Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégrer l’API de sécurité MS Graph V2

  • Recommandation


    Ces instructions concernent l’API de sécurité Microsoft Graph V2, qui utilise le service d’alertes V2 (alertes et incidents). Voir Alertes et incidents.

    L’API de sécurité Microsoft Graph V2 remplacera éventuellement l’API de sécurité Microsoft Graph héritée, qui utilise le service d’alertes hérité.

    Les alertes spécifiques renvoyées et les produits disponibles dépendent de votre niveau de licence Microsoft. Retrouvez plus de renseignements auprès de votre représentant Microsoft.

    Nous vous recommandons de configurer les intégrations pour l’API de sécurité Microsoft Graph V2 et l’API de sécurité Microsoft Graph hérité, et de les exécuter ensemble, jusqu’à ce que Microsoft confirme les plans de fin de vie de la version héritée.

Vous pouvez intégrer la sécurité Microsoft Graph pour ajouter des alertes au Sophos Data Lake. Vous pouvez ainsi interroger les données Microsoft Graph avec Sophos Live Discover.

Conditions requises

Vous devez être un administrateur de Microsoft 365.

Vous devez avoir accès aux fonctions de Microsoft Defender XDR. Pour les licences qui vous donnent cet accès, consultez Prérequis pour Microsoft Defender XDR.

Configurer une intégration

Pour intégrer la sécurité Microsoft Graph à Sophos Central, procédez comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Cliquez sur Microsoft - Graph Security API V2.

    La page Microsoft - Graph Security API s’ouvre. Vous pouvez configurer les intégrations et voir une liste de celles que vous avez déjà configurées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.

  4. Dans Étapes d’intégration, procédez comme suit :

    1. Saisissez le Nom de l’intégration et la Description de l’intégration.
    2. Cliquez sur Enregistrer et continuer.
  5. Lisez le texte dans Connecter à Microsoft 365, puis cliquez sur Continuer.

    Vous êtes connecté à Microsoft 365 pour créer une application qui s’intègre à Sophos Central.

  6. Saisissez ou sélectionnez votre compte Microsoft et connectez-vous.

    Choisissez un compte.

  7. Vous êtes invité à accorder des autorisations à une appli. Ces autorisations nous permettent de créer un appli Microsoft à intégrer à Sophos Central. Cliquez sur Accepter.

    Demande d’autorisations.

  8. Si vous y êtes invité, sélectionnez le compte Microsoft à utiliser.

  9. Vous êtes invité à accorder des autorisations relatives à la nouvelle appli Sophos XDR - Alertes de sécurité afin qu’elle puisse s’exécuter et transmettre des données MS Graph à Sophos. Cliquez sur Accepter.

    Demande d’autorisations.

  10. Vous voyez la confirmation que l’appli est configurée. Cliquez sur Fermer.

    Message Connexion réussie.

  11. S’il s’agit de votre première intégration à l’aide d’alertes et d’incidents MS Graph, vous devrez peut-être provisionner le service d’alertes avec Microsoft Defender pour éviter les problèmes d’autorisation.

    Rendez-vous sur https://security.microsoft.com/alerts. Vous verrez peut-être s’afficher le message ci-dessous. Le provisionnement peut prendre environ une heure. Vous pourrez alors afficher les nouvelles alertes et le service d’alertes fonctionnera.

    Voir Je peux exécuter l’API d’alerte héritée (/v1.0/Security/Alerts) et peut obtenir des résultats mais quand j’exécute une nouvelle API d’alerte (/v1.0/Security/Alerts_v2), elle est renvoyée comme nulle.

La nouvelle intégration s’affiche dans Sophos Central, dans Intégrations > Microsoft - API Graph Security V2.

Après environ cinq minutes, les données apparaissent comme disponibles dans le Centre de sécurité Microsoft Defender, et l’appli Microsoft synchronise Sophos Data Lake avec Microsoft Graph.

Sophos Data Lake reçoit désormais des alertes de sécurité Microsoft Graph.