Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=MicrosoftIntegrations

Integraciones de Microsoft

Puede integrar el software y los servicios de Microsoft con Sophos Central.

Configurar integraciones

Para configurar una integración, haga clic en Centro de análisis de amenazas > Integraciones > Marketplace y haga clic en el nombre de la integración.

Para obtener información detallada sobre cómo configurar cada integración, consulte las siguientes páginas:

Cómo funcionan las integraciones

La plataforma Sophos XDR se integra con Microsoft mediante la API Microsoft Management Activity y la API Microsoft Graph Security. Sophos utiliza ambas API de forma independiente para detectar amenazas en el entorno de Microsoft 365.

M365 Management Activity

Con la API Management Activity, la plataforma Sophos XDR ingiere eventos sin procesar que ocurren en el entorno de Microsoft 365. Sophos utiliza estos eventos tanto para la detección de amenazas como para recopilar información de apoyo adicional para los analistas durante una investigación. Estos eventos sin procesar están disponibles para todos los clientes de Microsoft 365, independientemente de la licencia utilizada en su entorno.

El equipo de ingeniería de detección de Sophos crea regularmente reglas de detección basadas en estos eventos sin procesar de Microsoft. Estas reglas permiten a los analistas investigar escenarios que podrían indicar estafas por correo electrónico corporativo comprometido (BEC). Algunos ejemplos de indicadores son la manipulación de las reglas de la bandeja de entrada, el robo de tokens de sesión, ataques de intermediarios (Man-in-the-Middle), el consentimiento de aplicaciones maliciosas y más.

Puede ver las detecciones basadas en Sophos en la página Detecciones de Sophos Central. Las detecciones se etiquetan como SAAS-M365-xxxxx y tienen el tipo de detección "compound_detections", como se ve en este ejemplo:

Detección de tipo SAAS-M365.

Con los eventos de la API Microsoft Management Activity almacenados en Sophos Data Lake, los analistas pueden utilizar estos registros cuando investigan en un entorno. Por ejemplo, se pueden revisar los inicios de sesión de un usuario para confirmar o identificar eventos de inicio de sesión sospechosos, o para revisar la actividad de la cuenta en el entorno de Microsoft 365 mientras la cuenta estaba comprometida.

Para obtener más información sobre los datos que Microsoft proporciona a través de la API Microsoft Management Activity, consulte Información general de las API de administración de Office 365.

MS Graph Security

Mediante la API Graph Security, Sophos ingiere eventos de detección generados por Microsoft, basados en la telemetría observada en el ecosistema de Microsoft. Dependiendo de la gravedad de estos eventos de detección de Microsoft, se crean casos para que los analistas los investiguen y respondan a ellos.

Los componentes, o "proveedores", que generan eventos de detección para la API Graph Security son los siguientes:

  • Entra ID Protection
  • Defender para Office 365
  • Defender para punto de conexión
  • Defender for Identity
  • Defender for Cloud Apps
  • Defender for Cloud
  • Microsoft Sentinel

Puede ver los eventos de detección recibidos por la API Microsoft Graph Security en la página Detecciones de Sophos Central. Las detecciones llevan la etiqueta MS-SEC-GRAPH-xxxxx, como se ve en este ejemplo:

Detecciones de tipo MS-SEC-GRAPH.

Los eventos específicos de detección de Microsoft generados por estos productos y disponibles para su ingestión a través de la API Graph Security dependen de la licencia de Microsoft 365 utilizada en el entorno. Esto puede incluir el plan individual por usuario y cualquier complemento o paquete adicional añadido a los usuarios o a la tenencia de Microsoft 365.

Le recomendamos que consulte a su especialista en licencias de Microsoft 365 para saber qué proveedores, eventos de detección y alertas se incluyen en cada plan, complemento o paquete. Sin embargo, podemos ofrecerle las siguientes indicaciones:

  • El plan Microsoft 365 E5 o el complemento de seguridad E5 incluyen todos los eventos de detección de Microsoft que se utilizan para crear casos que deben investigarse.
  • Para las alertas de identidad basadas en Entra ID Protection, necesita los planes Entra ID P2 (incluidos en los planes E5 mencionados anteriormente).
  • Para otros componentes, consulte a su experto en licencias de Microsoft para saber qué paquetes de Microsoft o SKU individuales necesita para acceder a esos componentes y a sus eventos de detección de Graph Security.

Para más información sobre la API Graph Security y las alertas generadas por proveedores específicos, consulte Alertas e incidentes.