Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=m365-response-actions

Acciones de respuesta de Microsoft 365

Puede integrar las acciones de respuesta de Microsoft 365 con Sophos Central. Le permite utilizar estas acciones para abordar los problemas detectados.

Es una integración basada en API.

Cuando complete la integración, podrá realizar las siguientes acciones:

  • Bloquear o permitir el inicio de sesión del usuario. Esto ayuda a impedir el acceso no autorizado a sus sistemas.
  • Desconectar o revocar todas las sesiones actuales. Esto ayuda a aislar las cuentas vulneradas y detiene el movimiento lateral de las amenazas.
  • Desactivar las reglas de la bandeja de entrada para el usuario. Esto ayuda a detener el reenvío malintencionado de correos electrónicos confidenciales, las tácticas de evasión de la seguridad, la eliminación de pruebas, etc.

Restricciones

Las siguientes restricciones se aplican a las acciones de respuesta de Microsoft 365:

  • Clientes MDR

    Independientemente de los permisos que configure para la integración de las acciones de respuesta de Microsoft 365, Sophos Central aplica la opción de respuesta a amenazas que haya seleccionado en la configuración de MDR. Por ejemplo, si seleccionó Colaborar, los analistas de MDR no pueden tomar medidas sin su autorización.

  • Es posible que la opción "Bloquear el inicio de sesión del usuario" no desconecte permanentemente una cuenta de Entra ID

    Si su entorno se encuentra en una configuración Entra ID híbrida que utiliza Microsoft Entra Connect Sync, el entorno local tiene prioridad durante la sincronización. Si utiliza las acciones de respuesta de Microsoft 365 para desconectar una cuenta de Entra ID, Entra Connect Sync podría volver a conectarla en un momento posterior, lo cual está fuera de nuestro control.

Requisitos

Debe ser administrador de Microsoft 365 para configurar esta integración.

No hay requisitos de licencia de Microsoft para esta integración.

Sugerencia

Si configura las acciones de respuesta de Microsoft 365, le recomendamos que configure también las integraciones de ingesta de datos de Actividad de administración de Microsoft 365 y Microsoft Graph Security v2. Estas generan detecciones y enriquecen las investigaciones, ayudándole a responder a los eventos en su dominio de Microsoft.

Configurar una integración

Solo puede configurar una integración de acciones de respuesta para un entorno de Microsoft 365. Le recomendamos que elija su entorno principal o más grande.

Al configurar esta integración, se crea una credencial que se utiliza para realizar acciones. Si no se utiliza con frecuencia, es posible que aparezcan advertencias indicando que la credencial será suspendida. Para obtener ayuda sobre cómo retrasar o anular la suspensión de la credencial, consulte Administrador de credenciales de integración.

Para configurar una integración de acciones de respuesta de Microsoft 365 con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.

  2. Pulse Microsoft 365 - Acciones de respuesta.

    Se abre la página Acciones de respuesta. Si una integración ya está configurada, se mostrará aquí y no podrá añadir otra.

  3. Haga clic en Añadir configuración.

  4. En la página Añadir acción de respuesta, indique el Nombre de la integración y la Descripción de la integración.

    Note

    El nombre de la integración no debe tener más de 21 caracteres.

  5. Haga clic en Guardar y continuar.

  6. Lea el texto de Conectar con Microsoft 365 y haga clic en Continuar.

    Está conectado a Microsoft 365 para crear una aplicación que se integre con Sophos Central.

  7. Introduzca o seleccione su cuenta Microsoft e inicie sesión.

    Elegir una cuenta.

  8. Se le pedirá que dé permisos a una aplicación. Estos permisos nos permiten crear una aplicación de Microsoft para integrarla con Sophos Central. Haga clic en Aceptar.

    Permisos solicitados para la creación de una aplicación para la integración.

  9. Se le pedirá que otorgue permisos a la aplicación de la integración de Sophos Central recién creada para que pueda tomar las acciones de respuesta necesarias. Haga clic en Aceptar.

    Permisos solicitados para la aplicación de la integración de Sophos Central.

Volverá a Sophos Central donde verá su integración configurada.

Ejecutar acciones de respuesta

Ahora puede ejecutar acciones de respuesta de Microsoft 365 desde la ficha Responder en la página de detalles de un caso en Sophos Central. Consulte Responder a casos.

Solucionar problemas con las acciones de respuesta

En esta sección se enumeran los problemas que pueden surgir al ejecutar acciones de respuesta.

La acción "Desactivar regla de bandeja de entrada individual" da error.

Asegúrese de que el nombre de la regla de la bandeja de entrada es correcto. A efectos de esta acción, el nombre de la regla de la bandeja de entrada distingue entre mayúsculas y minúsculas.