Microsoft 365 Response Actions
Se si configurano Microsoft 365 Response Actions, si consiglia di configurare anche le integrazioni di inserimento dei dati Microsoft 365 Management Activity e Microsoft Graph Security v2. Questi strumenti generano rilevamenti e arricchiscono le indagini con dati, aiutando a rispondere agli eventi nel proprio ambiente Microsoft.
È possibile integrare Microsoft 365 Response Actions con Sophos Central. Sarà così possibile utilizzare queste azioni per risolvere i problemi rilevati.
È un’integrazione basata su API.
Una volta completata l’integrazione, sarà possibile intraprendere le seguenti azioni:
- Blocco o autorizzazione dell’accesso utente. Questa opzione aiuta a bloccare eventuali accessi non autorizzati ai sistemi.
- Disconnessione o revoca di tutte le sessioni attuali. Aiuta a isolare gli account compromessi e blocca i movimenti laterali delle minacce.
- Disattivazione delle regole della casella di posta in arrivo per l’utente. Aiuta a bloccare gli inoltri pericolosi di e-mail di natura sensibile, nonché a evitare le tattiche di elusione della sicurezza, l’eliminazione di prove e molto di più.
Clienti MDR
Indipendentemente dalle autorizzazioni configurate qui, Sophos Central applicherà l’opzione di risposta alle minacce selezionata nella pagina delle impostazioni di MDR. Ad esempio, se è stato selezionato Collabora, gli analisti di MDR non potranno intervenire senza ricevere prima l’autorizzazione esplicita.
Avviso
Se l’ambiente è in una configurazione ibrida di Entra ID che usa Microsoft Entra Connect Sync, l’ambiente on-premise avrà la precedenza durante la sincronizzazione. Se si utilizza Microsoft 365 Response Actions per disconnettere un account Entra ID, Entra Connect Sync potrebbe connettersi di nuovo in un secondo momento, e questo è fuori dal nostro controllo.
Requisiti
Per configurare questa integrazione è necessario essere amministratore di Microsoft 365.
Si consiglia di configurare anche le integrazioni di inserimento dei dati Microsoft 365 Management Activity e Microsoft Graph Security v2. Questi strumenti generano rilevamenti e arricchiscono le indagini con dati, aiutando a rispondere agli eventi nel proprio ambiente Microsoft.
Configurazione di un’integrazione
Per configurare un’integrazione Microsoft 365 Response Actions con Sophos Central, procedere come segue:
- In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
-
Cliccare su Microsoft 365 - Response Actions.
Verrà visualizzata la pagina Response Actions. Qui è possibile configurare integrazioni e vedere se un’integrazione è già configurata.
-
Cliccare su Aggiungi configurazione.
- Nella pagina Aggiungi azione di risposta, inserire il Nome dell’integrazione e la Descrizione dell’integrazione.
- Cliccare su Salva e continua.
-
Leggere il testo visualizzato in Connetti a Microsoft 365 e cliccare su Continua.
Verrà effettuata la connessione a Microsoft 365 per creare un’applicazione che si integra con Sophos Central.
-
Immettere o selezionare il proprio account Microsoft ed effettuare l’accesso.
-
Verrà chiesto di concedere autorizzazioni a un’app. Queste autorizzazioni ci permettono di creare un’app Microsoft da integrare con Sophos Central. Cliccare su Accetta.
-
Viene richiesto di concedere all’app di integrazione con Sophos Central appena creata le autorizzazioni necessarie per permettere a questa app di intraprendere azioni di risposta secondo necessità. Cliccare su Accetta.
Si tornerà quindi a Sophos Central, dove si vedrà che l’integrazione è stata configurata.
Esecuzione di azioni di risposta
È ora possibile eseguire Microsoft 365 Response Actions dalla scheda Risposta, nella pagina dei dettagli di un caso in Sophos Central. Vedere Risposta ai casi.