コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=ms-graph-v2-overview

MS Graph セキュリティ API V2 統合

API 生産性

Microsoft Graph セキュリティ API は Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。

このページでは、統合の概要を説明します。

Microsoft Graph セキュリティ

Microsoft Graph セキュリティは、さまざまなマイクロソフト製品やサービスのセキュリティインサイトを、アラートとインシデント API とも呼ばれるバージョン 2 を介して統合する統合ゲートウェイです。これは、Microsoft が提供する以前の Alerts(レガシー) エンドポイントに代わるものです。

Microsoft がレガシーバージョンのサポート終了の計画を確定するまでは、MS Graph セキュリティ API V2 の統合 および MS Graph セキュリティ API (レガシー)、の両方の統合を設定し、それらを共に実行することをお勧めします。

お客様の基盤となる Microsoft ライセンス (E5 など) に応じて、Graph API を介して、次のセキュリティ テレメトリ ソースからデータを取り込みます。

  • Microsoft Entra ID Protection
  • Microsoft 365 Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Purview Data Loss Prevention

ソフォス製品ドキュメント

取り込まれる内容

表示される警告の例:

  • 隠れたファイルの実行の検出
  • Windows アプリケーションサービスでの Linux コマンドの実行試行
  • 疑わしいパスワードアクセス
  • Web サイトが脅威インテリジェンスフィードで悪意のあるものとしてタグ付けされていること
  • useradd コマンドの疑わしい使用が検出された場合
  • 攻撃ツールである可能性のある内容の検出
  • 認証情報アクセスツールの可能性のある内容の検出

完全に取り込まれる警告

MS Graph セキュリティからのアラートは、microsoft.graph.security 名前空間に取り込みます。詳しい説明については、alert リソースの種類を参照してください。

フィルタリング

API から返された形式が正常であることを確認する以外は、フィルタは適用されません。

脅威マッピングの例

警告のマッピングは、警告で返されるタイトルフィールドから行われます。

{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}

ベンダーのドキュメント