Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=MicrosoftIntegrations

Integrazioni Microsoft

I software e i servizi di sicurezza Microsoft possono essere integrati con Sophos Central.

Configurazione delle integrazioni

Per configurare un’integrazione, aprire Centro di analisi delle minacce > Integrazioni > Marketplace e cliccare sul nome dell’integrazione.

Per informazioni dettagliate su come configurare ciascuna integrazione, vedere le seguenti pagine:

Come funzionano le integrazioni

La piattaforma Sophos XDR si integra con Microsoft utilizzando l’API Microsoft Management Activity e l’API Microsoft Graph Security. Sophos utilizza entrambe le API in modo indipendente per rilevare le minacce nell’ambiente di Microsoft 365.

M365 Management Activity

Utilizzando l’API Management Activity, la piattaforma Sophos XDR inserisce gli eventi non elaborati che si verificano nell’ambiente di Microsoft 365. Sophos utilizza questi eventi sia per il rilevamento delle minacce che per raccogliere informazioni di supporto aggiuntive per assistere gli analisti durante un’indagine. Questi eventi non elaborati sono disponibili per tutti i clienti Microsoft 365, indipendentemente dalla licenza utilizzata nel loro ambiente.

Il team di engineering del Rilevamento Sophos crea regolarmente regole di rilevamento basate su questi eventi non elaborati ottenuti da Microsoft. Queste regole consentono agli analisti di svolgere indagini sugli scenari che potrebbero indicare una compromissione degli account o un attacco di tipo Business Email Compromise (BEC). Alcuni esempi di indicatori includono la manipolazione delle regole della casella di posta in arrivo, il furto di token di sessione, gli attacchi Man-in-the-Middle, il consenso per applicazioni pericolose e altro.

I rilevamenti basati su Sophos possono essere visualizzati nella pagina Rilevamenti in Sophos Central. I rilevamenti sono contrassegnati come SAAS-M365-xxxxx e presentano il tipo di rilevamento “compound_detections”, come indicato in questo esempio:

Un rilevamento di tipo SAAS-M365.

Con gli eventi dell’API Microsoft Management Activity memorizzati nel Sophos Data Lake, gli analisti possono utilizzare questi log mentre svolgono indagini su un ambiente. Possono, ad esempio, esaminare gli accessi di un utente per confermare o identificare eventi di accesso sospetti o per analizzare l’attività dell’account nell’ambiente di Microsoft 365 durante il periodo di tempo in cui l’account era compromesso.

Per maggiori informazioni su quali dati vengono forniti da Microsoft tramite l’API Management Activity, vedere Office 365 Management APIs overview (Panoramica delle API di gestione di Office 365).

MS Graph Security

Utilizzando l’API Graph Security, Sophos inserisce gli eventi di rilevamento generati da Microsoft, in base alla telemetria osservata nell’ecosistema Microsoft. A seconda della gravità di questi eventi di rilevamento Microsoft, vengono creati casi su cui gli analisti possono svolgere indagini e per i quali possono intraprendere azioni di risposta.

I componenti, o “provider”, che generano eventi di rilevamento per l’API Graph Security sono i seguenti:

  • Entra ID Protection
  • Defender per Office 365
  • Defender per endpoint
  • Defender per identità
  • Defender for Cloud Apps
  • Defender per il cloud
  • Microsoft Sentinel

È possibile visualizzare gli eventi di rilevamento ricevuti dall’API Microsoft Graph Security nella pagina Rilevamenti di Sophos Central. I rilevamenti sono contrassegnati come MS-SEC-GRAPH-xxxxx, come mostra questo esempio:

Rilevamenti di tipo MS-SEC-GRAPH.

Gli eventi di rilevamento Microsoft specifici generati da questi prodotti e disponibili per l’inserimento tramite l’API Graph Security dipendono dalla licenza Microsoft 365 utilizzata nell’ambiente. Le licenze possono includere il piano per utente individuale e qualsiasi componente add-on o bundle aggiunto agli utenti o alla tenancy di Microsoft 365.

Si consiglia di rivolgersi al proprio esperto di licensing Microsoft 365, per sapere quali provider, eventi di rilevamento e avvisi sono inclusi in ogni piano, add-on o bundle. Possiamo tuttavia fornire le seguenti indicazioni:

  • Il piano Microsoft 365 E5 o l’add-on di sicurezza per E5 includono tutti gli eventi di rilevamento di Microsoft utilizzati per creare casi su cui svolgere indagini.
  • Per gli avvisi relativi alle identità basati su Entra ID Protection, occorrono i piani Entra ID P2 (in bundle con i piani E5 indicati sopra).
  • Per gli altri componenti, rivolgersi al proprio esperto di licensing Microsoft, per sapere quali bundle Microsoft o SKU individuali sono necessari per utilizzare tali componenti e i rispettivi eventi di rilevamento di Graph Security.

Per maggiori informazioni sull’API Graph Security e sugli avvisi generati da provider specifici, vedere Alerts and incidents (Avvisi e incidenti).