이메일의 악의적인 전달, 보안 회피 전략, 증거 삭제 등을 막는 데 도움이 됩니다.

사건 처리 방식에 대한 자세한 내용은 사례 참조하세요. 대응 조치에 대한 자세한 내용은 사례 대응 참조하십시오.

MS Graph security API V2

이 통합은 MS Graph 보안 API Alerts v2(사고 및 알림) 서비스를 위한 것입니다.

Sophos MS Graph 보안 API를 사용하여 Microsoft 생태계에서 관찰된 원격 측정 데이터를 기반으로 Microsoft에서 생성한 감지 이벤트를 수집합니다. 이러한 마이크로소프트 감지 이벤트의 심각도에 따라 분석가가 조사하고 대응할 수 있도록 사례가 생성됩니다.

Graph 보안 API에 감지 이벤트를 생성하는 구성 요소 또는 "제공자"는 다음과 같습니다.

  • 엔트라 ID 보호
  • Microsoft Defender 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Purview Data Loss Prevention
  • Microsoft Purview Insider Risk Management

Microsoft Graph 보안 API에서 수신한 감지 이벤트는 Sophos Central 의 탐지 페이지에서 확인할 수 있습니다. 검출 결과는 이 예시에서처럼 MS-SEC-GRAPH-xxxxx 형식으로 표시됩니다.

MS-SEC-GRAPH 유형 검출.

이러한 제품에서 생성되어 Graph 보안 API를 통해 수집할 수 있는 특정 Microsoft 감지 이벤트는 환경에서 사용되는 Microsoft 365 라이선스에 따라 다릅니다. 여기에는 개별 사용자별 요금제와 사용자 또는 Microsoft 365 테넌트에 추가된 모든 추가 기능 또는 번들이 포함될 수 있습니다.

각 요금제, 추가 기능 또는 번들에 포함된 공급자, 감지 이벤트 및 알림을 확인하려면 Microsoft 365 라이선스 전문가에게 문의하는 것이 좋습니다. 하지만 다음과 같은 지침을 제공해 드릴 수 있습니다.

  • Microsoft 365 E5 플랜 또는 E5 보안 추가 기능에는 조사 대상 사례를 생성하는 데 사용되는 모든 Microsoft 감지 이벤트가 포함됩니다.
  • Entra ID Protection 기반 신원 알림 기능을 사용하려면 Entra ID P2 플랜(위에 언급된 E5 플랜에 포함됨)이 필요합니다.
  • 다른 구성 요소의 경우 해당 구성 요소 및 Graph Security 감지 이벤트에 액세스하는 데 필요한 Microsoft 번들 또는 개별 SKU를 확인하려면 Microsoft 라이선스 전문가에게 문의하십시오.

Graph 보안 API 및 특정 공급자가 생성하는 알림에 대한 자세한 내용은 알림 및 사고를 참조하세요.

MS Graph 보안 API(레거시 버전)

MS Graph 보안 API(레거시 버전)와의 통합은 더 이상 작동하지 않습니다. 마이크로소프트는 2026년 4월에 해당 버전을 삭제했습니다.

대신 MS Graph 보안 API v2(경고 및 사고) 서비스를 통합하십시오. Microsoft Graph 보안 API V2 통합을 참조하십시오.