Microsoft 365 の統合
Microsoft のソフトウェアとサービスは、Sophos Central と統合できます。
統合の設定
統合を設定するには、「脅威解析センター > 統合 > マーケットプレイス」をクリックして、統合名をクリックします。
各統合を設定する方法の詳細は、次を参照してください。
統合の仕組み
Sophos XDR プラットフォームは、Microsoft 管理アクティビティ API および Microsoft Graph Security API を使用してマイクロソフトと統合されます。ソフォスでは、両方の API を個別に使用して、Microsoft 365 環境の脅威を検出します。
M365 管理アクティビティ
管理アクティビティ API を使用して、Sophos XDR プラットフォームは、Microsoft 365 環境で発生する Raw イベントを取り込みます。ソフォスでは、脅威検出および調査中にアナリストのための追加の補足情報を収集するために、これらのイベントを使用します。これらの Raw イベントは、環境で使用されているライセンスに関係なく、すべての Microsoft 365 ユーザーが利用できます。
ソフォスの検出エンジニアリングチームは、マイクロソフトからのこれらの Raw イベントに基づいて、検出ルールを定期的に作成します。これらのルールを使用すると、アナリストはアカウント侵害またはビジネスメール詐欺 (BEC) を示す可能性のあるシナリオを調査できます。指標の例としては、受信ルールの操作、セッショントークンの窃取、中間者攻撃、悪意のあるアプリケーションの同意などがあります。
ソフォスベースの検出は、Sophos Central の「検出」ページで確認できます。この例に示すように、検出には SaaS-M365-xxxxx というラベルが付けられ、検出の種類は "compound_detections"です。
Sophos Data Lake に保存された Microsoft 管理アクティビティ API イベントを使用すると、アナリストは環境内で調査するときにこれらのログを使用できます。たとえば、ユーザーのサインインを確認して、疑わしいサインインイベントを確認または特定したり、アカウントが侵害された際に Microsoft 365 環境でアカウントアクティビティを確認したりできます。
Microsoftが管理アクティビティ API を介して提供するデータの詳細については、Office 365 管理 API の概要を参照してください。
MS Graph セキュリティ API (レガシー)
この統合は、MS Graph レガシー警告サービス用です。新しい Alerts v2(アラートとインシデント) サービスの統合が利用できるようになりました。詳細は、MS Graph セキュリティ API V2 統合を参照してください。
MS Graph セキュリティ API を使用して、ソフォスはマイクロソフトエコシステムで観察されたテレメトリに基づいて、マイクロソフトによって生成された検出イベントを取り込みます。これらの Microsoft 検出イベントの重要度に応じて、アナリストが調査および対応するためのケースが作成されます。
Graph セキュリティに検出イベントを生成するコンポーネントまたは「プロバイダ」は次のとおりです。
- Entra ID Protection
- Defender for Office 365
- Defender for Endpoint
- Defender for Identity
- Defender for Cloud Apps
- Defender for Cloud
- Microsoft Sentinel
Microsoft Graph セキュリティ API で受信した検出イベントは、Sophos Central の「検出」ページで確認できます。この例に示すように、検出には MS-SEC-GRAPH-xxxxx というラベルが付けられます。
これらの製品によって生成され、Graph セキュリティ API を介して取得できる特定の Microsoft 検出イベントは、環境で使用されている Microsoft 365 ライセンスによって異なります。これには、個々のユーザーごとのプラン、およびユーザーまたは Microsoft 365 テナントに追加された追加のアドオンまたはバンドルが含まれます。
各プラン、アドオン、またはバンドルに含まれるプロバイダ、検出イベント、および警告については、Microsoft 365 ライセンス担当者にお問い合わせください。ただし、次のガイダンスを提供できます。
- Microsoft 365 E5 プランまたは E5 セキュリティアドオンには、調査対象のケースを作成するために使用されるすべての Microsoft 検出イベントが含まれています。
- Entra ID Protection ベースの ID 警告の場合は、Entra ID P2 プラン (上記の E5 プランにバンドル) が必要です。
- その他のコンポーネントについては、Microsoft ライセンスの専門家に問い合わせて、これらのコンポーネントとその Graph セキュリティ検出イベントにアクセスするために必要な Microsoft バンドルまたは個々の SKU を理解してください。
Graph セキュリティ API と特定のプロバイダーによって生成される警告の詳細については、アラートとインシデントを参照してください。
MS Graph セキュリティ API V2
この統合は、MS Graph セキュリティ API Alerts v2 (インシデントとアラート) サービス用です。これを使用することをお勧めします。
概要については、MS Graph セキュリティ API V2 統合を参照してください。