Microsoft 365 Response Actions
Wenn Sie Microsoft 365 Response Actions konfigurieren, empfehlen wir, dass Sie auch die Datenerfassungs-Integrationen für Microsoft 365-Verwaltungsaktivität und Microsoft Graph Security v2 konfigurieren. Diese Integrationen generieren Erkennungen und bereichern Untersuchungen, sodass Sie auf Ereignisse in Ihrer Microsoft-Umgebung reagieren können.
Sie können Microsoft 365 M365 Response Actions in Sophos Central integrieren. Anhand dieser Maßnahmen können Sie bekannte Probleme beheben.
Dies ist eine API-basierte Integration.
Wenn Sie die Integration abgeschlossen haben, können Sie die folgenden Maßnahmen ergreifen:
- Benutzeranmeldungen sperren oder erlauben. Dies hilft dabei, den unbefugten Zugriff auf Ihre Systeme zu verhindern.
- Alle aktuellen Sitzungen trennen oder widerrufen. Dies hilft dabei, kompromittierte Konten zu isolieren und Seitwärtsbewegungen („Lateral Movement“) von Bedrohungen zu unterbinden.
- Posteingangsregeln für den Benutzer deaktivieren. Dies hilft, die böswillige Weiterleitung vertraulicher E-Mails, Sicherheitsumgehung, Löschung von Beweisen u. v. m. zu verhindern.
MDR-Kunden
Unabhängig davon, welche Berechtigungen Sie hier festlegen, setzt Sophos Central die Option „Threat Response“ durch, die Sie auf der Seite „MDR-Einstellungen“ ausgewählt haben. Wenn Sie zum Beispiel Zusammenarbeiten ausgewählt haben, können MDR-Analysten ohne Ihre Autorisierung keine Maßnahmen ergreifen.
Warnung
Wenn sich Ihre Umgebung in einer hybriden Entra-ID-Konfiguration mit Microsoft Entra Connect Sync befindet, hat die On-Premise-Umgebung bei der Synchronisierung Vorrang. Wenn Sie Microsoft 365 Response Actions verwenden, um ein Entra-ID-Konto zu trennen, wird Entra Connect Sync es möglicherweise zu einem späteren Zeitpunkt erneut verbinden. Dies liegt außerhalb unseres Einflussbereichs.
Voraussetzungen
Sie müssen Microsoft 365-Administrator sein, um diese Integration zu konfigurieren.
Es wird empfohlen, dass Sie auch die Datenerfassungs-Integrationen für Microsoft 365-Verwaltungsaktivität und Microsoft Graph Security v2 konfigurieren. Diese Integrationen generieren Erkennungen und bereichern Untersuchungen, sodass Sie auf Ereignisse in Ihrer Microsoft-Umgebung reagieren können.
Integration konfigurieren
So konfigurieren Sie die Integration von Microsoft 365 Response Actions mit Sophos Central:
- Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
-
Klicken Sie auf Microsoft 365 – Response Actions.
Die Seite „Response Actions“ wird geöffnet. Sie können Integrationen hier konfigurieren und prüfen, ob bereits eine Integration konfiguriert ist.
-
Klicken Sie auf Konfiguration hinzufügen.
- Geben Sie auf der Seite Reaktionsmaßnahme hinzufügen den Integrationsnamen und die Integrationsbeschreibung ein.
- Klicken Sie auf Speichern und fortfahren.
-
Lesen Sie den Text unter Mit Microsoft 365 verbinden und klicken Sie dann auf Weiter.
Sie sind mit Microsoft 365 verbunden, um eine Anwendung zu erstellen, die mit Sophos Central integriert werden kann.
-
Geben Sie Ihr Microsoft-Konto ein oder wählen Sie es aus und melden Sie sich an.
-
Sie werden aufgefordert, Berechtigungen für eine App zu erteilen. Mit diesen Berechtigungen können wir eine Microsoft-App erstellen, die in Sophos Central integriert werden kann. Klicken Sie auf Akzeptieren.
-
Sie werden aufgefordert, Berechtigungen für die neu erstellte Sophos Central-Integrations-App zu erteilen, damit diese bei Bedarf Reaktionsmaßnahmen durchführen kann. Klicken Sie auf Akzeptieren.
Sie kehren zu Sophos Central zurück, wo Ihre Integration konfiguriert ist.
Reaktionsmaßnahmen ausführen
Sie können jetzt Microsoft 365 Response Actions über den Tab Antworten auf der Detailseite eines Falls in Sophos Central ausführen. Siehe Auf Fälle reagieren.