Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=ms-graph-v2-overview

Intégration de l’API de sécurité Microsoft Graph V2

API Productivité

Vous pouvez intégrer Microsoft Graph Security à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Sécurité Microsoft Graph

Microsoft Graph Security est une passerelle unifiée qui consolide les informations de sécurité de divers produits et services Microsoft via la version 2 de l'API, également appelée API alertes et incidents. Celle-ci remplace le point de terminaison Alertes (hérité) précédent fourni par Microsoft.

Selon la licence Microsoft sous-jacente du client (par exemple, E5), nous ingérerons des alertes enrichies qui ont été transmises en tant qu’alertes de sécurité Graph API à partir des sources de télémétrie de sécurité suivantes :

  • Microsoft Entra ID Protection
  • Microsoft 365 Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Purview Data Loss Prevention
  • Microsoft Purview Insider Risk Management

Remarque

Nous n’ingérons pas les données Entra ID concernant les utilisateurs à risque, les principaux de service à risque ou les événements de risque liés aux principaux de service. Cela nécessite l'ingestion des journaux d'événements Entra ID, que Sophos XDR et MDR ne prennent pas en charge actuellement. Pour l'ingestion des journaux d'événements Entra ID, consultez Guide d'intégration ITDR.

Documents Sophos

Ce que nous ingérons

Exemples d’alertes concrètes :

  • Exécution de fichier masqué détectée
  • Tentative d'exécution de commandes Linux sur un service d'appli Windows
  • Accès par mot de passe suspect
  • Le site Web est marqué comme malveillant dans le flux de renseignements sur les menaces
  • Utilisation suspecte de la commande useradd détectée
  • Outil d'attaque possible détecté
  • Outil d'accès aux identifiants détecté

Alertes ingérées dans leur intégralité

Nous ingérons les alertes de la sécurité MS Graph dans l'espace de noms microsoft.graph.security. Pour une documentation complète, voir type de ressource d'alerte.

Filtrage

Aucun filtre n'est appliqué, sauf pour confirmer que le format renvoyé par l'API est conforme aux attentes.

Exemples de mappages de menaces

Le mappage d'alerte provient du champ de titre renvoyé dans l'alerte.

{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentation fournisseur