Microsoft 365 回應動作
您可以將 Microsoft 365 回應操作與Sophos Central整合。這樣您就可以使用這些操作來解決偵測到的問題。
這是透過 API 進行的整合。
完成整合後,您將能夠執行以下操作:
- 封鎖或允許使用者登入。這有助於阻止未經授權的存取您的系統。
- 中斷或撤銷所有目前會話.這有助於隔離被盜帳戶,並阻止威脅的橫向 移動。
- 關閉該使用者的收件匣規則。這有助於阻止惡意轉發敏感電子郵件、安全規避策略、刪除證據等行為。
限制
以下限制適用於 Microsoft 365 回應操作:
-
MDR客戶
無論您為 Microsoft 365 回應操作整合設定了何種權限, Sophos Central都會強制執行您在MDR設定中選擇的威脅 回應選項。例如,如果您選擇「協作」 , MDR分析師未經您的授權無法採取行動。
-
「阻止使用者登入」可能不會永久中斷Entra ID帳戶。
如果您的環境採用混合 Entra ID 設定並使用 Microsoft Entra Connect Sync,則在同步期間本機環境優先。如果您使用 Microsoft 365 回應操作中斷 Entra ID 帳戶,Entra Connect Sync 稍後可能會重新連線該帳戶,但這不在我們的控制範圍內。
需求
您必須是 Microsoft 365 管理員才能設定此整合。
此整合不需要微軟許可證。
建議操作
如果您設定了 Microsoft 365 回應操作,我們建議您同時設定 Microsoft 365 管理活動和 Microsoft Graph Security v2 資料擷取整合。這些功能可以產生偵測結果並豐富調查結果,幫助您應對 Microsoft資產中的事件。
設定整合
您只能為一個 Microsoft 365 環境設定回應操作整合。我們建議您選擇主要或最大的環境。
!!! info "配置此整合會建立一個用於執行操作的憑證。"如果使用頻率不高,您可能會看到憑證將被暫停的警告。如需協助延遲暫停或恢復證書,請參閱整合認證管理員。
要配置 Microsoft 365 Response Actions 與Sophos Central 的集成,請按如下方式操作:
- 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace。
-
點選Microsoft 365 - 回應操作。
「回應操作」頁面隨即開啟。如果某個整合已經配置好,則會在此處顯示,您將無法新增另一個整合。
-
按一下 新增設定。
-
在「新增回應操作」頁面上,輸入整合名稱和整合描述。
注意
整合名稱不得超過 21 個字元。
-
按一下 儲存並繼續。
-
閱讀連線至 Microsoft 365 中的文字,然後按一下繼續。
您已連線至 Microsoft 365 以建立與 Sophos Central 整合的應用程式。
-
輸入或選取您的 Microsoft 帳戶並登入。
-
系統會提示您授與某個應用程式權限。這些權限可讓我們建立與 Sophos Central 整合的 Microsoft 應用程式。按一下 接受。
-
系統會提示您授予新建立的Sophos Central Integration應用程式權限,以便它可以根據需要採取回應操作。按一下 接受。
您將返回到Sophos Central,在那裡可以看到您的整合配置。
運行響應操作
現在,您可以從Sophos Central中案例詳細資訊頁面的「回應」索引標籤執行 Microsoft 365 回應操作。請參見 回應案例。
故障排除回應操作
本節列出了執行回應操作時可能出現的問題。
「停用單一收件匣規則」操作失敗。
請確保收件匣規則名稱正確。就此操作而言,收件匣規則名稱區分大小寫。