주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=ms-graph-v2-overview

MS Graph security API V2

API 생산성

Sophos Central에 Rubrik Security Cloud를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Microsoft Graph Security

Microsoft Graph security는 API 버전 2인 알림 및 사건 API로도 불리는 API를 통해 다양한 Microsoft 제품 및 서비스의 보안 통찰을 통합하는 통합된 게이트웨이입니다. 이는 Microsoft가 제공한 이전 알림 (레거시) 엔드포인트를 대체합니다.

고객의 기본 Microsoft 라이선스(예: E5)에 따라, 다음 보안 텔레메트리 소스에서 상슨된 보안 경보를 처리할 것입니다: Graph API 보안 경보까지

  • Microsoft Entra ID 구성
  • Microsoft 365 Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Purview Data Loss Prevention
  • Microsoft Purview Insider Risk Management

참고

위험한 사용자, 위험한 서비스 주체 또는 서비스 주체 위험 이벤트에 대한 Entra ID 데이터를 수집하지 않습니다. Entra ID 이벤트 로그를 흡수해야 하며, 현재 Sophos XDR 및 MDR이(가) 지원하지 않습니다. Entra ID 이벤트 로그 흡수에 대한 자세한 내용은 Autotask 통합 가이드을(를) 참조하십시오.

Sophos 문서

수집되는 것

우리가 본 샘플 경보:

  • 숨겨진 파일 실행이 감지되었습니다
  • Windows App Service에서 Linux 명령을 실행하려는 시도
  • 수상한 암호 액세스
  • 웹사이트가 위협 인텔리전스 피드에서 악성으로 태그되었습니다.
  • 사용자 추가 명령어의 의심스러운 사용이 감지되었습니다.
  • 가능한 공격 도구가 감지되었습니다
  • 가능한 자격 증명 액세스 도구가 감지되었습니다.

완전히 수집되는 경고

우리는 microsoft.graph.security 네임스페이스의 MS Graph security에서 경보를 수신합니다. 전체 설명서는 alert resource type을(를) 참조하십시오.

필터링

필터는 API에서 반환된 형식이 예상대로인지 확인하는 것을 제외하고 적용되지 않습니다.

샘플 위협 매핑

경보 매핑은 경보에서 반환된 제목 필드에서 옵니다.

{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}

공급업체 설명서