Microsoft 365 Response Actions
Você pode integrar o Microsoft 365 Response Actions ao Sophos Central. Isso permite que você use essas ações do para resolver problemas detectados.
Essa integração é baseada em API.
Ao concluir a integração, você poderá realizar as seguintes ações:
- Bloquear ou permitir o logon de usuário. Isso ajuda a interromper o acesso não autorizado aos seus sistemas.
- Desconectar ou revogar todas as sessões atuais. Ajuda a isolar contas comprometidas e interromper movimentos laterais das ameaças.
- Desativar as regras da caixa de entrada do usuário. Isso ajuda a impedir o encaminhamento malicioso de e-mails confidenciais, táticas de evasão de segurança, exclusão de evidências e muito mais.
Clientes do MDR
Quaisquer que sejam as permissões que você definir aqui, o Sophos Central aplicará a opção de Resposta a Ameaças que você selecionou na página de configurações do MDR. Por exemplo, se você selecionou Colaborar, os analistas de MDR não poderão tomar medidas sem a sua autorização.
Requisitos
Você deve ser um administrador do Microsoft 365 para configurar esta integração.
Não existem requisitos de licença da Microsoft para esta integração.
Recomendação
Se você configurar as ações de resposta do Microsoft 365, recomendamos que você também configure as integrações de ingestão de dados do Microsoft 365 Management Activity e Microsoft Graph Security v2. Isso gera detecções e enriquece as investigações, ajudando você a responder a eventos em seu patrimônio digital da Microsoft.
Configurar uma integração
Você só pode configurar uma integração de ações de resposta para um único ambiente Microsoft 365. Recomendamos que você escolha seu ambiente principal ou o maior.
Para configurar uma integração do Microsoft 365 Response Actions com o Sophos Central, faça o seguinte:
- Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
-
Clique em Microsoft 365 - Response Actions.
Abre-se a página Ações de resposta. Se uma integração já estiver configurada, ela aparecerá aqui e você não poderá adicionar outra.
-
Clique em Adicionar configuração.
- Na página Adicionar ação de resposta, insira o Nome da integração e a Descrição da integração.
- Clique em Salvar e continuar.
-
Leia o texto em Conectar-se ao Microsoft 365 e clique em Continuar.
Você é conectado ao Microsoft 365 para criar um aplicativo que se integre ao Sophos Central.
-
Insira ou selecione sua conta da Microsoft e faça login.
-
Você será solicitado a conceder permissões a um aplicativo. Essas permissões nos permitem criar um aplicativo Microsoft para integrar ao Sophos Central. Clique em Aceitar.
-
Você será solicitado a dar permissões ao aplicativo de integração do Sophos Central recém-criado para que ele possa executar as ações de resposta conforme necessário. Clique em Aceitar.
Você é levado de volta ao Sophos Central, onde você vê a sua integração configurada.
Executar ações de resposta
Agora você pode executar as ações de resposta do Microsoft 365 na guia Responder na página de detalhes de um caso no Sophos Central. Consulte Responder a casos.
Solucionar problemas de ações de resposta
Esta seção lista problemas que podem ocorrer quando você executa ações de resposta.
A ação "Desativar regra de caixa de entrada individual" falha.
Certifique-se de que o nome da regra da caixa de entrada esteja correto. Para o propósito dessa ação, o nome da regra da caixa de entrada diferencia maiúsculas e minúsculas.
A ação "Bloquear login do usuário" não consegue desconectar permanentemente uma conta do Entra ID
Se o ambiente estiver em uma configuração híbrida de Entra ID usando o Microsoft Entra Connect Sync, o ambiente local terá precedência durante a sincronização. Se você usar o Microsoft 365 Response Actions para desconectar uma conta do Entra ID, o Entra Connect Sync poderá conectá-la novamente mais tarde, o que está fora de nosso controle.