Integration von MS Graph-Sicherheits-API v2
Sie können Microsoft Graph-Sicherheits-API in Sophos Central integrieren, sodass Warnmeldungen an Sophos zur Analyse gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Microsoft Graph-Sicherheit
Microsoft Graph-Sicherheit ist ein einheitliches Gateway, das Sicherheitseinblicke aus verschiedenen Microsoft-Produkten und -Diensten über die Version 2 der API – auch API „Warnungen und Vorfälle“ konsolidiert. Diese ersetzt die Legacy-API „Warnungen“ von Microsoft.
Wir empfehlen, Sophos-Integrationen sowohl für MS Graph-Sicherheits-API v2 integrieren als auch für MS Graph-Sicherheits-API (Legacy) zu konfigurieren und gemeinsam auszuführen, bis Microsoft die Pläne für das Ende der Lebensdauer der Legacy-Version bestätigt.
Abhängig von der Microsoft-Lizenz des Kunden (z. B. E5) erfassen wir Daten über die Graph-API aus den folgenden Sicherheits-Telemetrie-Quellen:
- Microsoft Entra ID Protection
- Microsoft 365 Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender für Office 365
- Microsoft Purview Data Loss Prevention
Sophos-Dokumente
Was wir erfassen
Beispiele für Alarme:
- Ausführung versteckter Dateien ermittelt
- Ein Versuch, Linux-Befehle auf einem Windows-App-Dienst auszuführen
- Verdächtiger Kennwortzugriff
- In Threat-Intelligence-Feeds als schädlich markierte Website
- Erkennung einer verdächtigen Verwendung des useradd-Befehls
- Potenzielle Erkennung von Angriffstools
- Potenzielle Erkennung von Credential-Access-Tools
Alarme werden vollständig erfasst
Wir erfassen Warnmeldungen von MS Graph-Sicherheit im microsoft.graph.security.namespace. Eine vollständige Dokumentation finden Sie unter Warnung Ressourcentyp.
Filterung
Es werden keine Filter angewendet, außer um zu bestätigen, dass das von der API zurückgegebene Format das erwartete ist.
Beispiele für Bedrohungszuordnungen
Die Zuordnung der Warnmeldung bezieht sich auf das Titelfeld, das in der Warnmeldung zurückgegeben wird.
{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}