Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=MicrosoftIntegrations

Integrações da Microsoft

Você pode integrar softwares e serviços da Microsoft ao Sophos Central.

Configurar integrações

Para configurar uma integração, clique em Centro de Análise de Ameaças > Integrações > Marketplace e clique no nome da integração.

Para obter detalhes sobre como configurar cada integração, consulte as páginas:

Como funcionam as integrações

A plataforma Sophos XDR integra-se à Microsoft usando a API do Microsoft Management Activity e a API do Microsoft Graph Security. A Sophos usa ambas as APIs de forma independente para detectar ameaças no ambiente Microsoft 365.

Atividade de gerenciamento do M365

Usando a API de Atividade de gerenciamento, a plataforma Sophos XDR ingere eventos brutos que ocorrem no ambiente Microsoft 365. A Sophos usa esses eventos para a detecção de ameaças e para coletar informações adicionais para apoiar os analistas durante uma investigação. Esses eventos brutos estão disponíveis para todos os clientes do Microsoft 365, independentemente do licenciamento usado em seu ambiente.

A equipe de engenharia de detecção da Sophos cria regularmente regras de detecção com base nesses eventos brutos da Microsoft. Essas regras permitem que os analistas investiguem cenários que podem indicar comprometimento de contas ou comprometimento de e-mails corporativos (BEC). Os indicadores de exemplo incluem manipulação de regras de caixa de entrada, roubo de token de sessão, ataques Man-in-the-Middle, consentimento de aplicativos maliciosos e muito mais.

Você pode ver detecções baseadas na Sophos na página Detecções no Sophos Central. As detecções são rotuladas como SAAS-M365-xxxxx e têm o tipo de detecção "compound_detections", como mostra este exemplo:

Uma detecção do tipo SAAS-M365.

Com os eventos da API de Atividade de Gerenciamento da Microsoft armazenados no Sophos Data Lake, os analistas podem usar esses logs ao investigar um ambiente. Por exemplo, os logins de um usuário podem ser revisados para confirmar ou identificar eventos de login suspeitos ou para revisar a atividade da conta no ambiente do Microsoft 365 quando a conta foi comprometida.

Para obter mais informações sobre quais dados a Microsoft fornece por meio da API de Atividade de Gerenciamento, consulte Visão geral das APIs de Gerenciamento do Office 365.

MS Graph Security

Usando a API do Graph Security, a Sophos ingere eventos de detecção gerados pela Microsoft, com base na telemetria observada no ecossistema da Microsoft. Dependendo da gravidade desses eventos de detecção da Microsoft, são criados casos para que os analistas investiguem e respondam.

Os componentes, ou "provedores", que geram eventos de detecção para a API do Graph Security são os seguintes:

  • Entra ID Protection
  • Defender for Office 365
  • Defender for Endpoint
  • Defender for Identity
  • Defender for Cloud Apps
  • Defender for Cloud
  • Microsoft Sentinel

Você pode ver eventos de detecção recebidos pela API do Microsoft Graph Security na página Detecções no Sophos Central. As detecções são rotuladas MS-SEC-GRAPH-xxxxx, como visto neste exemplo:

Detecções do tipo MS-SEC-GRAPH.

Os eventos específicos de detecção da Microsoft gerados por esses produtos e disponíveis para ingestão por meio da API do Graph Security dependem do licenciamento do Microsoft 365 usado no ambiente. Isso pode incluir o plano individual por usuário e quaisquer complementos ou pacotes adicionais adicionados aos usuários ou à locação do Microsoft 365.

Recomendamos que você consulte o seu especialista em licenciamento do Microsoft 365 para compreender quais fornecedores, eventos de detecção e alertas estão incluídos em cada plano, complemento ou pacote. No entanto, podemos fornecer a seguinte orientação:

  • O plano E5 do Microsoft 365 ou o complemento de segurança E5 inclui todos os eventos de detecção da Microsoft que são utilizados para criar casos a serem investigados.
  • Para alertas de identidade baseados no Entra ID Protection, você precisa dos planos P2 do Entra ID (incluídos com os planos E5 mencionados acima).
  • Para outros componentes, consulte seu especialista em licenciamento da Microsoft para entender quais pacotes da Microsoft ou SKUs individuais você precisa para acessar esses componentes e seus eventos de detecção do Graph Security.

Para obter mais informações sobre a API do Graph Security e alertas gerados por provedores específicos, consulte Alertas e incidentes.