Aller au contenu
Découvrez comment nous prenons en charge MDR.

Microsoft 365 Response Actions

Vous pouvez intégrer Microsoft 365 Response Actions à Sophos Central. Ceci vous permettra d’utiliser ces actions pour résoudre les problèmes détectés.

C’est une intégration basée sur une API.

Une fois l’intégration terminée, vous serez en mesure d’effectuer les actions suivantes :

  • Bloquer ou autoriser la connexion utilisateur. Cela permet d’empêcher tout accès non autorisé à vos systèmes.
  • Déconnecter ou révoquer toutes les sessions en cours. Ceci permet d’isoler les comptes compromis et d’arrêter les mouvements latéraux des menaces.
  • Désactiver les règles de boîte de réception pour l’utilisateur. Cela permet d’empêcher le transfert malveillant d’emails sensibles, les tactiques de contournement de la sécurité, la suppression de preuves, etc.

Clients MDR

Quelles que soient les autorisations que vous définirez ici, Sophos Central appliquera l’option de Réponse aux menaces que vous avez sélectionnée sur la page Paramètres MDR. Par exemple, si vous avez sélectionné Collaborer, les analystes MDR ne pourront pas intervenir sans votre autorisation.

Conditions requises

Vous devez être un administrateur Microsoft 365 pour configurer cette intégration.

Aucune licence Microsoft n’est requise pour cette intégration.

Conseil d’utilisation

Si vous configurez les actions de réponse Microsoft 365, nous vous recommandons de configurer également les intégrations d’acquisition de données Microsoft 365 Management Activity et Microsoft Graph Security v2. Celles-ci génèreront des détections et enrichiront vos investigations, pour vous aider à réagir plus efficacement aux événements survenant au sein de votre parc informatique Microsoft.

Configurer une intégration

Il n’est possible de configurer l’intégration des actions de réponse que pour les environnements Microsoft 365. Nous vous recommandons de choisir votre environnement principal ou l’environnement le plus étendu.

Pour configurer une intégration Microsoft 365 Response Actions avec Sophos Central, procédez comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Cliquez sur Microsoft 365 - Response Actions.

    La page Actions de réponse s’ouvre. Si une intégration est déjà configurée, elle s’affiche ici et vous ne pourrez pas en ajouter une autre.

  3. Cliquez sur Ajouter une configuration.

  4. Sur la page Ajouter une action de réponse, saisissez le Nom de l’intégration et la Description de l’intégration.
  5. Cliquez sur Enregistrer et continuer.
  6. Lisez le texte dans Connecter à Microsoft 365, puis cliquez sur Continuer.

    Vous êtes connecté à Microsoft 365 pour créer une application qui s’intègre à Sophos Central.

  7. Saisissez ou sélectionnez votre compte Microsoft et connectez-vous.

    Choisissez un compte.

  8. Vous êtes invité à accorder des autorisations à une appli. Ces autorisations nous permettent de créer une appli Microsoft à intégrer à Sophos Central. Cliquez sur Accepter.

    Autorisations requises pour la création d’une appli à intégrer.

  9. Vous êtes invité à accorder des autorisations à l’appli Intégration Sophos Central nouvellement créée afin qu’elle puisse effectuer les actions de réponse requises. Cliquez sur Accepter.

    Autorisations demandées pour l’appli d’intégration Sophos Central.

Vous êtes renvoyé à Sophos Central où vous voyez votre intégration configurée.

Exécuter les actions de réponse

Vous pouvez désormais exécuter des actions de réponse Microsoft 365 à partir de l’onglet Répondre de la page Détails d’un dossier dans Sophos Central. Voir Répondre aux dossiers.

Résoudre les problèmes d’aactions de réponse

Cette section répertorie les problèmes qui peuvent survenir lorsque vous exécutez des actions de réponse.

L’action « Désactiver la règle de boîte de réception individuelle » échoue.

Assurez-vous que le nom de la règle de boîte de réception est correct. Pour les besoins de cette action, le nom de la règle de boîte de réception est sensible à la casse.

L’action « Bloquer la connexion utilisateur » ne parvient pas à déconnecter définitivement un compte Entra ID

Si votre environnement est dans une configuration hybride Entra ID utilisant Microsoft Entra Connect Sync, l’environnement local sera prioritaire lors de la synchronisation. Si vous utilisez les actions de réponse Microsoft 365 pour déconnecter un compte Entra ID, il est possible que la synchronisation de connexion Entra le reconnecte ultérieurement. Ceci est hors de notre contrôle.