Integrazione dell’API di sicurezza MS Graph V2
L’API di sicurezza MS Graph V2 può essere integrata con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Sicurezza di Microsoft Graph
La sicurezza di Microsoft Graph è un gateway unificato che unisce le informazioni sulla sicurezza generate da prodotti e servizi Microsoft utilizzando la versione 2 dell’API, detta anche API Alerts and incidents (Avvisi e incidenti). Sostituisce l’endpoint precedente (legacy) Avvisi fornito da Microsoft.
Si consiglia di configurare integrazioni Sophos sia per Integrazione dell’API di sicurezza MS Graph V2 che per API di sicurezza MS Graph (legacy), e di eseguirle insieme, fino a quando Microsoft non confermerà il programma per l’End-of-Life della versione legacy.
A seconda della licenza Microsoft del cliente (ad es. E5), utilizzeremo l’API Graph per importare dati dalle seguenti origini di telemetria di sicurezza:
- Microsoft Entra ID Protection
- Microsoft 365 Defender
- Microsoft Defender per Cloud Apps
- Microsoft Defender per Endpoint
- Microsoft Defender per Endpoint
- Microsoft Defender per Office 365
- Prevenzione della perdita dei dati Microsoft Purview
Documenti Sophos
I dati raccolti e inseriti
Esempi di avvisi che visualizziamo:
- Rilevamento dell’esecuzione nascosta di file
- Un tentativo di eseguire comandi Linux su un servizio app Windows
- Accesso con password sospetto
- Sito web contrassegnato come malevolo nel feed di intelligence sulle minacce
- Rilevamento dell’uso sospetto del comando useradd
- Rilevamento di un possibile strumento di attacco
- Rilevamento di un possibile strumento di accesso con credenziali
Avvisi inseriti per intero
Inseriamo avvisi generati dalla sicurezza MS Graph nello spazio dei nomi microsoft.graph.security. Per la documentazione completa, vedere alert resource type (tipo di risorsa per gli avvisi).
Filtraggio
Non vengono applicati filtri, tranne per confermare che il formato restituito dall’API è quello previsto.
Esempi di mapping delle minacce
Il mapping degli avvisi viene eseguito dal campo del titolo restituito nell’avviso.
{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}