Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=m365-response-actions

Microsoft 365 Response Actions

API Produttività

Se si configurano Microsoft 365 Response Actions, si consiglia di configurare anche le integrazioni di inserimento dei dati Microsoft 365 Management Activity e Microsoft Graph Security v2. Questi strumenti generano rilevamenti e arricchiscono le indagini con dati, aiutando a rispondere agli eventi nel proprio ambiente Microsoft.

È possibile integrare Microsoft 365 Response Actions con Sophos Central. Sarà così possibile utilizzare queste azioni per risolvere i problemi rilevati.

È un’integrazione basata su API.

Una volta completata l’integrazione, sarà possibile intraprendere le seguenti azioni:

  • Blocco o autorizzazione dell’accesso utente. Questa opzione aiuta a bloccare eventuali accessi non autorizzati ai sistemi.
  • Disconnessione o revoca di tutte le sessioni attuali. Aiuta a isolare gli account compromessi e blocca i movimenti laterali delle minacce.
  • Disattivazione delle regole della casella di posta in arrivo per l’utente. Aiuta a bloccare gli inoltri pericolosi di e-mail di natura sensibile, nonché a evitare le tattiche di elusione della sicurezza, l’eliminazione di prove e molto di più.

Clienti MDR

Indipendentemente dalle autorizzazioni configurate qui, Sophos Central applicherà l’opzione di risposta alle minacce selezionata nella pagina delle impostazioni di MDR. Ad esempio, se è stato selezionato Collabora, gli analisti di MDR non potranno intervenire senza ricevere prima l’autorizzazione esplicita.

Avviso

Se l’ambiente è in una configurazione ibrida di Entra ID che usa Microsoft Entra Connect Sync, l’ambiente on-premise avrà la precedenza durante la sincronizzazione. Se si utilizza Microsoft 365 Response Actions per disconnettere un account Entra ID, Entra Connect Sync potrebbe connettersi di nuovo in un secondo momento, e questo è fuori dal nostro controllo.

Requisiti

Per configurare questa integrazione è necessario essere amministratore di Microsoft 365.

Si consiglia di configurare anche le integrazioni di inserimento dei dati Microsoft 365 Management Activity e Microsoft Graph Security v2. Questi strumenti generano rilevamenti e arricchiscono le indagini con dati, aiutando a rispondere agli eventi nel proprio ambiente Microsoft.

Configurazione di un’integrazione

Per configurare un’integrazione Microsoft 365 Response Actions con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Microsoft 365 - Response Actions.

    Verrà visualizzata la pagina Response Actions. Qui è possibile configurare integrazioni e vedere se un’integrazione è già configurata.

  3. Cliccare su Aggiungi configurazione.

  4. Nella pagina Aggiungi azione di risposta, inserire il Nome dell’integrazione e la Descrizione dell’integrazione.
  5. Cliccare su Salva e continua.

  6. Leggere il testo visualizzato in Connetti a Microsoft 365 e cliccare su Continua.

    Verrà effettuata la connessione a Microsoft 365 per creare un’applicazione che si integra con Sophos Central.

  7. Immettere o selezionare il proprio account Microsoft ed effettuare l’accesso.

    Scegliere un account.

  8. Verrà chiesto di concedere autorizzazioni a un’app. Queste autorizzazioni ci permettono di creare un’app Microsoft da integrare con Sophos Central. Cliccare su Accetta.

    Autorizzazioni richieste per la creazione di un’app per l’integrazione.

  9. Viene richiesto di concedere all’app di integrazione con Sophos Central appena creata le autorizzazioni necessarie per permettere a questa app di intraprendere azioni di risposta secondo necessità. Cliccare su Accetta.

    Autorizzazioni richieste per l’app di integrazione con Sophos Central.

Si tornerà quindi a Sophos Central, dove si vedrà che l’integrazione è stata configurata.

Esecuzione di azioni di risposta

È ora possibile eseguire Microsoft 365 Response Actions dalla scheda Risposta, nella pagina dei dettagli di un caso in Sophos Central. Vedere Risposta ai casi.