Microsoft 365 回應動作
您可將 Microsoft 365 回應 動作整合至 Sophos Central。這使您能夠使用這些操作來處理偵測到的問題。
這是透過 API 進行的整合。
完成整合後,您將能夠執行以下操作:
- 封鎖或允許使用者登入。這有助於防止未經授權的系統存取。
- 斷開或撤銷所有當前會話.這有助於隔離遭入侵的帳戶,並阻止威脅的橫向 移動。
- 關閉該用戶的收件匣規則。這有助於阻止惡意轉發敏感電子郵件、規避安全措施的策略、刪除證據等行為。
限制
以下限制適用於 Microsoft 365 回應 動作:
-
MDR客戶
無論您為 Microsoft 365 回應 動作整合設定了哪些權限,Sophos Central 都會強制執行您在 MDR 設定中選擇的威脅 回應選項。例如,若您選擇了「協作」選項,MDR分析師在未經您授權的情況下將無法採取任何行動。
-
「封鎖使用者登入」可能無法永久斷開 Entra ID 帳戶的連線
若您的環境採用混合式 Entra ID 設定並使用 Microsoft Entra Connect Sync,則在同步過程中,本地端環境將具有優先權。若您使用 Microsoft 365 回應動作來斷開 Entra ID 帳戶的連結,Entra Connect Sync 可能會在稍後重新建立連結,此情況超出我們的控制範圍。
需求
您必須是 Microsoft 365 管理員才能設定此整合功能。
此整合無需任何 Microsoft 授權要求。
建議操作
若您設定 Microsoft 365 回應動作,我們建議您同時設定 Microsoft 365 管理活動與 Microsoft Graph Security v2 資料匯入整合。這些功能可產生偵測結果並強化調查,協助您對 Microsoft 資產中的事件作出回應。
設定整合
!!! info 您只能為一個 Microsoft 365 環境設定回應動作整合。我們建議您選擇主要或規模最大的環境。
!!! info 設定此整合功能將建立一組憑證,用於執行操作。若憑證未經常使用,您可能會收到警告訊息,指出該憑證即將被暫停使用。如需協助延遲停權或恢復憑證,請參閱 整合認證管理員。"
要設定 Microsoft 365 回應動作與 Sophos Central 的整合,請依下列步驟操作:
- 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace。
-
點擊Microsoft 365 - 回應 動作。
回應 動作 頁面開啟。若已設定整合功能,此處將顯示相關設定,您將無法新增其他整合項目。
-
按一下 新增設定。
-
在「新增回應動作」頁面中,請輸入整合名稱與 整合說明。
Note
整合名稱不得超過21個字元。
-
按一下 儲存並繼續。
-
閱讀連線至 Microsoft 365 中的文字,然後按一下繼續。
您已連線至 Microsoft 365 以建立與 Sophos Central 整合的應用程式。
-
輸入或選取您的 Microsoft 帳戶並登入。
-
系統會提示您授與某個應用程式權限。這些權限可讓我們建立與 Sophos Central 整合的 Microsoft 應用程式。按一下 接受。
-
系統將提示您授予新建立的 Sophos Central 整合應用程式權限,以便其能根據需求執行回應 動作。按一下 接受。
您將返回 Sophos Central,並在此處查看已設定的整合功能。
執行回應動作
您現在可從 Sophos Central 案例詳情頁面的「回應」索引標籤執行 Microsoft 365 回應動作。請參見 回應案例。
疑難排解回應動作
本節列出執行回應動作時可能發生的問題。
???+ 失敗 「停用個別收件匣規則」操作失敗。
請確認收件匣規則名稱是否正確。就本操作而言,收件匣規則名稱會區分大小寫。