주요 콘텐츠로 건너뛰기
MDR을 지원하는 방법에 대해 알아보십시오.

Microsoft 365 통합

Microsoft 소프트웨어 및 서비스를 Sophos Central과 통합할 수 있습니다.

구성된 통합

통합을 구성하려면 위협 분석 센터> 통합 > 마켓플레이스를 클릭하고 통합 이름을 클릭합니다.

각 통합을 구성하는 방법에 대한 자세한 내용은 다음 페이지를 참조하십시오.

이 비디오에서는 모든 Microsoft 통합 구성 방법을 안내합니다.

통합 작동 방식

Sophos XDR 플랫폼은 Microsoft Management Activity API 및 Microsoft Graph Security API를 사용하여 Microsoft와 통합됩니다. Sophos는 Microsoft 365 환경에서 위협을 탐지하기 위해 두 API를 독립적으로 사용합니다.

M365 관리 활동

관리 활동 API를 사용하여 Sophos XDR 플랫폼은 Microsoft 365 환경에서 감사 로그를 수집합니다. Sophos는 이러한 감사 로그를 위협 탐지 및 조사 중 분석가를 위한 추가 지원 정보 수집에 모두 사용합니다. 이러한 감사 로그는 환경에 사용된 라이선싱에 관계없이 모든 Microsoft 365 고객에게 제공됩니다.

관리 활동 API는 다음 활동에 대한 로그를 포함하여 M365 감사 로그에 대한 액세스를 제공합니다.

  • 파일 및 폴더 액세스, 다운로드, 편집 및 삭제
  • 활동 공유
  • 설정 변경
  • 사용자 로그인
  • 테넌트 구성 설정 변경과 같은 관리 작업

Sophos 탐지 엔지니어링 팀은 Microsoft의 이러한 감사 로그를 기반으로 정기적으로 탐지 규칙을 만듭니다. 이러한 탐지 규칙을 통해 분석가는 계정 손상 또는 비즈니스 이메일 손상(BEC)을 나타낼 수 있는 시나리오를 조사할 수 있습니다. 예를 들어받은 편지함 규칙 조작, 세션 토큰 도난, 중간자 공격, 악성 애플리케이션 동의 등이 있습니다.

Sophos 기반 M365 탐지를 보려면 다음으로 이동하십시오. 탐지 결과 페이지 인 위협 분석 센터. 탐지는 SAAS-M365-xxxxx로 표시되며 "플랫폼" 범주에 포함됩니다. 아래 예제에서 볼 수 있듯이 이 범주를 필터링할 수 있습니다.

SAAS-M365 유형 탐지입니다.

Sophos 데이터 레이크에 저장된 Microsoft 관리 활동 API 감사 로그를 사용하여 분석가는 환경에서 사건을 조사할 때 이를 사용할 수 있습니다. 예를 들어, 사용자의 로그인을 검토하여 의심스러운 로그인 이벤트를 확인하거나 식별하거나 계정이 손상된 동안 Microsoft 365 환경에서 계정 활동을 조사할 수 있습니다.

Microsoft가 관리 활동 API를 통해 제공하는 데이터에 대한 자세한 내용은 다음을 참조하십시오. 감사 로그 활동.

M365 응답 작업

Microsoft 소프트웨어 및 서비스를 Sophos Central과 통합할 수 있습니다. 이 기능을 사용하면 M365 관리 활동 통합이 Sophos에 보낸 데이터에서 감지된 문제를 해결하기 위한 조치를 취할 수 있습니다.

Sophos Central의 위협 분석 센터사례섹션에서 탐지를 확인하고 다음 작업을 수행할 수 있습니다.

  • 사용자 로그인을 차단/활성화합니다. 이렇게 하면 조직 시스템에 대한 무단 액세스를 차단하는 데 도움이 됩니다.
  • 모든 현재 세션을 연결 해제/취소합니다. 이렇게 하면 손상된 계정을 격리하고 내부망 이동을 방지하는 데 도움이 됩니다.
  • 사용자의 받은 편지함 규칙을 해제합니다. 이렇게 하면 중요한 전자 메일의 악의적인 전달, 보안 회피 전술, 증거 삭제 등을 방지하는 데 도움이 됩니다.

정책 작동 방식에 대한 일반적인 내용은 사례를 참조하십시오. 응답 작업에 대한 자세한 내용은 다음을 참조하십시오. 사례 대응.

MS Graph security API V2

이 통합은 MS Graph 보안 API 알림 v2(사건 및 알림) 서비스를 위한 것입니다. MS Graph 보안 API의 이 버전을 사용하는 것이 좋습니다.

MS Graph 보안 API를 사용하여 Sophos는 Microsoft 생태계에서 관찰된 원격 측정에 따라 Microsoft에서 생성한 탐지 이벤트를 수집합니다. 이러한 Microsoft 탐지 이벤트의 심각도에 따라 분석가가 조사하고 대응할 사례가 생성됩니다.

Graph 보안 API에 탐지 이벤트를 생성하는 구성 요소 또는 "공급자"는 다음과 같습니다.

  • Entra ID Protection
  • Microsoft Defender 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Purview Data Loss Prevention
  • Microsoft Purview Insider Risk Management

Microsoft Graph 보안 API에서 수신한 탐지 이벤트를 다음에서 확인할 수 있습니다. 탐지 결과 Sophos Central의 페이지. 탐지는 다음 예제에서와 같이 MS-SEC-GRAPH-xxxxx로 표시됩니다.

MS-SEC-GRAPH 유형 탐지.

이러한 제품에서 생성되고 Graph 보안 API를 통해 수집 가능한 Microsoft 탐지 이벤트는 환경에 사용된 Microsoft 365 라이선싱에 따라 다릅니다. 여기에는 개별 사용자별 요금제와 사용자 또는 Microsoft 365 테넌시에 추가된 모든 추가 기능 또는 번들 이 포함될 수 있습니다.

각 요금제, 추가 기능 또는 번들에 포함된 제공업체, 탐지 이벤트 및 경고를 이해하려면 Microsoft 365 라이선싱 전문가와 상담하는 것이 좋습니다. 그러나 다음 지침을 제공할 수 있습니다.

  • Microsoft 365 E5 요금제 또는 E5 보안 추가 기능에는 조사할 사례를 생성하는 데 사용되는 모든 Microsoft 탐지 이벤트가 포함됩니다.
  • Entra ID 보호 기반 ID 경고의 경우 위에 언급된 E5 요금제와 번들로 제공되는 Entra ID P2 요금제가 필요합니다.
  • 기타 구성 요소의 경우 Microsoft 라이선싱 전문가와 상담하여 해당 구성 요소와 그들의 Graph 보안 탐지 이벤트에 액세스하는 데 필요한 Microsoft 번들 또는 개별 SKU를 이해하십시오.

Graph 보안 API 및 특정 제공업체에서 생성한 경고에 대한 자세한 내용은 다음을 참조하십시오. 경고 및 사건.

MS Graph security API V2(레거시)

이 통합은 MS Graph 레거시 경고 서비스를 사용하는 MS Graph 보안 API용입니다. Microsoft는 이 버전을 더 이상 사용하지 않으며 2026년 4월까지 제거할 예정입니다.

대신 MS Graph 보안 API v2 (경고 및 사건) 서비스를 통합하는 것이 좋습니다. MS Graph security API V2을 참조하십시오.