Integração da API de segurança do MS Graph V2
Você pode integrar a API de segurança do Microsoft Graph ao Sophos Central para que ela envie alertas à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Segurança do Microsoft Graph
A segurança do Microsoft Graph é um gateway unificado que consolida insights de segurança de vários produtos e serviços da Microsoft por meio da versão 2 da API, também chamada de API de Alertas e Incidentes. Isso substitui o endpoint de Alertas anteriores (herdados) fornecido pela Microsoft.
Recomendamos que você configure as integrações da Sophos para Integrar a API de segurança do MS Graph V2 e API de segurança do MS Graph (Legacy) e execute-as em conjunto, até que a Microsoft confirme seus planos de fim da vida útil da versão legada.
Dependendo da licença básica do cliente da Microsoft (por ex., E5), nós ingeriremos dados através da API do Graph a partir das seguintes fontes de telemetria de segurança:
- Microsoft Entra ID Protection
- Microsoft 365 Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Purview Data Loss Prevention
Documentação da Sophos
O que ingerimos
Exemplos de alertas que vemos:
- Execução de arquivo oculto detectada
- Uma tentativa de executar comandos Linux em um Windows App Service
- Acesso suspeito à senha
- O site está marcado como malicioso no feed de inteligência de ameaças
- Detectado uso suspeito do comando useradd
- Detecção de uma possível ferramenta de ataque
- Possível ferramenta de acesso de credenciais detectada
Alertas ingeridos na íntegra
Ingerimos alertas da segurança do MS Graph no namespace microsoft.graph.security. Para obter a documentação completa, consulte Tipo de alerta do recurso.
Filtragem
Nenhum filtro é aplicado, exceto para confirmar que o formato retornado da API é o esperado.
Amostra de mapeamentos de ameaças
O mapeamento do alerta é do campo de título retornado no alerta.
{"alertType": "Access from an unusual location to a storage blob container", "threatId": "T1530", "threatName": "Data from Cloud Storage Object"}
{"alertType": "Detected Petya ransomware indicators", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "Suspicious WordPress theme invocation detected", "threatId": "T1102", "threatName": "Web Service"}
{"alertType": "Suspicious PHP execution detected", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Unusually large response payload transmitted between a single IP address and an API endpoint", "threatId": "T1105", "threatName": "Ingress Tool Transfer"}
{"alertType": "Executable found running from a suspicious location", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Access from a TOR exit node to a Key Vault", "threatId": "T1090.003", "threatName": "Multi-hop Proxy"}
{"alertType": "Suspicious spike in API traffic from a single IP address to an API endpoint", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Access from a suspicious IP to a storage file share", "threatId": "T1526", "threatName": "Cloud Service Discovery"}
{"alertType": "Unusual number of files extracted from a storage file share", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Unusual application accessed a storage file share", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Unusual amount of data extracted from a storage blob container", "threatId": "TA0010", "threatName": "Exfiltration"}
{"alertType": "Access from an unusual location", "threatId": "TA0005", "threatName": "Defense Evasion"}