Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=m365-response-actions

Microsoft 365 Response Actions

Vous pouvez intégrer Microsoft 365 Response Actions à Sophos Central. Ceci vous permettra d’utiliser ces actions pour résoudre les problèmes détectés.

C’est une intégration basée sur une API.

Une fois l’intégration terminée, vous serez en mesure d’effectuer les actions suivantes :

  • Bloquer ou autoriser la connexion utilisateur. Ceci permet d’empêcher tout accès non autorisé à vos systèmes.
  • Déconnecter ou révoquer toutes les sessions en cours. Ceci permet d’isoler les comptes compromis et d’arrêter les mouvements latéraux des menaces.
  • Désactiver les règles de boîte de réception pour l’utilisateur. Ceci permettra d’empêcher le transfert malveillant d’emails sensibles, les tactiques de contournement de la sécurité, la suppression de preuves, etc.

Restrictions

Les restrictions suivantes s'appliquent à Microsoft 365 Response Actions :

  • Clients MDR

    Quelles que soient les autorisations que vous définissez pour l'intégration de Microsoft 365 Response Actions, Sophos Central applique l'option de réponse que vous avez sélectionnée dans vos paramètres MDR. Par exemple, si vous avez sélectionné Collaborer, les analystes MDR ne pourront pas intervenir sans votre autorisation.

  • « Bloquer la connexion utilisateur » est susceptible de ne pas déconnecter un compte Entra ID de façon définitive

    Si votre environnement est dans une configuration hybride Entra ID utilisant Microsoft Entra Connect Sync, l’environnement local sera prioritaire lors de la synchronisation. Si vous utilisez les actions de réponse Microsoft 365 pour déconnecter un compte Entra ID, il est possible que la synchronisation de connexion Entra le reconnecte ultérieurement. Ceci est hors de notre contrôle.

Conditions requises

Vous devez être un administrateur Microsoft 365 pour configurer cette intégration.

Aucune licence Microsoft n’est requise pour cette intégration.

Recommandation

Si vous configurez les actions de réponse Microsoft 365, nous vous recommandons de configurer également les intégrations d’acquisition de données Microsoft 365 Management Activity et Microsoft Graph Security v2. Celles-ci génèreront des détections et enrichiront vos investigations, pour vous aider à réagir plus efficacement aux événements survenant au sein de votre parc informatique Microsoft.

Configurer une intégration

Il n’est possible de configurer l’intégration des actions de réponse que pour les environnements Microsoft 365. Nous vous recommandons de choisir votre environnement principal ou l’environnement le plus étendu.

La configuration de cette intégration crée un identifiant qui sera utilisé pour effectuer des actions. Si celui-ci n'est pas utilisé fréquemment, vous pourriez recevoir des notifications de suspension de l'identifiant. Retrouvez plus d’aide sur le report de la suspension ou l’annulation de la suspension de l’identifiant sur Gestionnaire d’identifiants d’intégration.

Pour configurer une intégration Microsoft 365 Response Actions avec Sophos Central, procédez comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.

  2. Cliquez sur Microsoft 365 - Response Actions.

    La page Actions de réponse s’ouvre. Si une intégration est déjà configurée, elle s’affiche ici et vous ne pourrez pas en ajouter une autre.

  3. Cliquez sur Ajouter une configuration.

  4. Sur la page Ajouter une action de réponse, saisissez le Nom de l’intégration et la Description de l’intégration.

    Note

    Le nom de l’intégration ne doit pas contenir plus de 21 caractères.

  5. Cliquez sur Enregistrer et continuer.

  6. Lisez le texte dans Connecter à Microsoft 365, puis cliquez sur Continuer.

    Vous êtes connecté à Microsoft 365 pour créer une application qui s’intègre à Sophos Central.

  7. Saisissez ou sélectionnez votre compte Microsoft et connectez-vous.

    Choisissez un compte.

  8. Vous êtes invité à accorder des autorisations à une appli. Ces autorisations nous permettent de créer un appli Microsoft à intégrer à Sophos Central. Cliquez sur Accepter.

    Autorisations requises pour la création d’une appli à intégrer.

  9. Vous êtes invité à accorder des autorisations à l’appli Intégration Sophos Central nouvellement créée afin qu’elle puisse effectuer les actions de réponse requises. Cliquez sur Accepter.

    Autorisations demandées pour l’appli d’intégration Sophos Central.

Vous êtes renvoyé à Sophos Central où vous voyez votre intégration configurée.

Exécuter les actions de réponse

Vous pouvez désormais exécuter des actions de réponse Microsoft 365 à partir de l’onglet Répondre de la page Détails d’un dossier dans Sophos Central. Voir Répondre aux dossiers.

Résoudre les problèmes d’aactions de réponse

Cette section répertorie les problèmes qui peuvent survenir lorsque vous exécutez des actions de réponse.

L’action « Désactiver la règle de boîte de réception individuelle » échoue.

Assurez-vous que le nom de la règle de boîte de réception est correct. Pour les besoins de cette action, le nom de la règle de boîte de réception est sensible à la casse.