주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=ms-graph-v2-overview

Microsoft Graph 보안 API V2 통합

Microsoft Graph 보안 API를 Sophos Central 과 통합하면 Sophos 에서 분석을 위해 경고를 전송할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Microsoft Graph Security

Microsoft Graph 보안은 다양한 Microsoft 제품 및 서비스의 보안 정보를 통합하는 통합 게이트웨이로, API 버전 2(경고 및 사고 API라고도 함)를 통해 제공됩니다. 이는 마이크로소프트에서 제공했던 기존 알림(레거시) Endpoint 대체합니다.

고객의 기본 Microsoft 라이선스(예: E5)에 따라 다음과 같은 보안 원격 측정 소스에서 Graph API 보안 경고로 에스컬레이션된 풍부한 경고를 수집합니다.

  • Microsoft Entra ID Protection
  • Microsoft 365 Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Purview Data Loss Prevention
  • Microsoft Purview Insider Risk Management

Note

당사는 위험 사용자, 위험 서비스 주체 또는 서비스 주체 위험 이벤트에 대한 Entra ID 데이터를 수집하지 않습니다. 이를 위해서는 Entra ID 이벤트 로그를 수집해야 하는데, Sophos XDR 및 MDR 현재 이를 지원하지 않습니다. Entra ID Event Log 수집에 대한 자세한 내용은 다음을 참조하십시오. ITDR 통합 가이드.

Sophos 문서

수집되는 것

저희가 확인하는 알림 예시는 다음과 같습니다.

  • Hidden file execution detected
  • An attempt to run Linux commands on a Windows App Service
  • Suspicious password access
  • Website is tagged as malicious in threat intelligence feed
  • Detected suspicious use of the useradd command
  • Possible attack tool detected
  • Possible credential access tool detected

완전히 수집되는 경고

저희는 microsoft.graph.security 네임스페이스에서 MS Graph 보안 관련 알림을 수집합니다. 전체 문서는경고 리소스 유형을참조하세요.

필터링

API에서 반환된 형식이 예상대로인지 확인하는 것 외에는 어떠한 필터도 적용되지 않습니다.

샘플 위협 매핑

알림 매핑은 경고 에 반환된 제목 필드를 기준으로 합니다.

{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}

공급업체 설명서