Microsoft 365 整合
您可以將 Microsoft 軟體和服務與 Sophos Central 整合。
已設定的整合
若要設定整合,請按一下威脅分析中心 > 整合 > 市場,然後按一下整合名稱。
有關如何設定每項整合的詳細資料,請參見以下頁面:
集成的工作原理
Sophos XDR平台使用Microsoft管理活動API和Microsoft Graph安全API與Microsoft集成。Sophos獨立使用這兩個API來檢測Microsoft 365環境中的威脅。
M365管理活動
使用管理活動API,Sophos XDR平台獲取在Microsoft 365環境中發生的原始事件。Sophos使用這些事件來檢測威脅,並在調查期間收集分析人員的附加支援資訊。這些原始事件適用於所有Microsoft 365客戶,無論其環境中使用何種許可。
Sophos檢測工程小組定期基於Microsoft的這些原始事件創建檢測規則。這些規則允許分析師調查可能表明帳戶洩露或業務電子郵件洩露(BEC)的情形。示例指標包括收件箱規則操縱,會話令牌盜竊,中間人攻擊,惡意應用程式同意等。
您可以在 **** Sophos Central的"檢測"頁面上查看基於Sophos的檢測。檢測被標記為SaaS-M365-xxxxx,檢測類型為“commode_detections”,如下例所示:
通過Sophos Data Lake中存儲的Microsoft管理活動API事件,分析人員可以在環境中進行調查時使用這些日誌。例如,可以檢查用戶的登入以確認或識別可疑的登入事件,或在帳戶被洩露時查看Microsoft 365環境中的帳戶活動。
有關Microsoft通過管理活動API提供的數據的更多資訊,請參閱 Office 365管理API概述。
MS Graph 安全性 API V2
此集成用於MS Graph傳統警報服務。現在可以為較新的警報v2 (警報和事件)服務集成。請參閱MS Graph 安全性 API V2。
使用MS Graph安全API,Sophos獲取基於Microsoft生態系統中觀察到的遙測的Microsoft生成的檢測事件。根據這些Microsoft檢測事件的嚴重性,創建案例供分析師調查和響應。
生成Graph安全API檢測事件的組件或"提供程序"如下:
- Entra ID Protection
- Defender for Office 365
- Defender for Endpoint
- Defender for Identity
- Microsoft Defender for Cloud Apps
- Defender for Cloud
- Microsoft Sentinel
您可以在 **** Sophos Central的"檢測"頁面上查看Microsoft Graph安全API接收到的檢測事件。檢測標記爲MS-SEC-GRAPH-xxxxx,如以下示例所示:
這些產品生成並可通過Graph安全API獲取的特定Microsoft檢測事件取決於環境中使用的Microsoft 365許可。這可以包括個別的每用戶計劃,以及添加到用戶或Microsoft 365租賃的任何附加載入項或綑綁包。
我們建議您諮詢Microsoft 365授權專家,瞭解每個計畫,附加元件或套件中包含哪些提供者,偵測事件和警示。但是,我們可以提供以下指導:
- Microsoft 365 E5計畫或E5安全性附加元件包含所有Microsoft偵測事件,這些事件可用來建立要調查的案例。
- 對於基於Entra ID保護的身份警報,您需要Entra ID P2計劃(與上述E5計劃綑綁在一起)。
- 對於其他組件,請咨詢您的Microsoft許可專家,以了解訪問這些組件所需的Microsoft綑綁包或單個SKU及其圖形安全檢測事件。
有關圖形安全API和特定提供程序生成的警報的更多資訊,請參閱 警報和事件。
MS Graph 安全性 API V2
此集成用於MS Graph安全API警報v2 (事件和警報)服務。我們建議您使用它。
有關概述,請參見 MS Graph 安全性 API V2。