MS Graph security API V2
Sophos Central에 Rubrik Security Cloud를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Microsoft Graph Security
Microsoft Graph 보안은 API 버전 2(알림 및 인시던트 API라고도 함)를 통해 다양한 Microsoft 제품과 서비스의 보안 통찰력을 통합하는 통합 게이트웨이입니다. 이는 Microsoft에서 제공하는 이전 알림(레거시) 엔드포인트를 대체합니다.
고객의 기본 Microsoft 라이선스(예: E5)에 따라 다음 보안 원격 측정 소스에서 Graph API를 통해 데이터를 수집합니다.
- Microsoft Entra ID SSO
- Microsoft 365 Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Purview Data Loss Prevention
- Microsoft Purview Insider 위험 관리
Sophos 문서
수집되는 것
우리가 보는 알림의 예:
- 숨겨진 파일 실행이 감지되었습니다.
- Windows App Service에서 Linux 명령을 실행하려는 시도
- 의심스러운 비밀번호 접근
- 위협 인텔리전스 피드에서 해당 웹사이트가 악성으로 태그되었습니다.
- useradd 명령의 의심스러운 사용이 감지되었습니다.
- 공격 도구가 감지되었습니다.
- 자격 증명 액세스 도구가 감지되었습니다.
완전히 수집되는 경고
microsoft.graph.security 네임스페이스에서 MS Graph 보안으로부터 알림을 수집합니다. 전체 설명서는알림 리소스 유형을참조하세요.
필터링
API에서 반환된 형식이 예상한 대로인지 확인하는 경우를 제외하고는 필터가 적용되지 않습니다.
샘플 위협 매핑
알림 매핑은 알림에서 반환된 제목 필드에서 이루어집니다.
{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}