Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=ms-graph-v2-overview

Integração da API de segurança do MS Graph V2

API Produtividade

Você pode integrar a API de segurança do Microsoft Graph ao Sophos Central para que ela envie alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Segurança do Microsoft Graph

A segurança do Microsoft Graph é um gateway unificado que consolida insights de segurança de vários produtos e serviços da Microsoft por meio da versão 2 da API, também chamada de API de Alertas e Incidentes. Isso substitui o endpoint de Alertas anteriores (herdados) fornecido pela Microsoft.

Dependendo da licença básica do cliente da Microsoft (por ex., E5), nós ingeriremos dados através da API do Graph a partir das seguintes fontes de telemetria de segurança:

  • Microsoft Entra ID Protection
  • Microsoft 365 Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Purview Data Loss Prevention
  • Microsoft Purview Insider Risk Management

Documentação da Sophos

O que ingerimos

Exemplos de alertas que vemos:

  • Execução de arquivo oculto detectada
  • Uma tentativa de executar comandos Linux em um Windows App Service
  • Acesso suspeito à senha
  • O site está marcado como malicioso no feed de inteligência de ameaças
  • Detectado uso suspeito do comando useradd
  • Detecção de uma possível ferramenta de ataque
  • Possível ferramenta de acesso de credenciais detectada

Alertas ingeridos na íntegra

Ingerimos alertas da segurança do MS Graph no namespace microsoft.graph.security. Para obter a documentação completa, consulte Tipo de alerta do recurso.

Filtragem

Nenhum filtro é aplicado, exceto para confirmar que o formato retornado da API é o esperado.

Amostra de mapeamentos de ameaças

O mapeamento do alerta é do campo de título retornado no alerta.

{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentação do fornecedor