Microsoft 365 Response Actions
Microsoft 365 Response Actions を Sophos Central と統合できます。これにより、これらのアクションを使用して、検出された問題に対処できます。
これは API ベースの統合です。
統合が完了すると、次のアクションを実行できるようになります。
- ユーザーサインインをブロックまたは許可します。これにより、システムへの不正アクセスを阻止することができます。
- 現在のセッションをすべて切断または取り消します。これにより、侵害されたアカウントを隔離し、脅威のおラテラルムーブメントを阻止することができます。
- ユーザーの受信トレイルールをオフにします。これにより、機密性の高いメールの悪意のある転送、セキュリティ回避テクニック、痕跡の削除などを阻止できます。
MDR のお客様
ここで設定した権限にかかわらず、Sophos Central は MDR 設定ページで選択した脅威対応オプションを強制します。たとえば、「共同対処」を選択した場合、MDR アナリストはユーザーの承認なしにアクションを実行できません。
要件
この統合を設定するには、Microsoft 365 管理者である必要があります。
この統合には Microsoft のライセンス要件はありません。
推奨事項
Microsoft 365 Response Actions を設定する場合は、Microsoft 365 Management Activity および Microsoft Graph Security v2 データインジェスト統合も設定することをお勧めします。これらは検出を生成して調査を強化し、Microsoft 管理サイトのイベントに応答するのに役立ちます。
統合の設定
対応アクション統合は、1つの Microsoft 365 環境に対してのみ設定できます。プライマリ環境または最大環境を選択することをお勧めします。
Microsoft 365 Response Actions とSophos Central の統合を設定するには、次の手順に従います。
- Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
-
「Microsoft 365 - Response Actions」をクリックします。
「対応アクション」ページが開きます。統合が既に設定されている場合は、ここに表示され、別の統合を追加することはできません。
-
「設定の追加」をクリックします。
- 「対応アクションの追加」ページで、「統合名」と「統合の説明」を入力します。
- 「保存して続行」をクリックします。
-
「Microsoft 365 への接続」にある文章を読み、「続行」をクリックします。
Microsoft 365 に接続します。そこで、Sophos Central と統合するアプリケーションを作成します。
-
Microsoft アカウントを入力または選択してサインインします。
-
アプリにパーミッションを許可するように求められます。これらのパーミッションによって、Sophos Central と統合する Microsoft アプリを作成できます。「同意する」をクリックします。
-
新しく作成した Sophos Central 統合アプリに権限を与えるように求められます。これにより、必要に応じて対応アクションを実行できます。「同意する」をクリックします。
Sophos Central に戻り、統合が設定されていることを確認します。
対応アクションの実行
Sophos Central のケースの詳細ページにある「対応」タブから、Microsoft 365 Response Actions を実行できるようになりました。詳細は、ケースへの対応を参照してください。
対応アクションのトラブルシューティング
このセクションでは、対応アクションの実行時に発生する可能性のある問題について説明します。
「個別の受信トレイルールを無効にする」アクションが失敗します。
受信トレイルール名が正しいことを確認します。このアクションでは、受信トレイルール名では大文字と小文字が区別されます。
「ユーザーサインインをブロック」アクションでは、Entra ID アカウントの永続的な切断に失敗します。
環境が Microsoft Entra 接続同期を使用してハイブリッド Entra ID 設定になっている場合は、同期中にオンプレミス環境が優先されます。Microsoft 365 Response Actions を使用して Entra ID アカウントを切断した場合、Entra 接続同期は後で再度接続する可能性がありますが、ソフォスはこれらを制御できません。