Microsoft 365 Management Activity
Você pode integrar o Microsoft 365 Management Activity ao Sophos Central. Isso adiciona dados de log de auditoria da Microsoft ao Data Lake e permite que você os consulte com o Sophos Live Discover.
Nota
A Microsoft não garante que os eventos sejam gravados em logs de auditoria em um período específico. Portanto, ocasionalmente, a Sophos obtém os logs de auditoria de clientes MDR e XDR com atraso. Saiba mais.
Pré-requisitos
Você deve ser um administrador do Microsoft 365.
A auditoria deve estar ativada no Microsoft 365. Caso contrário, você será solicitado a ativá-lo durante a configuração.
Nas propriedades de suas APIs de gerenciamento do Microsoft Office 365, Habilitar para os usuários entrarem? deve estar definido como Sim. Para verificar e alterar isso, consulte Gerenciar APIs do Microsoft Office 365.
Configurar uma integração
Para integrar os dados do Microsoft 365 ao Sophos Central, faça o seguinte:
- Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
-
Clique em Microsoft - API da atividade de Gestão do Office 365.
A página Microsoft - API da atividade de Gestão do Office 365 é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.
-
Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.
Nota
Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Fornecer seus detalhes de domínio e IP.
-
Em Etapas de integração, se a auditoria do Microsoft 365 ainda não estiver ativada, você pode clicar em Ativar a auditoria do Microsoft 365.
Isso leva você ao Microsoft 365. Ative a auditoria e volte ao Sophos Central. Consulte Ativar ou desativar a auditoria.
Você pode ser solicitado pela Microsoft para se autenticar para ativar a auditoria.
Nota
Pode levar até 12 horas para que os dados do log de auditoria do Microsoft 365 sejam exibidos depois que você ativar a auditoria.
-
Clique em Salvar e continuar.
-
Leia o texto em Conectar-se ao Microsoft 365 e clique em Continuar.
Você está conectado ao Microsoft 365 para criar um aplicativo que se integra ao Sophos Central.
-
Insira ou selecione sua conta da Microsoft e faça login.
-
Você será solicitado a conceder permissões a um aplicativo. Essas permissões nos permitem criar um aplicativo Microsoft para integrar ao Sophos Central. Clique em Aceitar.
Você pode ser solicitado a autorizar novamente, dependendo do seu ambiente do Microsoft 365.
A conexão pode levar alguns minutos.
-
Você verá a confirmação de que o aplicativo está configurado. Clique em Fechar.
No Sophos Central, você pode ver a nova integração em Integrações > Microsoft - API da atividade de Gestão do Office 365.
Em Live Discover > Consulta, é exibida uma nova categoria de Dados de auditoria do Microsoft 365. Você pode realizar as consultas nesta categoria em seus dados do Microsoft 365.
Gerenciar APIs do Microsoft Office 365
Nas propriedades desta API, Habilitar para os usuários entrarem? deve estar definido como Sim. Para verificar e alterar isso, siga este procedimento.
- No Portal do Microsoft Azure, vá para Azure Active Directory > Aplicativos Empresariais > Todos os aplicativos.
-
Em Todos os aplicativos, filtre Tipo de aplicativo == Aplicativos Microsoft.
-
Clique em Office 365 Management APIs.
-
Em Office 365 Management APIs | Propriedades, defina Habilitar para os usuários entrarem? como Sim.
-
Clique em Salvar.