주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=ms-graph-v2-overview

MS Graph security API V2

API 생산성

Sophos Central에 AWS Security Hub를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Microsoft - Graph Security

Microsoft Graph 보안은 Alerts and Incidents API라고도 하는 API 버전 2를 통해 다양한 Microsoft 제품 및 서비스의 보안 통찰력을 통합하는 통합 게이트웨이입니다. Microsoft에서 제공한 이전 알림(레거시) 끝점을 대체합니다.

Microsoft가 레거시 버전의 수명 종료 계획을 확인할 때까지 MS Graph security API V2 통합MS Graph security API V2(레거시) 모두에 대해 Sophos 통합을 구성하고 함께 실행하는 것이 좋습니다.

고객의 기본 Microsoft 라이선스(예: E5)에 따라 Graph API를 통해 다음과 같은 보안 원격 분석 소스에서 데이터를 수집합니다.

  • Microsoft (Entra ID)
  • Microsoft 365 Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Purview Data Loss Prevention

Sophos 문서

수집되는 것

샘플 알림:

  • 숨겨진 파일 실행이 감지됨
  • Windows 앱 서비스에서 Linux 명령 실행 시도
  • 의심스러운 암호 액세스
  • 위협 인텔리전스 피드에서 악성 웹 사이트로 태그 지정
  • useradd 명령의 의심스러운 사용을 감지했습니다.
  • 가능한 공격 도구가 감지되었습니다.
  • 가능한 자격 증명 액세스 도구가 감지되었습니다.

완전히 수집되는 경고

MS Graph 보안의 경고를 microsoft.graph.security 네임스페이스에서 수집합니다. 전체 설명서는 경고 리소스 유형을 참조하십시오.

필터링

API에서 반환된 형식이 예상과 같은지 확인하는 것 외에는 필터가 적용되지 않습니다.

샘플 위협 매핑

알림 매핑은 알림에 반환된 제목 필드에서 가져옵니다.

{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}

공급업체 설명서