Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=m365-response-actions

Microsoft 365 Response Actions

È possibile integrare Microsoft 365 Response Actions con Sophos Central. Sarà così possibile utilizzare queste azioni per risolvere i problemi rilevati.

È un’integrazione basata su API.

Una volta completata l’integrazione, sarà possibile intraprendere le seguenti azioni:

  • Blocco o autorizzazione dell’accesso utente. Questa opzione aiuta a bloccare eventuali accessi non autorizzati ai sistemi.
  • Disconnessione o revoca di tutte le sessioni attuali. Aiuta a isolare gli account compromessi e blocca i movimenti laterali delle minacce.
  • Disattivazione delle regole della casella di posta in arrivo per l’utente. Aiuta a bloccare gli inoltri pericolosi di e-mail di natura sensibile, nonché a evitare le tattiche di elusione della sicurezza, l’eliminazione di prove e molto di più.

Restrizioni

Le seguenti restrizioni si applicano a Microsoft 365 Response Actions:

  • Clienti MDR

    Indipendentemente dalle autorizzazioni impostate per l’integrazione Microsoft 365 Response Actions, Sophos Central applica l’opzione di risposta alle minacce selezionata nelle proprie impostazioni di MDR. Ad esempio, se è stato selezionato Collabora, gli analisti di MDR non potranno intervenire senza ricevere prima l’autorizzazione esplicita.

  • L’azione “Block user sign-in” (Blocca l’accesso dell’utente) potrebbe non disconnettere in modo definitivo un account Entra ID

    Se l’ambiente è in una configurazione ibrida di Entra ID che usa Microsoft Entra Connect Sync, l’ambiente on-premise avrà la precedenza durante la sincronizzazione. Se si utilizza Microsoft 365 Response Actions per disconnettere un account Entra ID, Entra Connect Sync potrebbe riconnetterlo in un secondo momento, e questo è fuori dal nostro controllo.

Requisiti

Per configurare questa integrazione è necessario essere amministratore di Microsoft 365.

Non sono previsti requisiti di licenza Microsoft per questa integrazione.

Consiglio

Se si configurano azioni di risposta di Microsoft 365, si consiglia di configurare anche le integrazioni di inserimento dei dati Microsoft 365 Management Activity e Microsoft Graph Security v2. Questi strumenti generano rilevamenti e arricchiscono le indagini con dati, aiutando a rispondere agli eventi nel proprio ambiente Microsoft.

Configurazione di un’integrazione

È possibile configurare una sola integrazione Azioni di risposta per un ambiente Microsoft 365. Si consiglia di scegliere l’ambiente principale o quello più esteso.

La configurazione di questa integrazione crea una credenziale che viene utilizzata per intraprendere azioni. Se non viene utilizzata frequentemente, potrebbero venire visualizzati avvisi che indicano che la credenziale verrà sospesa. Per assistenza su come posticipare o annullare la sospensione di una credenziale, vedere Gestione credenziali di integrazione.

Per configurare un’integrazione Microsoft 365 Response Actions con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Microsoft 365 - Response Actions.

    Verrà visualizzata la pagina Response Actions. Se un’integrazione è già configurata, viene visualizzata qui e non sarà possibile aggiungerne un’altra.

  3. Cliccare su Aggiungi configurazione.

  4. Nella pagina Aggiungi azione di risposta, inserire il Nome dell’integrazione e la Descrizione dell’integrazione.
  5. Cliccare su Salva e continua.

  6. Leggere il testo visualizzato in Connetti a Microsoft 365 e cliccare su Continua.

    Verrà effettuata la connessione a Microsoft 365 per creare un’applicazione che si integra con Sophos Central.

  7. Immettere o selezionare il proprio account Microsoft ed effettuare l’accesso.

    Scegliere un account.

  8. Verrà chiesto di concedere autorizzazioni a un’app. Queste autorizzazioni ci permettono di creare un’app Microsoft da integrare con Sophos Central. Cliccare su Accetta.

    Autorizzazioni richieste per la creazione di un’app per l’integrazione.

  9. Viene richiesto di concedere all’app di integrazione con Sophos Central appena creata le autorizzazioni necessarie per permettere a questa app di intraprendere azioni di risposta secondo necessità. Cliccare su Accetta.

    Autorizzazioni richieste per l’app di integrazione con Sophos Central.

Si tornerà quindi a Sophos Central, dove si vedrà che l’integrazione è stata configurata.

Esecuzione di azioni di risposta

È ora possibile eseguire Microsoft 365 Response Actions dalla scheda Risposta, nella pagina dei dettagli di un caso in Sophos Central. Vedere Risposta ai casi.

Risoluzione dei problemi relativi alle azioni di risposta

Questa sezione elenca i problemi che potrebbero verificarsi quando si eseguono azioni di risposta.

L’azione “Disable individual inbox rule” (Disattiva regola Posta in arrivo individuale) non riesce.

Assicurarsi che il nome della regola Posta in arrivo sia corretto. Per questa azione, il nome della regola Posta in arrivo distingue tra caratteri maiuscoli e minuscoli.