Integração da API de segurança V2 do Microsoft Graph
Você pode integrar a API de segurança do Microsoft Graph ao Sophos Central para que ela envie alertas à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Segurança do Microsoft Graph
A segurança do Microsoft Graph é um gateway unificado que consolida insights de segurança de vários produtos e serviços da Microsoft por meio da versão 2 da API, também chamada de API de Alertas e Incidentes. Isso substitui o endpoint de Alertas anteriores (herdados) fornecido pela Microsoft.
Dependendo da licença básica do cliente da Microsoft (por ex., E5), nós ingeriremos alertas que foram escalonados para alertas de segurança da API do Graph a partir das seguintes fontes de telemetria de segurança:
- Microsoft Entra ID Protection
- Microsoft 365 Defender
- Microsoft Defender para Aplicativos de Nuvem
- Microsoft Defender para Pontos de Extremidade
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365
- Microsoft Purview Data Loss Prevention
- Microsoft Purview Insider Risk Management
Note
Não ingerimos dados do Entra ID sobre usuários de risco, entidades de serviço de risco ou eventos de risco da entidade de serviço. Isso requer a ingestão de logs de eventos do Entra ID, o que o Sophos XDR e MDR atualmente não suportam. Para a ingestão de log de eventos do Entra ID, consulte ITDR integration guide.
Documentação da Sophos
O que ingerimos
Exemplos de alertas que vemos:
- Execução de arquivo oculto detectada
- Uma tentativa de executar comandos Linux em um Windows App Service
- Acesso suspeito à senha
- O site está marcado como malicioso no feed de inteligência de ameaças
- Detectado uso suspeito do comando useradd
- Detecção de uma possível ferramenta de ataque
- Possível ferramenta de acesso de credenciais detectada
Alertas ingeridos na íntegra
Ingerimos alertas da segurança do MS Graph no namespace microsoft.graph.security. Para obter a documentação completa, consulte Tipo de alerta do recurso.
Filtragem
Nenhum filtro é aplicado, exceto para confirmar que o formato retornado da API é o esperado.
Amostra de mapeamentos de ameaças
O mapeamento do alerta é do campo de título retornado no alerta.
{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}