Intégration de l’API de sécurité Microsoft Graph V2
Vous pouvez intégrer Microsoft Graph Security à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.
Cette page vous donne une vue générale de l’intégration.
Sécurité Microsoft Graph
Microsoft Graph Security est une passerelle unifiée qui consolide les informations de sécurité de divers produits et services Microsoft via la version 2 de l'API, également appelée API alertes et incidents. Celle-ci remplace le point de terminaison Alertes (hérité) précédent fourni par Microsoft.
Nous vous recommandons de configurer les intégrations Sophos pour Intégrer l’API de sécurité MS Graph V2 et API de sécurité Microsoft Graph (version héritée), et de les exécuter ensemble, jusqu'à ce que Microsoft confirme les plans de fin de vie de la version héritée.
En fonction de la licence Microsoft sous-jacente du client (par exemple, E5), nous ingérons des données via l'API Graph à partir des sources de télémétrie de sécurité suivantes :
- Protection Microsoft Entra ID
- Microsoft 365 Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Purview Data Loss Prevention
Documents Sophos
Ce que nous ingérons
Exemples d’alertes concrètes :
- Exécution de fichier masqué détectée
- Tentative d'exécution de commandes Linux sur un service d'appli Windows
- Accès par mot de passe suspect
- Le site Web est marqué comme malveillant dans le flux de renseignements sur les menaces
- Utilisation suspecte de la commande useradd détectée
- Outil d'attaque possible détecté
- Outil d'accès aux identifiants détecté
Alertes ingérées dans leur intégralité
Nous ingérons les alertes de la sécurité MS Graph dans l'espace de noms microsoft.graph.security. Pour une documentation complète, voir type de ressource d'alerte.
Filtrage
Aucun filtre n'est appliqué, sauf pour confirmer que le format renvoyé par l'API est conforme aux attentes.
Exemples de mappages de menaces
Le mappage d'alerte provient du champ de titre renvoyé dans l'alerte.
{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}