Integrazione dell’API di sicurezza MS Graph V2
-
Raccomandazione
Queste istruzioni si riferiscono all’API di sicurezza MS Graph V2, che utilizza il servizio Avvisi V2 (Alerts and incidents, “Avvisi e incidenti”). Vedere Alerts and incidents (Avvisi e incidenti).
L’API di sicurezza MS Graph V2 sostituirà l’API di sicurezza MS Graph legacy, che utilizza il servizio legacy di avvisi.
Gli avvisi specifici restituiti e i prodotti disponibili potrebbero dipendere dal livello della licenza Microsoft. Per consulenza, contattare il proprio rappresentante Microsoft.
Si consiglia di configurare integrazioni sia per l’API di sicurezza MS Graph V2 che per l’API di sicurezza MS Graph legacy, e di eseguirle insieme, fino a quando Microsoft non confermerà il programma per l’End-of-Life della versione legacy.
È possibile integrare la sicurezza Microsoft Graph in modo da aggiungere avvisi al Sophos Data Lake. Questo permette di eseguire query sui dati di Microsoft Graph con Sophos Live Discover.
Occorre essere amministratore di Microsoft 365.
Configurazione di un’integrazione
Per integrare la sicurezza di Microsoft Graph con Sophos Central, procedere come segue:
- In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
-
Cliccare su Microsoft - Graph Security API V2.
Si apre la pagina **Microsoft - Graph Security API V2****. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.
-
In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.
Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.
-
Nei Passaggi di integrazione, procedere come segue:
- Immettere il Nome dell’integrazione e la Descrizione dell’integrazione.
- Cliccare su Salva e continua.
-
Leggere il testo visualizzato in Connetti a Microsoft 365 e cliccare su Continua.
Verrà effettuata la connessione a Microsoft 365 per creare un’applicazione che si integra con Sophos Central.
-
Immettere o selezionare il proprio account Microsoft ed effettuare l’accesso.
-
Verrà chiesto di concedere autorizzazioni a un’app. Queste autorizzazioni ci permettono di creare un’app Microsoft da integrare con Sophos Central. Cliccare su Accetta.
-
Se richiesto, selezionare l’account Microsoft da utilizzare.
-
Verrà chiesto di concedere autorizzazioni all’app *Sophos XDR - Security alerts appena creata, in modo che possa eseguirsi e inoltrare dati di MS Graph a Sophos. Cliccare su Accetta*.
-
Verrà visualizzata la conferma che l’app è stata configurata. Cliccare su Chiudi.
-
Se questa è la prima integrazione che utilizza Alerts and incidents (Avvisi e incidenti) di MS Graph, potrebbe essere necessario effettuare il provisioning del servizio di avvisi con Microsoft Defender per evitare problemi di autorizzazione.
Aprire https://security.microsoft.com/alerts. Potrebbe venire visualizzato il messaggio indicato di seguito. Il provisioning può richiedere un’ora. Successivamente, sarà possibile visualizzare i nuovi avvisi e il servizio di avvisi funzionerà correttamente.
In Sophos Central, sotto Integrazioni > Microsoft - Graph Security API V2, sarà possibile visualizzare la nuova integrazione.
Circa cinque minuti dopo che dati risultano disponibili nel Microsoft Defender Security Center, l’app Microsoft sincronizzerà il Sophos Data Lake con Microsoft Graph per la prima volta.
Il Sophos Data Lake riceverà ora gli avvisi di sicurezza di Microsoft Graph.