Intégrations Microsoft 365
Vous pouvez intégrer des logiciels de sécurité et services de Microsoft à Sophos Central.
Configurer des intégrations
Pour configurer une intégration, cliquez sur Centre d’analyse des menaces > Intégrations > Marketplace et cliquez sur le nom de l’intégration.
Retrouvez plus de renseignements sur la configuration de chaque intégration aux pages suivantes :
- Microsoft 365 Management Activity
- API de sécurité Microsoft Graph (version héritée)
- API de sécurité MS Graph V2
Fonctionnement des intégrations
La plate-forme Sophos XDR s'intègre à Microsoft à l'aide de l'API Microsoft Management Activity et de l'API Microsoft Graph Security. Sophos utilise les deux API indépendamment pour détecter les menaces dans l'environnement Microsoft 365.
Activité de gestion M365
À l’aide de l’API Management Activity, la plate-forme Sophos XDR ingère les événements bruts se produisant dans l’environnement Microsoft 365. Sophos utilise ces événements à la fois pour la détection des menaces et pour offrir des informations complémentaires aux analystes au cours d'une investigation. Ces événements bruts sont disponibles pour tous les clients Microsoft 365, quelle que soit la licence utilisée dans leur environnement.
L'équipe d’ingénieurs de détection de Sophos crée régulièrement des règles de détection basés sur ces événements bruts de Microsoft. Ces règles permettent aux analystes d’étudier des scénarios qui pourraient indiquer qu’un compte ou qu’un email professionnel a été compromis (BEC). Les exemples d’indicateurs incluent la manipulation des règles de boîte de réception, le vol de jetons de session, les attaques d’interception (« man-in-the-middle »), le consentement aux applications malveillantes, etc.
Vous pouvez voir les détections effectuées par Sophos sur la page Détections dans Sophos Central. Les détections sont marquées SAAS-M365-xxxxx et sont de type « compound_detections » (détections mixtes), comme indiqué dans cet exemple :
Avec les événements de l'API d'activité de gestion Microsoft stockés dans le Sophos Data Lake, les analystes peuvent utiliser ces journaux lorsqu'ils enquêtent dans un environnement. Par exemple, les connexions d'un utilisateur peuvent être vérifiées pour confirmer ou identifier des événements de connexion suspects, ou pour vérifier l'activité du compte dans l'environnement Microsoft 365 lorsque le compte a été compromis.
Pour plus d'informations sur les données fournies par Microsoft via l'API d'activité de gestion, consultez Vue d’ensemble des API de gestion d’Office 365.
API de sécurité Microsoft Graph (version héritée)
Cette intégration est destinée au service d’alertes héritées MS Graph. Une intégration est désormais disponible pour le nouveau service d’alertes v2 (alertes et incidents). Voir Intégration de l’API de sécurité Microsoft Graph V2.
Avec l’API de sécurité MS Graph, Sophos ingère les événements de détection générés par Microsoft, en fonction de la télémétrie observée dans l’écosystème Microsoft. En fonction de la gravité de ces événements de détection Microsoft, nous créons des dossiers pour que les analystes puissent les examiner et y répondre.
Les composants, ou « fournisseurs », qui génèrent des événements de détection vers l’API de sécurité Graph sont les suivants :
- Entra ID Protection
- Defender for Office 365
- Defender for Endpoint
- Defender for Identity
- Defender for Cloud Apps
- Defender for Cloud
- Microsoft Sentinel
Vous pouvez voir les événements de détection reçus par l’API de sécurité Microsoft Graph sur la page Détections de Sophos Central. Les détections sont étiquetées MS-SEC-GRAPH-xxxxx, comme illustré dans cet exemple :
Les événements de détection Microsoft spécifiques générés par ces produits et disponibles à l’ingestion via l’API de sécurité Graph dépendent de la licence Microsoft 365 utilisée dans l'environnement. Ceci peut inclure le forfait individuel par utilisateur, et tous les modules complémentaires ou lots supplémentaires ajoutés aux utilisateurs ou à la location Microsoft 365.
Nous vous recommandons de consulter votre spécialiste des licences Microsoft 365 pour savoir quels fournisseurs, événements de détection et alertes sont inclus dans chaque forfait, module complémentaire ou offre groupée. Nous pouvons cependant vous fournir les conseils suivants :
- Le plan Microsoft 365 E5 ou le module complémentaire de sécurité E5 inclut tous les événements de détection Microsoft utilisés pour créer des cas à examiner.
- Pour les alertes d'identité basées sur Entra ID Protection, vous aurez besoin des plans entra ID P2 (fournis avec les plans E5 mentionnés ci-dessus).
- Pour les autres composants, consultez votre spécialiste des licences Microsoft pour savoir de quels forfaits Microsoft ou références SKU individuelles vous avez besoin pour accéder à ces composants et obtenir leurs événements de détection Graph Security.
Retrouvez plus de renseignements sur l’API de sécurité Graph et les alertes générées par des fournisseurs spécifiques sur Alertes et incidents.
API de sécurité MS Graph V2
Cette intégration est destinée au service d’alertes de l’API de sécurité Microsoft Graph v2 (incidents et alertes). Nous vous recommandons de l’utiliser.
Retrouvez une vue d’ensemble sur Intégration de l’API de sécurité Microsoft Graph V2.