Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=MicrosoftIntegrations

Intégrations Microsoft

Vous pouvez intégrer des logiciels de sécurité et services de Microsoft à Sophos Central.

Configurer des intégrations

Pour configurer une intégration, cliquez sur Centre d’analyse des menaces > Intégrations > Marketplace et cliquez sur le nom de l’intégration.

Retrouvez plus de renseignements sur la configuration de chaque intégration aux pages suivantes :

Fonctionnement des intégrations

La plate-forme Sophos XDR s'intègre à Microsoft à l'aide de l'API Microsoft Management Activity et de l'API Microsoft Graph Security. Sophos utilise les deux API indépendamment pour détecter les menaces dans l'environnement Microsoft 365.

Activité de gestion M365

À l'aide de l'API Management Activity, la plate-forme Sophos XDR ingère les événements bruts se produisant dans l'environnement Microsoft 365. Sophos utilise ces événements à la fois pour la détection des menaces et pour offrir des informations complémentaires aux analystes au cours d'une investigation. Ces événements bruts sont disponibles pour tous les clients Microsoft 365, quelle que soit la licence utilisée dans leur environnement.

L'équipe d'ingénieurs de détection de Sophos crée régulièrement des règles de détection basés sur ces événements bruts de Microsoft. Ces règles permettent aux analystes d'étudier des scénarios qui pourraient indiquer qu’un compte ou qu’un email professionnel a été compromis (BEC). Les exemples d'indicateurs incluent la manipulation des règles de boîte de réception, le vol de jetons de session, les attaques d’interception (« man-in-the-middle »), le consentement aux applications malveillantes, etc.

Vous pouvez voir les détections effectuées par Sophos sur la page Détections dans Sophos Central. Les détections sont marquées SAAS-M365-xxxxx et sont de type « compound_detections » (détections mixtes), comme indiqué dans cet exemple :

Une détection de type SAAS-M365.

Avec les événements de l'API d'activité de gestion Microsoft stockés dans le Sophos Data Lake, les analystes peuvent utiliser ces journaux lorsqu'ils enquêtent dans un environnement. Par exemple, les connexions d'un utilisateur peuvent être vérifiées pour confirmer ou identifier des événements de connexion suspects, ou pour vérifier l'activité du compte dans l'environnement Microsoft 365 lorsque le compte a été compromis.

Pour plus d'informations sur les données fournies par Microsoft via l'API d'activité de gestion, consultez Vue d’ensemble des API de gestion d’Office 365.

MS Graph Security

À l'aide de l'API Graph Security, Sophos ingère les événements de détection générés par Microsoft, en fonction de la télémétrie observée dans l'écosystème Microsoft. En fonction de la gravité de ces événements de détection Microsoft, nous créons des dossiers pour que les analystes puissent les examiner et y répondre.

Les composants, ou « fournisseurs », qui génèrent des événements de détection vers l'API Graph Security sont les suivants :

  • Entra ID Protection
  • Defender for Office 365
  • Defender for Endpoint
  • Defender for Identity
  • Defender for Cloud Apps
  • Defender for Cloud
  • Microsoft Sentinel

Vous pouvez voir les événements de détection reçus par l'API de sécurité Microsoft Graph sur la page Détections de Sophos Central. Les détections sont étiquetées MS-SEC-GRAPH-xxxxx, comme illustré dans cet exemple :

Détections de type MS-SEC-GRAPH.

Les événements de détection Microsoft spécifiques générés par ces produits et disponibles à l’ingestion via l'API Graph Security dépendent de la licence Microsoft 365 utilisée dans l'environnement. Ceci peut inclure le forfait individuel par utilisateur, et tous les modules complémentaires ou lots supplémentaires ajoutés aux utilisateurs ou à la location Microsoft 365.

Nous vous recommandons de consulter votre spécialiste des licences Microsoft 365 pour savoir quels fournisseurs, événements de détection et alertes sont inclus dans chaque forfait, module complémentaire ou offre groupée. Nous pouvons cependant vous fournir les conseils suivants :

  • Le plan Microsoft 365 E5 ou le module complémentaire de sécurité E5 inclut tous les événements de détection Microsoft utilisés pour créer des cas à examiner.
  • Pour les alertes d'identité basées sur Entra ID Protection, vous aurez besoin des plans entra ID P2 (fournis avec les plans E5 mentionnés ci-dessus).
  • Pour les autres composants, consultez votre spécialiste des licences Microsoft pour savoir de quels forfaits Microsoft ou références SKU individuelles vous avez besoin pour accéder à ces composants et obtenir leurs événements de détection Graph Security.

Pour plus d'informations sur l'API Graph Security et les alertes générées par des fournisseurs spécifiques, consultez la page Alertes et incidents.