Microsoft 365 Response Actions
Microsoft 소프트웨어 및 서비스를 Sophos Central과 통합할 수 있습니다. Okta 작업를 사용하여 감지된 문제를 해결할 수 있습니다.
이것은 API 기반 통합입니다.
통합을 완료하면 다음 작업를 사용할 수 있습니다.
- 사용자 로그인을 차단/활성화합니다. 이렇게 하면 조직 시스템에 대한 무단 액세스를 차단하는 데 도움이 됩니다.
- 모든 현재 세션을 연결 해제/취소합니다. 이렇게 하면 손상된 계정을 격리하고 내부망 이동을 방지하는 데 도움이 됩니다.
- 사용자의 받은 편지함 규칙을 끕니다. 이를 통해 민감한 이메일의 악의적인 전달, 보안 회피 전술, 증거 삭제 등을 방지할 수 있습니다.
MDR 고객
여기에서 어떤 권한을 설정하든 Sophos Central는 MDR 설정 페이지에서 선택한 위협 대응 옵션을 적용합니다. 예를 들어 Collaborate 를 선택한 경우MDR 분석가는 사용자의 승인 없이는 조치를 취할 수 없습니다.
요구 사항
Sophos Mailflow를 설정하려면 Microsoft 365 관리자여야 합니다.
이 통합에 대한 Microsoft 라이선스 요구 사항은 없습니다.
권장 사항
Microsoft 365 응답 작업를 구성하는 경우 Microsoft 365 관리 활동 및 Microsoft Graph 보안 v2 데이터 수집 통합도 구성하는 것이 좋습니다. 이러한 기능은 검색 기능을 생성하고 조사를 강화하여 Microsoft 자산의 이벤트에 대응하는 데 도움이 됩니다.
통합 구성
하나의 Microsoft 365 환경에 대해서만 응답 작업 통합을 구성할 수 있습니다. 기본 또는 가장 큰 환경을 선택하는 것이 좋습니다.
Microsoft 365 Response 작업와 Sophos Central 통합을 구성하려면 다음을 수행합니다.
- Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.
-
Microsoft 365 - Response Actions
Response 작업 페이지가 열립니다. 통합이 이미 구성된 경우 여기에 표시되며 다른 통합을 추가할 수 없습니다.
-
구성 추가를 클릭합니다.
- 응답 작업 추가 페이지에서 통합 이름 및 통합 설명을 입력합니다.
- 저장 및 계속을 클릭합니다.
-
Microsoft 365에 연결의 내용을 읽은 다음 계속을 클릭합니다.
Sophos Central에 통합되는 응용 프로그램을 만들기 위해 Microsoft 365에 연결됩니다.
-
Microsoft 계정을 입력하거나 선택하고 로그인합니다.
-
앱에 권한을 부여하라는 메시지가 표시됩니다. 이러한 권한을 통해 Sophos Central에 통합할 Microsoft 앱을 만들 수 있습니다. 수락을 클릭합니다.
-
새로 만든 Sophos Central 통합 앱에 권한을 부여하여 필요에 따라 작업 응답을 받을 수 있도록 하라는 메시지가 표시됩니다. 수락을 클릭합니다.
통합이 구성된 Sophos Central로 돌아갑니다.
응답 작업 실행
이제 **** Sophos Central의 케이스 세부 정보 페이지에 있는 응답 탭에서 Microsoft 365 응답 작업를 실행할 수 있습니다. 사례 대응을 참조하십시오.
응답 작업 문제 해결
이 섹션에는 Response 작업를 실행할 때 발생할 수 있는 문제가 나열되어 있습니다.
개별 받은 편지함 규칙 사용 안 함" 작업이 실패했습니다.
받은 편지함 규칙 이름이 올바른지 확인합니다. 이 작업을 위해 받은 편지함 규칙 이름은 대/소문자를 구분합니다.
사용자 로그인 차단" 작업이 Entra ID 계정 연결을 영구적으로 끊지 못했습니다.
환경이 Microsoft Entra 연결 동기화를 사용하는 하이브리드 Entra ID 구성에 있는 경우 동기화 중에 온-프레미스 환경이 우선적으로 적용됩니다. Microsoft 365 Response 작업를 사용하여 Entra ID 계정의 연결을 끊는 경우 Entra Connect 동기화가 나중에 다시 연결될 수 있습니다. 이 경우 Microsoft에서 제어할 수 없습니다.