跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=O365SecCompliance

Microsoft 365 管理活動

  • 整合健康狀態警示

    我們為此整合新增了一個新功能。

    當您的 Microsoft 365 管理活動整合離線或不健康時,我們現在會在 Sophos Central 中生成警示。您也可以基於這些警示設定電子郵件通知。請參見 整合健康狀態警示

您可以將 Microsoft 365 管理活動與 Sophos Central 整合。把 Microsoft 稽核日誌數據新增至 Data Lake,並允許您使用 Sophos Live Discover 進行查詢。

Note

Microsoft 不保證事件會在特定時間內記錄於稽核日誌中。因此,Sophos 偶爾會在獲取 MDR 和 XDR 客戶的審計日誌時遇到延遲。了解更多

必要條件

在開始之前,請確保您符合以下先決條件:

  • 您必須是 Microsoft 365 管理員。

  • 您必須擁有以下 Microsoft 訂閱之一:

    • Purview Audit (標準)。用戶必須擁有以下授權之一:

      • Microsoft 365 商業授權
      • Office 365 企業授權
      • Microsoft 365 企業授權

    • Purview Audit (高級)。用戶必須擁有以下授權之一:

      • Microsoft 365 E5 授權
      • Microsoft 365 E3 授權,並附加 Microsoft 365 E5 合規性附加授權
      • Office 365 E3 授權,並附加 Microsoft 365 E5 合規性附加授權
      • Microsoft 365 E3 授權,並附加 Microsoft 365 E5 eDiscovery 和審計附加授權
      • Office 365 E3 授權,並附加 Microsoft 365 E5 eDiscovery 和審計附加授權

  • 您必須在 Microsoft 365 中開啟稽核。

    Warning

    如果您未啟用 Microsoft 365 稽核功能,整合將無法運作。

  • 在 Microsoft Office 365 管理 API 的屬性中,您必須將允許使用者登入? 設定為 。要檢查和更改此項,請參見 管理 Microsoft Office 365 API

設定整合

若要將 Microsoft 365 資料整合到 Sophos Central,請依照以下步驟操作:

  1. 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace

  2. 按一下 Microsoft - Office 365 Management Activity API

    Microsoft - Office 365 Management Activity API 頁面隨即開啟。您可以在此設定整合,並查看已設定的整合清單。

  3. 資料擷取 (安全警示) 中,按一下 新增設定

    Note

    如果這是您新增的第一個整合設定,系統會要求您提供內部網域與 IP 位址的相關資訊。請參見 提供您的域和IP詳細資訊

  4. 整合步驟 中,請確保 Microsoft 365 的稽核功能已啟用。

    Warning

    您必須開啟 Microsoft 365 稽核功能。否則,整合功能將無法正常工作。

    若要啟用稽核,請按一下 啟用 Microsoft 365 稽核。此時將前往 Microsoft 365。在該處啟用稽核後,再返回 Sophos Central。

    Microsoft 可能會要求您進行身分驗證以啟用稽核。請參閱 開啟或關閉稽核

    Note

    啟用稽核後,Microsoft 365 稽核日誌數據可能需要最多 12 小時才會顯示。

  5. 按一下 儲存並繼續

  6. 閱讀連線至 Microsoft 365 中的說明,然後按一下 繼續

    您已連線至 Microsoft 365 以建立與 Sophos Central 整合的應用程式。

    選擇一個帳戶。

  7. 輸入或選取您的 Microsoft 帳戶並登入。

  8. 系統會提示您授與某個應用程式權限。這些權限可讓我們建立與 Sophos Central 整合的 Microsoft 應用程式。按一下 接受

    權限請求。

    系統可能會要求您再次授權,視您的 Microsoft 365 環境而定。

    連線可能需要幾分鐘。

  9. 您會看到應用程式已設定的確認訊息。按一下 關閉

    已成功連線訊息。

在 Sophos Central 的整合 > Microsoft - Office 365 Management Activity中,您會看到新的整合。

Live Discover > 查詢中,會顯示新類別 Microsoft 365 稽核資料。您可以在 Microsoft 365 資料上執行此類別中的查詢。

管理 Microsoft Office 365 API

在此 API 的屬性中,您必須將 允許使用者登入?設定為 。若要檢查並變更此項,請按照以下步驟操作。

  1. 在您的 Microsoft Azure 入口網站中,前往 Azure Active Directory > 企業應用程式 > 所有應用程式

  2. 所有應用程式 中,按 應用程式類型 == Microsoft 應用程式 進行篩選。

    篩選應用程式。

  3. 按一下 Office 365 Management API

  4. Office 365 Management API | 屬性中,將 允許使用者登入? 設定為

    在屬性中設定參數。

  5. 按一下 儲存