Microsoft 365 Management Activity
È possibile integrare Microsoft 365 Management Activity con Sophos Central. I dati dei log di controllo di Microsoft verranno così aggiunti al Data Lake e sarà possibile eseguirvi query con Sophos Live Discover.
Nota
Microsoft non garantisce che gli eventi verranno registrati nei log di controllo entro un determinato periodo di tempo. Pertanto, Sophos riscontra occasionalmente ritardi nel recupero dei log di controllo dei clienti MDR e XDR. Scopri di più.
Prerequisiti
Occorre essere amministratore di Microsoft 365.
È necessario che il controllo sia attivato in Microsoft 365. In caso contrario, ne verrà richiesta l'attivazione durante la configurazione.
Nelle proprietà delle API Microsoft Office 365 Management, l’opzione Abilitata per l’accesso degli utenti? deve essere impostata su Sì. Per verificare e modificare questa impostazione, vedere Gestione delle API Microsoft Office 365 .
Configurazione di un’integrazione
Per integrare i dati di Microsoft 365 con Sophos Central, procedere come segue:
- In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
-
Cliccare su Microsoft - API Office 365 Management Activity.
Si apre la pagina Microsoft - API Office 365 Management Activity. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.
-
In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.
Nota
Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.
-
In Passaggi di integrazione, se il controllo di Microsoft 365 non è ancora attivato, è possibile cliccare su Attiva controllo di Microsoft 365.
Così facendo, si passerà a Microsoft 365. Attivare il controllo e tornare a Sophos Central. Vedere Attivare o disattivare il controllo.
Potrebbe essere richiesta l'autenticazione con Microsoft per attivare il controllo.
Nota
La visualizzazione dei dati dei log di controllo di Microsoft 365 può richiedere fino a 12 ore dopo l'attivazione del controllo.
-
Cliccare su Salva e continua.
-
Leggere il testo visualizzato in Connetti a Microsoft 365 e cliccare su Procedi.
Verrà effettuata la connessione a Microsoft 365 per creare un’applicazione che si integra con Sophos Central.
-
Immettere o selezionare il proprio account Microsoft ed effettuare l’accesso.
-
Verrà chiesto di concedere autorizzazioni a un’app. Queste autorizzazioni ci permettono di creare un’app Microsoft da integrare con Sophos Central. Cliccare su Accetta.
A seconda dell’ambiente Microsoft 365, potrebbe essere richiesto di effettuare nuovamente l’autorizzazione.
Per stabilire una connessione, potrebbero trascorrere alcuni minuti.
-
Verrà visualizzata la conferma che l’app è stata configurata. Cliccare su Chiudi.
In Sophos Central, sotto Integrazioni > Microsoft - API Office 365 Management Activity, si vedrà la nuova integrazione.
In Live Discover > Query, verrà visualizzata una nuova categoria per i Dati di controllo di Microsoft 365. Le query di questa categoria possono essere eseguite sui dati Microsoft 365.
Gestione delle API Microsoft Office 365
Nelle proprietà di questa API, l’opzione Abilitata per l’accesso degli utenti? deve essere impostata su Sì. Per verificare e modificare questa impostazione, procedere come indicato di seguito.
- Nel portale Microsoft Azure, aprire Azure Active Directory > Applicazioni aziendali > Tutte le applicazioni.
-
In Tutte le applicazioni, applicare il filtro Tipo di applicazione == Applicazioni Microsoft.
-
Cliccare su *API Office 365 Management*.
-
In API Office 365 Management | Proprietà, impostare l’opzione Abilitata per l’accesso degli utenti? su Sì.
-
Cliccare su Salva.