Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=MicrosoftIntegrations

Microsoft-Integrationen

Sie können Microsoft-Software und -Dienste in Sophos Central integrieren.

Integrationen konfigurieren

Um eine zu konfigurieren, klicken Sie auf Bedrohungsanalyse-Center > Integrationen > Marketplace und anschließend auf die Integration.

Details zum Konfigurieren der einzelnen Integrationen finden Sie auf den folgenden Seiten:

So funktionieren Integrationen

Die Sophos XDR-Plattform lässt sich mithilfe der Microsoft Verwaltungsaktivitäts-API und der Microsoft Graph-Sicherheits-API in Microsoft integrieren. Sophos verwendet beide APIs unabhängig voneinander, um Bedrohungen in der Microsoft 365-Umgebung zu erkennen.

M365-Verwaltungsaktivität

Mithilfe der Verwaltungsaktivitäts-API erfasst die Sophos XDR-Plattform Rohereignisse, die in der Microsoft 365-Umgebung auftreten. Sophos nutzt diese Ereignisse sowohl zur Erkennung von Bedrohungen als auch zur Erfassung zusätzlicher unterstützender Informationen für Analysten während einer Analyse. Diese Rohereignisse stehen allen Microsoft 365-Kunden unabhängig von der in ihrer Umgebung verwendeten Lizenzierung zur Verfügung.

Das Sophos-Team für die Erkennung erstellt regelmäßig Erkennungsregeln, die auf diesen Rohereignissen von Microsoft basieren. Anhand dieser Regeln können Analysten Szenarien untersuchen, die auf eine Kompromittierung des Kontos oder eine Kompromittierung der geschäftlichen E-Mail (Business Email Commitment, BEC) hindeuten könnten. Beispiele hierfür sind die Manipulation von Posteingangsregeln, der Diebstahl von Sitzungstoken, Man-in-the-Middle-Angriffe, die Zustimmung zu böswilligen Programmen und vieles mehr.

Sophos-basierte Erkennungen werden in Sophos Central auf der Seite Erkennungen angezeigt. Die Erkennungen sind mit SAAS-M365-xxxxx beschriftet und haben den Erkennungstyp "Compound_Detections", wie in diesem Beispiel zu sehen ist:

Erkennung vom Typ SAAS-M365.

Da die Microsoft Verwaltungsaktivitäts-API-Ereignisse im Sophos Data Lake gespeichert werden, können Analysten diese Protokolle bei der Analyse in einer Umgebung verwenden. Zum Beispiel können die Anmeldungen eines Benutzers überprüft werden, um verdächtige Anmeldereignisse zu bestätigen oder zu identifizieren oder um die Kontoaktivitäten in der Microsoft 365-Umgebung zu überprüfen, während das Konto kompromittiert wurde.

Weitere Informationen darüber, welche Daten Microsoft über die Verwaltungsaktivitäts-API bereitstellt, finden Sie unter Übersicht über die Office 365-Verwaltungs-APIs.

MS Graph Sicherheit

Mithilfe der Graph-Sicherheits-API nimmt Sophos Erkennungsereignisse auf, die von Microsoft generiert wurden, basierend auf Telemetriedaten, die im Microsoft-Ökosystem beobachtet wurden. Je nach Schweregrad dieser Microsoft-Erkennung werden Fälle erstellt, die Analysten untersuchen und darauf reagieren können.

Folgende Komponenten oder „Anbieter“ generieren Erkennungsereignisse für die Graph-Sicherheits-API generieren:

  • Entra ID Protection
  • Defender for Office 365
  • Defender for Endpoint
  • Defender for Identity
  • Defender for Cloud Apps
  • Defender for Cloud
  • Microsoft Sentinel

Sie können die von der Microsoft Graph-Sicherheits-API empfangenen Erkennungsereignisse auf der Seite Erkennungen in Sophos Central anzeigen. Die Erkennungen sind als MS-SEC-GRAPH-xxxxx bezeichnet, wie in diesem Beispiel gezeigt:

Erkennungen vom Typ „MS-SEC-GRAPH.

Die spezifischen Microsoft-Erkennungsereignisse, die von diesen Produkten generiert werden und über die Graph-Sicherheits-API zur Verfügung stehen, hängen von der in der Umgebung verwendeten Microsoft 365-Lizenzierung ab. Dies kann den individuellen Tarif pro Benutzer und alle zusätzlichen Add-ons oder Bundles umfassen, die Benutzern oder der Microsoft 365-Mehrmandantenfähigkeit hinzugefügt werden.

Wir empfehlen Ihnen, sich an Ihren Microsoft 365-Lizenzspezialisten zu wenden, um zu erfahren, welche Anbieter, Erkennungsereignisse und Alarme in jedem Plan, Add-On oder Paket enthalten sind. Wir können jedoch folgende Hinweise geben:

  • Der Microsoft 365 E5-Plan oder das E5-Sicherheits-Add-On enthält alle Microsoft-Erkennungsereignisse, die zur Erstellung von zu untersuchenden Fällen verwendet werden.
  • Für auf Entra ID Protection basierende Identitätsalarme benötigen Sie Entra ID P2-Pläne (zusammen mit den oben genannten E5-Plänen).
  • Wenden Sie sich bei anderen Komponenten an Ihren Microsoft-Lizenzexperten, um zu erfahren, welche Microsoft-Pakete oder einzelnen SKUs Sie für den Zugriff auf diese Komponenten und deren Erkennungsereignisse von Graph Sicherheit benötigen.

Weitere Informationen über die Graph-Sicherheits-API und die von bestimmten Anbietern generierten Alarme finden Sie unter Alarme und Vorfälle.