Vai al contenuto
Il supporto che offriamo per MDR.

Log di controllo di Microsoft 365

API

È possibile aggiungere i dati dei log di controllo di Microsoft 365 al Data Lake. Questo permette di eseguire query sui dati di Microsoft Graph con Sophos Live Discover.

Prerequisiti

Occorre essere amministratore di Microsoft 365.

È necessario che il controllo sia attivato in Microsoft 365. In caso contrario, ne verrà richiesta l'attivazione durante la configurazione.

Nelle proprietà delle API Microsoft Office 365 Management, l’opzione Abilitata per l’accesso degli utenti? deve essere impostata su . Per verificare e modificare questa impostazione, vedere Gestione delle API Microsoft Office 365 .

Configurazione di un’integrazione

Per integrare i dati di Microsoft 365 con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
  2. Cliccare su Microsoft - API Office 365 Management Activity.

    Si apre la pagina Microsoft - API Office 365 Management Activity. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

  4. In Passaggi di integrazione, se il controllo di Microsoft 365 non è ancora attivato, è possibile cliccare su Attiva controllo di Microsoft 365.

    Così facendo, si passerà a Microsoft 365. Attivare il controllo e tornare a Sophos Central. Vedere Attivare o disattivare il controllo.

    Potrebbe essere richiesta l'autenticazione con Microsoft per attivare il controllo.

    Nota

    La visualizzazione dei dati dei log di controllo di Microsoft 365 può richiedere fino a 12 ore dopo l'attivazione del controllo.

  5. Cliccare su Salva e continua.

  6. Leggere il testo visualizzato in Connetti a Microsoft 365 e cliccare su Procedi.

    Verrà effettuata la connessione a Microsoft 365 per creare un’applicazione che si integra con Sophos Central.

    Scegliere un account.

  7. Immettere o selezionare il proprio account Microsoft ed effettuare l’accesso.

  8. Verrà chiesto di concedere autorizzazioni a un’app. Queste autorizzazioni ci permettono di creare un’app Microsoft da integrare con Sophos Central. Cliccare su Accetta.

    Richiesta di autorizzazione.

    A seconda dell’ambiente Microsoft 365, potrebbe essere richiesto di effettuare nuovamente l’autorizzazione.

    Per stabilire una connessione, potrebbero trascorrere alcuni minuti.

  9. Verrà visualizzata la conferma che l’app è stata configurata. Cliccare su Chiudi.

    Messaggio Connessione effettuata.

In Sophos Central, sotto Integrazioni > Microsoft - API Office 365 Management Activity, si vedrà la nuova integrazione.

In Live Discover > Query, verrà visualizzata una nuova categoria per i Dati di controllo di Microsoft 365. Le query di questa categoria possono essere eseguite sui dati Microsoft 365.

Gestione delle API Microsoft Office 365

Nelle proprietà di questa API, l’opzione Abilitata per l’accesso degli utenti? deve essere impostata su . Per verificare e modificare questa impostazione, procedere come indicato di seguito.

  1. Nel portale Microsoft Azure, aprire Azure Active Directory > Applicazioni aziendali > Tutte le applicazioni.
  2. In Tutte le applicazioni, applicare il filtro Tipo di applicazione == Applicazioni Microsoft.

    Filtro delle applicazioni.

  3. Cliccare su *API Office 365 Management*.

  4. In API Office 365 Management | Proprietà, impostare l’opzione Abilitata per l’accesso degli utenti? su .

    Configurazione del parametro nelle proprietà.

  5. Cliccare su Salva.