Aller au contenu
Découvrez comment nous prenons en charge MDR.

Microsoft 365 Management Activity

Vous pouvez intégrer Microsoft 365 Management Activity à Sophos Central. Ceci ajoute les données du journal d’audit Microsoft au Data Lake et vous permet de les interroger avec Sophos Live Discover.

Remarque

Microsoft ne garantit pas que les événements soient enregistrés dans les journaux d'audit dans un délai précis. Par conséquent, Sophos subit parfois des retards dans l'obtention des journaux d'audit des clients MDR et XDR. En savoir plus

Conditions préalables

Vous devez être un administrateur de Microsoft 365.

L’audit doit être activé dans Microsoft 365. Si ce n’est pas le cas, vous serez invité à l’activer pendant la configuration.

Dans les propriétés de vos API de gestion Microsoft Office 365, vous devez avoir configuré l’option Activé pour que les utilisateurs se connectent ? sur Oui. Pour vérifier et configurer cette option, consultez Gérer les API Microsoft Office 365.

Configurer une intégration

Pour intégrer Microsoft 365 à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Cliquez sur Microsoft - Office 365 Management Activity API.

    La page Microsoft - Office 365 Management Activity API s’ouvre. Vous pouvez configurer les intégrations et voir une liste de celles que vous avez déjà configurées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.

  4. Dans Étapes d’intégration, si l’audit Microsoft 365 n’est pas déjà activé, vous pouvez cliquer sur Activer l’audit Microsoft 365.

    Vous serez redirigé vers Microsoft 365. Activez l’audit, puis retournez dans Sophos Central. Voir Activer ou désactiver l’audit.

    Microsoft peut vous demander de vous authentifier pour activer l’audit.

    Remarque

    L’affichage des données du journal d’audit de Microsoft 365 peut prendre jusqu’à 12 heures après l’activation de l’audit.

  5. Cliquez sur Enregistrer et continuer.

  6. Lisez le texte dans Connecter à Microsoft 365, puis cliquez sur Continuer.

    Vous êtes connecté à Microsoft 365 pour créer une application qui s’intègre à Sophos Central.

    Choisissez un compte.

  7. Saisissez ou sélectionnez votre compte Microsoft et connectez-vous.

  8. Vous êtes invité à accorder des autorisations à une appli. Ces autorisations nous permettent de créer un appli Microsoft à intégrer à Sophos Central. Cliquez sur Accepter.

    Demande d’autorisations.

    Il se peut que vous soyez invité à donner une nouvelle autorisation, en fonction de votre environnement Microsoft 365.

    La connexion peut prendre quelques minutes.

  9. Vous voyez la confirmation que l’appli est configurée. Cliquez sur Fermer.

    Message Connexion réussie.

La nouvelle intégration s’affiche dans Sophos Central, dans Intégrations > Microsoft - Activité de gestion Office 365.

Dans Live Discover > Demande, une nouvelle catégorie de Données d’audit Microsoft 365 apparaît. Vous pouvez exécuter des requêtes correspondant à cette catégorie sur vos données Microsoft 365.

Gérer les API Microsoft Office 365

Dans les propriétés de cette API, l’option Activé pour que les utilisateurs se connectent ? doit être configurée sur Oui. Pour vérifier et modifier cette option, procédez de la manière suivante :

  1. Dans votre portail Microsoft Azure, accédez à Azure Active Directory > Applications d’entreprise > Toutes les applications.
  2. Dans Toutes les applications, filtrez par Type d’application == Applications Microsoft.

    Filtrer les applications.

  3. Cliquez sur API de gestion Office 365.

  4. Dans API de gestion Office 365 | Propriétés, configurez l’option Activé pour que les utilisateurs se connectent ? sur Oui.

    Définissez le paramètre dans les propriétés.

  5. Cliquez sur Enregistrer.