주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=MicrosoftIntegrations

Microsoft 365 통합

API 생산성

Microsoft 소프트웨어 및 서비스를 Sophos Central과 통합할 수 있습니다.

구성된 통합

통합을 구성하려면 위협 분석 센터> 통합 > 마켓플레이스를 클릭하고 통합 이름을 클릭합니다.

각 통합을 구성하는 방법에 대한 자세한 내용은 다음 페이지를 참조하십시오.

통합이 작동하는 방법

소포스 XDR 플랫폼은 Microsoft Management Activity API와 Microsoft Graph Security API를 사용하여 Microsoft과 통합됩니다. Sophos는 Microsoft 365 환경에서 위협을 탐지하기 위해 두 API를 독립적으로 사용합니다.

M365 Management Activity

Management Activity API를 사용하여, Sophos XDR 플랫폼은 Microsoft 365 환경에서 감사 로그를 가져옵니다. Sophos는 위협 탐지 및 수사 중 분석가들을 위한 추가 지원 정보 수집을 위해 이 감사 로그를 사용합니다. 이 감사 로그는 해당 환경에서 사용하는 라이선스에 관계 없이 모든 Microsoft 365 고객에게 제공됩니다.

Management Activity API는 M365 감사 로그에 액세스할 수 있으며, 다음과 같은 활동의 로그를 포함합니다:

  • 파일 및 폴더 접근, 다운로드, 편집 및 삭제
  • 활동 공유
  • 설정 변경
  • 사용자 로그인
  • 테넌트 구성 설정 변경과 같은 관리 작업

Sophos 검출 엔지니어링 팀은 Microsoft의 이 감사 로그를 기반으로 정기적으로 검출 규칙을 작성합니다. 이러한 감지 규칙은 분석가들이 계정 침해 또는 비즈니스 이메일 사기(BEC)를 나타낼 수 있는 시나리오를 조사할 수 있도록 합니다. 예시 지표에는 받은 편지함 규칙 조작, 세션 토큰 도난, 중간자 공격, 악성 애플리케이션 동의 등이 있습니다.

귀하의 환경에서 탐지 페이지로 이동하여 Sophos 기반 M365 탐지를 볼 수 있습니다. 감지 사항은 SAAS-M365-xxxxx로 레이블이 지정되어 있으며 "플랫폼" 카테고리에 포함되어 있습니다. 이 카테고리에서 예시처럼 필터링할 수 있습니다.

SAAS-M365 유형 감지.

Microsoft Management Activity API 감사 로그는 Sophos Data Lake에 저장되어 있으며, 분석가들은 환경에서 사건을 조사할 때 그것들을 사용할 수 있습니다. 예를 들어, 사용자의 로그인 기록을 확인하여 의심스러운 로그인 이벤트를 확인하거나 Microsoft 365 환경에서 계정이 침해당한 경우의 계정 활동을 조사할 수 있습니다.

Microsoft이 Management Activity API를 통해 제공하는 데이터에 대한 자세한 정보는 Audit log activities을(를) 참조하십시오.

M365 응답 작업

Microsoft 365 Response Actions을 Sophos Central과 통합할 수 있습니다. 이를 통해 M365 관리 활동 통합에서 Sophos로 전송된 데이터에서 감지된 문제에 대한 조치를 취할 수 있습니다.

Sophos Central의 위협 분석 센터사례 섹션에서는 탐지를 확인하고 다음 조치를 취할 수 있습니다.

  • 사용자 로그인 차단 또는 허용하십시오. 이는 시스템에 무단 액세스를 방지하는 데 도움이 됩니다.
  • 모든 현재 세션을 해제하거나 취소하십시오. 이는 침해된 계정을 격리하고 위협의 측면 이동을 막는 데 도움이 됩니다.
  • 사용자의 받은 편지함 규칙을 해제하십시오. 이는 민감한 이메일의 악의적 전달, 보안 회피 전술, 증거물 삭제 등을 방지하는 데 도움이 됩니다.

케이스 작동 방법에 대한 정보는 사례을(를) 참조하십시오. 응답 조치에 대한 정보는 사례 대응에서 확인하세요.

MS Graph security API V2(레거시)

이 통합은 MS Graph 레거시 경보 서비스를 위한 것입니다. 새로운 Alerts v2 (Alerts and Incidents) 서비스에 대한 통합이 이제 사용 가능합니다. MS Graph security API V2를 참조하십시오.

MS Graph 보안 API를 사용하여 Sophos는 Microsoft 생태계에서 관찰된 텔레메트리를 기반으로 생성된 탐지 이벤트를 수집합니다. Microsoft 탐지 이벤트의 심각성에 따라, 분석가들이 조사하고 대응하기 위해 사례가 생성됩니다.

그래프 보안 API로 감지 이벤트를 생성하는 구성 요소 또는 "제공자"는 다음과 같습니다:

  • Entra ID 보호
  • Defender for Office 365
  • Defender for Endpoint
  • Defender for Identity
  • Defender for Cloud Apps
  • Defender for Cloud
  • Microsoft Sentinel

Microsoft Graph security API에서 받은 탐지 이벤트를 Sophos Central의 Detections 페이지에서 볼 수 있습니다. 탐지 사항은 이 예시에서 볼 수 있는 것처럼 MS-SEC-GRAPH-xxxxx로 표시됩니다.

MS-SEC-GRAPH 유형 탐지.

이 제품들이 생성하는 특정 Microsoft 감지 이벤트 및 Graph 보안 API를 통해 수신할 수 있는 해당 이벤트는 환경에서 사용 중인 Microsoft 365 라이선싱에 따라 달라집니다. 개별 사용자별 계획뿐만 아니라 사용자 또는 Microsoft 365 테넌시에 추가된 추가 기능 또는 번들을 포함할 수 있습니다.

Microsoft 365 라이선싱 전문가와 상의하여 각 계획, 애드온 또는 번들에 포함된 제공업체, 탐지 이벤트 및 경보를 이해하는 것을 권장합니다. 그러나 다음 가이드를 제공할 수 있습니다:

  • Microsoft 365 E5 계획 또는 E5 보안 애드온에는 조사할 사례를 작성하는 데 사용되는 모든 Microsoft 감지 이벤트가 포함되어 있습니다.
  • Entra ID Protection 기반 신원 확인 알림을 받으려면, 위에서 언급한 E5 요금제와 번들로 제공되는 Entra ID P2 요금제가 필요합니다.
  • 다른 구성 요소의 경우, Microsoft 라이선싱 전문가와 상의하여 해당 구성 요소 및 그래프 보안 탐지 이벤트에 액세스하기 위해 필요한 Microsoft 번들 또는 개별 SKU를 이해하세요.

특정 제공업체에서 생성된 경보 및 사건에 대한 자세한 정보는 경보 및 사건을(를) 참조하십시오.

MS Graph security API V2

이 통합은 MS Graph 보안 API 경보 v2 (사건 및 경보) 서비스를 위한 것입니다. 사용을 권장합니다.

개요를 보려면 MS Graph security API V2를 참조하십시오.