주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=MicrosoftIntegrations

Microsoft 365 통합

API 생산성

Microsoft 소프트웨어 및 서비스를 Sophos Central과 통합할 수 있습니다.

구성된 통합

통합을 구성하려면 위협 분석 센터> 통합 > 마켓플레이스를 클릭하고 통합 이름을 클릭합니다.

각 통합을 구성하는 방법에 대한 자세한 내용은 다음 페이지를 참조하십시오.

통합 작동 방식

Sophos XDR 플랫폼은 Microsoft Management Activity API 및 Microsoft Graph Security API를 사용하여 Microsoft와 통합됩니다. Sophos는 두 API를 독립적으로 사용하여 Microsoft 365 환경에서 위협을 감지합니다.

M365 관리 활동

Sophos XDR 플랫폼은 Management Activity API를 사용하여 Microsoft 365 환경에서 감사 로그를 수집합니다. Sophos는 이러한 감사 로그를 사용하여 위협 감지 및 조사 중 분석가를 위한 추가 지원 정보를 수집합니다. 이러한 감사 로그는 환경에 사용된 라이선스에 관계없이 모든 Microsoft 365 고객이 사용할 수 있습니다.

관리 작업 API는 다음 작업에 대한 로그를 포함하여 M365 감사 로그에 대한 액세스를 제공합니다.

  • 파일 및 폴더 액세스, 다운로드, 편집 및 삭제
  • 활동 공유
  • 설정 변경
  • 사용자 로그인
  • 테넌트 구성 설정 변경과 같은 관리 작업

Sophos 감지 엔지니어링 팀은 Microsoft의 이러한 감사 로그를 기반으로 검색 규칙을 정기적으로 만듭니다. 이러한 검색 규칙을 통해 분석가는 계정 손상 또는 BEC(Business 이메일)를 나타낼 수 있는 시나리오를 조사할 수 있습니다. 받은 편지함 규칙 조작, 세션 토큰 도난, 중간자 공격, 악의적인 애플리케이션 동의 등이 여기에 해당합니다.

* *위협 분석 센터 의 탐지 페이지로 이동하여 사용자 환경에서 Sophos 기반 M365 탐지를 확인할 수 있습니다. 검색은 SaaS-M365-xxxxx로 표시되며 "플랫폼" 범주에 포함됩니다. 아래 예와 같이 이 범주를 기준으로 필터링할 수 있습니다.

SaaS-M365 유형 감지.

Sophos Data Lake에 저장된 Microsoft 관리 활동 API 감사 로그를 통해 분석가는 환경에서 인시던트를 조사할 때 이 감사 로그를 사용할 수 있습니다. 예를 들어 사용자의 로그인을 검토하여 의심스러운 로그인 이벤트를 확인 또는 식별하거나 계정이 손상되었을 때 Microsoft 365 환경에서의 계정 활동을 조사할 수 있습니다.

Microsoft가 관리 작업 API를 통해 제공하는 데이터에 대한 추가 정보의 경우 감사 로그 작업을 참조하십시오.

M365 응답 작업

Microsoft 365 Response 작업를 Sophos Central와 통합할 수 있습니다. 이를 통해 M365 관리 활동 통합을 통해 Sophos로 전송된 데이터에서 감지된 문제를 해결하는 조치를 취할 수 있습니다.

* Sophos Central의 *위협 분석 센터의 사례 섹션에서 탐지를 살펴보고 다음과 같은 작업를 수행할 수 있습니다.

  • 사용자 로그인 차단 또는 허용. 이렇게 하면 시스템에 대한 무단 액세스를 방지할 수 있습니다.
  • 현재 sessions​의 연결을 끊거나 모두 취소합니다. 이렇게 하면 손상된 계정을 격리하고 내부망 이동을 방지하는 데 도움이 됩니다.
  • 사용자의 받은 편지함 규칙을 끕니다. 이를 통해 민감한 이메일의 악의적인 전달, 보안 회피 전술, 증거 삭제 등을 방지할 수 있습니다.

정책 작동 방식에 대한 일반적인 내용은 사례를 참조하십시오. 응답 작업에 대한 자세한 내용은 사례 대응를 참조하십시오.

MS Graph security API V2(레거시)

이 통합은 MS Graph 기존 알림 서비스를 위한 것입니다. 이제 최신 Alerts v2(Alerts and Incidents) 서비스에 통합을 사용할 수 있습니다. MS Graph security API V2를 참조하십시오.

Sophos는 MS Graph 보안 API를 사용하여 Microsoft 에코시스템에서 관찰된 원격 측정을 기반으로 Microsoft에서 생성한 감지 이벤트를 수집합니다. 이러한 Microsoft 검색 이벤트의 심각도에 따라 분석가가 조사하고 대응할 수 있는 사례가 생성됩니다.

그래프 보안 API에 감지 이벤트를 생성하는 구성 요소 또는 "공급자"는 다음과 같습니다.

  • Entra ID 보호
  • Defender for Office 365
  • Defender for Endpoint
  • Defender for Identity
  • Defender for Cloud Apps
  • Defender for Cloud
  • Microsoft Sentinel

Microsoft Graph 보안 API가 수신한 검색 이벤트는 **** Sophos Central의 검색 페이지에서 확인할 수 있습니다. 이 예에서 볼 수 있듯이 감지에는 MS-SEC-GRAPH-xxxxx라는 레이블이 지정됩니다.

MS-SEC-GRAPH 유형 감지.

이러한 제품에서 생성되고 Graph 보안 API를 통해 수집할 수 있는 특정 Microsoft 검색 이벤트는 해당 환경에서 사용되는 Microsoft 365 라이선스에 따라 달라집니다. 여기에는 개별 사용자별 계획, 사용자 또는 Microsoft 365 테넌시에 추가된 추가 기능 또는 번들이 포함될 수 있습니다.

각 계획, 추가 기능 또는 번들에 어떤 공급자, 검색 이벤트 및 알림이 포함되어 있는지 알아보려면 Microsoft 365 라이선스 전문가에게 문의하는 것이 좋습니다. 그러나 다음과 같은 지침을 제공할 수 있습니다.

  • Microsoft 365 E5 계획 또는 E5 보안 추가 기능에는 조사할 케이스를 생성하는 데 사용되는 모든 Microsoft 검색 이벤트가 포함되어 있습니다.
  • Entra ID 보호 기반 ID 알림의 경우 Entra ID P2 계획(위에서 언급한 E5 계획과 함께 번들로 제공)이 필요합니다.
  • 다른 구성 요소의 경우 Microsoft 라이선스 전문가에게 문의하여 해당 구성 요소에 액세스하는 데 필요한 Microsoft 번들 또는 개별 SKU와 해당 Graph Security 검색 이벤트를 확인하십시오.

그래프 보안 API 및 특정 공급자가 생성한 경고에 대한 추가 정보의 경우 경고 및 인시던트를 참조하십시오.

MS Graph security API V2

이 통합은 MS Graph 보안 API Alerts v2(Incidents and Alerts) 서비스를 위한 것입니다. 사용을 권장합니다.

개요는 MS Graph security API V2를 참조하십시오.