Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=m365-response-actions

Microsoft 365 Response Actions

API Effizienz

Sie können Microsoft 365 M365 Response Actions in Sophos Central integrieren. Anhand dieser Maßnahmen können Sie bekannte Probleme beheben.

Dies ist eine API-basierte Integration.

Wenn Sie die Integration abgeschlossen haben, können Sie die folgenden Maßnahmen ergreifen:

  • Benutzeranmeldungen sperren oder erlauben. Dies hilft dabei, den unbefugten Zugriff auf Ihre Systeme zu verhindern.
  • Alle aktuellen Sitzungen trennen oder widerrufen. Dies hilft dabei, kompromittierte Konten zu isolieren und Seitwärtsbewegungen („Lateral Movement“) von Bedrohungen zu unterbinden.
  • Posteingangsregeln für den Benutzer deaktivieren. Dies hilft, die böswillige Weiterleitung vertraulicher E-Mails, Sicherheitsumgehung, Löschung von Beweisen u. v. m. zu verhindern.

MDR-Kunden

Unabhängig davon, welche Berechtigungen Sie hier festlegen, setzt Sophos Central die Option „Threat Response“ durch, die Sie auf der Seite „MDR-Einstellungen“ ausgewählt haben. Wenn Sie zum Beispiel Zusammenarbeiten ausgewählt haben, können MDR-Analysten ohne Ihre Autorisierung keine Maßnahmen ergreifen.

Voraussetzungen

Sie müssen Microsoft 365-Administrator sein, um diese Integration zu konfigurieren.

Für diese Integration gibt es keine Microsoft-Lizenzanforderungen.

Empfehlung

Wenn Sie Microsoft 365 Response Actions konfigurieren, empfehlen wir, dass Sie auch die Datenerfassungs-Integrationen für Microsoft 365-Verwaltungsaktivität und Microsoft Graph Security v2 konfigurieren. Diese Integrationen generieren Erkennungen und bereichern Untersuchungen, sodass Sie auf Ereignisse in Ihrer Microsoft-Umgebung reagieren können.

Integration konfigurieren

Sie können eine Integration von Response Actions nur für eine Microsoft 365-Umgebung konfigurieren. Wir empfehlen Ihnen, Ihre primäre oder größte Umgebung auszuwählen.

So konfigurieren Sie die Integration von Microsoft 365 Response Actions mit Sophos Central:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie auf Microsoft 365 – Response Actions.

    Die Seite „Response Actions“ wird geöffnet. Wenn bereits eine Integration konfiguriert ist, wird sie hier angezeigt und Sie können keine weitere hinzufügen.

  3. Klicken Sie auf Konfiguration hinzufügen.

  4. Geben Sie auf der Seite Reaktionsmaßnahme hinzufügen den Integrationsnamen und die Integrationsbeschreibung ein.
  5. Klicken Sie auf Speichern und fortfahren.

  6. Lesen Sie den Text unter Mit Microsoft 365 verbinden und klicken Sie dann auf Weiter.

    Sie sind mit Microsoft 365 verbunden, um eine Anwendung zu erstellen, die mit Sophos Central integriert werden kann.

  7. Geben Sie Ihr Microsoft-Konto ein oder wählen Sie es aus und melden Sie sich an.

    Wählen Sie ein Konto aus.

  8. Sie werden aufgefordert, Berechtigungen für eine App zu erteilen. Mit diesen Berechtigungen können wir eine Microsoft-App erstellen, die in Sophos Central integriert werden kann. Klicken Sie auf Akzeptieren.

    Berechtigungen für die Erstellung einer App zur Integration angefordert.

  9. Sie werden aufgefordert, Berechtigungen für die neu erstellte Sophos Central-Integrations-App zu erteilen, damit diese bei Bedarf Reaktionsmaßnahmen durchführen kann. Klicken Sie auf Akzeptieren.

    Berechtigungen für die Sophos Central-Integrations-App angefordert.

Sie kehren zu Sophos Central zurück, wo Ihre Integration konfiguriert ist.

Reaktionsmaßnahmen ausführen

Sie können jetzt Microsoft 365 Response Actions über den Tab Antworten auf der Detailseite eines Falls in Sophos Central ausführen. Siehe Auf Fälle reagieren.

Response Actions beheben

In diesem Abschnitt werden Probleme aufgeführt, die auftreten können, wenn Sie Response Actions ausführen.

The "Disable individual inbox rule" action fails.

Stellen Sie sicher, dass der Name der Posteingangsregel korrekt ist. Bei dieser Aktion wird beim Namen der Posteingangsregel die Groß-/Kleinschreibung beachtet.

The "Block user sign-in" action fails to permanently disconnect an Entra ID account

Wenn sich Ihre Umgebung in einer hybriden Entra-ID-Konfiguration mit Microsoft Entra Connect Sync befindet, hat die On-Premise-Umgebung bei der Synchronisierung Vorrang. Wenn Sie Microsoft 365 Response Actions verwenden, um ein Entra-ID-Konto zu trennen, wird Entra Connect Sync es möglicherweise zu einem späteren Zeitpunkt erneut verbinden. Dies liegt außerhalb unseres Einflussbereichs.