Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Microsoft-365-Audit-Protokolle

API

Sie können dem Data Lake Microsoft 365-Überwachungsprotokolldaten hinzufügen. Auf diese Weise können Sie Microsoft Graph-Daten mit Sophos Live Discover abfragen.

Voraussetzungen

Sie müssen Microsoft 365-Administrator sein.

Die Überwachung muss in Microsoft 365 aktiviert sein. Ist dies nicht der Fall, werden Sie während der Einrichtung aufgefordert, die Funktion zu aktivieren.

In den Eigenschaften Ihrer Microsoft Office 365 Management-APIs müssen Sie die Option Aktiviert für die Benutzeranmeldung? auf Ja setzen. Informationen zum Überprüfen und Ändern finden Sie unter Microsoft Office 365-APIs verwalten .

Integration konfigurieren

Verfahren Sie zur Integration von Microsoft 365-Daten in Sophos Central wie folgt:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
  2. Klicken Sie auf Microsoft - Office 365-Verwaltungsaktivitäts-API.

    Die Seite Microsoft - Office 365-Verwaltungsaktivitäts-API wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

  4. Wenn in den Integrationsschritten die Microsoft 365-Überwachung nicht bereits aktiviert ist, können Sie auf Microsoft-365-Überwachung einschalten klicken.

    Damit gelangen Sie zu Microsoft 365. Aktivieren Sie die Überwachung kehren Sie zu Sophos Central zurück. Siehe Aktivieren/Deaktivieren der Überwachung.

    Möglicherweise werden Sie von Microsoft aufgefordert, sich zu authentifizieren, um die Überwachung zu aktivieren.

    Hinweis

    Es kann bis zu 12 Stunden dauern, bis Microsoft 365-Überwachungsprotokolldaten angezeigt werden, nachdem Sie die Überwachung aktiviert haben.

  5. Klicken Sie auf Speichern und fortfahren.

  6. Lesen Sie den Text unter Mit Microsoft 365 verbinden und klicken Sie dann auf Weiter.

    Sie sind mit Microsoft 365 verbunden, um eine Anwendung zu erstellen, die mit Sophos Central integriert werden kann.

    Konto auswählen.

  7. Geben Sie Ihr Microsoft-Konto ein oder wählen Sie es aus und melden Sie sich an.

  8. Sie werden aufgefordert, Berechtigungen für eine App zu erteilen. Mit diesen Berechtigungen können wir eine Microsoft-App erstellen, die in Sophos Central integriert werden kann. Klicken Sie auf Akzeptieren.

    Berechtigungsanforderung.

    Je nach Ihrer Microsoft 365-Umgebung werden Sie möglicherweise aufgefordert, die Autorisierung erneut durchzuführen.

    Die Verbindung kann einige Minuten dauern.

  9. Es wird eine Bestätigung angezeigt, dass die App eingerichtet ist. Klicken Sie auf Schließen.

    Meldung „Erfolgreich verbunden“.

In Sophos Central sehen Sie unter Integrationen > Microsoft - Office 365 Verwaltungsaktivität die neue Integration.

In Live Discover > Abfrage wird eine neue Kategorie Microsoft 365-Überwachungsdaten angezeigt. Sie können die Abfragen in dieser Kategorie auf Ihren Microsoft 365-Daten ausführen.

Microsoft Office 365-APIs verwalten

In den Eigenschaften für diese API müssen Sie Aktiviert für die Benutzeranmeldung? auf Ja setzen. Um dies zu überprüfen und zu ändern, gehen Sie wie folgt vor:

  1. Gehen Sie in Ihrem Microsoft Azure Portal zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen.
  2. Filtern Sie in Alle Anwendungen nach Anwendungstyp == Microsoft-Anwendungen.

    Anwendungen filtern.

  3. Klicken Sie auf Office 365-Verwaltungs-APIs.

  4. Setzen Sie in Office 365-Verwaltungs-APIs | Eigenschaften die Option Aktiviert für die Benutzeranmeldung? auf Ja.

    Parameter in Eigenschaften festlegen.

  5. Klicken Sie auf Speichern.