Microsoft 365 Response Actions
Microsoft 365 Response 작업를 구성하는 경우 Microsoft 365 관리 활동 및 Microsoft Graph Security v2 데이터 수집 통합도 구성하는 것이 좋습니다. 이러한 기능은 검색 기능을 생성하고 조사를 강화하여 Microsoft 자산의 이벤트에 대응하는 데 도움이 됩니다.
Microsoft 365 Response 작업를 Sophos Central와 통합할 수 있습니다. 이렇게 하면 이러한 작업를 사용하여 감지된 문제를 해결할 수 있습니다.
이것은 API 기반 통합입니다.
통합을 완료하면 다음 작업를 사용할 수 있습니다.
- 사용자 로그인 차단 또는 허용. 이렇게 하면 시스템에 대한 무단 액세스를 방지할 수 있습니다.
- 현재 sessions의 연결을 끊거나 모두 취소합니다. 이렇게 하면 손상된 계정을 격리하고 위협의 수평적 이동을 차단할 수 있습니다.
- 사용자의 받은 편지함 규칙을 끕니다. 이를 통해 민감한 이메일의 악의적인 전달, 보안 회피 전술, 증거 삭제 등을 방지할 수 있습니다.
MDR 고객
여기에서 어떤 권한을 설정하든 Sophos Central는 MDR 설정 페이지에서 선택한 위협 대응 옵션을 적용합니다. 예를 들어 Collaborate 를 선택한 경우MDR 분석가는 사용자의 승인 없이는 조치를 취할 수 없습니다.
경고
환경이 Microsoft Entra 연결 동기화를 사용하는 하이브리드 Entra ID 구성에 있는 경우 동기화 중에 온-프레미스 환경이 우선적으로 적용됩니다. Microsoft 365 Response 작업를 사용하여 Entra ID 계정의 연결을 끊는 경우 Entra Connect 동기화가 나중에 다시 연결될 수 있습니다. 이 경우 Microsoft에서 제어할 수 없습니다.
요구 사항
이 통합을 구성하려면 Microsoft 365 관리자여야 합니다.
Microsoft 365 관리 활동 및 Microsoft Graph Security v2 데이터 수집 통합도 구성하는 것이 좋습니다. 이러한 기능은 검색 기능을 생성하고 조사를 강화하여 Microsoft 자산의 이벤트에 대응하는 데 도움이 됩니다.
통합 구성
Microsoft 365 Response 작업와 Sophos Central 통합을 구성하려면 다음을 수행합니다.
- Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.
-
Microsoft 365 - Response 작업 를 클릭합니다.
Response 작업 페이지가 열립니다. 여기에서 통합을 구성하고 통합이 이미 구성되어 있는지 확인할 수 있습니다.
-
구성 추가를 클릭합니다.
- 응답 작업 추가 페이지에서 통합 이름 및 통합 설명을 입력합니다.
- 저장 및 계속을 클릭합니다.
-
Microsoft 365에 연결의 내용을 읽은 다음 계속을 클릭합니다.
Sophos Central에 통합되는 응용 프로그램을 만들기 위해 Microsoft 365에 연결됩니다.
-
Microsoft 계정을 입력하거나 선택하고 로그인합니다.
-
앱에 권한을 부여하라는 메시지가 표시됩니다. 이러한 권한을 통해 Sophos Central에 통합할 Microsoft 앱을 만들 수 있습니다. 수락을 클릭합니다.
-
새로 만든 Sophos Central 통합 앱에 권한을 부여하여 필요에 따라 작업 응답을 받을 수 있도록 하라는 메시지가 표시됩니다. 수락을 클릭합니다.
통합이 구성된 Sophos Central로 돌아갑니다.
응답 작업 실행
이제 **** Sophos Central의 케이스 세부 정보 페이지에 있는 응답 탭에서 Microsoft 365 응답 작업를 실행할 수 있습니다. 사례 대응을 참조하십시오.