MS Graph-Sicherheits-API v2 integrieren

Empfehlung

Diese Anweisungen gelten für die MS Graph-Sicherheits-API v2, die den Dienst „Warnungen v2“ (Warnungen und Vorfälle) verwendet. Siehe Warnungen und Vorfälle.

MS Graph-Sicherheits-API v2 ersetzt künftig MS Graph-Sicherheits-API-Legacy, die den Legacy-Dienst „Warnungen“ verwendet.

Welche spezifischen Warnmeldungen zurückgegeben werden und welche Produkte verfügbar sind, hängt möglicherweise von Ihrer Microsoft-Lizenzstufe ab. Wenden Sie sich bei Fragen an Ihren Microsoft-Ansprechpartner.

Es wird empfohlen, Integrationen sowohl für MS Graph-Sicherheits-API v2 als auch für MS Graph-Sicherheits-API-Legacy zu konfigurieren und diese gemeinsam auszuführen, bis Microsoft die Pläne für das Ende der Lebensdauer der Legacy-Version bestätigt.

Sie können Microsoft Graph-Sicherheit integrieren, um Warnmeldungen zum Sophos Data Lake hinzuzufügen. Auf diese Weise können Sie Microsoft Graph-Daten mit Sophos Live Discover abfragen.

Voraussetzungen

Sie müssen Microsoft 365-Administrator sein.

Sie müssen Zugriff auf die Funktionen von Microsoft Defender XDR haben. Lizenzen, die Ihnen diesen Zugriff gewähren, finden Sie unter Voraussetzungen für Microsoft Defender XDR.

Integration konfigurieren

Verfahren Sie zur Integration von Microsoft Graph-Sicherheit in Sophos Central wie folgt:

Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
Klicken Sie auf Microsoft - Graph-Sicherheits-API v2.

Die Seite Microsoft - Graph-Sicherheits-API v2 wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.
Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Details zu Ihren Domänen und IPs eingeben.
Gehen Sie unter Integrationsschritte wie folgt vor:
1. Geben Sie den Integrationsnamen und die Integrationsbeschreibung ein.
2. Klicken Sie auf Speichern und fortfahren.
Lesen Sie den Text unter Mit Microsoft 365 verbinden und klicken Sie dann auf Weiter.

Sie sind mit Microsoft 365 verbunden, um eine Anwendung zu erstellen, die mit Sophos Central integriert werden kann.
Geben Sie Ihr Microsoft-Konto ein oder wählen Sie es aus und melden Sie sich an.
Sie werden aufgefordert, Berechtigungen für eine App zu erteilen. Mit diesen Berechtigungen können wir eine Microsoft-App erstellen, die in Sophos Central integriert werden kann. Klicken Sie auf Akzeptieren.
Wenn Sie dazu aufgefordert werden, wählen Sie das zu verwendende Microsoft-Konto aus.
Sie werden aufgefordert, Berechtigungen für die neu erstellte App Sophos XDR-Sicherheitsalarme zu geben, so dass diese ausgeführt werden kann und MS Graph Daten für Sophos erhalten kann. Klicken Sie auf Akzeptieren.
Es wird eine Bestätigung angezeigt, dass die App eingerichtet ist. Klicken Sie auf Schließen.
Wenn dies Ihre erste Integration mit MS Graph – Warnungen und Vorfälle ist, müssen Sie möglicherweise den Warnungsdienst mit Microsoft Defender bereitstellen, um Autorisierungsprobleme zu vermeiden.

Gehen Sie zu https://security.microsoft.com/alerts. Möglicherweise sehen Sie die folgende Meldung. Die Bereitstellung kann bis zu einer Stunde dauern. Sie können dann neue Warnmeldungen anzeigen und der Dienst „Warnungen“ funktioniert.

Siehe Ich kann Legacy-APIL „Warnungen“ (/v1.0/Sicherheit/Warnungen) erfolgreich ausführen und Ergebnisse erzielen. Aber wenn ich eine neue API „Warnungen“ (/v1.0/Sicherheit/Warnungen v2) ausführe, gibt sie keine Ergebnisse zurück.

In Sophos Central wird unter Integrationen > Microsoft - Graph-Sicherheits-API v2 die neue Integration angezeigt.

Etwa fünf Minuten nachdem die Daten im Microsoft Defender Security Center als verfügbar angezeigt werden, synchronisiert die Microsoft App Sophos Data Lake zum ersten Mal mit Microsoft Graph.

Sophos Data Lake erhält jetzt Sicherheitswarnungen für Microsoft Graph.