Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=m365-response-actions

Microsoft 365 Response Actions

Você pode integrar o Microsoft 365 Response Actions ao Sophos Central. Isso permite que você use essas ações do para resolver problemas detectados.

Essa integração é baseada em API.

Ao concluir a integração, você poderá realizar as seguintes ações:

  • Bloquear ou permitir o logon de usuário. Isso ajuda a interromper o acesso não autorizado aos seus sistemas.
  • Desconectar ou revogar todas as sessões atuais. Ajuda a isolar contas comprometidas e interromper movimentos laterais das ameaças.
  • Desativar as regras da caixa de entrada do usuário. Isso ajuda a impedir o encaminhamento malicioso de e-mails confidenciais, táticas de evasão de segurança, exclusão de evidências e muito mais.

Restrições

As seguintes restrições se aplicam às Ações de Resposta do Microsoft 365:

  • Clientes do MDR

    Independentemente das permissões que você definir para a integração de Ações de Resposta do Microsoft 365, o Sophos Central impõe a opção de resposta a ameaças que você selecionou nas configurações do seu MDR. Por exemplo, se você selecionou Colaborar, os analistas de MDR não poderão tomar medidas sem a sua autorização.

  • "Bloquear login do usuário" não desconecta permanentemente uma conta do Entra ID

    Se o ambiente estiver em uma configuração híbrida de Entra ID usando o Microsoft Entra Connect Sync, o ambiente local terá precedência durante a sincronização. Se você usar o Microsoft 365 Response Actions para desconectar uma conta do Entra ID, o Entra Connect Sync poderá reconectá-la mais tarde, o que está fora de nosso controle.

Requisitos

Você deve ser um administrador do Microsoft 365 para configurar esta integração.

Não existem requisitos de licença da Microsoft para esta integração.

Recomendação

Se você configurar as ações de resposta do Microsoft 365, recomendamos que você também configure as integrações de ingestão de dados do Microsoft 365 Management Activity e Microsoft Graph Security v2. Isso gera detecções e enriquece as investigações, ajudando você a responder a eventos em seu patrimônio digital da Microsoft.

Configurar uma integração

Você só pode configurar uma integração de ações de resposta para um único ambiente Microsoft 365. Recomendamos que você escolha seu ambiente principal ou o maior.

Configurar essa integração cria uma credencial que é usada para realizar ações. Se ela não for usada com frequência, você verá avisos de que a credencial será suspensa. Para obter ajuda para retardar a suspensão ou cancelar a suspensão da credencial, consulte Gerenciador de credenciais de integração.

Para configurar uma integração do Microsoft 365 Response Actions com o Sophos Central, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em Microsoft 365 - Response Actions.

    Abre-se a página Ações de resposta. Se uma integração já estiver configurada, ela aparecerá aqui e você não poderá adicionar outra.

  3. Clique em Adicionar configuração.

  4. Na página Adicionar ação de resposta, insira o Nome da integração e a Descrição da integração.
  5. Clique em Salvar e continuar.

  6. Leia o texto em Conectar-se ao Microsoft 365 e clique em Continuar.

    Você é conectado ao Microsoft 365 para criar um aplicativo que se integre ao Sophos Central.

  7. Insira ou selecione sua conta da Microsoft e faça login.

    Escolha uma conta.

  8. Você será solicitado a conceder permissões a um aplicativo. Essas permissões nos permitem criar um aplicativo Microsoft para integrar ao Sophos Central. Clique em Aceitar.

    Permissões solicitadas para a criação de um aplicativo para integração.

  9. Você será solicitado a dar permissões ao aplicativo de integração do Sophos Central recém-criado para que ele possa executar as ações de resposta conforme necessário. Clique em Aceitar.

    Permissões solicitadas para o aplicativo de integração do Sophos Central.

Você é levado de volta ao Sophos Central, onde você vê a sua integração configurada.

Executar ações de resposta

Agora você pode executar as ações de resposta do Microsoft 365 na guia Responder na página de detalhes de um caso no Sophos Central. Consulte Responder a casos.

Solucionar problemas de ações de resposta

Esta seção lista problemas que podem ocorrer quando você executa ações de resposta.

A ação "Desativar regra de caixa de entrada individual" falha.

Certifique-se de que o nome da regra da caixa de entrada esteja correto. Para o propósito dessa ação, o nome da regra da caixa de entrada diferencia maiúsculas e minúsculas.